Politique d'utilisation de données à caractère personnel Blueshape SAS
Dernière mise à jour : 01.01.2022

This document is not a contract. This document is a translation of the Contract provided to the Consumer. It is for information purposes only. It does not have any legal value and does not represent a contract in itself. The contracts that have a legal value are the ones written in French, and are provided on the website of the Service. The contracts are regulated by French law. By subscribing to any services provided by Blueshape SAS, the Consumer declares that he has read, understands, and accepts the terms and conditions written in French on the actual Contract. This is the case for the rules of substance as well as for the rules of form, excluding, on the one hand, the rules of conflict provided for by French law, and on the other hand, the provisions of French law which would be contrary to this Agreement.

Si vous êtes client, prospect, partenaire, fournisseur ou si vous êtes un dirigeant, un salarié ou un préposé de ces derniers ("Préposé(s)") et/ou que vous utilisez un service proposé par Blueshape SAS, Blueshape SAS et ses sociétés apparentées (ci-après « Blueshape SAS ») peuvent être amenées à traiter des données à caractère personnel vous concernant.

C’est le cas lorsque vous visitez un site internet Blueshape SAS, lorsque vous communiquez ou interagissez avec Blueshape SAS (par téléphone, par courriel, via votre compte apm.blue ou blueshape.io, des formulaires en ligne ou autres outils de communication tels que le Chatbot, le « live chat » et autres), lorsque vous participez à des événements Blueshape SAS, ou lorsque vous utilisez les services Blueshape SAS.

La présente politique a pour objet de décrire l’ensemble des traitements de données personnelles vous concernant ("Personnes Concernées", "vous", "votre", "vos") ainsi réalisés par Blueshape SAS, et d’en préciser les conditions.

La présente politique s’applique aux traitements de données à caractère personnel mis en œuvre par Blueshape SAS en qualité de responsable du traitement, c’est-à-dire ceux dont Blueshape SAS détermine les moyens et les finalités.

Les termes qui sont définis par le Règlement (UE) 2016/679 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ou « RGPD » (par exemple « données à caractère personnel », « responsable du traitement », « sous-traitant », etc.) ont la même signification lorsqu’ils sont utilisés dans le cadre de la présente politique.

  • Partie 1 - Description des traitements de données
  • Partie 2 - Conditions de réalisation des traitements

Partie 1 - Description des traitements de données

Blueshape SAS traite des données vous concernant à différentes fins en particulier :
- Gestion des contrats
- Exécution des services
- Activités marketing et prospection commerciale
- Respect des obligations légales
- Poursuite d’intérêts légitimes

1. La gestion des contrats

Base légale: Les traitements décrits ci-après sont nécessaires à l’exécution des contrats conclus par Blueshape SAS, y compris l’exécution des mesures précontractuelles nécessaires à leur conclusion, ainsi qu’à la prise en compte de différentes demandes (telles que la gestion d’une candidature à l’emploi ou d’une demande de participation à un événement) (Article 6.1b) du RGPD). Dans le cadre de l’exécution des contrats conclus avec ses clients, prestataires, fournisseurs et partenaires, Blueshape SAS traite des données à caractère personnel les concernant ou concernant leurs Préposés, et dont le traitement est nécessaire à la mise en place et à l’exécution des contrats ainsi établis.

1.1 Gestion des contrats clients, prestataires, fournisseurs et partenaires

Prestataires, fournisseurs et partenaires

Les données à caractère personnel traitées par Blueshape SAS concernant ses prestataires, fournisseurs et partenaires sont constituées essentiellement des données d’identification (nom, prénom, adresse email et numéro de téléphone) de leurs Préposés avec lesquels Blueshape SAS interagit, ainsi que les échanges et interactions (courriels et autres messages électroniques, rapports d’activités, comptes rendus) entre Blueshape SAS et ces Préposés.

Clients

Les données à caractère personnel traitées par Blueshape SAS, concernant ses clients sont:

1. les données d'identification du client (nom, prénom, adresse postale, adresse email, numéro de téléphone, justificatif d’identité, justificatif de domicile, identifiant client) ;

2. Communications entre le client et Blueshape SAS (échanges tels que tickets supports relatifs à la conclusion et à l’exécution du contrat, historiques des demandes et réponses) ;

3. Les données de consommation des services (historiques de commande et d’utilisation ou de tentative d'utilisation des services) ;

4. Les moyens de paiement (moyens de paiement utilisés tels que numéro de carte bancaire ou numéro de compte bancaire, et titulaire du moyen de paiement).

