Accord relatif à la protection des données personnelles
« Dans le cadre de leurs relations contractuelles, Keobiz et ses clients s’engagent à respecter la règlementation applicable à la protection des données et en particulier le Règlement UE 2016/679 du 27 avril 2016 dit « RGPD » et la Loi N° 78-17 du 6 janvier 1978 dite « Informatique et Libertés » modifiée.
1.Définitions spécifiques
« Keobiz » : désigne l’entité juridique Keobiz ainsi que les filiales du groupe Kerogo Finance pouvant participer aux traitements de données
personnelles.
« Données Personnelles » : désigne toute information concernant une personne physique identifiée ou identifiable ; est réputée être une
«personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un
identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments
spécifiques, propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
« Traitement », toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des
ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation,
l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise
à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.
« Responsable du traitement » : la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec
d’autres, détermine les finalités et les moyens du traitement; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de
l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation
peuvent être prévus par le droit de l’Union ou par le droit d’un État membre.
« Sous-traitant » : la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel
pour le compte du responsable du traitement.
« Violation de données à caractère personnel », une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte,
l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non
autorisé à de telles données.
« Lois et Réglementations Applicables en matière de Données Personnelles » : désigne toutes les lois et réglementations en relation avec
la protection des données à caractère personnel et la vie privée, et notamment la loi n° 78-17 relative à l’informatique, aux fichiers et aux
libertés du 6 janvier 1978 modifiée et le Règlement européen n° 2016/679 du 27 avril 2016 dit « Règlement Général sur la Protection des Données »
(RGPD) à compter de son entrée en application.
Selon les traitements de données mis en œuvre, Keobiz endosse la qualité de Responsable de traitement seule (Cf.2), de sous-traitant de données à
aractère personnel (Cf.3.) ou de Responsable conjoint de traitement (Cf.4.).
2. Traitements réalisés par Keobiz en qualité de Responsable de traitement
| Finalité du traitement | Données personnelles traitées | Personnes concernées | Base légale | Durée de conservation |
| Gestion des relations commerciales et facturation | Données d’identification et de contact des représentants et / ou salariés du Client en charge des relations avec le Cabinet ;Coordonnées bancaires du Client lorsqu’elles sont rattachées au Client personne physique. | Client Salariés ou représentants du client | Exécution du présent contrat | A des fins probatoires, sur la base de l’intérêt légitime du Cabinet à produire une défense en justice, pour une durée de 6 ans à compter du terme du contrat. |
| Gestion des outils applicatifs | Données d’identification et de contact des représentants et / ou salariés du Client en charge des relations avec le Cabinet ;Identifiant associé au client nécessaire à la gestion de ses comptes applicatifs | ClientSalariés ou représentants du client | Exécution du présent contrat | Ces données sont archivées pendant une durée de 6 ans à des fins probatoires. |
| Analyses statistiques et de performance | Données d’identification et de contact des représentants et / ou salariés du Client en charge des relations avec le Cabinet | ClientSalariés ou représentants du client | Intérêt légitime de Keobiz à suivre et améliorer la performance de son activité | Seules les données statistiques agrégées sont conservées par Keobiz . Aucune donnée personnelle n’est donc conservée. |
| Obligations de contrôle au titre de la Lutte contre le blanchiment de capitaux et le financement du terrorisme (LCBFT). | Données d’identification et de contact des représentants et / ou salariés du Client en charge des relations avec le Cabinet ;Documents justificatifs d’identité ;Informations comptables et financières | ClientSalariés ou représentants du client | Obligation légale | Ces données sont archivées pendant une durée de 6 ans conformément aux obligations légales en vigueur. |
Le client reste entièrement responsable de la bonne exécution de l’obligation d’information de ses collaborateurs, prestataires ou partenaires qui lui échoie.
Les données traitées par le Cabinet sont sécurisées par des mesures techniques et organisationnelles adaptées afin d’en assurer la confidentialité et l’intégrité.
Les destinataires des données sont les seules personnes habilitées à en connaître au sein des équipes de Keobiz et des entités du groupe Kerogo finances ou de ses partenaires autorisés comprenant en particulier les sous-traitants informatiques et logiciels.
Les personnes concernées par les traitements susmentionnés disposent des droits d’accès, de rectification, d’effacement et de portabilité (lorsqu’il s’applique) à l’égard des données les concernant, ainsi que de limitation et d’opposition pour motifs légitimes à leur traitement. Elles peuvent les exercer en contactant le Délégué à la Protection des Données à l’adresse dpo@keobiz.fr. Elles disposent également du droit de déposer, à tout moment, une réclamation auprès de la CNIL (Commission Nationale de l’Informatique et des Libertés).
