Conformité au RGPD

1. Notre engagement

KamoCRM Inc. s'engage à respecter pleinement le Règlement général sur la protection des données (RGPD) et à respecter les normes les plus élevées de protection des données pour tous les utilisateurs, quel que soit leur emplacement géographique. Nous croyons que de solides protections de la vie privée ne sont pas seulement une exigence légale, mais un droit fondamental de toute personne qui utilise notre plateforme.

Nous avons mis en œuvre des mesures techniques et organisationnelles globales pour garantir que les données à caractère personnel sont traitées de manière légale, équitable et transparente. Cette page décrit notre approche de la conformité au RGPD et explique comment nous protégeons les droits des personnes concernées.

2. Base juridique du traitement

Consentement: Si nécessaire, nous obtenons le consentement clair et explicite des personnes concernées avant de traiter leurs données personnelles. Le consentement peut être retiré à tout moment par le biais de paramètres de compte ou en contactant notre délégué à la protection des données. Le retrait du consentement n'affecte pas la légalité du traitement effectué avant le retrait.

Nécessité contractuelle: Nous traitons les données personnelles nécessaires à l'exécution de notre contrat avec vous, y compris l'accès à la plate-forme, la fourniture de fonctionnalités, le traitement des paiements et la fourniture d'un soutien à la clientèle.

Intérêt légitime : Nous traitons certaines données en fonction de nos intérêts légitimes, y compris la sécurité de la plate-forme, la prévention de la fraude, l'amélioration du service par l'analyse anonyme et la communication sur les mises à jour du service. Nous effectuons des évaluations d'intérêts légitimes pour veiller à ce que nos intérêts ne dépassent pas les droits et libertés des personnes concernées.

3. Vos droits en vertu du RGPD

Droit d'accès : Vous avez le droit d'obtenir la confirmation que nous traitons vos données personnelles et de demander une copie de ces données. Nous fournirons cette information dans un format structuré, couramment utilisé et lisible par machine sur demande.

Droit de rectification: Vous avez le droit de demander la correction de toute donnée à caractère personnel inexacte que nous détenons à votre sujet et de faire compléter des données incomplètes. La plupart des informations de compte peuvent être corrigées directement via la plateforme.

Droit à l'effacement : Vous avez le droit de demander la suppression de vos données à caractère personnel lorsqu'il n'est plus nécessaire aux fins pour lesquelles elles ont été collectées, lorsque vous retirez votre consentement ou lorsqu'il n'existe aucune autre base légale pour la poursuite du traitement. Certaines données peuvent être conservées lorsque la loi l'exige.

Droit à la restriction du traitement: Vous avez le droit de demander que nous restreignons le traitement de vos données personnelles dans certaines circonstances, telles que lorsque vous contestez l'exactitude des données ou lorsque le traitement est illégal, mais vous ne souhaitez pas que les données soient effacées.

Droit à la transférabilité des données : Vous avez le droit de recevoir vos données personnelles dans un format structuré, couramment utilisé et lisible par machine, et de les transmettre à un autre responsable de traitement. Notre plateforme fournit des outils d'exportation de données intégrés pour faciliter ce droit.

Droit d'opposition : Vous avez le droit de vous opposer au traitement de vos données personnelles en fonction d'intérêts légitimes ou à des fins de marketing direct. Nous cesserons de traiter à moins que nous puissions démontrer des motifs légitimes convaincants qui dépassent vos intérêts.

4. Spécialiste de la protection des données

KamoCRM Inc. a nommé un délégué à la protection des données (DPO) chargé de superviser notre stratégie de protection des données, d'assurer le respect du RGPD et de servir de point de contact principal pour les personnes concernées et les autorités de surveillance.

Vous pouvez contacter notre responsable de la protection des données par notre formulaire de contact pour toute question ou préoccupation liée à la protection des données, à la confidentialité ou à la conformité au RGPD. Le DPD répondra à toutes les demandes dans un délai raisonnable.

5. Activités de traitement des données

Nous tenons un registre complet des activités de traitement (ROPA) comme l'exige l'article 30 du RGPD. Nos activités de traitement de données comprennent :

Gestion de compte : Traitement du nom, du courriel, de l'information de l'entreprise et des références aux fins de la création de compte, de l'authentification et de l'administration. Base juridique: nécessité contractuelle.

Utilisation de la plate-forme : Traitement des données d'interaction, de l'utilisation des fonctionnalités et de l'information sur les sessions dans le but de fournir et d'améliorer le Service. Base juridique: nécessité contractuelle et intérêt légitime.

Communications: traitement des données de courrier électronique, de messagerie, de vidéo et de téléphone au sein de la plate-forme afin de permettre des fonctionnalités de communication d'affaires. Base juridique: nécessité contractuelle. Ces données appartiennent à l'organisation de l'utilisateur et sont traitées en leur nom.

Analyse : Traitement des données d'utilisation anonymisées et agrégées dans le but d'améliorer les performances de la plateforme et d'identifier les problèmes d'utilisation. Base juridique: intérêt légitime.

