Notre politique de confidentialité
concernant les données clients

1) Définitions

Service

Le service de gestion de flottes mobiles professionnelles TinyMDM

Données personnelles

Les données personnelles désignent les données concernant une personne vivante qui peut être identifiée à partir de ces données (ou à partir de celles-ci et d’autres informations en notre possession ou susceptibles d’entrer en notre possession).

Données d’utilisation

Les données d’utilisation sont des données collectées automatiquement soit générées par l’utilisation du service, soit à partir de l’infrastructure du service elle-même (par exemple, la durée d’une visite de page).

Responsable de traitement

Le Responsable de traitement désigne la personne physique ou morale, l’autorité publique, l’agence ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du Traitement des Données personnelles.

Traitement

Traitement désigne toute opération ou ensemble d’opérations effectuées sur des données personnelles, englobant la collecte, l’enregistrement, l’organisation, la structuration, le stockage, l’adaptation ou la modification, la récupération, la consultation, l’utilisation, la divulgation par transmission, la diffusion ou toute autre mise à disposition, l’alignement ou la combinaison, la restriction ou l’effacement des données personnelles. Les termes « Traiter », « Traiter » et « Traité » seront interprétés en conséquence.

Processeurs de données (ou fournisseurs de services)

Sous-traitant (ou fournisseur de services) désigne toute personne physique ou morale qui traite les données pour le compte du responsable du traitement. Nous pouvons utiliser les services de divers fournisseurs de services afin de traiter vos données plus efficacement.

Sous-traitant ultérieur

Sous-traitant ultérieur désigne tout sous-traitant engagé par nous ou nos sociétés affiliées pour nous aider à remplir nos obligations en ce qui concerne la fourniture des services d’abonnement en vertu du contrat. Les sous-traitants ultérieurs peuvent inclure des tiers ou nos sociétés affiliées, mais excluent tout employé ou consultant TinyMDM.

Personne concernée (ou utilisateur ou client)

La personne concernée est toute personne vivante qui utilise notre service et qui fait l’objet de données personnelles.

Violation des données personnelles

Violation de données à caractère personnel désigne une violation de la sécurité entraînant la destruction accidentelle ou illégale, la perte, l’altération, la divulgation non autorisée ou l’accès aux données personnelles transmises, stockées ou autrement traitées par nous et/ou nos sous-traitants ultérieurs en relation avec la fourniture des Services d’abonnement. La “violation des données personnelles” n’inclut pas les tentatives infructueuses ou les activités qui ne compromettent pas la sécurité des données personnelles, y compris les tentatives de connexion infructueuses, les pings, les analyses de port, les attaques par déni de service et autres attaques réseau sur les pare-feu ou les systèmes en réseau.

2) Qu’est-ce qu’une donnée à caractère personnel?

Le terme “données à caractère personnel” est la porte d’entrée de l’application du RGPD : il s’applique dès qu’un traitement de données concerne des données personnelles. Les données à caractère personnel sont toutes les informations qui se rapportent à une personne physique identifiée ou identifiable (Art.4 du RGPD).

Les informations personnelles sont des informations qui vous identifient ou qui peuvent être combinées par nous ou nos prestataires de services et sociétés affiliées avec d’autres informations pour vous identifier. Ces informations peuvent inclure votre nom et prénom, votre adresse e-mail, votre adresse personnelle, votre numéro de téléphone, des données de localisation, une adresse de protocole Internet (IP), un identifiant de cookie, votre image, et peuvent inclure votre âge, vos revenus et d’autres informations similaires. informations lorsqu’elles sont associées à vous. Les informations personnelles peuvent également être des informations contenant des détails indiquant si vous avez ouvert nos e-mails promotionnels ou comment vous avez utilisé notre site Web, si nous pouvons associer ces informations personnelles avec vous.

3) Les informations que nous recueillons

Nous recueillons des informations personnelles auprès de vous lorsque vous créez un compte, effectuez un achat, communiquez avec nous à l’aide de nos formulaires Web pour faire une demande ou poser une question, soumettez une évaluation de produit, répondez à un sondage ou soumettez des informations personnelles. Vous trouverez ci-dessous une liste détaillée de toutes les données personnelles que nous stockons, qu’elles soient fournies par l’utilisateur ou collectées automatiquement. Veuillez noter que toutes ces informations sont stockées en Europe uniquement.