3. Traitements réalisés par Keobiz en qualité de Sous-traitant
Lorsque le Cabinet traite des données à caractère personnel pour le compte et sur instruction du Client, il est qualifié de « Sous-traitant » et s’engage à respecter la Règlementation applicable aux traitements de Données Personnelles, en particulier le Règlement UE 2016/679 du 27 avril 2016 dit « RGPD » et la Loi N° 78-17 du 6 janvier 1978 dite « Informatique et Libertés » modifiée (« la Règlementation »), selon les modalités définies ci-après.
En qualité de Responsable de Traitement, le Client veille au respect de ses obligations par le Sous-traitant.
3.1. Principes
Dans le cadre de leurs relations contractuelles, les Parties s’engagent à respecter les Lois et Réglementations Applicables en matière de Données Personnelles.
En tant que Sous-traitant, Keobiz n’agit que sur instructions documentées du Client en tant que Responsable des Traitements mis en œuvre pour l’exécution du présent contrat. Le Sous-Traitant s’engage à traiter les Données à Caractère Personnel relevant de la responsabilité du Responsable de Traitement exclusivement pour accomplir les Prestations qui lui sont confiées, pour les seules finalités découlant des termes du Contrat et décrites ci-après.
3.2. Description générale des Traitements de Données Personnelles et finalités
Les données confiées au Cabinet par le Client sont traitées aux fins exclusives de l’exécution des prestations décrites aux paragraphes « nature des travaux » et « détail des prestations comptables du cabinet », ainsi que de toute prestation occasionnelle souscrite conformément au paragraphe « Grille tarifaire : missions occasionnelles ».
| Objectifs du traitement | Pour la prestation comptable : Établissement des documents et déclarations comptables du Client, conseil relatif à la comptabilité et à la fiscalité des entreprises, télédéclarations fiscales ; Pour la prestation sociale : Établissement des documents, gestion des payes et déclarations sociales du Client; Pour la prestation juridique : Recueil des pièces justificatives, réalisation des formalités administratives relatives à la création et à la mise à jour des statuts de l’entreprise du Client, convocation et élaboration des décisions des associés et procès-verbaux. |
| Nature des opérations réalisées sur les données | Enregistrement des pièces, saisie des informations dans les logiciels métiers et dans les documents établis, transmission des données au Client et aux organismes concernés, mise à disposition d’outils informatisés. |
| Catégories de personnes concernées | Clients, salariés, fournisseurs et clients du Client |
| Catégories de données traitées | Pour toutes les prestations : Identification, coordonnées, informations d’ordre économique et financier, vie professionnelle ; Pour les prestations sociales et juridiques : vie personnelle, NIR, données de santé en relation avec la gestion des ressources humaines du client (arrêts de travail, adaptation de poste…) |
| Catégories de destinataires des données | Client ; Services habilités du Cabinet et du groupe Kerogo finances ; Sous-traitants habilités du Cabinet et du groupe Kerogo finances ; Organismes destinataires des déclarations et formalités incluses dans les prestations. |
| Durée des traitements | La durée du traitement est celle de la durée des prestations fournies par Keobiz sur la base du contrat conclu avec le Client. |
Le Client s’engage à ne transmettre au Cabinet que les informations nécessaires à l’exécution des prestations souscrites. Le Cabinet ne saurait être tenu responsable des conséquences pouvant résulter de la transmission par le Client de données sans lien avec les prestations.
3.3. Obligations générales du sous-traitant
Pour l’exécution de sa mission, le Sous-traitant s’engage à :
- Traiter les Données Personnelles pour les seules finalités qui font l’objet de la sous-traitance ;
- Informer immédiatement le Responsable de traitement s’il considère qu’une instruction constitue une violation du règlement européen sur la protection des données ou de toute autre disposition du droit de l’Union ou du droit des États membres relative à la protection des données ;
- S’il est tenu de procéder à un transfert de données vers un pays tiers ou à une organisation internationale, en vertu du droit de l’Union ou du droit de l’Etat membre auquel il est soumis, informer le responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public ;
- Garantir l’intégrité et la confidentialité des Données Personnelles traitées ;
- Veiller à ce que les personnes autorisées à traiter les Données Personnelles soient soumises à une obligation appropriée de confidentialité et reçoivent la formation nécessaire en matière de protection des Données Personnelles ;
- Prendre en compte, s’agissant de ses services, les principes de protection des Données Personnelles dès la conception et de protection des Données Personnelles par défaut ;
En tout état de cause, le Sous-traitant prend l’ensemble des mesures d’ordre technique et organisationnel appropriées pour garantir un niveau de sécurité adapté au risque existant afin de prévenir les risques de destruction accidentelle ou illicite, de perte accidentelle, d’altération, de diffusion ou d’accès non autorisés, ainsi que contre toute autre forme de traitement illicite des Données à Caractère Personnel.
A ce titre, le Sous-Traitant s’engage à mettre en œuvre les mesures de sécurité suivantes :
- Serveurs situés en Europe
- Transfert des données cryptés en SSL
- Stockage de la donnée cryptée au Repos
- Sauvegardes récurrentes
- Redondance des systèmes
- Gestion fine des habilitations
- Utilisation de Firewall conforme à l’état de l’art
- Authentification à double facteur
- Sécurisation physique des locaux
- Journalisation des accès et des actions
Le cas échéant, le Sous-traitant aide le Responsable du traitement dans la mise en œuvre de son obligation de sécurité, compte tenu de la nature du Traitement et des informations à sa disposition.
Le délégué à la protection des données du Sous-traitant est disponible à l’adresse dpo@keobiz.fr.
Le Sous-traitant déclare tenir par écrit un registre de toutes les catégories d’activités de Traitement effectuées pour le compte du Responsable de traitement, conformément aux Lois et Règlementations applicables.
Le Sous-traitant met à la disposition du Responsable du traitement la documentation nécessaire pour démontrer le respect de toutes ses obligations et pour permettre la réalisation d’audits, y compris des inspections, par le Responsable du traitement ou un autre auditeur qu’il a mandaté, et contribuer à ces audits. Le Sous-Traitant s’engage, par ailleurs, à garantir toute transparence sur la politique de sécurité et/ou les moyens organisationnels et techniques mis en œuvre pour sécuriser les données traitées pour le compte du Responsable de Traitement. Il s’engage en particulier à transmettre dans les meilleurs délais toute information relative à cette politique et ces moyens sur demande du Responsable de Traitement.
3.4. Obligations du Sous-traitant en cas de sous-traitance ultérieure
3.4.1. Autorisation générale de recourir à des sous-traitants ultérieurs
Le sous-traitant Keobiz fait appel à d’autres sous-traitants (ci-après, « les sous-traitants ultérieurs ») pour mener des activités de traitement spécifiques. Il leur impose les mêmes obligations et s’assure qu’ils présentent des garanties suffisantes. La liste de ces sous-traitants est disponible en Annexe 1.
En cas de recrutement d’autres sous-traitants ultérieurs ou de changement dans la sous-traitance, le Sous-traitant s’engage à en informer préalablement le Client en tant que Responsable du traitement, qui dispose d’un délai de 10 jours ouvrables pour s’y opposer. Cette opération de sous-traitance ne peut être effectuée que si le Responsable de traitement n’a pas émis d’objections dans le délai imparti. Toutefois, le client est informé qu’en cas d’opposition, Keobiz peut constater l’impossibilité de poursuivre la relation contractuelle et subséquemment résilier le contrat dans les conditions prévues par les Conditions générales de vente .
En tout état de cause, lorsque le sous-traitant ultérieur ne satisfait pas à ses obligations en matière de protection des données, le Sous-traitant initial demeure pleinement responsable devant le Responsable de traitement de l’exécution par le sous-traitant ultérieur de ses obligations.
3.4.2 Cas spécifique de la solution Pennylane
Le Client se reconnaît informé de la nature des relations existant avec la société éditrice de la solution Pennylane, outil numérique de gestion comptable au sens du RGPD :
- Pennylane, en tant que fournisseur de la solution de gestion de la production comptable est un sous-traitant ultérieur de Keobiz.
- Pennylane, en tant qu’application comptable à disposition des clients est également sous-traitant direct du Client. Cette relation est régie par les Conditions générales de service et d’utilisation de Pennylane acceptées par le Client et accessibles ici.
3.4.3 Transferts de données en dehors de l’Union européenne
Le Sous-traitant transfère des données en dehors de l’Union européenne uniquement dans le cadre des relations de sous-traitances signalées en Annexe 1. Il s’engage à ne transférer des données en dehors de l’Union Européenne qu’en présence de garanties appropriées également présentées en Annexe 1.
3.5. Obligations d’assistance et de coopération
3.5.1. Violation de données
Le Sous-traitant notifie au Responsable du traitement toute Violation de Données Personnelles dans les meilleurs délais après en avoir pris connaissance en utilisant l’adresse électronique qui lui sera communiquée lors du démarrage de la prestation.
