Privacy Policy
Avis de politique de confidentialité pour les clients
1.
Nous agissons en qualité de responsables de traitement. Dans certains cas spécifiques nous agissons en tant que responsables conjoints du traitement avec nos clients. Nous nous engageons à collecter et à traiter toutes les données à caractère personnel du client en conformité avec toute réglementation en vigueur applicable au traitement de ces données, et notamment la loi n°78-17 du 6 janvier 1978 en vigueur et le Règlement européen sur la protection des données personnelles (ci-après dénommé « le RGPD »).
2.
Nous sommes autorisés à traiter les données à caractère personnel nécessaires pour accomplir la ou les mission(s) prévue(s) dans notre lettre de mission.
3.
Nous pouvons également traiter vos données personnelles aux fins de nos propres intérêts légitimes à condition que ces intérêts ne prévalent sur aucun de vos propres intérêts, droits et libertés qui nécessitent la protection des données personnelles. Cela inclut le traitement à des fins de marketing, de développement commercial, de statistiques et de gestion. Nous pouvons traiter vos données personnelles à certaines fins supplémentaires avec votre consentement, et dans ces circonstances où votre consentement est requis pour le traitement de vos données personnelles, vous avez le droit de retirer votre consentement au traitement à ces fins spécifiques. Veuillez noter que nous pouvons traiter vos données personnelles pour plus d’une base légale en fonction de la finalité spécifique pour laquelle nous utilisons vos données.
4.
Les principales opérations réalisées sur les données à caractère personnel du client sont les suivantes : collecte, enregistrement, structuration, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission, diffusion ou toute autre forme de mise à disposition, rapprochement ou interconnexion, verrouillage, effacement ou destruction.
5.
Les données à caractère personnel du client traitées désignent toute information identifiant directement ou indirectement une personne physique (par ex. son nom, son numéro d’immatriculation, son numéro de téléphone, sa photographie, sa date de naissance, sa commune de résidence, son adresse IP, etc. ).
6.
Les catégories de personnes concernées sont : vous et vos salariés, vos dirigeants, vos actionnaires, vos fournisseurs et vos clients.
7.
La ou les finalité(s) du traitement sont la facturation, l’archivage, la gestion des paies, la gestion de vos contrats commerciaux, la gestion de vos contacts clients et prospects, la réalisation et la gestion des services souscrits par vos clients.
8.
Nous nous engageons à prendre toutes précautions utiles afin de préserver la sécurité des informations et notamment de les protéger contre toute destruction accidentelle ou illicite, perte accidentelle, altération, diffusion non autorisée ou tout accès non autorisé. Nous mettrons en œuvre des garanties administratives, physiques et techniques. Plus précisément, nous mettrons en œuvre les mesures de sécurité suivantes :
- Un système d’isolation physique et/ou logique entre les différents intermédiaires ;
- Une limitation des accès aux seules données dont un utilisateur a besoin et la réalisation d’une revue annuelle des habilitations afin d’identifier et de supprimer les comptes non utilisés et de réaligner les droits accordés sur les fonctions de chaque utilisateur ;
- Des processus d’authentification forts de nos utilisateurs et administrateurs grâce notamment à une politique stricte de gestion des mots de passe et au déploiement de certaines mesures de double authentification.
- Des mesures de sécurité physique afin d’empêcher l’accès aux infrastructures sur lesquelles sont stockées nos données par des personnes non autorisées ;
- Une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour garantir la sécurité du traitement.
9.
Nous notifions la violation de données à caractère personnel à la CNIL et à la ou aux personne(s) concernée(s) selon les dispositions suivantes :
- Nous notifions à la CNIL les violations de données à caractère personnel dans les meilleurs délais et, dans la mesure du possible, soixante-douze (72) heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes concernées. Si la notification auprès de la CNIL s’avère nécessaire, celle-ci devra contenir les dispositions prévues par l’article 33 du RGPD.
- Nous communiquons la violation de données à caractère personnel à la ou aux personne(s) concernée(s) dans les meilleurs délais, lorsque cette violation est susceptible d'engendrer un risque important pour les droits et libertés de ces personnes.
10.