Sécurité : Traitement des adresses IP, des informations sur les appareils et des modèles de comportement afin de détecter et de prévenir l'accès non autorisé et la fraude. Base juridique: intérêt légitime.

6. Sous-processeurs

Nous faisons appel à un nombre limité de sous-traitants tiers pour aider à fournir le Service. Chaque sous-processeur est soigneusement contrôlé pour la conformité au RGPD et est lié par les accords de traitement de données (DPA) qui l'obligent à traiter des données à caractère personnel uniquement selon les instructions de KamoCRM Inc. et conformément aux lois applicables en matière de protection des données.

Les catégories de sous-processeurs comprennent : les fournisseurs d'infrastructure en nuage pour l'hébergement et le stockage des données; les services de livraison de courriels pour les notifications transactionnelles; les processeurs de paiement pour la facturation et la gestion de l'abonnement; et les services de surveillance pour la fiabilité et la performance des plateformes.

Nous tenons à jour une liste des sous-processeurs et aviserons les utilisateurs de tout changement important apporté aux arrangements des sous-processeurs. Les utilisateurs peuvent s'opposer aux nouveaux sous-processeurs tels que décrits dans notre accord de traitement des données.

7. Notification de violation de données

En cas de violation de données à caractère personnel susceptible d'entraîner un risque pour les droits et libertés des personnes concernées, KamoCRM Inc. s'engage à informer l'autorité de contrôle compétente dans les 72 heures suivant la prise de conscience de la violation, conformément à l'article 33 du RGPD.

Lorsqu'une violation de données est susceptible d'entraîner un risque élevé pour les droits et libertés des personnes touchées, nous en aviserons également ces personnes sans retard indu, en leur fournissant des informations claires sur la nature de la violation, les conséquences probables et les mesures prises pour y remédier.

Nous maintenons un plan d'intervention en cas d'incident qui comprend des procédures de détection, d'enquête, de confinement et d'assainissement des infractions aux données. Toutes les infractions sont documentées quelle que soit leur gravité, et nos processus de réponse sont régulièrement testés et mis à jour.

8. Transferts internationaux

Lorsque des données à caractère personnel de résidents de l'EEE sont transférées en dehors de l'Espace économique européen, nous veillons à ce que des garanties appropriées soient en place pour protéger ces données conformément au chapitre V du RGPD.

Nous nous appuyons sur les clauses contractuelles standard (CSC) approuvées par la Commission européenne comme principal mécanisme de transfert international de données. Le cas échéant, nous effectuons également des évaluations d'impact du transfert afin d'évaluer le cadre juridique du pays bénéficiaire et de mettre en œuvre des mesures supplémentaires au besoin.

Notre infrastructure est conçue pour permettre aux organisations de contrôler où leurs données sont traitées. Les clients d'entreprise peuvent demander la résidence de données dans des régions géographiques spécifiques dans le cadre de leur contrat de service.

9. Conservation des données

Nous conservons les données à caractère personnel seulement aussi longtemps que nécessaire pour atteindre les fins pour lesquelles elles ont été collectées, ou comme l'exige la loi applicable. Nos périodes de conservation des données sont les suivantes:

Les données de compte sont conservées pendant la durée de votre compte et pendant 30 jours après la résiliation du compte pour permettre l'exportation de données. Après cette période, les données du compte sont définitivement supprimées.

Les données d'utilisation et d'analyse sont conservées sous forme anonyme pendant une période pouvant aller jusqu'à 24 mois aux fins de l'analyse des tendances et de l'amélioration de la plateforme. Les données d'utilisation individuelles sont supprimées ou anonymisées dans les 90 jours.

Les données de communication (emails, messages, appels) sont conservées dans le compte de l'organisation et sont assujetties à ses propres politiques de conservation. À la clôture du compte, ces données suivent la même fenêtre d'exportation de 30 jours décrite ci-dessus.

Les registres de sécurité et les pistes de vérification sont conservés jusqu'à 12 mois aux fins de la sécurité et de la conformité.

10. Exercer vos droits

Pour exercer vos droits en vertu du RGPD, vous pouvez soumettre une demande par l'intermédiaire des paramètres de votre compte dans la plateforme, ou en contactant notre délégué à la protection des données par l'intermédiaire de notre formulaire de contact.

Nous accuserons réception de votre demande dans les 5 jours ouvrables et fournirons une réponse de fond dans les 30 jours, comme l'exige le RGPD. Si une demande est particulièrement complexe ou si nous recevons un grand nombre de demandes, nous pouvons prolonger la période de réponse de 60 jours supplémentaires, auquel cas nous vous aviserons de la prolongation et des motifs de celle-ci.

Pour protéger votre vie privée, nous devrons peut-être vérifier votre identité avant de traiter votre demande. Nous ne facturerons pas de frais pour le traitement de demandes raisonnables, mais nous nous réservons le droit de facturer des frais raisonnables ou de refuser d'agir sur des demandes manifestement non fondées ou excessives.

11. Personne-ressource

Pour toute question, préoccupation ou demande concernant la conformité au RGPD ou la protection des données, veuillez contacter notre délégué à la protection des données: