Politique générale de protection des données de SAI ERP S.àr.l, ci-après SAI.

SAI s’engage à respecter la vie privée de ses clients.

La présente Politique Générale de Protection des Données a pour objet de décrire dans quel but et comment sont utilisées les données personnelles, ci-après ‘données’, que SAI collecte ou détient sur ses clients et à qui ces données peuvent être divulguées.

Les traitements de données par SAI sont soumis aux législations applicables en matière de protection des données en vigueur en Suisse, notamment à la nouvelle Loi fédérale sur la protection des données, ci-après ‘nLPD’.

SAI s’engage à :

  • n’utiliser les données que pour des finalités indiquées ;
  • ne collecter que les données qui lui sont nécessaires pour ces finalités ;
  • ne pas conserver les données plus longtemps que nécessaire pour ces finalités ;
  • ne communiquer les données qu’à des organismes ou des personnes habilités qui en ont besoin dans le cadre des activités administratives et communicationnelles ;
  • informer ses clients de manière claire et transparente sur l’utilisation qu’elle fait des données et sur les droits des clients.
  • respecter la volonté des clients quant à leurs requêtes relatives à leur données personnelles

1.     Le responsable du traitement

SAI ERP S.àr.l., Av. de la Gare 2, CP 916, 1920 Martigny est le responsable du traitement pour les Données personnelles concernées par cette Politique.

2.    Les bases de traitement sur lesquelles SAI collecte et utilise les données

Les données sont collectées et utilisées sur la base suivante.

  • Licéité.
  • Respect des principes de protection des données.
  • Dans certains cas, le consentement.

3.    Finalités (Missions)

Les données des clients sont collectées aux fins suivantes.

  • Gestion administrative ; et notamment l’envoi des factures.
  • Communication ; informer les clients sur l’ actualité de SAI et faire la promotion de nouveaux produits. Il est possible de se désabonner de ce canal.
  • Gestion opérationnelle ; l’utilisation du système de ticketing ‘Mantis’ pour la collaboration avec les clients lors des déploiements, de la résolution des anomalies, de l‘assistance et des évolutions liés à SAINet.

4.   Quel type de données personnelles sont collectées par SAI ?

  • Nom de l’entreprise
  • Titre de l’employé
  • Prénom de l’employé
  • Nom de l’employé
  • Fonction de l’employé
  • Numéro de téléphone professionnel
  • Numéro de téléphone mobile
  • Adresse e-mail professionnelle

5.    Droits en matière de protection des données

En application de la LPD, les clients ont notamment les droits suivants.

  • Droit d’accès – le client a, à tout moment et sans donner de raisons, le droit de demander à SAI des copies de ses données.
  • Droit à l’information – le client a le droit d’être informé de la façon dont ses données sont utilisées. La présente politique, ainsi que toute information supplémentaire est destinée à fournir ces informations.
  • Droit de retirer le consentement : lorsque les données sont traitées sur la base du consentement, celui-ci peut être retiré à tout moment.
  • Droit de rectification – le client a le droit de demander à SAI de rectifier les données inexactes et de compléter des données incomplètes.
  • Droit à la limitation du traitement – le client peut demander de limiter le traitement des données, si la loi le permet.
  • Droit à l’effacement /suppression – le client a le droit de demander à SAI d’effacer ou de supprimer les données, à moins qu’une base juridique ou l’intérêt légitime de SAI l’oblige ou l’autorise à conserver les données.
  • Droit d’opposition au traitement – le client a, à tout moment, le droit de s’opposer au traitement de ses données.
  • Droit à la remise ou à la transmission des données – le client a e droit de demander la remise ou la transmission des Données sur un format portable lorsque le traitement des Données se fait de manière automatisée, sur la base d’un consentement ou d’un contrat.
  • Droit de déposer plainte – si le client n’est pas satisfait de la manière dont les données sont traitées, il peut s’adresser aux tribunaux ou à l’autorité de protection des données fédérale.

L’exercice de ces droits est gratuit. Toute demande relative au traitement des données doit être effectuée à l’adresse suivante : info[at]sai-erp.net.

6.    Communication des données

SAI peut divulguer les données à ses employés, sous-traitants, consultants et fournisseurs uniquement afin de remplir ses missions et de fournir ses services et pour autant que les conditions légales sont remplies

Pour protéger la vie privée et la sécurité de ses clients, SAI peut prendre des mesures raisonnables pour vérifier leur identité avant d’accorder l’accès ou d’effectuer des corrections.