Pour l’exécution de la mission objet du présent contrat, nous avons mis en place les moyens suivants : enregistrement des pièces, saisie des informations dans les logiciels métiers et dans les documents établis, ainsi que notre communication des données à votre attention et à celle des organismes concernés.
11.
Droit d’information des personnes concernées :
- Il nous appartient de fournir des informations aux personnes concernées quant aux droits dont elles disposent et quant aux finalités du traitement, et de fournir ces informations aux personnes concernées au moment de la collecte des données.
12.
Exercice des droits des personnes :
- Dans la mesure du possible, vous devez nous aider à nous acquitter de notre obligation de donner suite aux demandes d’exercice des droits des personnes concernées.
- Lorsque les personnes concernées exercent auprès de vous des demandes d’exercice de leurs droits, vous devez adresser ces demandes dès réception par courrier électronique à contact@jameshowes.fr.
13.
Destinataires :
- Afin de pouvoir accomplir la mission objet de la présente lettre de mission, les destinataires des données à caractère personnels sont nos collaborateurs et associés, ainsi que, le cas échéant, vous et les organismes destinataires des déclarations et formalités incluses dans les prestations.
- Nous communiquerons les données à caractère personnel du client à des tiers lorsque la loi l'exige, lorsque cela s’avère nécessaire pour gérer la relation entre nous ou lorsque nous avons un autre intérêt légitime à le faire.
- Quels sont les prestataires de services tiers qui traitent vos données à caractère personnel ?
- Les « tiers » incluent les prestataires de services tiers. Les activités suivantes sont réalisées par des prestataires de services tiers : services informatiques [et cloud], services de conseil professionnel, services administratifs, services de marketing et services bancaires.
- Tous nos prestataires de services tiers sont tenus de prendre des mesures de sécurité raisonnables et appropriées sur le plan commercial pour protéger vos données à caractère personnel. Nous autorisons uniquement nos prestataires de services tiers à traiter vos données à caractère personnel à des fins spécifiques et conformément à nos instructions.
- Qu'en est-il des autres tiers ?
- Nous pouvons communiquer vos données à caractère personnel à d'autres tiers, par exemple dans le cadre d'une éventuelle vente ou restructuration de l'entreprise. Nous pouvons également être amenés à communiquer vos données à caractère personnel à un organisme de réglementation ou pour nous conformer à la loi.
- Ces destinataires sont soumis à de strictes obligations de confidentialité et de sécurité et auront accès aux données à caractère personnel du client pour des raisons strictement professionnelles et limitées à la finalité de traitement.
14.
Nous faisons appel à des sous-traitants pour réaliser la mission de paie (Socialea) ; archivage extérieur (Archimest). Les sous-traitants du cabinet se sont engagés à respecter les obligations mises à leur charge par la règlementation en matière de protection des données à caractère personnel.
15.
Nous et/ou nos sous-traitants indépendants pouvons de temps à autre traiter vos données en tant que responsable de traitement et utiliser les coordonnées que vous et vos représentants nous avez fournies pour envoyer des invitations, des supports marketing, des informations de nature juridique ou d’autres publications dont nous estimons qu’elles sont susceptibles de vous intéresser, et organiser des réunions d’affaires. Ces coordonnées peuvent inclure toute information que vous avez ou que vos représentants ont mise à notre disposition pour nous aider à servir ces finalités. Si des personnes ne souhaitent pas recevoir de communications marketing, veuillez en informer James Howes.
16.
Les données à caractère personnel du client sont susceptibles d'être conservées pendant toute la durée de la relation contractuelle, et supprimées huit ans après la fin du contrat, sauf certaines données qui peuvent être conservées jusqu’à vingt ans après la rupture dudit contrat afin de respecter notamment les obligations comptables et fiscales qui nous incombent.
17.
À l’issue de ce délai, nous nous engageons à vous restituer toutes les données à caractère personnel relatives aux documents reçus et établis pour vous. La restitution doit s’accompagner de la destruction de toutes les copies existantes dans nos systèmes d’information.
18.