Lorsque le client n'est pas une personne physique, Blueshape SAS collecte les catégories de données à caractère personnel décrites ci-dessus concernant les Préposés du Client interagissant avec Blueshape SAS.

Dans le cadre de l’exécution du contrat, les données ainsi traitées par Blueshape SAS sont utilisées à des fins de gestion des activités commerciales (information et support, propositions commerciales, gestion des commandes, gestion des réclamations, facturation), de gestion des paiements, et de gestion des comptes clients. Détails des traitements réalisés dans le cadre de l’exécution des contrats clients partenaires et fournisseurs

Finalités des traitements Catégories de données à caractère personnel traitées Durée de conservation Catégories de Destinataires
Gestion de l’activité commerciale Communications Données d’identification Données de consommation des services 1 an depuis l'interaction concernée + 4 ans en archive Durée du contrat (durée de l'existence du compte client) Blueshape SAS (services commercial, support, finance et facturation).
Gestion des paiements et facilitation des achats Moyens de paiement (y compris titulaires des moyens de paiement) Paiements uniques : Jusqu’au paiement complet (augmenté du délai de contestation des paiements). Service par abonnement avec renouvèlement automatique ou en paiement à la demande (« pay as you go ») : jusqu’à résiliation du service, révocation ou expiration du moyen de paiement (augmenté du délai de contestation des paiements). Le moyen de paiement peut être conservé au-delà des durées ci-dessus avec consentement du titulaire pour facilitation des achats jusqu’au retrait du consentement, révocation ou expiration du moyen de paiement augmenté du délai de contestation. Blueshape SAS (services support, finance et facturation) : Informations partielles uniquement (numéros tronqués). Prestataires de services de paiement
Gestion des Comptes Client – Le Manager Données d’identification Justificatifs d’identité et de domicile** Durée d’existence du compte client Durée nécessaire à l’exécution des mesures précontractuelles de vérification d’identité Blueshape SAS (Services commercial et support) Partenaires Blueshape SAS***

(*) Les données mentionnées ci-dessus peuvent être traitées à d’autres fins que l’exécution des contrats et conservées à ce titre pour d'autres durées plus courtes ou plus longues, en particulier à des fins de prospection commerciale (plus de détails ci-après Partie 1.3 « Les activités marketing et de prospection commerciale »), afin de respecter la réglementation en vigueur notamment celles applicables en matière de localisation, de conservation des données de trafic, de comptabilité et de fiscalité (plus de détails ci-après Partie 1.4 « Respect des obligations légales »), ainsi que pour des raisons d’intérêt légitime, notamment en cas de contentieux ou de détecter et prévenir prévention des actes frauduleux (plus de détails ci-après Partie 1.5 « Poursuite d’intérêts légitime »).
(**) La collecte d’un justificatif d’identité ou d’un justificatif de domicile n’est pas systématique. Elle intervient lorsque cela est requis pour la contractualisation de certains services. Un justificatif d’identité peut également être demandé lorsque cela est requis par la loi (plus de détails ci-après Partie 1.4 « Respect des obligations légales ») ou lorsqu’il existe un doute sur l’identité du demandeur afin de prévenir les risques de fraude (plus de détails ci-après Partie 1.5 « Poursuite d’intérêts légitimes »).
(***) Certains services sont fournis par Blueshape SAS en collaboration avec des partenaires, auxquels peuvent être communiquées certaines des données d’identifications. En ce cas, les conditions de traitement sont précisées dans les conditions particulières applicables aux services concernés.

2. L’exécution des services Blueshape SAS

Base légale : Les traitements décrits ci-après sont nécessaires à l’exécution des services fournis par Blueshape SAS (Article 6.1b) du RGPD).

Afin de fournir et d’assurer la maintenance de ses services, de même que dans le cadre des prestations de support et d’assistance à leur utilisation, Blueshape SAS traite les catégories de données suivantes relatives à ses clients, utilisateurs et aux services utilisés par ces derniers :

1. Les données d’identification du client (essentiellement nom, prénom, coordonnés, identifiant client et utilisateurs du client ou de ses préposés) ;

2. Les communications entre le client ou ses Préposés et Blueshape SAS (échanges tels que courriels et tickets supports relatifs à la fourniture et à l’utilisation des services, aux opérations de maintenance, aux incidents éventuels) ;

3. Les données d’identification des services utilisés (liste des services utilisés, caractéristiques, période d’utilisation, localisation).

