Dernière mise à jour : juin 2020

La société CARDLAB'S est soucieux de la protection des données personnelles. Il met en œuvre une démarche d'amélioration continue de sa conformité au Règlement général de protection des données (RGPD), à la Directive ePrivacy, ainsi qu'à la loi n° 78-17 du 6 janvier 1978 dite Informatique et Libertés pour assurer le meilleur niveau de protection à vos données personnelles. Pour toute information sur la protection des données personnelles, vous pouvez également consulter le site de la Commission Nationale de l'Informatique et des Libertés www.cnil.fr.

Infrastructure sécurisée :

Nos données et les données de nos clients sont hébergées en France dans des datacenters certifiés iso27001 et PCI DSS. Nous signalons qu’aucune donnée stockée ou traitée ne transitent en dehors de l’Union Européenne.

Données hébergées sur nos datacenters externalisés dans le cadre de nos logiciels :

Dans le cadre de missions confiées et de nos logiciels SaaS ou Desktop, des données personnelles de tout type appartenant à nos clients sont enregistrés dans nos datacenters externalisés en tant que sous-traitant-hébergeur pour le compte de ses clients qui sont les responsables de traitement. La finalité de ces enregistrements est la gestion de l’hébergement et l’exécution des missions. Seul nos clients sont habilités à avoir accès aux données hébergées. Cardlab’s peut accéder à des échantillons de données hébergées (désensibilisés au niveau bancaire s’il y a lieu) dans la cadre d’opération de maintenance d’urgence. Hors urgence de maintenance, Cardlab’s n’accède pas aux données hébergées pour le compte de ses clients ou accède à des données totalement anonymisées. Dans le cas d’envoi des invitations par SMS et d’email, nous signalons que les données restent chez l’opérateur OVH et ne sont pas transmises à un tier. Nous signalons que les données restent chez l’opérateur d’hébergement concerné et ne sont pas transmises à un tier. La durée maximale de conservation des données est fixée à 3 ans (ou moins à la guise de nos clients selon le paramétrage personnalisé choisi). En cas de la fin de la relation contractuelle, seules sera conservées par Carlab’s les données nécessaires en cas des contrôles institutionnels ou litiges le temps des délais de prescription. La base juridique de l’utilisation et du traitement des données à caractère personnel peut reposer sur l’exécution d’un contrat de sous-traitance ou l’intérêt légitime de nos clients ou notre intérêt légitime en tant qu’éditeur de logiciel et prestataire de service ou le respect de toute obligation réglementaire. Nous signalons nous sommes susceptibles d’enrichir les données hébergées via les API de dialogues techniques avec des opérateurs-tiers.

Données visualisées lors des interventions de maintenance

Dans le cadre de missions de maintenance, Carlab’s peut visualiser des échantillons de données (désensibilisés au niveau bancaire) dans la cadre d’opération de maintenance d’urgence. Carlab’s n’enregistre et ne collecte de manière stricte aucune donnée appartenant à ses clients. Conformément aux préconisations de l’autorité de contrôle CNIl, Carlab’s s’engage à : - enregistrer la nature et le détail des interventions effectuées dans une main courante (sous forme d’un excel partagé ou de simples emails envoyés) ; - à respecter le secret professionnel et la confidentialité des données ; - à prendre les garanties de cybersécurité nécessaires pour ses interventions (VPN SSL, https, certificat TLS, mots de passe complexes…).

Données-prospects B2B, demandes de renseignement, de devis et de rappel

Des données et renseignements sur nos clients potentiels B2B sont enregistrés par Cardlab’s qui est le responsable du traitement. La finalité de cette collecte d’information concernant des personnes ou des interlocuteurs d’entreprises-clientes potentielles (états civils, fonction professionnelle, adresse, …) est la gestion de la relation-prospect B2B, l’étude du projet, des besoins et la gestion de relation précontractuelle. Seules la Direction et le personnel en charge des projets-clients sont habilités à avoir accès aux données communiquées ou enregistrées. La durée maximale de conservation des données est fixée à 3 ans après inactivité de la relation-prospect. La base juridique de l’utilisation et du traitement des données à caractère personnel de nos prospects peut reposer sur le consentement des interlocuteurs concernés ou notre intérêt légitime en tant que prestataire. Nous signalons que, dans de rares cas, nous sommes susceptibles d’enrichir nos données prospects avec des informations publiques (par exemple du registre du commerce).

Données de nos clients B2B

Des informations personnelles dans les dossiers-clients sont enregistrées par Cardlab’s qui est le responsable du traitement. La finalité de cette collecte et stockage de données personnelles (états civils, profession, e-mail, téléphone, facturations, …) est la gestion de la relation client, la comptabilité, le suivi de projet. Seuls la Direction et le personnel en relation avec le client concerné peuvent accéder aux données nécessaires. La durée maximale de conservation des données est fixée à 5 ans après la fin de la relation contractuelle. Les pièces comptables normatives seront conservées au maximum 10 ans après émission. La base juridique de l’utilisation et du traitement des données à caractère personnel peut reposer sur l’exécution d’un contrat ou notre intérêt légitime en tant que prestataire ou l’obligation légale liée à une législation en vigueur. Nous signalons que, dans de rares cas, nous sommes susceptibles d’enrichir nos données clients avec des informations publiques (par exemple du registre du commerce).

Droit des personnes concernées

Nous vous informons que des informations sur nos interlocuteurs de tout type (clients, fournisseurs, partenaires, …) sont susceptibles d’être transférées à des partenaires de résolution de litige ou de contrôle : avocats externalisés, cabinet externalisé de recouvrement, cabinet comptable externalisé, institutions… En application des lois européennes et de la loi du 6 janvier 1978 (relative à l’informatique, aux fichiers et aux libertés), vous disposez des droits d'accès, de rectification, de limitation, de portabilité et de suppression de vos données personnelles ainsi que du droit d'opposition à leur traitement pour des motifs légitimes. Vous pouvez exercer l’ensemble de ces droits par email à l’adresse dpo@cardlabs.eu, ou courrier postal adressé à Service DPO, 21 ter Chemin Fontane, 31410 Le Fauga. Vous disposez par ailleurs, des droits de retirer à tout moment vos consentements et d’introduire une réclamation auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL), notamment sur son site internet www.cnil.fr.