Nous pouvons transférer les données à caractère personnel que nous collectons à votre sujet vers des pays situés en dehors de l’EEE afin d’exécuter le contrat que nous avons conclu avec vous. Cela peut inclure des pays où il n’y a pas de décision d’adéquation de la Commission européenne et qui ne sont donc pas considérés comme offrant un niveau de protection adéquat de vos données à caractère personnel aux fins de la Législation sur la protection des données.
19.
Dans ces circonstances, les transferts feront l’objet d’un accord qui couvre les exigences de l’UE en matière de transfert de données à caractère personnel en dehors de l’UE, comme les clauses contractuelles types approuvées par la Commission européenne. Si vous avez besoin de plus amples informations sur ces mesures de protection, veuillez nous contacter en utilisant les coordonnées indiquées ci-dessus.
20.
Nous déclarons tenir par écrit un registre de toutes les catégories d’activités de traitement effectuées, comprenant les dispositions prévues par l’article 30 du RGPD. Nous collectons également des données d’identification dans le cadre du présent contrat pour respecter nos obligations en matière de lutte contre le blanchiment de capitaux et financement du terrorisme. Dans le cadre de ce traitement, nous agissons en qualité de responsable de traitement et conservons pendant cinq ans, à compter de la fin de la relation d’affaires, les documents et informations relatifs à votre identité, aux personnes agissant pour votre compte et aux bénéficiaires effectifs (article L 561-12 du Code monétaire et financier). Nous conservons pendant cinq ans à compter de leur exécution, des documents et informations relatifs aux opérations réalisées ainsi que des documents consignant les caractéristiques des opérations mentionnées à l'article L. 561-10-2 du CMF. Ces données peuvent être communiquées aux autorités légales compétentes.
Client privacy policy notice
1.
We are qualified as data controllers with respect to our clients. In certain specific cases we are joint data controllers together with our client. We collect and process all of your personal data in accordance with any regulations in force applicable to the processing of that data, and in particular Law no. 78-17 of 6 January 1978 in force and the European Regulation on the protection of personal data (the “the GDPR”).
2.
We are authorised to process the personal data necessary to perform the task(s) set out in our letter of engagement.
3.
We may also process your personal data for the purposes of our own legitimate interests provided that those interests do not override any of your own interests, rights and freedoms which require the protection of personal data. This includes processing for marketing, business development, statistical and management purposes. We may process your personal data for certain additional purposes with your consent, and in these circumstances where your consent is required for the processing of your personal data then you have the right to withdraw your consent to processing for such specific purposes. Please note that we may process your personal data for more than one lawful basis depending on the specific purpose for which we are using your data.
4.
The main operations carried out on the client’s personal data are as follows: collection, recording, organisation, storage, adaptation, alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure or destruction.
5.
The client’s processed personal data means any information directly or indirectly identifying a natural person (e.g. name, social security number, telephone number, photograph, date of birth, place of residence, IP address, etc.).
6.
The categories of data subjects include: you and your employees, directors, shareholders, suppliers and clients.
7.
The processing is performed for the following purpose(s): invoicing, archiving, payroll management, management of your commercial contracts, management of your client and prospective client contacts, the provision and management of the services requested by your clients.
8.
We shall take all necessary precautions to protect the security of the information and, in particular, to protect it against accidental or unlawful destruction, accidental loss, alteration, and unauthorised disclosure or access. We will implement administrative, physical and technical safeguards. More specifically, we will implement the following security measures:
- a physical and/or logical isolation system between the various intermediaries;
- access limited to only the data that a user needs and an annual review of permissions in order to identify and delete unused accounts and adjust the rights granted to the functions of each user;
- strong authentication processes for our users and administrators by means of a strict password management policy and the use of certain two-factor authentication measures;
- physical security measures to prevent access by unauthorised persons to the infrastructures on which our data is stored;
- a process for regularly testing, assessing and evaluating the effectiveness of technical and organisational measures for ensuring the security of the processing.
9.
We notify any personal data breaches to the CNIL [the French Data Protection Authority] and to the data subject(s) as set out below:
- We notify the CNIL of personal data breaches as soon as possible and, where feasible, no later than seventy-two (72) hours after becoming aware of them, unless the breach in question is unlikely to result in a risk to the rights and freedoms of the data subjects. If the CNIL needs to be notified, the notification must contain the details provided for in Article 33 of the GDPR.