4. Les données techniques (identifiants machines, configurations, données de connexion, états des services, données d’utilisation et journaux d’événements).

Dans la mesure où Blueshape SAS détermine les moyens et finalités des traitements de données à caractère personnel ainsi réalisés dans le cadre de ses outils et de son système d’information, Blueshape SAS est responsable de ces traitements.

Ne sont pas concernées par la présente section 2., les données que les clients confient à Blueshape SAS dans le cadre de l’utilisation de ses services, notamment les données hébergées ou traitées par les clients sur les infrastructures mises à leur disposition par Blueshape SAS. En effet, ces données ne sont pas traitées par Blueshape SAS en qualité de sous-traitant.

Détails sur les conditions des traitements réalisés dans le cadre de la fourniture des services Blueshape SAS

Finalités des traitements Catégories de données à caractère personnel traitées Durée de conservation Catégories de Destinataires
Support et assistance à l’utilisation des services Maintenance des services Gestion des incidents Identification du client Identification des services Communications Données techniques Durée contrat (durée de l’existence du compte client) 1 an depuis la communication concernée + 4 ans en archive Durée d’utilisation des services concernés) Blueshape SAS (Services support et maintenance des produits) Partenaires Blueshape SAS**

(*) Les données mentionnées ci-dessus peuvent être traitées à d’autres fins que l’exécution des services et conservées à ce titre pour d'autres durées plus courtes ou plus longues, en particulier afin de respecter la réglementation en vigueur notamment celle applicable en matière de conservation des données de trafic et de localisation, de comptabilité et de fiscalité (plus de détails ci-après Partie 1.4 « Respect des obligations légales) ainsi que pour des raisons d’intérêt légitime notamment afin d’assurer la sécurité des services ou en cas de contentieux (plus de détails ci-après Partie 1.5 « Poursuite d’intérêts légitime »).
(**) Certains services sont fournis par Blueshape SAS en collaboration avec des partenaires, auxquels peuvent être communiquées certaines des données à caractère personnel susmentionnées. En ce cas, les conditions de traitement sont précisées dans les conditions particulières applicables aux services concernés.

3. Les activités marketing et de prospection commerciale

Base légale : Les traitements décrits ci-après sont réalisés, selon les cas, sur la base des intérêts légitimes Blueshape SAS de promouvoir ses services et activités, ou du consentement des personnes concernées (en particulier clients et prospects) (Articles 6.1 a) et f) du RGPD).

Dans le cadre de ses activités commerciales, Blueshape SAS traite des données relatives à ses clients et prospects (et à leurs Préposés) afin de leur communiquer des informations relatives aux activités Blueshape SAS, et le cas échéant de ses partenaires, de leur proposer des services, ou encore de les inviter à des événements.

Les personnes concernées par ces traitements sont des clients Blueshape SAS (et leurs Préposés), à savoir des personnes utilisant les services Blueshape SAS ou ayant simplement ouvert un compte client sur l’un des sites exploités par Blueshape SAS, ou des personnes qui, bien que n’étant pas client Blueshape SAS, peuvent avoir un intérêt pour les activités et services Blueshape SAS, en raison notamment de leurs activités professionnelles ou du fait qu’elles aient pris contact avec Blueshape SAS, online ou encore à l’occasion d’un événement.

Les traitements nécessitant le consentement des personnes concernées (telles qu’actions commerciales non en lien avec les activités professionnelles de la personne concernée ou avec des services qu’elle utilise déjà) sont réalisés si la personne concernée y a consenti de manière libre, spécifique, éclairée et univoque. Lorsque le recueil du consentement est opéré en ligne, notamment à l’occasion de l’ouverture d’un compte client Blueshape SAS, d’une inscription à un événement, ou encore de la formulation d’une demande via formulaire, une case à cocher spécifique dite « opt in » est utilisée. Lorsque le recueil du consentement est opéré hors ligne, un processus, tel que présentation orale ou via formulaire papier de la finalité et des conditions de traitement des données collectées, et demande de consentement exprès de la personne concernée est mis en œuvre.