7.    Transfert à l’étranger

Les données des clients sont uniquement traitées en Suisse et ne sont pas transférées à l’étranger. Dans l’éventualité où les données étaient traitées par des sous-traitants ou des sous-sous-traitants à l’étranger, SAI a l’obligation de s’assurer que ces derniers traitent les données en conformité avec les règles imposées par la LPD.

8.    Marketing

En tant que client, des communications marketing (par exemple, des bulletins d’informations) relatives aux activités de SAI pourraient être envoyées au client, lorsqu’il a choisi de les recevoir.

Les communications marketing incluront toujours l’option pour le client de se désinscrire de la réception de toute autre communication marketing.

Le client peut se désabonner à tout moment en envoyant un courriel à info[at]sai-erp.net et en demandant que son nom soit retiré des listes liées au marketing de SAI.

9.    Cookies

SAI peut utiliser des cookies et d’autres technologies sur son site Web pour permettre la collecte de certaines informations à partir du navigateur Web du client. Les cookies sont largement utilisés sur Internet.

Les cookies sont de petits fichiers texte qui sont placés sur l’ordinateur du client par les sites web visités. Ils sont utilisés pour faire fonctionner les sites web, ou les faire fonctionner plus efficacement, ainsi que pour fournir des informations aux propriétaires du site.

SAI peut recueillir des informations sur l’ordinateur du client, y compris, le cas échéant, son adresse IP, son système d’exploitation et son type de navigateur pour l’administration du système. Il s’agit de données statistiques sur les actions et les modèles de navigation de SAI et cela ne permet pas d’identifier un individu.

Les cookies aident SAI à améliorer ses services en permettant une personnalisation plus fine. Ils aident également SAI à s’assurer que le client a lu toute information légale pertinente et à analyser la façon dont le site Web de SAI est utilisé.

10.        Sécurité

SAI s’engage à assurer la sécurité permanente des données. Celles des clients sont protégées contre tout traitement non autorisé par des mesures organisationnelles et techniques correspondant aux normes internationales, aux standards de qualité et aux progrès techniques, en particulier contre les risques de falsification, de destruction, de vol, de perte, de copie et autres traitements illicites.

SAI prend des mesures raisonnables et appropriées pour maintenir la confidentialité et l’intégrité des données et empêcher l’utilisation ou la divulgation non autorisée des données conformément à la LPD.

Ces données, notamment leurs sauvegardes et les données qui concernent les activités d’assistance aux clients sont hébergées chez un sous-traitant en Suisse.

Dans l’éventualité où les données étaient traitées par des sous-traitants et/ou des sous-sous-traitants à l’étranger, SAI a l’obligation de s’assurer qu’ils traitent les données en conformité avec les règles imposées sur la LPD.

SAI traite les données uniquement de manière compatible avec la finalité pour laquelle elles ont été collectées.

Dans la mesure où cela est nécessaire à ses fins, SAI prend des mesures raisonnables pour s’assurer que les données sont exactes, complètes, actuelles et autrement fiables en ce qui concerne leur utilisation prévue.

11.    Combien de temps SAI conserve les données ?

SAI ne conserve les données qu’aussi longtemps que nécessaire pour atteindre les finalités pour lesquelles elles ont été collectées, pour répondre aux besoins des clients et pour remplir les obligations légales de SAI.

Pour établir la durée de conservation des données, SAI applique les critères suivants.

  • Pour les relations commerciales en lien avec la vente de SAINet, SAI conserve les données pendant toute la durée contractuelle + 10 ans après la fin de la relation contractuelle.
  • Si le client a consenti à recevoir des messages marketing (par exemple, des Newsletters), SAI ERP S.àr.l. conserve les Données jusqu’à la désinscription.
  • Si des cookies sont placés sur l’ordinateur du client, SAI ne conserve les données que pour la durée nécessaire à la réalisation de l’objectif pour lequel elles ont été collectées (par exemple, pendant une session pour les cookies liés à l’inscription ou les cookies d’identification de session).

SAI peut conserver les données pour remplir ses obligations légales ou réglementaires et pour lui permettre d’exercer ses droits, par exemple pour intenter une action devant tout tribunal, ou à des fins statistiques ou historiques.

Lorsque SAI n’a plus besoin d’utiliser ou de conserver les données, SAI les supprime de ses systèmes et fichiers ou les anonymise, afin de ne plus pouvoir identifier le client.

12.  Logiciel ERP SAINet et sous-traitance

Dans le cadre de l’utilisation du logiciel ERP SAINet, les clients portent la responsabilité au regard de la LPD dans le cadre notamment de la collecte et du traitement des données personnelles de ses propres clients.

