Le responsable des traitements des données personnelles mis en œuvre par EURESIS est la société EURESIS, société par actions simplifiée au capital de 20.000 euros, identifiée sous le numéro 910 034 644 RCS Nanterre, dont le siège social est sis 14 rue Beffroy 92200 Neuilly-sur-Seine (France), prise en la personne de son Président (ci-après "EURESIS", "Nous", "Notre" ou "Nos").

IL EST TOUTEFOIS ENTENDU QU'EURESIS N'EST PAS RESPONSABLE DU TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL QUE LES UTILISATEURS DÉCIDENT D'INTÉGRER À LA PLATEFORME EURESIS AO.

EURESIS peut être amenée à collecter et traiter des données à caractère personnel au sens du RGPD et de la Loi Informatique & Libertés dans plusieurs situations :

• lors la souscription d'un abonnement à la plateforme EURESIS AO : lorsqu'un maître d'ouvrage, un maître d'œuvre ou un entrepreneur, de manière générale tout "Utilisateur" de la plateforme EURESIS AO au sens des conditions générales d'utilisation de ladite plateforme, s'inscrit sur cette dernière pour pouvoir l'exploiter, alors certaines données à caractère personnel sont collectées par EURESIS ;
• lorsque Vous utilisez la plateforme EURESIS AO : dans le cadre de l'utilisation de la plateforme EURESIS AO, certaines données à caractère personnel peuvent être renseignées par les Utilisateurs ;
• lorsque Vous naviguez sur le Site : EURESIS peut être amenée à collecter certaines données personnelles techniques ;
• lorsqu'EURESIS passe elle-même une commande de produits ou de services auprès de tiers : EURESIS doit collecter certaines données à caractère personnel relatives à ses fournisseurs à des fins d'identification ;
• lorsqu'EURESIS conclut un contrat avec un prestataire : EURESIS peut être amenée à collecter certaines données personnelles.

EURESIS applique le principe de minimisation des données, ce qui signifie qu'elle ne collecte et traite que les données personnelles strictement nécessaires à la réalisation de son objet social.

En effet, EURESIS ne fait pas commerce de données à caractère personnel. La collecte et le traitement des données ne sont mises en œuvre par EURESIS que pour permettre à cette dernière de mener à bien ses activités.

Les données collectées et traitées par EURESIS sont les suivantes :

• lors de la souscription d'un abonnement à la plateforme EURESIS AO : pour les besoins du traitement de cette demande abonnement, Vous devez fournir des éléments relatifs à l'identité de la personne qui s'inscrit, en particulier ses nom et prénom, le nom de la société qu'elle représente (le cas échéant), son adresse et un moyen permettant de la contacter (comme une adresse e-mail et/ou un numéro de téléphone). EURESIS peut également être conduite à collecter et traiter des données bancaires afin de permettre le paiement de la commande. Les numéros de carte bancaire ne sont pas collectés ni traités par EURESIS mais par son prestataire de paiement ;
• quand Vous utilisez la plateforme EURESIS AO : les Utilisateurs de la plateforme EURESIS AO peuvent y intégrer des données à caractère personnel, par exemple pour les besoins des appels d'offres et/ou des réponses aux appels d'offres. Ces données sont choisies par les Utilisateurs de la plateforme EURESIS AO. Il s'agit généralement des données des entreprises (dénomination sociale, coordonnées d'un contact, secteur d'intervention, compétences…) et des informations relatives aux appels d'offres ou aux réponses aux appels d'offres ;
• quand EURESIS passe une commande de produits : Nos fournisseurs sont généralement identifiés par une raison sociale (donnée non personnelle relative à une personne morale) mais également par le nom d'un interlocuteur ou représentant, ainsi que ses coordonnées (adresse postale, numéro de téléphone, adresse e-mail…) ;
• lorsque vous naviguez sur le Site, certaines données à caractère personnel Vous concernant sont collectées et traitées par Nos soins. Ces données sont collectées automatiquement. Il s'agit : de l'adresse IP (Internet Protocol) du terminal informatique que Vous utilisez, de la date et de l'heure de connexion, du type d'ordinateur utilisé, du système d'exploitation et du logiciel de navigation employé, de la résolution de votre écran, ainsi que le nom de votre fournisseur d'accès à internet. Nous conservons également les pages du Site que Vous avez consultées. Ces données Nous servent à personnaliser votre navigation sur le Site, à garantir l'établissement correct de la connexion, à évaluer la sécurité du système et à déterminer des statistiques d'utilisation. Elles sont collectées par le biais de cookies, c'est-à-dire des fichiers texte qui sont ensuite stockés sur le support de stockage de votre terminal. EURESIS n'utilise que des cookies techniques.