Concernant les traitements réalisés sur la base d’intérêts légitimes (notamment des actions commerciales en lien avec les activités professionnelles ou les services déjà utilisés par la personne concernée), Blueshape SAS veille à respecter le droit d'opposition des personnes concernées et s’assure qu’il peut être facilement exercé dans le cadre de chaque communication adressée.

Blueshape SAS peut également être amenée à entrer en contact à des fins de promotion et de prospection commerciale avec des personnes dont les coordonnées sont communiquées par des partenaires. En ce cas, Blueshape SAS veille à ce que lesdits partenaires s'engagent à ce que les données relatives à ces personnes aient été collectées conformément à la règlementation en vigueur, et que ces personnes aient consenti à ce que leurs données soient ainsi communiquées à des fins marketing et de prospection commerciale.

Concernant les contacts professionnels, Blueshape SAS veille à ce que les services qui leurs sont proposés soient en rapport avec leurs activités professionnelles, et que ces derniers puissent exercer leur droit d’opposition à tout moment et de manière effective.

Sous réserve du respect des droits des personnes concernées, les traitements réalisés dans le cadre de ces activités de promotion et de prospection commerciale portent sur les données suivantes :

1. Les données d’identification (nom, prénom, coordonnées, adresse email) ;

2. Les données de navigation internet (adresse IP, User ID, historiques de navigation) ;

3. Les intérêts de la personne concernée (données d’utilisation des services, historiques de commandes, données de participation aux événements) ;

4. Les interactions de la personne concernée avec Blueshape SAS (par exemple, demandes formulaires, « call to action »).

Pour plus d’informations sur les cookies et informations collectées par Blueshape SAS concernant les utilisateurs de ses Sites Internet, consultez la Politique d’utilisation des cookies de Blueshape SAS. Détails sur les traitements réalisés par Blueshape SAS à des fins promotionnelles et de prospection commerciale

Finalités des traitements Catégories de données à caractère personnel traitées Durée de conservation Catégories de Destinataires
Prospection commerciale et communication d’informations sur les activités, produits, services et évènements Blueshape SAS et de ses partenaires . Données d’identification. . Intérêts de la personne concernée . Interactions Jusqu'au retrait du consentement (pour les traitements ayant pour la base légale le consentement). Jusqu'à l'exercice du droit d’opposition ou au plus tard jusqu’au dernier contact initié par le Client avec Blueshape SAS + 36 mois (pour les traitements ayant pour base légale des intérêts légitimes) Services marketing et commercial Blueshape SAS Partenaires Blueshape SAS (consentement distinct dans les formulaires de collecte)
Gestion des demandes d’information sur les services adressées via les sites internet Blueshape SAS Données d’identification Contenu de la demande Durée de traitement de la demande + 1 an Blueshape SAS (équipes support et commerciales) Partenaires Blueshape SAS concernés par la demande
Cookies et autres traceurs Données de navigation Internet Voir la « Politique d’utilisation des cookies » Blueshape SAS.
Gestion des listes de diffusion Données d’identification Jusqu'au retrait du consentement (pour les traitements ayant pour la base légale le consentement), Jusqu'à l'exercice du droit d’opposition ou au plus tard jusqu’au dernier contact initié par le Client avec Blueshape SAS + 36 mois (pour les traitements ayant pour la base légale des intérêts légitimes de Blueshape SAS) Blueshape SAS (services marketing et produit)
Gestion des sites exploités par Blueshape SAS Données publiées sur les sites (telles que posts, interviews, photos, vidéo). Jusqu'au retrait du consentement ou exercice du droit d’opposition ou fin d’utilisation Public (visiteurs des sites)

4. Le respect de nos obligations

Base légale : Les traitements décrits ci-après sont réalisés par Blueshape SAS afin de respecter ses obligations légales (Article 6.1.c) du RGPD).

Dans le cadre de ses activités, Blueshape SAS est soumis à différentes obligations légales dont le respect nécessite des traitements de données à caractère personnel.

Ainsi, dans le cadre du respect de ses obligations comptables et fiscales, Blueshape SAS traite des données et conserve des preuves relatives aux commandes passées par ses clients et à leur règlement.

Par ailleurs, afin d’assurer la sécurité des services qu’il propose, conformément aux dispositions de l’article 32 du RGPD, ou de respecter les obligations mises à sa charge lorsqu’il agit en qualité de fournisseur de services de communications électroniques tel que prévu par l’article 4 de la Directive « vie privée et communications électroniques » 2002/58 (ePrivacy), Blueshape SAS conserve des données d’identification (nom, prénom, identifiant utilisateur, identifiant client, justificatif d’identité, justificatif de domicile) ainsi que des données techniques relatives à l’utilisation des services (données de traffic, journalisation des connexions et journaux d’événements).

Blueshape SAS a également l’obligation de répondre aux demandes d’exercice de droits des personnes concernées par les traitements de données à caractère personnel, ou à certaines demandes de juridictions et d’autorités judiciaires ou administratives de communication d’information, ou encore de déclarer certaines violations de données à caractère personnel, ce qui implique des traitements de données à caractère personnel. Détails sur les traitements réalisés par Blueshape SAS afin de respecter ses obligations légales

Finalités des traitements Catégories de données à caractère personnel traitées Durée de conservation Catégories de Destinataires
Tenue de la comptabilité générale et des comptabilités auxiliaires rattachées Historiques de commandes et de consommation Pièces comptables (factures, bon de commande, avoirs, etc.). Historique des paiements et opérations 10 ans suivant l’événement concerné (commande, utilisation du service, etc.) Blueshape SAS (Services comptabilité et finance) Prestataires de paiement Administrations fiscales
Identification des utilisateurs des sites Internet hébergés par Blueshape SAS Données d’identification (y compris pièce d’identité et justificatif de domicile lorsque cela est requis) Données techniques relatives à l’utilisation des services Durée de conservation prévue par la réglementation applicable Blueshape SAS (services maintenance, sécurité et juridique)
Obligation de sécurisation des traitements, services et infrastructures Données techniques relatives à l’utilisation des services Durée déterminée en fonction de l’analyse de risque Blueshape SAS (services de sécurité et de maintenance) Partenaires technologiques de Blueshape SAS
Gestion des demandes réalisées dans le cadre de procédures judiciaires et administratives Données d’identification Données relatives aux services commandés et à leur utilisation 5 ans en archive à compter de la clôture de la demande, ou toute durée de prescription applicable supérieure. Service juridique Blueshape SAS Autorités administratives et judiciaires
Gestion des demandes adressées au délégué à la protection des données Données d’identification Communications réalisées dans le cadre du traitement de la demande (demandes et réponses apportées) Justificatifs d’identité (lorsqu’il existe un doute sur l’identité du demandeur) 5 ans en archive à compter de la clôture de la demande. 1 an en archive à compter de la clôture de la demande Blueshape SAS (Services juridique et support)
Gestion des violations de données à caractère personnel Données objet de la violation et personnes concernées 5 ans à compter de la violation Blueshape SAS (service juridique et sécurité) Autorités administratives et judiciaires

5. La poursuite d’intérêts légitimes

Bases légales : Traitements nécessaire à la sauvegarde des intérêts vitaux, et traitements nécessaires aux fins d’intérêts légitimes poursuivis par Blueshape SAS ou par un tiers (Article 6.1.f) du RGPD)

Blueshape SAS peut être amené à procéder à des traitements nécessaires à la poursuite d’intérêts légitimes, de même qu’à la sauvegarde d’intérêts vitaux de la personne concernée ou d'une autre personne physique.

Lorsqu’il procède à des traitements nécessaires aux fins d’intérêts légitimes, Blueshape SAS veille à ce que les intérêts ou les libertés et droits fondamentaux de la personne concernée ne prévalent pas sur lesdits intérêts légitimes, et à ce que les traitements ainsi réalisés soient compatibles et aient un lien avec les services fournis à la personne concernée et les finalités pour lesquelles les données ont été initialement collectées.

Parmi les traitements réalisés par Blueshape SAS à des fins d’intérêts légitimes figurent ceux nécessaires à assurer la sécurité des services, à lutter contre la fraude, à se constituer des preuves, à former ses équipes, à améliorer ses produits, à étudier la satisfaction de ses clients, ou encore à gérer des impayés, des litiges ou des contentieux. Détails sur les traitements réalisés par Blueshape SAS à des fins d’intérêts légitimes

