Nouveau : Workflows gouvernés avec validation humaine

Politique de protection des données RGPD

Traduction de courtoisie. La version espagnole fait foi.

1. Engagement en matière de protection des données

BiVelio Inc (« Société »), opérateur de la plateforme BiVelio, titulaire de la marque BiVelio, s'engagent à protéger les données personnelles de toutes les personnes dont les données sont traitées par l'intermédiaire de notre Service, conformément au Règlement général sur la protection des données (UE) 2016/679 (« RGPD »), à la loi andorrane sur la protection des données (Llei 29/2021) et à l'ensemble de la législation applicable en matière de protection des données.

La présente Politique RGPD complète notre Politique de confidentialité et fournit des informations spécifiques sur la manière dont nous nous conformons au RGPD lors du traitement des données personnelles des personnes situées dans l'Espace économique européen (EEE), au Royaume-Uni et en Andorre.

2. Rôles et responsabilités

2.1 En tant que responsable du traitement

Lors du traitement des données personnelles de nos utilisateurs (titulaires de comptes), nous agissons en qualité de responsable du traitement. Cela comprend :

Données d'inscription et d'authentification des comptes

Informations de facturation et d'abonnement

Analyse de l'utilisation de la plateforme

Communications de support

2.2 En tant que sous-traitant

Lors du traitement de données pour le compte de nos clients (données de leurs clients, prospects, conversations, etc.), nous agissons en qualité de sous-traitant. À ce titre :

Nous traitons les données uniquement conformément aux instructions documentées du responsable du traitement (notre client).

Nous concluons des Accords de traitement des données (ATD) avec tous les clients.

Nous garantissons que l'ensemble du personnel traitant des données est soumis à des obligations de confidentialité.

Nous mettons en œuvre des mesures techniques et organisationnelles appropriées afin de garantir la sécurité.

Nous assistons le responsable du traitement dans la réponse aux demandes des personnes concernées.

Nous supprimons ou restituons l'ensemble des données personnelles à l'issue de l'accord.

2.3 Délégué à la protection des données

Nous avons désigné un Délégué à la Protection des Données (DPD) qui peut être contacté à l'adresse suivante :

Adresse : BiVelio Inc, Andorre

3. Base légale du traitement

Nous traitons les données personnelles sur les bases légales suivantes, telles que définies à l'article 6 du RGPD :

Activité de traitement

Base légale

Article RGPD

Création de compte et authentification

Exécution du contrat

Prestation du service et fonctionnalités

Exécution du contrat

Traitement des paiements

Exécution du contrat

Surveillance de la sécurité et prévention de la fraude

Intérêt légitime

Analyse et amélioration du service

Intérêt légitime

Communications marketing

Consentement

Registres fiscaux et financiers

Obligation légale

Traitement des données utilisateur par IA

Exécution du contrat

Partage de données avec des intégrations tierces

Consentement

4. Droits des personnes concernées

En vertu du RGPD, les personnes concernées disposent des droits suivants. Nous nous engageons à faciliter l'exercice de ces droits dans les délais légaux :

4.1 Droit d'accès (article 15)

Vous pouvez demander une copie de l'ensemble des données personnelles que nous détenons à votre sujet. Nous vous la fournirons dans un délai de 30 jours, dans un format électronique d'usage courant.

4.2 Droit de rectification (article 16)

Vous pouvez demander la correction de données personnelles inexactes ou le complètement de données incomplètes. Vous pouvez également mettre à jour la plupart des données directement via les paramètres de votre compte.

4.3 Droit à l'effacement (article 17)

Vous pouvez demander l'effacement de vos données personnelles lorsque :

Les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées.

Vous retirez votre consentement et il n'existe aucune autre base légale au traitement.

Vous vous opposez au traitement et il n'existe aucun motif légitime impérieux.

Les données ont fait l'objet d'un traitement illicite.

Remarque : Nous pouvons conserver certaines données lorsque la loi l'exige (p. ex., registres fiscaux, journaux d'audit).

4.4 Droit à la limitation du traitement (article 18)

Vous pouvez demander la limitation du traitement pendant que nous vérifions l'exactitude de vos données, que nous traitons une opposition, ou lorsque le traitement est illicite mais que vous préférez la limitation à l'effacement.

4.5 Droit à la portabilité des données (article 20)

Vous pouvez demander vos données dans un format structuré, d'usage courant et lisible par machine (JSON, CSV). Nous proposons une fonctionnalité d'exportation des données au sein du Service.

4.6 Droit d'opposition (article 21)

Vous pouvez vous opposer au traitement fondé sur les intérêts légitimes. Nous cesserons le traitement à moins que nous ne démontrions l'existence de motifs légitimes impérieux prévalant sur vos intérêts.

4.7 Droits relatifs aux décisions automatisées (article 22)

Lorsque nous recourons à un traitement automatisé (y compris l'IA) qui vous affecte de manière significative, vous avez le droit de :

Obtenir une intervention humaine dans la décision.

Exprimer votre point de vue.

Contester la décision.

4.8 Comment exercer vos droits

Adressez vos demandes à privacy@bivelio.com. Nous :

Vérifierons votre identité avant de traiter toute demande.

Répondrons dans un délai de 30 jours (extensible à 60 jours pour les demandes complexes, moyennant notification).

Donnerons suite aux demandes gratuitement, sauf pour les demandes manifestement infondées ou excessives.

5. Accords de traitement des données

Conformément à l'article 28 du RGPD, nous concluons des Accords de traitement des données (ATD) avec :

Nos clientsLorsque nous agissons en qualité de sous-traitant pour les données de leurs utilisateurs finaux.

Nos sous-traitants ultérieursTous les prestataires de services externes qui traitent des données pour notre compte.

Les ATD comprennent :

L'objet et la durée du traitement

La nature et la finalité du traitement

Les types de données personnelles et les catégories de personnes concernées

Les obligations et droits du responsable du traitement

Les mesures techniques et organisationnelles de sécurité

La gestion des sous-traitants ultérieurs et les obligations de notification

6. Sous-traitants ultérieurs

Nous recourons aux catégories suivantes de sous-traitants ultérieurs :

Catégorie

Finalité

Emplacement

Infrastructure cloud

Services d'hébergement, de base de données et de calcul

UE / États-Unis (avec CCT)

Fournisseurs de modèles d'IA

Traitement du langage naturel, classification

États-Unis (avec CCT)

Processeur de paiement

Gestion de la facturation et des abonnements

États-Unis (avec CCT)

Fournisseur de messagerie électronique

Courriels transactionnels et de notification

États-Unis (avec CCT)

Fournisseur d'analyse

Analyse de l'utilisation et amélioration du produit

UE

Nous informerons les clients de toute modification de notre liste de sous-traitants ultérieurs moyennant un préavis d'au moins 30 jours, en leur offrant la possibilité de s'y opposer.

7. Transferts internationaux

Certains de nos prestataires pouvant se trouver hors de votre pays de résidence, les données personnelles peuvent faire l'objet de transferts internationaux. Nous en garantissons la conformité au moyen de :

Décision d'adéquation relative à l'AndorreL'Andorre est reconnue par la Commission européenne comme assurant un niveau adéquat de protection des données (décision 2010/625/UE).

Clauses Contractuelles Types (CCT)Pour les transferts vers des juridictions dépourvues de décision d'adéquation, nous mettons en œuvre les CCT adoptées par la Commission européenne (décision 2021/914).

Évaluations de l'impact des transferts (EIT)Nous réalisons des EIT pour tous les transferts vers des pays tiers afin d'évaluer le cadre juridique du pays destinataire.

Mesures complémentairesDes mesures techniques additionnelles, notamment le chiffrement, la pseudonymisation et les contrôles d'accès.

8. Mesures techniques et organisationnelles

Conformément à l'article 32 du RGPD, nous mettons en œuvre les mesures suivantes :

8.1 Mesures techniques

Chiffrement TLS 1.3 de bout en bout pour les données en transit

Chiffrement AES-256 pour les données au repos

Sécurité au niveau des lignes (RLS) au niveau de la base de données garantissant l'isolement des locataires

Analyse automatisée des vulnérabilités et audit des dépendances

Pare-feu applicatif web (WAF) et protection contre les attaques DDoS

Tests d'intrusion réguliers par des tiers indépendants

Sauvegardes automatisées avec restauration à un instant précis (PITR)

Gestion des secrets avec stockage chiffré dans un coffre-fort (vault)

8.2 Mesures organisationnelles

Contrôle d'accès basé sur les rôles (RBAC) selon le principe du moindre privilège

Formation obligatoire à la protection des données pour l'ensemble du personnel

Vérifications des antécédents pour les employés ayant accès aux données personnelles