Dans ce contexte, SAI, en qualité d’éditrice et d’intégratrice de sa solution software SAINet, agit en tant que sous-traitant du responsable du traitement des données et dispose d’obligations distinctes qui lui incombent. Un sous-traitant est, selon l’art. 5 Définitions alinéa k de la LPD, la personne privée […] qui traite des données personnelles pour le compte du responsable du traitement.

Ainsi, il est essentiel de faire la distinction entre :

  1. l’exploitation des données via SAINet sur lesquelles SAI peut avoir une responsabilité dans un cadre strict et
  2. la sécurité des infrastructures que le client a choisie pour héberger, maintenir et effectuer les backups de ses données et dont SAI n’est pas responsable.

En sa qualité de sous-traitant, SAI s’engage à traiter les données personnelles de son client dans le cadre strict des instructions données par le responsable du traitement et en conformité des règles imposées par la LPD. Sauf instruction spécifique contraire, SAI traitera les données personnelles uniquement aux fins de tests de la plateforme et pour maintenir le bon fonctionnement de l’ERP SAINet. SAI s’engage, sous réserve d’instruction contraire de son client à ne jamais transférer les données personnelles de son client en dehors des serveurs de SAI et à ne jamais transmettre les données à des tiers, sous réserve d’une injonction d’une autorité suisse.

Les serveurs de SAI sont hébergés soit :

  1. Chez le client ou chez un sous-traitant désigné par le client (son hébergeur).
  2. Chez SAI auprès du sous-sous-traitant Hetzner Online GmbH. Cette société est allemande et les serveurs sont localisés dans en Allemagne. Hetzner respecte la RGPD et est notamment normée ISO 27001. Les accès SSH aux serveurs sont restreints, uniquement par clé SSH. Il n’y a pas de login/password. Les employés qui ont accès aux serveurs le font à travers cette clé SSH dont les caractéristiques de sécurité vont au-delà d’un simple login/mot de passe. Cette clé SSH est liée à une machine hardware, partant, il n’est pas possible d’accéder au serveur depuis une autre machine qui n’aurait pas ladite clé SSH.Seuls les employés de SAI listés ci-après traitent ces données. Il s’agit de : Cédric Tabin, CTO, Rémi Bloch, CPO, Fabien Brunacci, Senior dev. et Vincent Bloch, Senior Dev. Cette liste peut être modifiée unilatéralement par SAI, sans devoir faire l’objet d’une communication spécifique.Les employés de SAI signent ‘le règlement du personnel’ (dernière version : 1.1.2023) qui impose une obligation de confidentialité dont la teneur est la suivante : ‘[…] L’employé exécute en personne le travail dont il est chargé. Il veille fidèlement à la sauvegarde des intérêts légitimes de l’employeur. […] Il ne doit pas révéler ni utiliser des faits ou informations destinées à rester confidentiels quelle que soit la manière dont ils ont été portés à sa connaissance. Il veillera avec soin au support papier ou autre comportant des informations confidentielles. Il ne les utilisera que dans le cadre de son travail déployé pour l’employeur et en interdira l’accès à tout tiers non autorisé. L’employé est formellement rendu attentif au fait que l’obligation de garder le secret subsiste après la fin des rapports de travail. […].En ce qui concerne les login / mot de passe, ils sont stockés dans l’application de la même manière que sur les serveurs de production (donc saltés/hashlés[1]).

13.  Modifications de la présente politique

SAI se réserve le droit de modifier cette politique à tout moment. Toute modification de la présente politique entrera en vigueur lorsque SAI en informera les clients.

14. INFORMATIONS DE CONTACT

En cas de questions relatives à la protection des données, un courriel peut être envoyé à l’adresse suivante : info[at]sai-erp.net.

15.  Date d’entrée en vigueur

Cette politique a été mise à jour 31.10.2023

 

[1] Saltés/hashlés sont des concepts de chiffrage pour éviter que, si 2 utilisateurs ont le même mot de passe, que la même valeur soit en base de données (car du coup, un attaquant qui voit les 2 valeurs sait automatiquement que les 2 utilisateurs ont le même mot de passe). Cela évite aussi les attaques à coup de ‘rainbow tables’ (ce sont des tables précalculées) pour ‘brut forcer’ le mot de passe (cela force l’attaquant à faire les calculs, ce qui prend beaucoup plus de temps), etc. Pour résumer, aucune personne, pas même les employés de SAI ont accès à la base de données, ce qui signifie qu’l n’est pas possible de prendre connaissance des mots de passe ‘utilisateurs’.