Politique de protection des données RGPD
1. Engagement en matière de protection des données
BiVelio Inc (« Société »), opérateur de la plateforme BiVelio, titulaire de la marque BiVelio, s'engagent à protéger les données personnelles de toutes les personnes dont les données sont traitées par l'intermédiaire de notre Service, conformément au Règlement général sur la protection des données (UE) 2016/679 (« RGPD »), à la loi andorrane sur la protection des données (Llei 29/2021) et à l'ensemble de la législation applicable en matière de protection des données.
La présente Politique RGPD complète notre Politique de confidentialité et fournit des informations spécifiques sur la manière dont nous nous conformons au RGPD lors du traitement des données personnelles des personnes situées dans l'Espace économique européen (EEE), au Royaume-Uni et en Andorre.
2. Rôles et responsabilités
2.1 En tant que responsable du traitement
Lors du traitement des données personnelles de nos utilisateurs (titulaires de comptes), nous agissons en qualité de responsable du traitement. Cela comprend :
Données d'inscription et d'authentification des comptes
Informations de facturation et d'abonnement
Analyse de l'utilisation de la plateforme
Communications de support
2.2 En tant que sous-traitant
Lors du traitement de données pour le compte de nos clients (données de leurs clients, prospects, conversations, etc.), nous agissons en qualité de sous-traitant. À ce titre :
Nous traitons les données uniquement conformément aux instructions documentées du responsable du traitement (notre client).
Nous concluons des Accords de traitement des données (ATD) avec tous les clients.
Nous garantissons que l'ensemble du personnel traitant des données est soumis à des obligations de confidentialité.
Nous mettons en œuvre des mesures techniques et organisationnelles appropriées afin de garantir la sécurité.
Nous assistons le responsable du traitement dans la réponse aux demandes des personnes concernées.
Nous supprimons ou restituons l'ensemble des données personnelles à l'issue de l'accord.
2.3 Délégué à la protection des données
Nous avons désigné un Délégué à la Protection des Données (DPD) qui peut être contacté à l'adresse suivante :
Adresse : BiVelio Inc, Andorre
3. Base légale du traitement
Nous traitons les données personnelles sur les bases légales suivantes, telles que définies à l'article 6 du RGPD :
Activité de traitement
Base légale
Article RGPD
Création de compte et authentification
Exécution du contrat
Prestation du service et fonctionnalités
Exécution du contrat
Traitement des paiements
Exécution du contrat
Surveillance de la sécurité et prévention de la fraude
Intérêt légitime
Analyse et amélioration du service
Intérêt légitime
Communications marketing
Consentement
Registres fiscaux et financiers
Obligation légale
Traitement des données utilisateur par IA
Exécution du contrat
Partage de données avec des intégrations tierces
Consentement
4. Droits des personnes concernées
En vertu du RGPD, les personnes concernées disposent des droits suivants. Nous nous engageons à faciliter l'exercice de ces droits dans les délais légaux :
4.1 Droit d'accès (article 15)
Vous pouvez demander une copie de l'ensemble des données personnelles que nous détenons à votre sujet. Nous vous la fournirons dans un délai de 30 jours, dans un format électronique d'usage courant.
4.2 Droit de rectification (article 16)
Vous pouvez demander la correction de données personnelles inexactes ou le complètement de données incomplètes. Vous pouvez également mettre à jour la plupart des données directement via les paramètres de votre compte.
4.3 Droit à l'effacement (article 17)
Vous pouvez demander l'effacement de vos données personnelles lorsque :
Les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées.
Vous retirez votre consentement et il n'existe aucune autre base légale au traitement.
Vous vous opposez au traitement et il n'existe aucun motif légitime impérieux.
Les données ont fait l'objet d'un traitement illicite.
Remarque : Nous pouvons conserver certaines données lorsque la loi l'exige (p. ex., registres fiscaux, journaux d'audit).
4.4 Droit à la limitation du traitement (article 18)
Vous pouvez demander la limitation du traitement pendant que nous vérifions l'exactitude de vos données, que nous traitons une opposition, ou lorsque le traitement est illicite mais que vous préférez la limitation à l'effacement.
4.5 Droit à la portabilité des données (article 20)
Vous pouvez demander vos données dans un format structuré, d'usage courant et lisible par machine (JSON, CSV). Nous proposons une fonctionnalité d'exportation des données au sein du Service.