La notification devra décrire la nature de la violation de données, y compris les catégories et le nombre de Personnes concernées, le nom de la personne en charge du traitement concerné, les conséquences de la violation de données, les mesures prises pour y remédier, ainsi que le calendrier envisagé pour les mettre en œuvre, en limiter les conséquences, et en prévenir la récurrence. Cette notification est accompagnée de toute la documentation utile afin de permettre au Responsable du traitement, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente et aux personnes concernées.
Le Sous-Traitant s’engage en outre à rechercher l’origine de la violation de données et à mettre en place toutes mesures correctives afin d’y mettre un terme et d’en limiter les conséquences et la récurrence.
Le Sous-Traitant s’engage également à assister le Responsable de Traitement dans la mise en œuvre des notifications éventuellement nécessaires auprès des autorités compétentes et/ou des personnes concernées.
Le Client est informé qu’une même violation peut conduire à la fois à une notification directe par Keobiz en tant que Responsable de traitement des traitements mentionnés à l’article 1. et par le client pour les traitements mis en œuvre sous sa responsabilité.
3.5.2. Information et gestion des demandes d’exercice de droit des Personnes concernées
Le Client Responsable de traitement fournit aux Personnes concernées les informations relatives aux finalités et caractéristiques des traitements de Données à Caractère personnel objets des présentes, au moment de leur collecte.
Les personnes concernées doivent pouvoir exercer leurs droits d’accès, de rectification, d’effacement, de limitation et d’opposition au traitement, de portabilité de leurs Données Personnelles directement auprès des services du Responsable du Traitement qui en accepte la charge.
Dans la mesure du possible, le Sous-traitant doit aider le Responsable du traitement à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées (droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données), notamment en instaurant toutes les mesures techniques et organisationnelles pertinentes pour en assurer la mise en œuvre effective.
Lorsque les personnes concernées exercent auprès du Sous-traitant des demandes d’exercice de leurs droits, le Sous-traitant doit adresser ces demandes dès réception par courrier électronique à l’adresse électronique qui lui sera communiquée lors du démarrage de la prestation.
3.5.3. Analyses d’impact et relation avec l’autorité de contrôle
Le Sous-Traitant s’engage à coopérer et à assister le Responsable de Traitement pour la mise en œuvre des obligations lui incombant. Plus particulièrement, le Cabinet s’engage :
- A coopérer et assister le Responsable de Traitement afin que ce dernier dispose de l’ensemble des informations nécessaires pour réaliser une analyse d’impact préalablement ou postérieurement à la mise en œuvre d’un traitement ;
- A coopérer et assister le Responsable de Traitement, et notamment à fournir tout document et/ou information qui serait nécessaire dans le cadre de la consultation préalable de la CNIL obligatoire en cas de risque résiduel élevé révélé par l’analyse d’impact ;
A assister le Responsable de Traitement en cas de contrôle et/ou demande de(s) autorité(s) de contrôle (notamment la CNIL).
3.6. Retour et/ou suppression des données personnelles
Au terme du Contrat, le Sous-traitant doit, au choix du Responsable de Traitement, soit :
- Option 1 (par défaut) : renvoyer au Responsable de traitement, par un moyen sécurisé, l’ensemble des Données à Caractère Personnel traitées et, après accusé-réception, détruire toute copie existante dans son système d’information et, le cas échéant, celui de ses sous-traitants ultérieurs. Le Sous-traitant certifie par écrit que la destruction a bien été réalisée, sous réserve des obligations légales et réglementaires de conservation s’imposant à lui et du respect d’une durée d’archivage intermédiaire conforme aux délais de prescription applicables.
- Option 2 : détruire l’ensemble des Données à Caractère Personnel traitées pour le compte du Client ainsi que leurs copies existantes dans son système d’information et, le cas échéant, celui de ses sous-traitants ultérieurs. Le Sous-traitant certifie par écrit que la destruction a bien été réalisée, sous réserve des obligations légales et réglementaires de conservation s’imposant à lui et du respect d’une durée d’archivage intermédiaire conforme aux délais de prescription applicables.
En l’absence de choix exprimé par le Responsable de traitement à l’échéance du Contrat, le Cabinet se conforme à l’Option 1.
3.7. Obligations du Responsable de traitement
Le Responsable du traitement s’engage à :
1.Fournir au Sous-traitant l’accès aux Données Personnelles visées à la présente clause ;
2.Documenter par écrit toute instruction concernant le Traitement des Données Personnelles par le Sous-traitant ;
3.Veiller, au préalable et pendant toute la durée du Traitement, au respect des obligations prévues par le RGPD de la part du Sous-traitant ;
4.Superviser le Traitement, y compris réaliser les audits et les inspections auprès du Sous-traitant.