Politiques et procédures documentées de sécurité de l'information

Audits internes réguliers et revues de direction

Plan de réponse aux incidents avec des rôles définis et des procédures d'escalade

Protection des données dès la conception et par défaut dans l'ensemble des processus de développement

9. Analyses d'impact relatives à la protection des données

Nous réalisons des Analyses d'impact relatives à la protection des données (AIPD) conformément à l'article 35 du RGPD pour les activités de traitement susceptibles d'engendrer un risque élevé pour les personnes concernées, notamment :

Le traitement à grande échelle de données personnelles au moyen d'agents d'IA

La surveillance systématique des interactions avec les clients sur de multiples canaux

Le profilage ou la notation automatisés (p. ex., la notation des prospects)

Le traitement de catégories particulières de données

Les nouvelles fonctionnalités ou intégrations modifiant de manière significative le traitement des données

10. Notification des violations de données

En cas de violation de données personnelles :

Réponse interneActiver notre équipe de réponse aux incidents dans un délai d'une heure suivant la détection de la violation.

Autorité de contrôleNotifier l'autorité de contrôle compétente dans un délai de 72 heures après avoir pris connaissance de la violation (article 33), à moins que celle-ci ne soit pas susceptible d'engendrer un risque pour les droits et libertés des personnes.

Personnes concernéesNotifier les personnes affectées dans les meilleurs délais lorsque la violation est susceptible d'engendrer un risque élevé pour leurs droits et libertés (article 34).

Responsables du traitement (lorsque nous agissons en qualité de sous-traitant)Notifier les clients affectés dans les meilleurs délais après avoir pris connaissance de la violation.

DocumentationTenir des registres détaillés de toutes les violations, y compris les faits, les effets et les mesures correctives prises.

11. Registre des activités de traitement

Conformément à l'article 30 du RGPD, nous tenons un registre complet de l'ensemble des activités de traitement, comprenant :

Le nom et les coordonnées du responsable du traitement/sous-traitant et du DPD

Les finalités du traitement

Les catégories de personnes concernées et de données personnelles

Les catégories de destinataires

Les transferts internationaux et les garanties

Les durées de conservation

Les mesures techniques et organisationnelles de sécurité

12. IA et traitement automatisé

BiVelio utilise l'IA pour diverses activités de traitement. Notre approche de l'IA est conforme aux exigences du RGPD :

TransparenceNous indiquons clairement lorsque l'IA est utilisée dans le traitement de données personnelles.

Limitation des finalitésLe traitement par IA est limité aux finalités spécifiées dans la présente politique et notre Politique de confidentialité.

Minimisation des donnéesSeules les données nécessaires à la tâche d'IA sont traitées.

Absence d'entraînement par des tiersLes données personnelles traitées via les fonctionnalités d'IA de BiVelio ne sont pas utilisées pour entraîner ou améliorer des modèles d'IA tiers.

Révision humaineLes utilisateurs conservent la faculté de demander une révision humaine des décisions générées par l'IA.

Conformité au règlement européen sur l'IANous surveillons les exigences du règlement européen sur l'IA (Règlement (UE) 2024/1689) et nous y conformons au fur et à mesure de leur applicabilité.

13. Données des mineurs

BiVelio est un service B2B qui n'est pas destiné aux personnes âgées de moins de 16 ans. Nous ne collectons ni ne traitons sciemment les données personnelles de mineurs. Si nous découvrons que nous avons collecté par inadvertance les données d'une personne âgée de moins de 16 ans, nous les supprimerons immédiatement et en informerons l'autorité de contrôle compétente si nécessaire.

14. Réclamations et autorité de contrôle

Si vous estimez que vos droits en matière de protection des données ont été violés, vous pouvez :

Contacter notre DPD à l'adresse privacy@bivelio.com afin de résoudre le litige directement.

Introduire une réclamation auprès de l'autorité de contrôle compétente :

États membres de l'UEVotre Autorité de protection des données (APD) locale

15. Mises à jour de la politique

La présente Politique RGPD est révisée et mise à jour chaque année, ou plus fréquemment lorsque des modifications de la législation, de nos activités de traitement ou de la structure organisationnelle l'exigent. Toutes les mises à jour seront publiées sur cette page avec une date de « Dernière mise à jour » révisée.

16. Contact

Pour toute question relative à la présente Politique RGPD ou pour exercer vos droits :