- We inform the data subject(s) of the personal data breach as soon as possible, when that breach is likely to result in a high risk to the rights and freedoms of those individuals.
10.
To perform the task covered by this contract, we have put in place the following means: recording of documents, and entry of information in the business software and in the prepared documents; we pass on the data to you and the organisations concerned.
11.
Data subjects’ right to be informed:
- It is our responsibility to provide information to the data subjects on the rights that they have and on the purposes of the processing, and to provide that information to the data subjects at the time of collecting the data.
12.
- Where possible, you should assist us in fulfilling our obligation to respond to data subjects’ requests to exercise their rights.
- When data subjects submit requests to you to exercise their rights, you must send these requests upon receipt by email to contact@jameshowes.fr.
13.
Recipients:
- In order to be able to perform the task covered by our letter of engagement, the recipients of the personal data include our employees and partners, as well as, where applicable, you and the organisations receiving the declarations and paperwork included in the services.
- We will share the client’s personal data with third parties where required by law, where it is necessary to manage the relationship between us or where we have another legitimate interest in doing so.
- Which third-party service providers process your personal data?
- “Third parties” include third-party service providers. The following activities are performed by third-party service providers: IT (and cloud) services, professional consulting services, administrative services, marketing services and banking services.
- All our third-party service providers are required to take commercially reasonable and appropriate security measures to protect your personal data. We only allow our third-party service providers to process your personal data for specific purposes and in accordance with our instructions.
- What about other third parties?
- We may share your personal data with other third parties, for example, as part of a possible sale or restructuring of the company. We may also be required to share your personal data with a regulatory body or in order to comply with the law.
- These recipients are subject to strict confidentiality and security obligations and will have access to the client’s personal data for strictly professional reasons, limited to the purpose of the processing.
- Where possible, you should assist us in fulfilling our obligation to respond to data subjects’ requests to exercise their rights.
- When data subjects submit requests to you to exercise their rights, you must send these requests upon receipt by email to contact@jameshowes.fr.
14.
We use subcontractors to perform the payroll task (Socialea) and external archiving (Archimest). The firm’s subcontractors have undertaken to comply with their obligations under the regulations on the protection of personal data.
15.
We and/or our independent contractors may from time to time process as a data controller and use the contact details you and your representatives have provided to us to send invitations, marketing materials, legal updates or other publications that we feel may be of interest and to organise business meetings. Such contact details may include any information you or your representatives have made available to us to assist us in such purposes. Should any individuals not wish to receive marketing communications, please notify James Howes.
16.
The client’s personal data may be retained for the entire duration of the contractual relationship and deleted 8 years after the end of the contract, except for certain data that may be retained for up to 20 years after the termination of the contract in order to comply, in particular, with the accounting and tax obligations incumbent upon us.
17.
At the end of this period, we shall return to you all personal data relating to the documents received and prepared for you. All existing copies in our information systems will be destroyed at the same time.
18.
We may transfer the personal data we collect about you to countries outside of the EEA in order to perform our contract with you. This may include countries where there is not an adequacy decision by the European Commission and hence will not be deemed to provide an adequate level of protection for your personal information for the purpose of the Data Protection Legislation.
19.
In these circumstances, the transfers will be under an agreement which covers the EU requirements for the transfer of personal data outside the EU, such as the European Commission approved standard contractual clauses. Should you require further information about these protective measures, please contact us using the contact details outlined above.
20.
We keep a written record of all categories of processing activities performed, including the information provided for in Article 30 of the GDPR. We also collect identifying data under this contract to comply with our anti-money laundering and anti-terrorist financing obligations. As part of this processing, we have the role of data controller and for five years, from the end of the business relationship, we retain documents and information relating to your identity, the persons acting on your behalf and beneficial owners (Article L. 561-12 of the French Monetary and Financial Code). For five years from their execution, we retain documents and information on the transactions made as well as documents recording the characteristics of the transactions mentioned in Article L. 561-10-2 of the French Monetary and Financial Code. This data may be disclosed to the competent legal authorities.