Politique de Confidentialité

1. Préambule

La présente politique de confidentialité (ci-après la « Politique ») est établie conformément au Règlement Général sur la Protection des Données (ci-après « RGPD ») (Règlement UE 2016/679) applicable dans l’ensemble des États membres de l’Union Européenne.

Cette Politique reflète les engagements de NAPSIS en matière de protection des Données Personnelles et vise à garantir une gestion cohérente et transparente des Données Personnelles pour toutes les Personnes Concernées indépendamment de leur localisation.

NAPSIS s’engage à respecter toutes les obligations résultant de l’application de la réglementation applicable en matière de protection des Données à Caractère Personnel.

Cette Politique décrit les traitements de Données Personnelles effectuées par NAPSIS dans le cadre de la fourniture des Services, pour lesquels NAPSIS agit en qualité de Responsable de Traitement. Lorsque NAPSIS agit en qualité de Sous-Traitant, les obligations et engagements sont spécifiquement définis dans les contrats conclus entre les parties à ce titre.

2. Définitions

Les termes commençant par une majuscule qu’ils soient au singulier ou au pluriel sont définis ci-dessous ou dans les documents contractuels liant les Parties :

  • Client : Toute personne physique ou morale bénéficiant des Services de NAPSIS.
  • Donnée Personnelle ou Donnée à Caractère Personnel : Désigne toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée « Personne Concernée »); est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des Données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
  • Personne Concernée : Désigne la personne physique à laquelle sont relatives les Données Personnelles.
  • Réglementation : Désigne l’ensemble des lois et règlements applicables en matière de protection des Données Personnelles incluant notamment le Règlement Général sur la Protection des Données (« RGPD ») et la loi dite « Informatique et Libertés » n°78-17 du 6 janvier 1978 modifiée.
  • Responsable de Traitement : Désigne la personne qui détermine les finalités et les moyens d’un Traitement, c’est-à-dire l’objectif et la façon de le réaliser.
  • Service : Désigne la ou les prestations fournies par NAPSIS.
  • Sous-Traitant : Le Sous-Traitant est la personne qui traite des Données pour le compte d’un autre organisme (« le Responsable de Traitement »), dans le cadre d’un Service ou d’une prestation.
  • Traitement : Désigne toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des Données Personnelles ou des ensembles de Données Personnelles, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction.
  • Violation de Données Personnelles : Désigne la violation de la sécurité entraînant de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de Données Personnelles transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à des Données Personnelles.

3. Quelles catégories de Données Personnelles traitons-nous ?

Dans le cadre de son activité, NAPSIS veille à traiter uniquement les Données Personnelles adéquates, pertinentes et limitées à ce qui est nécessaire à la réalisation des Services souscrits par le Client conformément au principe de minimisation (article 5.1.c du RGPD).

NAPSIS traite les catégories de Données Personnelles suivantes :

  • Données d’identification/Données de contact : civilité, nom, prénoms, société, poste occupé, adresse postale, numéro de téléphone (fixe et/ou mobile), adresse de courrier électronique, identifiants techniques de la Personne Concernée;
  • Données de connexion et d’usage des Services : logs de connexion, identifiants publicitaires, adresse IP, notamment;
  • Données relatives au support fourni dans le cadre de la fourniture de nos Services : informations figurant sur les tickets d’incidents ou dans les enregistrements téléphoniques d’une Personne Concernée signalant un incident;
  • Données d’interactions avec nos Services : compte rendu d’interventions, adresses IP utilisées pour visiter notre site, utiliser nos applications et consulter nos e-mails (système d’exploitation utilisé, type d’équipement, etc.);
  • Données relatives à la transaction et au suivi de la relation commerciale : numéro de transaction, détail de l’achat, de l’abonnement, du produit ou Service souscrit, adresse de livraison, historique des achats et des prestations de Services, retour des produits, correspondances avec le Client et service après-vente, échanges et commentaires des Clients et prospects, personne(s) en charge de la relation Client…;
  • Données relatives aux règlements des factures : notamment moyens de paiement, données de facturation, modalités de règlement des factures, remises consenties, soldes et impayés;
  • Données de profil : par exemple les retours d’informations et réponses aux enquêtes;
  • Données de trafic et d’acheminement des communications;
  • Données hébergées : Données Personnelles de la Personne Concernée qui peuvent être enregistrées ou conservées (par exemple, les annuaires), données que la Personne Concernée confie à NAPSIS dans le cadre de l’utilisation du Service (données hébergées);
  • Cookies et autres traceurs déposés sur notre site web et nos applications. Pour plus d’informations, nous vous invitons à consulter notre politique cookies.