Par principe, le Site n'est pas conçu pour collecter ni traiter des données personnelles présentant un caractère "sensible" au sens du RGPD et de la Loi Informatique & Libertés.

EURESIS ne pratique aucune collecte ni aucun traitement de données personnelles illicite. Toutes les données personnelles qui sont collectées et traitées par EURESIS le sont en effet en vertu d'un fondement légal dûment identifié :

• Le contrat : pour la plupart, les données que Nous collectons sont nécessaires à l'exécution d'un contrat entre Vous et Nous (soit parce que Vous avez souscrit à un abonnement à la plateforme EURESIS AO, soit parce que Nous passons commande auprès de Vous) ;
• L'intérêt légitime : certaines données collectées automatiquement sont nécessaires aux fins légitimes que Nous poursuivons (en particulier l'établissement de statistiques de connexion au Site), étant précisé que ni la collecte ni le traitement de ces données ne sont susceptibles de porter atteinte aux intérêts ou aux libertés fondamentales qui sont les Vôtres. Il s'agit de données techniques anodines, qui sont d'ailleurs collectées par la très grande majorité des sites internet actuels ;

• Le consentement : les autres données personnelles que Nous collectons et traitons le sont sur la base de Votre consentement. Nous Vous invitons à ne nous communiquer que des informations strictement nécessaires.

EURESIS n'exploite les données personnelles collectées dans les hypothèses décrites plus haut que pour des finalités déterminées et légitimes, qui entrent dans le strict cadre de ses activités commerciales, conformément à son objet social.

Schématiquement, ces finalités sont les suivantes :

• à titre principal, ces données sont utilisées pour la bonne exécution de votre demande d'abonnement à la plateforme EURESIS AO ou bien de toute commande de produits ou de services : c'est notamment le cas de Vos coordonnées ;
• ces données peuvent également être utilisées à des fins de prospection commerciale par courrier électronique, conformément au droit applicable en matière de prospection commerciale ;
• enfin, certaines informations Nous sont utiles pour administrer le Site. Nous les analysons (directement ou par le biais de tiers avec lesquels Nous contractons) afin d'établir des statistiques d'usage (par exemple dans le but de comprendre quelles sont les pages les plus fréquentées) et d'améliorer le Site en enrichissant ses fonctions et fonctionnalités. Elles Nous permettront le cas échéant d'améliorer notre offre de produits. Nous pouvons également utiliser l'adresse de Votre terminal afin de lutter contre certains cas de fraude, notamment le vol d'identité.

Les données personnelles que Nous collectons sont avant tout utiles à EURESIS elle-même. Ces données sont ainsi destinées au service commercial, au service marketing, ainsi qu'au service informatique d'EURESIS.

Ces données peuvent également être transmises à certains destinataires limitativement énumérés, à savoir :

• nos prestataires de services : nous pouvons contracter avec des prestataires de services tiers pour nous aider à gérer le Site et mettre en œuvre ses fonctionnalités.;

Tous ces prestataires sont des sous-traitants d'EURESIS, expressément tenus par contrat écrit de ne pas divulguer ni utiliser les informations Vous concernant à toute autre fin. Ils sont en effet tenus contractuellement à des obligations de confidentialité et de sécurité au moins équivalentes à celles prévues dans la présente charte de confidentialité ;

• les autorités : Nous devrons, le cas échéant, coopérer avec les autorités, étatiques, administratives ou judiciaires, notamment les autorités de supervision chargées d'assurer l'exécution du RGPD et de la Loi Informatique & Libertés, lorsque Nous y serons contraints. Par conséquent, Nous nous réservons le droit de divulguer toute information collectée dans le cadre de Nos activités aux autorités compétentes lorsque Nous sommes enjoints de le faire, par exemple dans le cadre d'une enquête résultant d'un vol de carte bancaire.