4. Traitements réalisés par Keobiz en tant que Responsable conjoint
Dans l’hypothèses où nos clients bénéficient des services d’assistance juridique fournis par CAARL, certains traitements de données personnelles ayant pour finalité l’intégration de l’outil CAARL au système d’information de Keobiz et l’authentification des clients sont mis en œuvre sous le régime de la Responsabilité conjointe de traitement partagée entre Keobiz et CAARL.
Ces traitements, fondés sur l’exécution du contrat par Keobiz, impliquent la transmission des données suivantes à CAARL : Nom, prénom, données de contact et identifiant du client.
Conformément à l’article 26 du RGPD, les parties ont conclu une convention définissant leurs obligations respectives aux fins de respecter la règlementation applicable notamment en ce qui concerne l’exercice des droits des personnes concernées, et leurs obligations respectives quant à la communication des informations. Les grandes lignes de cet accord sont tenues à la disposition des clients sur simple demande. Les personnes concernées par les traitements susmentionnés disposent des droits d’accès, de rectification, d’effacement et de portabilité (lorsqu’il s’applique) à l’égard des données les concernant, ainsi que de limitation et d’opposition pour motifs légitimes à leur traitement. Elles peuvent les exercer en contactant le Délégué à la Protection des Données à l’adresse dpo@keobiz.fr. Elles disposent également du droit de déposer, à tout moment, une réclamation auprès de la CNIL (Commission Nationale de l’Informatique et des Libertés).
ANNEXE : Sous-traitants
| Sous-traitant | Service fourni | Transfert hors Union Européenne | Garantie appropriée mise en œuvre |
| Karlit (Filiale) | Saisie comptable | Oui-Madagascar | Clauses contractuelles types de la Commission Européenne |
| Keorise (Filiale) | Saisie comptable à destination des clients du secteur des VTC | Oui- île Maurice | Clauses contractuelles types de la Commission Européenne |
| Pennylane | Logiciel de comptabilité | Oui – USA | EU-US Data Privacy Framework et Clauses contractuelles types |
| Salesforce | Gestion des relations clients et prospects | Oui- USA | EU-US Data Privacy Framework et Clauses contractuelles types |
| AWS | Hébergement de données | Oui – USA | EU-US Data Privacy Framework et Clauses contractuelles types |
| Microsoft Power BI | Analyse statistique | Oui – USA | EU-US Data Privacy Framework et Clauses contractuelles types |
| Slack | Outil collaboratif, messagerie instantanée | Oui – USA | Clauses contractuelles types |
| Google Workspace | Outils de travail collaboratifs : visio, gestion documentaire, messagerie électronique … | Oui – USA | EU-US Data Privacy Framework et Clauses contractuelles types |
| Chargbee | Gestion de la facturation interne | Oui – USA | EU-US Data Privacy Framework (et Clauses contractuelles types en cas de transfert vers un autre Etat) |
| Air call | Téléphonie | Oui – USA | EU-US Data Privacy Framework |
| Ruby Payeur | Recouvrement | NON- France | |
| Stripe | Plateforme de traitement des paiements | OUI- USA | EU-US Data Privacy Framework et Clauses contractuelles types |
| Powens | API pour les services financiers et de paiement | NON – France | |
| Monday | Outil de gestion des tickets de support | OUI- Israël et USA | Israël : Décision d’adéquation de la Commission Européenne USA: EU-US Data Privacy Framework |
| MailChimp | Outil d’emailing | Oui- USA | EU-US Data Privacy Framework |
| One flow | Signature électronique/outil de transmission de pièces justificatives | NON – Suède | |
| Calendly | Outil de prise de rendez-vous électronique | Oui-USA | EU-US Data Privacy Framework |
| Zendesk | Outil de gestion des tickets de support | Oui – USA | EU-US Data Privacy Framework |
| Popay | Outil de gestion des ressources humaines | Oui – USA | EU-US Data Privacy Framework |
| Gocardless | Outil de gestion des paiements | Oui – Royaume-Uni | Décision d’adéquation de la Commission Européenne |
| Trustpilot | Gestion des avis clients | NON – Danemark | |
| Dust | Outil de création et de gestion d’assistant personnalisé | NON – France | |
| Yousign | Outil de signature électrique | NON – France | |
| Silae | Outil de gestion de paie | NON – France |