Finalités des traitements Catégories de données à caractère personnel traitées Durée de conservation Catégories de Destinataires
Sécurisation des traitements, services et infrastructures Blueshape SAS Données techniques relatives à l’utilisation des services Durée déterminée en fonction de l’analyse de risque Blueshape SAS Autorités Partenaires technologiques Blueshape SAS
Anonymisation aux fins de recherche, de développement, d’amélioration, de reporting ou de statistique Potentiellement toutes données objet de la présente politique Durée de l’opération d’anonymisation Blueshape SAS
Réalisation d’enquêtes de satisfaction et d’études clients, tests produits, amélioration des services Blueshape SAS Données d’identification des clients et utilisateurs des services Historiques de commandes Données d’utilisation des services Données relatives à l’utilisation du support client 1 an Blueshape SAS (services support, produits et marketing)
Gestion des impayés Données d’identification Données financières Données de paiement Historique des commandes 5 ans à compter de l'incident de non-paiement Service client et Directions juridique et financière Blueshape SAS Prestataires de services de recouvrement et conseils externes
Détection et prévention de la fraude Données d’identification Historiques de commandes Données bancaires Données de localisation Données de connexion Evaluation Durée déterminée en fonction du risque et des résultats de l’analyse (maximum 5 ans) Blueshape SAS (Equipes en charge de la prévention de la fraude et des impayés) Directions juridique et financière Blueshape SAS Prestataires de services de paiement
Justificatifs d’identité et de domicile (lorsqu’il existe un doute sur l’identité du demandeur) Durée déterminée en fonction du risque et des résultats de l’analyse (maximum 12 mois).
Constitution de preuve en cas de litige ou contentieux Données d’identification Communications Historiques des commandes Historiques des paiements Données d’utilisation des services Dans la limite du délai de prescription à compter de chaque événement concerné En cas de procédure, jusqu’à achèvement et épuisement des voies de recours Service client, et directions juridique et financière Blueshape SAS Conseils externes
Formation et évaluation des équipes support et amélioration de la qualité de service Données d’identification Compte rendu des appels Evaluation des collaborateurs Enregistrement des appels (sauf exercice du droit d’opposition) 1 an à compter de chaque événement concerné 6 mois à compter de chaque événement concerné Blueshape SAS (Services support, training et qualité)

Partie 2 - Conditions de réalisation des traitements

  • Engagements de Blueshape SAS
  • Mesures techniques et organisationnelles de sécurité
  • Anonymisation
  • Sous-traitance
  • Transferts de données en dehors de l'Union européenne
  • Traitements des demandes des autorités
  • Droits des personnes concernées

1. Engagements de Blueshape SAS

Dans le cadre des traitements décrits dans la présente politique, Blueshape SAS se conforme, en qualité de responsable du traitement, à la réglementation en vigueur, notamment au Règlement (UE) 2016/679 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (le « RGPD »), ainsi que toute décision législative ou réglementaire des États membres de l’Union européenne qui trouverait à s’appliquer auxdits traitements, comme la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés telle que modifiée par l’Ordonnance n°2019-964 du 18 septembre 2019 en France.

À ce titre, Blueshape SAS s’engage notamment à :

Ne collecter que des données à caractère personnel nécessaires dans le cadre des finalités suscitées ;
Mettre en œuvre des processus de nature à s’assurer de l’exactitude et de la mise à jour des données utilisées dans le cadre desdits traitements, ainsi que de leur effacement lorsqu’elles ne sont plus nécessaires aux finalités poursuivies ;
Ne pas traiter les données à caractère personnel en sa possession pour d’autres finalités que celles mentionnées dans le cadre de la présente politique, sauf à obtenir le consentement des personnes concernées, ou à les en informer concernant les traitements fondés sur d’autres bases légales que le consentement ;
Documenter les traitements réalisés au sein d’un registre et procéder à toutes les analyses d’impact nécessaires ;
Mettre un place un processus de gestion des incidents et des violations de données, notifier les autorités de protection compétentes dans les conditions de l’article 33 du RGPD, et informer les personnes concernées, conformément à l’article 34 du RGPD lorsque la violation est susceptible d'engendrer un risque élevé pour leurs droits et libertés ;
Mettre en place des mesures techniques et organisationnelles de nature à protéger les données à caractère personnel contre les risques de sécurité.

2. Mesures techniques et organisationnelles de sécurité

La protection des données à caractère personnel est pleinement intégrée au système de gestion de sécurité de l’information Blueshape SAS, dans le cadre duquel Blueshape SAS poursuit différents objectifs tels que :

Positionnement Blueshape SAS comme un acteur de confiance dans l’écosystème ;
Approche de la sécurité par les risques ;
Réponse unifiée aux incidents de sécurité et aux violations de données à caractère personnel;
Intégration des enjeux de sécurité et de protection de la vie privée dans l’évolution des produits ;
Évaluation de la sécurité et mise en place d’amélioration continue.