A. Les données personnelles Fournies par l’utilisateur et pour lesquelles TinyMDM est responsable de traitement:

  • Informations sur le compte : email, prénom, nom, nombre de licences, fin de l’abonnement, adresse de la société, numéro de téléphone de la société, nom de la société, pays de la société, adresse email pour la comptabilité, adresse email pour le service Google API.
    • Finalité: assurer le Service (connexion, facturation, utiliser les API Google).
    • Délai de conservation: toutes les données personnelles sont supprimées 6 mois après la suppression du compte dans l’optique d’être en mesure de rétablir le compte en cas d’erreur. Les coordonnées du contact principal seront conservées 5 ans après la suppression du compte pour des raisons de suivi de facturation, si applicable.
  • Mode de paiement : Type cb / SEPA Debit (4 derniers chiffres)
    • Finalité: gestion des paiements en ligne.
    • Délai de conservation: supprimé immédiatement si le Client supprime le moyen de paiement. Supprimé 6 mois après la suppression du compte, ou 2 ans après la fin de l’abonnement.

B. Les données personnelles collectées automatiquement et pour lesquelles TinyMDM est responsable de traitement:

  • Factures
    • Finalité: facturation du Service.
    • Délai de conservation: supprimé 10 ans après la suppression du compte, conformément aux obligations issues du code de commerce (Article L. 123-22 alinéa 2 du Code de commerce), hormis les autres données à caractère personnel relatives au Client, qui sont anonymisées au bout de 5 ans.
  • ID de référence Stripe
    • Finalité: facturation du Service et paiement en ligne.
    • Délai de conservation: supprimé 10 ans après la suppression du compte hormis les données à caractère personnel relatives au Client, qui sont anonymisées au bout de 5 ans.
  • Gestionnaires: dernière heure de connexion et adresse IP
    • Finalité: assurer la sécurité du compte.
    • Délai de conservation: supprimé immédiatement si le Client supprime le Gestionnaire. Supprimé 6 mois après la suppression du compte, ou 2 ans après la fin de l’abonnement.
  • Journaux d’action du tableau de bord
    • Finalité: assurer la sécurité du compte.
    • Délai de conservation: supprimé 6 mois après la suppression du compte, ou 2 ans après la fin de l’abonnement.
  • ID de l’entreprise utilisant le Service Google API
    • Finalité: assurer le Service (utiliser les API Google).
    • Délai de conservation: supprimé 6 mois après la suppression du compte, ou 2 ans après la fin de l’abonnement.
  • Appareils : fabricant, identifiants techniques, IP, identifiants SIM (iccid, imei, numéro de téléphone), applications installées, état et santé de la batterie, version du système d’exploitation, mise à jour du système d’exploitation en attente, signature du système, état du GPS
    • Finalité: assurer le Service (contrôle et gestion des appareils répertoriés).
    • Délai de conservation: supprimé immédiatement lors d’une réinitialisation effective de l’appareil. Anonymisé 6 mois après la suppression du compte, ou 2 ans après la date de fin d’abonnement (toute référence aux données personnelles est supprimée).
  • Politiques : historique des sites web visités au cours des 15 derniers jours (uniquement si l’option est activée par l’administrateur)
    • Finalité: assurer le Service (contrôle et gestion des appareils répertoriés).
    • Délai de conservation: supprimé automatiquement au bout de 15 jours.