4.6 Droit d'opposition (article 21)
Vous pouvez vous opposer au traitement fondé sur les intérêts légitimes. Nous cesserons le traitement à moins que nous ne démontrions l'existence de motifs légitimes impérieux prévalant sur vos intérêts.
4.7 Droits relatifs aux décisions automatisées (article 22)
Lorsque nous recourons à un traitement automatisé (y compris l'IA) qui vous affecte de manière significative, vous avez le droit de :
Obtenir une intervention humaine dans la décision.
Exprimer votre point de vue.
Contester la décision.
4.8 Comment exercer vos droits
Adressez vos demandes à privacy@bivelio.com. Nous :
Vérifierons votre identité avant de traiter toute demande.
Répondrons dans un délai de 30 jours (extensible à 60 jours pour les demandes complexes, moyennant notification).
Donnerons suite aux demandes gratuitement, sauf pour les demandes manifestement infondées ou excessives.
5. Accords de traitement des données
Conformément à l'article 28 du RGPD, nous concluons des Accords de traitement des données (ATD) avec :
Nos clients — Lorsque nous agissons en qualité de sous-traitant pour les données de leurs utilisateurs finaux.
Nos sous-traitants ultérieurs — Tous les prestataires de services externes qui traitent des données pour notre compte.
Les ATD comprennent :
L'objet et la durée du traitement
La nature et la finalité du traitement
Les types de données personnelles et les catégories de personnes concernées
Les obligations et droits du responsable du traitement
Les mesures techniques et organisationnelles de sécurité
La gestion des sous-traitants ultérieurs et les obligations de notification
6. Sous-traitants ultérieurs
Nous recourons aux catégories suivantes de sous-traitants ultérieurs :
Catégorie
Finalité
Emplacement
Infrastructure cloud
Services d'hébergement, de base de données et de calcul
UE / États-Unis (avec CCT)
Fournisseurs de modèles d'IA
Traitement du langage naturel, classification
États-Unis (avec CCT)
Processeur de paiement
Gestion de la facturation et des abonnements
États-Unis (avec CCT)
Fournisseur de messagerie électronique
Courriels transactionnels et de notification
États-Unis (avec CCT)
Fournisseur d'analyse
Analyse de l'utilisation et amélioration du produit
UE
Nous informerons les clients de toute modification de notre liste de sous-traitants ultérieurs moyennant un préavis d'au moins 30 jours, en leur offrant la possibilité de s'y opposer.
7. Transferts internationaux
Certains de nos prestataires pouvant se trouver hors de votre pays de résidence, les données personnelles peuvent faire l'objet de transferts internationaux. Nous en garantissons la conformité au moyen de :
Décision d'adéquation relative à l'Andorre — L'Andorre est reconnue par la Commission européenne comme assurant un niveau adéquat de protection des données (décision 2010/625/UE).
Clauses Contractuelles Types (CCT) — Pour les transferts vers des juridictions dépourvues de décision d'adéquation, nous mettons en œuvre les CCT adoptées par la Commission européenne (décision 2021/914).
Évaluations de l'impact des transferts (EIT) — Nous réalisons des EIT pour tous les transferts vers des pays tiers afin d'évaluer le cadre juridique du pays destinataire.
Mesures complémentaires — Des mesures techniques additionnelles, notamment le chiffrement, la pseudonymisation et les contrôles d'accès.