3. Anonymisation

Blueshape SAS se réserve le droit de procéder à l’anonymisation des données objet de la présente politique, c’est-à-dire de les modifier afin qu’elles ne permettent plus, même de manière indirecte, d’identifier, d’individualiser ou de singulariser la personne concernée, et de les réutiliser seulement sous forme anonyme.

Blueshape SAS s’efforce d’appliquer les principes suivants en matière d’anonymisation :

L’impossibilité d’isoler un individu au sein d’un groupe plus grand sur la base des données ;
L’impossibilité de relier deux enregistrements concernant la même personne ; et
L’impossibilité d’inférer, avec une forte probabilité, des informations inconnues concernant une personne.

Dans la mesure où les données ainsi anonymisées ne constituent plus des données à caractère personnel, Blueshape SAS se réserve le droit de les conserver et de les utiliser à d’autres fins que celles prévues dans le cadre de la présente politique, notamment afin de pouvoir produire des statistiques, développer de nouveaux services ou améliorer des services existants, réaliser des analyses marketing ou encore développer des stratégies commerciales.

4. Sous-traitance

Blueshape SAS, peuvent participer aux traitements de données objet de la présente politique, réalisés par Blueshape SAS en qualité de responsable des traitements.

Blueshape SAS a également recours à des prestataires tiers tels que des prestataires de services de sécurité, fournisseurs réseaux, fournisseurs d’applications et d’outils internes, prestataires de services de paiement, analystes marketing, analystes web, fournisseurs de solutions d’emailing, enquêtes de satisfactions, sociétés de conseils, auditeurs, etc. intervenant en qualité de sous-traitants sur instruction Blueshape SAS.

Blueshape SAS s’assure que ses sous-traitants s’engagent à respecter la réglementation en vigueur et mettre en place des mesures techniques et organisationnelles appropriées afin d’assurer la protection des données à caractère personnel qu’ils sont amenés à traiter sur instruction Blueshape SAS. Blueshape SAS veille notamment à ce que ces sous-traitants n’aient accès qu’aux seules données nécessaires à l’exécution de leur mission.

De plus, lorsqu’il a recours à des solutions logicielles tierces pour le traitement de données relatives à l’utilisation et à la fourniture de ses services (notamment outils de ticketing et de gestion du support, outils utilisés pour le provisionnement et la maintenance, ou encore solution de gestion de la relation commerciale), Blueshape SAS privilégie l’hébergement des solutions « on premise » sur ses propres infrastructures.

Dans tous les cas, un contrat est établi entre Blueshape SAS et le sous-traitant, et des mesures techniques et organisationnelles appropriées sont mises en place conformément aux articles 28 et 32 du RGPD.

La présente section 4. ne traite pas des conditions dans lesquelles Blueshape SAS est autorisée à recourir à des sous-traitants ultérieurs dans le cadre des traitements de données à caractère personnel réalisés par Blueshape SAS en qualité de sous-traitant sur instruction de ses clients.

5. Transferts de données en dehors de l’Union européenne

Blueshape SAS s’attache à limiter les transferts de données à caractère personnel en dehors de l’Union européenne.

Hébergement des données

L’hébergement des données au sein de l’Union européenne est toujours privilégié, y compris en cas de recours à des sous-traitants.

Traitements à distance

Les activités de traitement de données décrites dans le cadre de la présente politique peuvent être réalisées depuis des localisations hors Union-Européenne par les Sociétés Apparentées et prestataires tiers sous-traitants Blueshape SAS tel que prévu dans la section 2.4. ci-dessus.

Lorsque les données à caractère personnel objet de la présente politique sont transférées (y compris en cas d’accès à distance) vers des pays tiers à l’Union Européenne ne bénéficiant pas de décision d’adéquation de la Commission européenne adoptée conformément à l’article 25 de la directive 95/46/CE ou à l’article 45 du RGPD, Blueshape SAS s’assure que des garanties appropriées telles que prévues à l’article 46 du RGPD sont mises en place, et ce, que l’importateur de données soit une entité Blueshape SAS ou une entité tierce.

Quand l’importateur est une Société Apparentée Blueshape SAS les garanties appropriées susvisées sont constituées des clauses contractuelles types 2010/87/UE adoptées par la Commission européenne sur le fondement du paragraphe 4 de l'article 26 de la directive 95/46/CE qui, conformément à l’article 4 de la décision d’exécution (UE) 2021/914 de la Commission européenne du 4 juin 2021, sont réputées offrir des garanties appropriées au sens du paragraphe 1 de l’article 46 du RGPD jusqu’au 27 décembre 2022.

A ce titre, Blueshape SAS, qui se réserve le droit de substituer auxdites clauses contractuelles types toute autre garantie appropriée prévue au chapitre V du RGPD, travaille à la mise en place des clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers en vertu du règlement (UE) 2016/679 du Parlement européen et du Conseil, adoptées par ladite décision d’exécution (UE) 2021/914 de la Commission.

De plus, Blueshape SAS s’assure que le droit et les pratiques des pays de destination ne sont pas susceptibles de porter atteinte à l’efficacité desdites clauses contractuelles, et dans le cas contraire, met en place des mesures supplémentaires de nature à assurer l’efficacité des mécanismes de garantie susvisés conformément aux Recommandations 01/2020 du Comité Européen de la Protection des Données.

En tout état de cause, Blueshape SAS met en place des mesures techniques et organisationnelles (telles que traçabilité, limitation des accès) visant à protéger les données transférées en particulier contre tout accès ou divulgation non autorisés, et veille à respecter les dispositions de la réglementation européenne, notamment l’article 48 du RGPD, en cas de demande d’une autorité d’un pays tiers à l’Union européenne visant à obtenir communication de données à caractère personnel concernant les clients de ses entités européennes.

6. Traitement des demandes des autorités

Blueshape SAS peut recevoir des demandes d’autorités judiciaires, administratives ou autres, visant à obtenir communication des données à caractère personnel en sa possession relatives à ses clients.

Dans ce cas, Blueshape SAS s’engage à :

Vérifier la compétence de l’autorité demanderesse ;
Ne répondre qu’à des demandes valablement formées ;
Si cela est autorisé, informer au préalable la personne concernée afin de lui permettre de faire valoir ses droits ;
Limiter la communication aux seules données requises par l’autorité.

En cas de demande d’une autorité d’un pays tiers à l’Union européenne visant à obtenir communication de données relatives à un client européen Blueshape SAS, Blueshape SAS s’y oppose sous réserve des cas suivants :

(a) la demande est réalisée conformément à un accord international, tel qu'un traité d'entraide judiciaire, en vigueur entre le pays demandeur et l'Union européenne ou l’État membre dont relève l’entité Blueshape SAS auprès de laquelle le client ouvert son compte client Blueshape SAS ;

(b) le client visé par la demande a ouvert un compte client Blueshape SAS auprès une entité Blueshape SAS établie dans la même juridiction que l’autorité demanderesse ; ou,

(c) conformément à l’article 49 du RGPD en particulier lorsque la demande poursuit un intérêt public reconnu par le droit de l’Union ou par le droit d’un État membre de l’Union européenne, ou qu’elle est nécessaire à la sauvegarde d’intérêts vitaux.

7. Droits des personnes concernées

Conformément au RGPD, vous disposez du droit d’accéder aux données à caractère personnel susvisées vous concernant, ainsi que du droit de les rectifier, d’en demander la suppression et la portabilité, ainsi que du droit de limiter ou de vous opposer à certains traitements. Lorsque le traitement est fondé sur le consentement, vous disposez également du droit de retirer ce consentement à tout moment.

Ces droits peuvent être exercés en utilisant le formulaire prévu à cet effet sur le Site Internet www.blueshape.io, ou par courrier postal à l’adresse : Blueshape SAS, 19 avenue d’Italie, 75013 Paris, France.

Conformément à l’article 12 du RGPD, chaque demande doit être impérativement accompagnée des informations pertinentes permettant de démontrer votre identité. Il y sera répondu dans les meilleurs délais et en tout état de cause dans le respect des dispositions de l’article 12 suscité. En cas de doute raisonnable quant à l’identité de la personne physique présentant la demande, il peut être demandé que soient fournies des informations supplémentaires nécessaires pour confirmer l’identité de la personne concernée, notamment une preuve d’identité.