EURESIS conserve les données personnelles Vous concernant sous une forme identifiable pendant la stricte durée nécessaire à l'accomplissement de la finalité du traitement concerné. Ainsi, schématiquement :

• les données qui sont relatives à Votre abonnement à la plateforme EURESIS AO sont conservées pendant une durée de 10 (dix) ans, conformément aux règles fixées par le Code de commerce en ce qui concerne l'archivage des documents comptables ;
• les données qui sont relatives à Nos commandes auprès de Vous, y compris Notre historique d'achat, sont conservées pendant une durée de 10 (dix) ans, conformément aux règles fixées par le Code de commerce en ce qui concerne l'archivage des documents comptables ;
• les données relatives à des participations à des projets en cours ou archivés depuis peu, pourront être conservées pendant une durée de 36 mois
• les données collectées automatiquement et qui concernent Votre session de navigation sur le Site sont effacées automatiquement au moment de Votre déconnexion.

Les autres données, en particulier les statistiques, sont conservées sous une forme anonymisée ne permettant pas Votre identification.

EURESIS respecte les droits qui Vous sont accordés par le RGPD et la Loi Informatique & Libertés.

Ainsi, toute personne dont les données à caractère personnel ont été collectées par EURESIS et/ou ont été intégrées au sein de la plateforme EURESIS AO dispose du droit de demander l'accès aux données personnelles la concernant et qui sont conservées par EURESIS, de même que la rectification ou l'effacement de celles-ci, voire la limitation du traitement relatif aux données personnelles la concernant, ainsi que le droit de Vous opposer à leur traitement.

Concrètement, les Utilisateurs de la plateforme EURESIS AO peuvent à tout moment modifier leurs données et/ou changer leur mot de passe, voire supprimer leur compte. Dans ce cas, ils ne seront plus sollicités sur la plateforme. Certaines données relatives à des participations à des projets en cours ou archivés depuis peu, pourront être conservées pendant une durée de 36 mois à compter de la suppression du compte à des fins statistiques.

Il est rappelé que les Utilisateurs sont responsables du traitement des données à caractère personnel qu'ils intègrent à la plateforme EURESIS AO.

Dans cette hypothèse, EURESIS, en sa qualité de sous-traitant, peut être destinataire de demandes d'exercice des droits tirés du RGPD et de la Loi Informatique & Libertés et les transmettra au responsable de traitement concerné.

Il est précisé qu'en cas de limitation du traitement ou d'opposition au traitement, EURESIS pourra éventuellement ne plus être en mesure de traiter Votre demande d'abonnement à la plateforme EURESIS AO, voire Vous donner accès à ladite plateforme. Par ailleurs, en cas d'exercice du droit d'opposition ou du droit à l'oubli, certaines informations pourront malgré tout être conservées par EURESIS afin de se conformer à ses obligations légales.

Vous pouvez également définir des directives relatives à la conservation, à l’effacement et à la communication de Vos données personnelles après votre décès. En l'absence de telles directives, les données personnelles Vous concernant seront conservées conformément aux paragraphes ci-dessus, à moins que Vos héritiers ne demandent une suppression plus rapide.

Pour exercer ces droits, Vous pouvez envoyer un e-mail à l'adresse : contact@euresis.fr

Par ailleurs, Vous êtes informé que Vous pouvez vous opposer au démarchage téléphonique en Vous inscrivant sur le site internet www.bloctel.fr.

Enfin, Vous avez le droit d’introduire une réclamation à tout moment auprès de l’autorité de contrôle compétente pour la protection des données. Pour ce faire, Vous pouvez vous adresser à l’autorité de contrôle compétente pour la protection des données de la région dans laquelle Vous demeurez ou, en tout état de cause, la CNIL pour la France : www.cnil.fr.

En sa qualité de responsable de traitement, EURESIS s’engage à mettre en œuvre et à maintenir, à ses frais, des mesures techniques et organisationnelles appropriées en matière de traitement et de sécurité des données personnelles, conformément aux articles 32 à 34 du RGPD et 70-13 de la Loi Informatique & Libertés.