4. Pourquoi traitons-nous vos Données Personnelles ?

Dans le cadre de son activité, NAPSIS veille à ce que les Données Personnelles soient traitées de manière licite pour des finalités déterminées, explicites et légitimes, conformément à l’article 5.1.a et 5.1.b du RGPD. Vos Données Personnelles peuvent notamment être traitées dans les conditions de licéité et finalités suivantes :

  • Base légale : exécution du contrat
    Finalités :
    • Facturation des Clients
    • Gestion des abonnements et d’utilisation des Services
    • Gestion des équipements
    • Gestion des commandes
    • Interventions sur le site du Client
    • Formations aux outils pour le Client
    • Déploiement du réseau
    • Authentification et identification sur le portail Client de NAPSIS
    • Communication Clients dans le cadre des opérations de maintenance technique
    • Gestion des impayées
    • Traitement des réclamations et des résiliations
    • Hébergement de Données des Personnes Concernées
    • Communications nécessaires à l’exécution du contrat
  • Base légale : Intérêts légitimes
    Finalités :
    • Lutter contre la fraude
    • Gestion des impayés
    • Déploiement des produits et des Services NAPSIS
    • Déploiement du réseau
    • Sécurisation des technologies de l’information
    • Réponse aux enquêtes de satisfaction dans le but de déterminer les axes d’amélioration de nos Services
    • Réalisation d’études statistiques
    • Formation des salariés de NAPSIS en s’appuyant sur les grilles d’analyse et/ou les enregistrements dans un intérêt pédagogique pour le salarié
    • Evaluation des salariés de NAPSIS
  • Base légale : Consentement
    Finalités :
    • Améliorer la qualité de Service sur nos réseaux par collecte d’informations du terminal
    • Identifier les prospects ou le Client et ses besoins ou offres
    • Faire des recommandations personnalisées aux Clients
    • Proposer des offres ciblées et adaptées aux Clients de NAPSIS
  • Base légale : Obligation légale et réglementaire
    Finalités :
    • Archiver les données comptables et juridiques
    • Répondre aux demandes de tiers autorisés par la règlementation
    • Répondre aux réquisitions des autorités
    • Gérer les demandes d’exercice des droits des Personnes Concernées
    • Gestion des précontentieux et contentieux
    • Prévention de la fraude et application des sanctions rattachées

5. Qui traite vos Données Personnelles ?

Afin d’accomplir les finalités mentionnées ci-dessus, vos Données Personnelles sont transmises uniquement à des destinataires habilités et compétents, conformément à la règlementation en vigueur :

  • Les services internes de NAPSIS
  • Les Sous-traitants et éventuels prestataires de NAPSIS. NAPSIS exige de ses Sous-Traitants qu'ils respectent des obligations équivalentes à celles qui lui sont imposées au titre de la présente Politique de confidentialité.
  • Les autorités compétentes à leur demande en réponse à une procédure judiciaire, à des recherches judiciaires, des sollicitations d’informations ou afin de se conformer à d’autres obligations légales.

6. Quid des transferts hors Union-Européenne ?

Les Données Personnelles collectées sont susceptibles d’être traitées hors de l’Union-Européenne. Dans ce cas, NAPSIS prend les dispositions nécessaires avec ses Sous-traitants et partenaires pour garantir un niveau de protection des Données Personnelles adéquat et ce en tout conformité avec le RGPD et les lois applicables en matière de protection des Données à caractère Personnel. A cet effet, NAPSIS veille à ce que ces transferts soient encadrés par des mécanismes juridiques appropriés, tels que des Clauses Contractuelles Types (« CCT »).

7. Comment sécurisons-nous vos Données Personnelles ?

NAPSIS a défini des mesures techniques et organisationnelles pour assurer la protection de vos Données Personnelles. Les mesures prennent en compte la catégorie des Données Personnelles et le niveau de risque que présente le traitement. En ce sens nous avons mis en place :

  • Une sensibilisation des collaborateurs NAPSIS aux enjeux et bonnes pratiques autour de la protection des Données Personnelles
  • La sécurité des accès physiques et logiques
  • La sécurité de l’exploitation
  • La sécurité des actifs
  • La sécurité dans les relations avec les Sous-traitants

En cas de Violation de Données Personnelles, NAPSIS suivra des procédures internes strictes, y compris la notification à toute autorité concernée et aux Personnes Concernées, lorsque cela sera requis par la loi ou en vertu de nos obligations contractuelles.


NAPSIS notifiera, le cas échéant, en fonction de l’appréciation du risque, les autorités de contrôle telles que la CNIL en France dans les délais impartis conformément à l’article 33 du RGPD mais également si nécessaire les Personnes Concernées, en application de l’article 34 du RGPD. NAPSIS pourra conduire, si cela se révèle approprié, un audit interne pour identifier ladite violation, évaluer son impact et prendre toutes les mesures correctives appropriées. Les actions correctives pourront inclure la modification des processus mis en place, l’amélioration des mesures de sécurité ou encore la formation continue des employés.

8. Quelle est la durée de conservation de vos Données Personnelles ?

NAPSIS conserve vos Données Personnelles pour des durées permettant d’accomplir les finalités citées à l’article 4 des présentes. La durée de conservation de ces Données dépend de chaque finalité de traitement. Lorsque la loi nous l’impose, nous conservons certaines informations pour une durée nécessaire au respect des dispositions légales et réglementaires applicables dans le cadre de notre activité d’opérateur télécom.

9. Quels sont vos droits ?

Conformément au RGPD, vous disposez de différents droits sur vos Données Personnelles.
En notre qualité de Responsable de Traitement, vous pouvez nous demander à tout moment l’accès aux Données Personnelles vous concernant, leur rectification, leur effacement (dans la mesure où cela n’empêche pas la bonne exécution de notre relation contractuelle ou le respect des obligations légales) et la limitation d’un ou plusieurs traitements particuliers de Données Personnelles vous concernant, dans les conditions prévues par la Réglementation. Vous disposez par ailleurs du droit de vous opposer à un traitement de vos Données Personnelles dans les conditions fixées par la Réglementation.
Il est donc important que les informations que vous transmettez à NAPSIS soient exactes et à jour, et que vous nous informiez sans délai de tout changement significatif vous concernant.

10. Comment exercer vos droits ?

Vous pouvez exercer vos droits relatifs à vos Données Personnelles en contactant le délégué à la protection des Données de NAPSIS :

  • Adresse postale : Comité Délégué à la Protection des Données, 2 Cité Paradis, 75010 Paris
  • Email : dpo@NAPSIS.fr

NAPSIS vous fournira les informations sur les mesures prises à la suite de votre demande dans un délai d’un mois à compter de la réception de la demande conformément à l’article 12 du RGPD. Dans le cas où votre demande présente un degré de complexité et/ou dans le cas où NAPSIS fait face à un nombre de demandes important, le délai de réponse pourra être prolongé de deux mois. Dans ce dernier cas, NAPSIS vous fournira, dans un délai d’un mois après la réception de votre demande les motifs de la prolongation. Par ailleurs, conformément à l’article 12.5 du RGPD, lorsque les demandes sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif, NAPSIS peut exiger le paiement des frais raisonnables qui tiennent compte des coûts administratifs supportés pour fournir les informations, procéder aux communications ou prendre les mesures demandées, ou refuser de donner suite à ces demandes.

11. Introduire une réclamation auprès de la CNIL

Vous pouvez aussi introduire une réclamation auprès de la CNIL via son site internet https://www.cnil.fr/, dans certains cas déterminés, par le téléservice de plainte en ligne; dans les autres cas non prévus par le téléservice, par le service « Besoin d’aide » ou par courrier postal en écrivant à :

CNIL
3 Place de Fontenoy
TSA 80715 – 75334 PARIS CEDEX 07

Sources et références