NOTRE POLITIQUE DE CONFIDENTIALITÉ

1. GÉNÉRALITÉS

Le présent document constitue un simple document d’information visant à présenter la manière dont nous traitons les données personnelles qui nous sont communiquées dans le cadre de l’exercice normal de notre activité. Toute personne a la possibilité de consulter le présent document pour connaître notamment l’identité du responsable de traitement, les modalités d’exercice des droits, la nature des données collectées, la finalité et la base juridique des traitements, les destinataires des données et la durée de conservation des données.

Le présent document n’a pas valeur contractuelle. Pour les Clients du Cabinet, seules les conditions générales et particulières contenues dans la lettre de mission ont valeur contractuelle.

1.1. Responsable de traitement

A l’exception des données personnelles collectées par nos clients et que le Cabinet traite en qualité de sous-traitant visées à l’article 2.2, le responsable de traitement est le cabinet @BP, SARL immatriculée au RCS de Salon-de-Provence sous le numéro B 493 478 077, dont le siège social est situé 2, rue de Stockholm 13127 VITROLLES, prise en la personne de son gérant en exercice M. Didier Merle.

1.2. Droits des personnes concernées – Modalités d’exercice

A l’exception des données personnelles collectées par nos clients et que le Cabinet traite en qualité de sous-traitant visées à l’article 2.2, les personnes concernées peuvent nous demander l’accès aux données à caractère personnel, la rectification ou l’effacement de celles-ci, ou une limitation du traitement, ou du droit de s’opposer au traitement et du droit à la portabilité des données, dans les conditions et les limites prévues par la réglementation en vigueur.

Pour exercer ces droits, les personnes doivent contacter M. Didier MERLE par email à l’adresse didier.merle@cabinet-abp.fr ou par courrier postal à l’adresse suivante : Cabinet ABP – M. Didier MERLE – 2, rue de Stockholm – BP 42097 – 13846 VITROLLES cedex 9. Toute demande d’exercice des droits mentionnés ci-dessus devra être accompagnée d’un justificatif d’identité de la personne concernée. Elle sera traitée dans un délai d’un mois à compter de la réception du justificatif d’identité.En cas de circonstances particulières tenant à la complexité de la demande ou à un
grand nombre de demandes à traiter, le délai de réponse pourra être prolongé de deux mois supplémentaires.

Les personnes concernées ont également le droit d’introduire une réclamation auprès de la CNIL ou de toute autorité mentionnée sur la liste disponible auprès de la Commission européenne.

1.3. Mesures de sécurité – Modalités de stockage – Absence de transmission non autorisée à des tiers

Nous avons mis en place des mesures techniques et organisationnelles pour assurer un niveau de protection des données adéquat par rapport à la nature et la finalité des traitements.

En particulier, conformément aux préconisations de la CNIL, nous :

– Soumettons le personnel à une obligation de confidentialité ;
– Sensibilisons les personnes manipulant les données et avons rédigé unecharte informatique ayant force contraignante ;
– Avons mis en place des moyens d’authentification des utilisateurs ;
– Gérons les profils d’habilitation ;
– Traçons les accès et gère les incidents ;
– Sécurisons les postes de travail ;
– Protégeons le réseau informatique interne ;
– Sécurisons les serveurs ;
– Sécurisons les sites web ;
– Sauvegardons et prévoyons la reprise d’activité ;
– Archivons de manière sécurisée ;
– Encadrons la maintenance des données
– Gérons la sous-traitance ;
– Sécurisons les échanges avec d’autres organismes ;
– Protégeons les locaux ;
– Utilisons des fonctions cryptographiques.

Il est toutefois rappelé que l’obligation de sécurisation trouve sa limite dans l’état de la technique et qu’elle n’est qu’une obligation de moyens, nous ne pouvons garantir à 100 % l’absence d’atteintes aux données stockées.

Toutes les données personnelles qui nous sont transmises sont stockées exclusivement en France et ne sont en aucun cas transférées hors de l’Union Européenne. En cas de recours à des partenaires situés hors de l’Union Européenne, nous nous engageons à vérifier que des mesures appropriées ont été mises en place afin que les données personnelles des utilisateurs bénéficient d’un
niveau de protection adéquat.

Les données personnelles collectées par le Cabinet ne sont en aucun cas commercialisées ou transmises à des tiers sans l’autorisation expresse de la personne concernée.

1.4. Assurance

Nous avons souscrit une assurance spécifique pour couvrir le risque d’atteinte à des
données personnelles, auprès d’une compagnie d’assurances notoirement solvable.
Une attestation d’assurance peut être fournie sur simple demande écrite.

2. DONNÉES PERSONNELLES DES CLIENTS

2.1. Traitements mis en œuvre par le Cabinet en qualité de responsable de traitement :

Au sens du Règlement UE n°2016/679 du 27 avril 2016 dit « Règlement Général sur la Protection des Données (RGPD) » (ci-après « le Règlement »), nous avons la qualité de responsable de traitement pour les données à caractère personnel que nous collectons nous-mêmes.

Dans le cadre de notre activité courante, nous sommes amenés à collecter des données personnelles dans le cadre de la gestion de la relation client et le suivi des obligations fiscales personnelles du dirigeant.

2.1.1. La gestion de la relation client

Le traitement a pour finalité la gestion de la relation avec le Client. Les données sont utilisées pour l’établissement et le suivi des lettres de mission, la comptabilité, la facturation, le recouvrement et l’envoi d’informations commerciales.

La base juridique du traitement est la nécessité d’exécuter la mission confiée par le Client au Cabinet.

Les catégories de données collectées sont les suivantes : nom, prénom, adresse postale professionnelle et personnelle, numéro de téléphone professionnel et éventuellement personnel si le Client souhaite le communiquer, adresse email professionnelle et éventuellement personnelle si le Client souhaite la communiquer, RIB.

Les catégories de personnes concernées sont : le(s) dirigeant(s) si le Client est une personne morale, le Client si celui-ci est une personne physique, et de façon ponctuelle, le(s) préposé(s) du Client servant d’interlocuteur(s) au Cabinet dans le cadre de l’exécution de la mission.

Les données sont conservées pendant toute la durée de la relation contractuelle augmentée d’un délai de cinq ans à compter de la fin de la relation contractuelle.

Les destinataires susceptibles d’accéder aux données sont : le personnel habilité du Cabinet @BP, le(s) prestataires informatiques du Cabinet @BP.

La fourniture des informations présente un caractère contractuel. A défaut de fournir les informations, le Client ne pourra pas contracter avec le Cabinet.

2.1.2. Suivi des obligations fiscales personnelles du dirigeant

Le traitement a pour finalité le suivi de ses obligations fiscales personnelles du dirigeant d’entreprise. Les données sont utilisées pour l’établissement des déclarations fiscales personnelles du dirigeant auprès des services des impôts, et le conseil au dirigeant.

La base juridique du traitement est la nécessité d’exécuter la mission confiée par le Client au Cabinet.

Les catégories de données traitées sont les données suivantes : nom, prénom, date et lieu de naissance, nationalité, numéro de téléphone, adresse mail, adresse postale, numéro de sécurité sociale, coordonnées bancaires, situation matrimoniale et familiale, numéro fiscal et taux d’imposition, revenus et patrimoine.

Les catégories de personnes concernées sont : les chefs d’entreprise ainsi que leurs conjoints et leurs enfants.

Les données sont conservées par le Cabinet pendant une durée de 10 ans à compter de la dernière déclaration fiscale.

Les destinataires susceptibles d’accéder aux données sont : le personnel habilité du Cabinet @BP, le(s) prestataires informatiques du Cabinet @BP.

La fourniture des informations présente un caractère contractuel. A défaut de fournir les informations, le Client ne pourra pas contracter avec le Cabinet.

2.2. Traitements mis en œuvre par le Cabinet pour le compte de ses clients, en qualité de sous-traitant :

Au sens du Règlement UE n°2016/679 du 27 avril 2016 dit « Règlement Général sur la Protection des Données (RGPD) » (ci-après « le Règlement »), nous avons la qualité de sous-traitant pour les données à caractère personnel que nous traitons pour le compte de nos clients.

En signant la lettre de mission, le Client nous autorise à traiter les données à caractère personnel nécessaires à la réalisation des prestations prévues dans la lettre de mission, dans les conditions définies ci-après.

En fonction du périmètre de la mission qui nous est confiée par le Client, nous sommes susceptibles de réaliser deux types de traitements de données à caractère personnel pour le compte du Client.

2.2.1. Suivi de l’exécution des contrats de travail du personnel du Client :

Nous traitons les données personnelles relatives aux membres du personnel du Client dans le cadre du suivi de l’exécution des contrats de travail, afin de permettre au Client de répondre aux obligations légales et réglementaires en matière sociale et de lui fournir des prestations de conseil dans ce domaine.

Les données sont utilisées pour l’établissement de tous documents en lien avec la conclusion, l’exécution et la rupture du contrat de travail (contrat de travail, bulletins de paie, soldes de tout compte, lettres de licenciement, déclarations aux organismes sociaux, …).

Les catégories de données traitées sont les données suivantes relatives aux membres du personnel du Client : intitulé du poste, nom, prénom, date et lieu de naissance, nationalité, numéro de téléphone, adresse mail, adresse postale, numéro de sécurité sociale du salarié et des membres de sa famille, coordonnées bancaires, nom et coordonnées de la personne à prévenir en cas d’urgence, photographie, situation matrimoniale et familiale, numéro fiscal et taux d’imposition, revenus
salariés, déplacements professionnels (notes de frais), contrôle des accès aux locaux ou aux réseaux et applications , permis de conduire, carte grise, arrêts maladie, comptes rendus de visites médicales, existence et nature d’un handicap.

Les catégories de personnes concernées sont tous les membres du personnel du Client : salariés, stagiaires, alternants, intérimaires ou autres.

Nous conservons les données sont conservées pendant toute la durée du contrat de la personne concernée avec son employeur, augmentée d’une durée de 5 ans à compter de la rupture du contrat, à l’exception des bulletins de paie qui sont conservés pendant 30 ans et des données de contrôle d’accès aux locaux ou réseaux informatiques et applications qui sont conservées pendant 3 mois.

2.2.2 Suivi des obligations comptables, fiscales, sociales et juridiques de l’entreprise

Nous traitons les données personnelles relatives au chef d’entreprise, aux associés dans le cadre du suivi des obligations fiscales, sociales et juridiques de l’entreprise du Client.

Les données sont utilisées pour :

– La création de l’entreprise (rédaction des statuts, formalités juridiques) et les actes juridiques établis tout au long de la vie de l’entreprise (procès-verbaux d’assemblée, cessions de parts, etc.),
– L’établissement des documents comptables de l’entreprise (bilan, compte de résultat et annexes) :
– L’établissement des déclarations fiscales auprès des services des impôts,
– L’établissement des déclarations sociales auprès des organismes compétents,
– Le conseil dans l’ensemble de ces domaines.

Les catégories de données traitées sont les données suivantes : nom, prénom, date et lieu de naissance, nationalité, numéro de téléphone, adresse mail, adresse postale, numéro de sécurité sociale, coordonnées bancaires, situation matrimoniale et familiale, date du mariage ou du PACS, numéro fiscal et taux d’imposition, revenus, déplacements professionnels (notes de frais), carte grise.

Les catégories de personnes concernées sont les associés et les dirigeants de l’entreprise Cliente ainsi que leurs conjoints et leurs enfants.

Nous conservons les données pendant toute la durée de la mission du Cabinet, augmentée d’une durée de 10 ans à compter de la fin de la mission.

2.2.3. Nos engagements en notre qualité de sous-traitant

Nous nous engageons à :

1. traiter les données uniquement pour la finalité objet de la lettre de mission ;

2. traiter les données conformément aux instructions du Client. Si nous considérons qu’une instruction constitue une violation du Règlement ou de toute autre disposition du droit de l’Union européenne ou du droit des Etats membres relative à la protection des données, nous en informons immédiatement le Client. En outre, si le Cabinet est tenu de procéder à un transfert de données vers un pays tiers ou à une organisation internationale, en vertu du droit de l’Union européenne ou du droit de l’Etat membre auquel il est soumis, nous informons le Client de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public ;

3. garantir la confidentialité des données à caractère personnel traitées dans le cadre
de la mission ;

4. veiller à ce que les personnes autorisées à traiter les données à caractère personnel en vertu de la mission :
– s’engagent à respecter la confidentialité ou soient légalement soumises à une obligation de confidentialité,
– reçoivent la formation nécessaire en matière de protection des données à caractère personnel ;

5. prendre en compte, s’agissant de nos outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut ;

6. Sous-traitance
En signant la lettre de mission, le Client nous autorise à faire appel à d’autres sous-traitants pour assurer la saisie des données et leur traitement par des logiciels, leur hébergement et leur transmission aux organismes fiscaux et sociaux. La liste des sous-traitants à la date de la signature de la lettre de mission figure en annexe de celle-ci. Nous informons le Client de tout changement de ces sous-traitants en précisant les activités de traitement sous-traitées, l’identité et les coordonnées du
sous-traitant.

Nous nous assurons que nos propres sous-traitants présentent les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du Règlement.

7. Droit d’information des personnes concernées
Il appartient au Client de fournir l’information aux personnes concernées par les opérations de traitement au moment de la collecte des données.

8. Exercice des droits des personnes
Dans la mesure du possible, nous aidons le Client à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées : droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage).
Si les personnes concernées exercent auprès de nous des demandes d’exercice de leurs droits, nous les transmettons immédiatement au Client afin qu’il puisse y répondre lui-même.

9. Notification des violations de données à caractère personnel
Dès que nous avons connaissance d’une violation de données, nous en informons par écrit le Client, et ce dans un bref délai compatible avec le délai de notification que le Client doit lui-même respecter (72 heures à compter de la connaissance de la violation). Cette information est accompagnée de toute documentation utile afin de permettre au Client, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente.

10. Mesures de sécurité
Nous mettons en œuvre les mesures de sécurité techniques normalement attendues par rapport à l’état de la technique et par rapport aux risques encourus, tant pour les locaux que pour le système d’information.

Nous avons également adopté les mesures organisationnelles appropriées pour assurer la sécurité des données : politique de gestion des accès logiques, sensibilisation des utilisateurs en interne, obligation de confidentialité, utilisation d’outils informatiques adaptés à l’activité d’expertise comptable.

11. Sort des données
Au terme de notre mission, nous restituons au Client les données pour lesquels le délai de conservation est expiré au moment de la fin de la mission. Nous conservons les autres données dans nos archives jusqu’à expiration du délai de conservation.

12. Registre des catégories d’activités de traitement
Nous tenons par écrit un registre de toutes les catégories d’activités de traitement effectuées pour le compte du Client conformément à l’article 30.2 du Règlement.

14. Documentation
Sur simple demande écrite du Client, nous fournissons la documentation nécessaire pour démontrer le respect de toutes ses obligations vis-à-vis du Règlement.

2.2.4. Engagements du Client

Nous demandons à nos Clients de s’engager à :
– Respecter la réglementation en vigueur, notamment la loi Informatique et Libertés telle que modifiée et le Règlement Général sur la Protection des Données personnelles,
– nous fournir les données nécessaires à l’exercice de notre mission,
– nous fournir des instructions écrites concernant le traitement des données par le Cabinet.

3. DONNÉES PERSONNELLES DES MEMBRES DU PERSONNEL :

Nous traitons un certain nombre de données personnelles relatives aux membres de notre personnel.

Les catégories de données personnelles suivantes sont collectées en vue de respecter des obligations légales imposées par la réglementation sociale et fiscale en vigueur : nom, prénom, civilité, date et lieu de naissance, nationalité, adresse postale, revenus salariés, existence et nature d’un handicap, numéro de Sécurité Sociale et de mutuelle du salarié, de son époux/épouse et de ses enfants, arrêts de travail, numéro fiscal et taux d’imposition, intitulé du poste, nom et coordonnées de la personne à prévenir en cas d’urgence.

Les catégorisés de données personnelles suivantes sont collectées en vue de pouvoir exécuter le contrat de travail et dans un but d’intérêt légitime tenant à la gestion du personnel et à la sécurisation des données : photographie, numéro de téléphone, adresse email personnelle et/ou professionnelle, références bancaires, curriculum vitae et toutes les données à caractère personnel que la personne concernée y a mentionnées (notamment situation familiale et matrimoniale, formation, expérience professionnelle, loisirs), comptes rendus d’entretiens annuels,
casier judiciaire, situation familiale et matrimoniale, déplacements professionnels, contrôle d’accès aux locaux ou au réseau et applications, adresse IP utilisée sur le lieu de travail, données de connexion et de navigation.

Les catégories de personnes concernées sont tous les membres du personnel du cabinet (salariés, stagiaires, intérimaires, alternants…) ainsi que leurs conjoints et leurs enfants.

Le traitement est effectué dans un but de gestion des ressources humaines et dans un but de sécurisation de la confidentialité des données du cabinet. Les données à caractère personnel sont utilisées principalement pour l’établissement des contrats de travail et de tous les documents en lien avec la conclusion, l’exécution ou la rupture du contrat de travail (bulletins de salaire, soldes de tout compte, etc…), la transmission d’informations obligatoires aux organismes sociaux et fiscaux, la
gestion de la paye et de la comptabilité, la gestion de la carrière des salariés, la gestion de la formation professionnelle des salariés.

La base juridique du traitement est le respect d’obligations légales imposées par la réglementation sociale et fiscale pour les données à caractère personnel présentant un caractère réglementaire. Pour les autres types de données, la base juridique du traitement est la nécessité d’exécuter le contrat de travail ainsi que l’intérêt légitime tenant à la gestion du personnel et à la sécurisation des données du cabinet.

Les données personnelles sont susceptibles d’être transmises aux personnes suivantes : direction du cabinet @BP, organismes sociaux et fiscaux, organismes de retraite, organismes de mutuelle et de prévoyance, organismes de financement de la formation professionnelle, organismes de formation, prestataires informatiques du cabinet @BP (hébergeur, prestataires intervenant sur le réseau interne, éditeurs de logiciels ou applications assurant la maintenance et/ou le support).

Les données présentant un caractère réglementaire sont collectées pendant toute la durée légale de conservation prévue par les dispositions fiscales et sociales en vigueur. Les autres données sont conservées pendant toute la durée du contrat de travail et sont effacées à l’expiration d’un délai de 5 ans à compter de la rupture du contrat.

La fourniture des données a un caractère réglementaire pour une partie des données et un caractère contractuel pour les autres données. Elle conditionne la conclusion du contrat de travail. La personne est tenue de les fournir ; à défaut, la personne s’expose à la rupture de son contrat de travail.

4. DONNÉES PERSONNELLES DES PROSPECTS, FOURNISSEURS ET AUTRES PERSONNES AMENÉES A ENTRER EN CONTACT PROFESSIONNEL AVEC LE CABINET @BP :

Nous possédons des données personnelles relatives à nos prospects, à nos fournisseurs ainsi qu’à toute personne amenée à entrer en contact professionnel avec nous, que ce soit via le formulaire de contact du site internet www.expertcomptable-abp.fr, par téléphone, par email, par rendez-vous physique ou par courrier postal.

Les catégories de données personnelles suivantes sont susceptibles d’être collectées : nom, prénom, civilité, adresse email professionnelle et personnelle,
numéro de téléphone professionnelle et personnelle, adresse postale professionnelle et personnelle, service et fonction dans l’entreprise, curriculum vitae et toutes les
informations y figurant (notamment (notamment situation familiale et matrimoniale, formation, expérience professionnelle, loisirs).

Les catégories de personnes concernées sont toutes les personnes physiques qui sont amenées à entrer en contact professionnel avec le cabinet @BP, sans en être clients, à savoir notamment et sans que cette liste soit limitative : prospects, fournisseurs actuels ou potentiels, candidats à un emploi ou à un stage, partenaires potentiels.

Le traitement est effectué dans des buts de prospection commerciale, gestion des achats et gestion des ressources humaines, développement de l’activité du cabinet. Les données sont susceptibles d’être utilisées pour contacter les personnes soit pour répondre à une sollicitation de leur part, soit en vue de leur adresser des informations sur l’activité du cabinet.

La base juridique du traitement est l’intérêt légitime tenant à l’exercice normal et au développement de l’activité de l’entreprise et/ou l’exécution d’un contrat et/ou le consentement de la personne.

Les données personnelles ne sont en aucun cas transmises à des tiers sans l’autorisation des personnes concernées. Elles sont utilisées en interne par les membres du cabinet et peuvent être accessibles par les prestataires informatiques du cabinet dans le cadre de l’hébergement des données et de la maintenance du réseau, des logiciels et du matériel utilisés par le cabinet.

Les données sont conservées jusqu’à demande de suppression par la personne concernée sans pouvoir dépasser cinq ans lorsque la personne concernée n’est pas en lien contractuel avec le Cabinet et pendant toute la durée du contrat augmentée de cinq ans à compter de la fin du contrat lorsque la personne concernée est en relation contractuelle avec le Cabinet.