8. Mesures techniques et organisationnelles
Conformément à l'article 32 du RGPD, nous mettons en œuvre les mesures suivantes :
8.1 Mesures techniques
Chiffrement TLS 1.3 de bout en bout pour les données en transit
Chiffrement AES-256 pour les données au repos
Sécurité au niveau des lignes (RLS) au niveau de la base de données garantissant l'isolement des locataires
Analyse automatisée des vulnérabilités et audit des dépendances
Pare-feu applicatif web (WAF) et protection contre les attaques DDoS
Tests d'intrusion réguliers par des tiers indépendants
Sauvegardes automatisées avec restauration à un instant précis (PITR)
Gestion des secrets avec stockage chiffré dans un coffre-fort (vault)
8.2 Mesures organisationnelles
Contrôle d'accès basé sur les rôles (RBAC) selon le principe du moindre privilège
Formation obligatoire à la protection des données pour l'ensemble du personnel
Vérifications des antécédents pour les employés ayant accès aux données personnelles
Politiques et procédures documentées de sécurité de l'information
Audits internes réguliers et revues de direction
Plan de réponse aux incidents avec des rôles définis et des procédures d'escalade
Protection des données dès la conception et par défaut dans l'ensemble des processus de développement
9. Analyses d'impact relatives à la protection des données
Nous réalisons des Analyses d'impact relatives à la protection des données (AIPD) conformément à l'article 35 du RGPD pour les activités de traitement susceptibles d'engendrer un risque élevé pour les personnes concernées, notamment :
Le traitement à grande échelle de données personnelles au moyen d'agents d'IA
La surveillance systématique des interactions avec les clients sur de multiples canaux
Le profilage ou la notation automatisés (p. ex., la notation des prospects)
Le traitement de catégories particulières de données
Les nouvelles fonctionnalités ou intégrations modifiant de manière significative le traitement des données
10. Notification des violations de données
En cas de violation de données personnelles :
Réponse interne — Activer notre équipe de réponse aux incidents dans un délai d'une heure suivant la détection de la violation.
Autorité de contrôle — Notifier l'autorité de contrôle compétente dans un délai de 72 heures après avoir pris connaissance de la violation (article 33), à moins que celle-ci ne soit pas susceptible d'engendrer un risque pour les droits et libertés des personnes.
Personnes concernées — Notifier les personnes affectées dans les meilleurs délais lorsque la violation est susceptible d'engendrer un risque élevé pour leurs droits et libertés (article 34).
Responsables du traitement (lorsque nous agissons en qualité de sous-traitant) — Notifier les clients affectés dans les meilleurs délais après avoir pris connaissance de la violation.
Documentation — Tenir des registres détaillés de toutes les violations, y compris les faits, les effets et les mesures correctives prises.
11. Registre des activités de traitement
Conformément à l'article 30 du RGPD, nous tenons un registre complet de l'ensemble des activités de traitement, comprenant :
Le nom et les coordonnées du responsable du traitement/sous-traitant et du DPD
Les finalités du traitement
Les catégories de personnes concernées et de données personnelles
Les catégories de destinataires
Les transferts internationaux et les garanties
Les durées de conservation
Les mesures techniques et organisationnelles de sécurité
12. IA et traitement automatisé
BiVelio utilise l'IA pour diverses activités de traitement. Notre approche de l'IA est conforme aux exigences du RGPD :
Transparence — Nous indiquons clairement lorsque l'IA est utilisée dans le traitement de données personnelles.
Limitation des finalités — Le traitement par IA est limité aux finalités spécifiées dans la présente politique et notre Politique de confidentialité.
Minimisation des données — Seules les données nécessaires à la tâche d'IA sont traitées.
Absence d'entraînement par des tiers — Les données personnelles traitées via les fonctionnalités d'IA de BiVelio ne sont pas utilisées pour entraîner ou améliorer des modèles d'IA tiers.
Révision humaine — Les utilisateurs conservent la faculté de demander une révision humaine des décisions générées par l'IA.
Conformité au règlement européen sur l'IA — Nous surveillons les exigences du règlement européen sur l'IA (Règlement (UE) 2024/1689) et nous y conformons au fur et à mesure de leur applicabilité.
13. Données des mineurs
BiVelio est un service B2B qui n'est pas destiné aux personnes âgées de moins de 16 ans. Nous ne collectons ni ne traitons sciemment les données personnelles de mineurs. Si nous découvrons que nous avons collecté par inadvertance les données d'une personne âgée de moins de 16 ans, nous les supprimerons immédiatement et en informerons l'autorité de contrôle compétente si nécessaire.
14. Réclamations et autorité de contrôle
Si vous estimez que vos droits en matière de protection des données ont été violés, vous pouvez :
Contacter notre DPD à l'adresse privacy@bivelio.com afin de résoudre le litige directement.
Introduire une réclamation auprès de l'autorité de contrôle compétente :
États membres de l'UE — Votre Autorité de protection des données (APD) locale
15. Mises à jour de la politique
La présente Politique RGPD est révisée et mise à jour chaque année, ou plus fréquemment lorsque des modifications de la législation, de nos activités de traitement ou de la structure organisationnelle l'exigent. Toutes les mises à jour seront publiées sur cette page avec une date de « Dernière mise à jour » révisée.
16. Contact
Pour toute question relative à la présente Politique RGPD ou pour exercer vos droits :