EURESIS veille ainsi à ce que ces mesures techniques et organisationnelles soient de tous temps adaptées aux risques particuliers présentés par ses activités de traitement, au regard de la nature des informations susceptibles de transiter par le biais du Site, en particulier pour protéger Vos données personnelles contre la destruction, la perte, la modification, la divulgation non autorisée ou l'accès, de manière accidentelle ou illicite.

Ainsi, s'agissant des mesures techniques mises en place par EURESIS :

• toutes les données personnelles sont hébergées par la société INFOMANIAK sur des serveurs situés en Suisse, pays dont la législation relative à la protection des données à caractère personnel est considérée comme adéquate par la Commission européenne ;
• toutes les connexions à la plateforme EURESIS AO (logs navigateur et FTP) sont conservées et consultables par EURESIS et son prestataire de développement (IP v4,v6, OS, navigateur, localisation, page d’entrée/sortie…) ;
• le nom de domaine de la plateforme EURESIS AO est protégé par un certificat SSL de LET'S ENCRYPT (encodage SHA256) ;
• les principales règles de l’OWASP (Open Worldwide Application Security Project) sont respectées sur l’application web :

1. 1. Mot de passe de chaque profil (Admin, MO, MOE, Entreprise) sécurisé avec un cryptage Blowfish (60 caractères)
   2. Procédure de réinitialisation du mot de passe en cas d’oubli (aucun mot de passe n’est stocké en clair ni envoyé par mail)
   3. Fonctionnalité permettant d’afficher la force du mot de passe
   4. Gestion d’un jeton crypté en md5 pour la procédure de réinitialisation
   5. Notification mail si connexion depuis un appareil non enregistré dans le profil (enregistrement IP/localisation)
   6. Protection contre les injections SQL via procédures de traitement des données entrantes/sortantes (mysql_real_escape_string, fonction xssPrevent).

• aucun lien n'est transmissible en direct, par exemple pour les téléchargements : authentification obligatoire et liens cryptés selon le profil du connecté, l’id et code du projet (cryptage SHA1) ;
• les répertoires "Projets" comportant tous les fichiers de chaque appel d'offres sont inaccessibles en https (via navigateur Internet) par les Utilisateurs. Seuls certains fichiers et/ou archives zippées sont téléchargeables dans le cadre défini par l'appel d'offre : envoi du DCE, ouverture des plis etc.
• un script de droit à l’oubli est exécuté quotidiennement par le serveur qui a pour objectif de scanner tous les comptes Utilisateurs inactifs depuis plus de 12 mois et les supprimer (ainsi que toutes les données annexes dans lesquelles leurs coordonnées apparaissent).

S'agissant des mesures organisationnelles :

• les niveaux d'accès aux informations et aux données diffèrent selon les profils (redirection vers une page 404 en cas d'accès non autorisé) ;
• les accès aux différents répertoires de la plateforme EURESIS AO et aux projets sont restreints et supposent systématiquement une requête serveur (protection via .htaccess Deny From All, Options –Indexes etc.) ;
• outre l'Utilisateur entrepreneur lui-même, le maître d'ouvrage ayant créé et/ou importé une fiche Entreprise est le seul autorisé à la désactiver, voire la supprimer.

EURESIS s’engage par ailleurs à tenir, mettre à jour et conserver des registres complets et précis concernant les traitements de données personnelles mis en œuvre par EURESIS. Ces registres détaillent ses activités de traitement.

Toutes les données collectées par EURESIS sont stockées sur des serveurs informatiques situés en Suisse, pays dont la législation relative à la protection des données à caractère personnel est considérée comme adéquate par la Commission européenne.

Le contact officiel suisse chargé de la protection des données personnelles est le Préposé fédéral à la protection des données et à la transparence, dont le siège est situé Feldeggweg 1, 3003 Berne (SUISSE).

Pour toute question complémentaire concernant la manière dont EURESIS collecte et traite les données personnelles Vous concernant, Nous Vous proposons de Nous contacter à l'adresse suivante contact@euresis.fr

* * *