C. Les données personnelles fournies par l’utilisateur et pour lesquelles TinyMDM est sous-traitant (cf. notre DPA):

  • Contacts partagés : nom du contact, email, numéro de téléphone, note.
    • Finalité: fournir un annuaire automatisé sur les appareils gérés.
    • Délai de conservation: supprimé immédiatement si le Client supprime le contact partagé. Supprimé 6 mois après la suppression du compte, ou 2 ans après la fin de l’abonnement.
  • Fichiers partagés : fichiers téléchargés par l’utilisateur
    • Finalité: permettre de partager des fichiers vers les appareils répertoriés
    • Délai de conservation: supprimé immédiatement si le Client supprime le fichier partagé. Supprimé 6 mois après la suppression du compte, ou 2 ans après la fin de l’abonnement.
  • Gestionnaires : email du gestionnaire.
    • Finalité: permettre à différents gestionnaires de se connecter au compte et assurer la sécurité du compte
    • Délai de conservation: supprimé immédiatement si le Client supprime le Gestionnaire. Supprimé 6 mois après la suppression du compte, ou 2 ans après la fin de l’abonnement.
  • Appareils: nom des appareils.
    • Finalité: attribuer un appareil nommé à un utilisateur nommé.
    • Délai de conservation: supprimé immédiatement lors d’une réinitialisation effective de l’appareil. Anonymisé 6 mois après la suppression du compte, ou 2 ans après la date de fin d’abonnement (toute référence aux données personnelles est supprimée).
  • Certificats CA
    • Finalité: permettre aux appareils de se connecter à des intranets d’entreprise
    • Délai de conservation: supprimé immédiatement lors de la suppression du fichier. Supprimé 6 mois après la suppression du compte, ou 2 ans après la date de fin d’abonnement.
  • Réseaux Wi-Fi: liste des réseaux Wi-Fi avec mot de passe, certificats de Wi-Fi EAP.
    • Finalité: permettre aux appareils de se connecter à des réseaux Wi-Fi d’entreprise.
    • Délai de conservation: supprimé immédiatement lors de la suppression du réseau. Supprimé 6 mois après la suppression du compte, ou 2 ans après la date de fin d’abonnement.
  • Politiques : configurations choisies et sauvegardées pour un groupe d’appareils.
    • Finalité: assurer le contrôle des appareils enregistrés.
    • Délai de conservation: supprimé immédiatement lors d’un effacement de la politique. Anonymisé 6 mois après la suppression du compte, ou 2 ans après la date de fin d’abonnement (toute référence aux données personnelles est supprimée).
  • Utilisateurs : email, nom, nom du répertoire, appareil associé, champs personnalisés.
    • Finalité: attribuer des appareils à des utilisateurs nommés, pouvoir pousser des configurations managées.
    • Délai de conservation: supprimé immédiatement si le Client efface l’utilisateur. Anonymisé 6 mois après la suppression du compte, ou 2 ans après la date de fin d’abonnement (toute référence aux données personnelles est supprimée).
  • Applications sur le TinyMDM Store
    • Finalité: permet de gérer des applications privées sans passer par le Google Play Store.
    • Délai de conservation: supprimé immédiatement lors de la suppression de l’application. Supprimé 6 mois après la suppression du compte, ou 2 ans après la date de fin d’abonnement.

D. Les données de géolocalisation:

  • Nous pouvons utiliser et stocker des informations sur l’emplacement des appareils (50 derniers points de géolocalisation), seulement si vous nous en donnez l’autorisation (“Données de localisation”). Nous utilisons ces données pour fournir des fonctionnalités de notre Service.
  • Les Services de géolocalisation sont conçus pour être utilisés uniquement sur les appareils appartenant à l’entreprise. En effet, la géolocalisation n’est pas une option pour les appareils BYOD personnels des employés, et elle est désactivée par défaut pour les appareils professionnels. Les utilisateurs finaux devront activer les Services de localisation pour que les entreprises puissent suivre les appareils.
  • Durée de conservation: L’employeur ne doit conserver les données collectées que pour la durée nécessaire au traitement c’est-à-dire le temps dont il en a besoin pour atteindre l’objectif poursuivi par le dispositif. La durée de conservation varie donc en fonction de la nature des informations collectées et de la finalité du traitement. Selon la CNIL (FRANCE), en principe, les informations obtenues par la géolocalisation ne doivent pas être conservées plus de deux mois. Toutefois, elles peuvent être conservées un an lorsqu’elles sont utilisées pour optimiser les tournées ou à des fins de preuve des interventions effectuées, lorsqu’il n’est pas possible de rapporter cette preuve par un autre moyen. Enfin, elles peuvent être conservées cinq ans lorsqu’elles sont utilisées pour le suivi du temps de travail. Ceci étant dit, chez TinyMDM, et conformément au RGPD, nous ne conservons les données de géolocalisation que 2 mois, et dans la limitation de 50 points de géolocalisation maximum.

4) Différence entre les terminaux personnels et les appareils mobiles appartenant à l’entreprise

Si vous avez été invité par votre entreprise à ajouter un profil professionnel sur votre appareil personnel, alors NOUS NE COLLECTONS PAS d’informations personnelles liées à l’utilisation privée de votre appareil (en dehors du profil professionnel). Vous pouvez désactiver l’autorisation de localisation ou ne pas l’accorder la première fois si vous ne souhaitez pas partager la localisation.

5) Finalités du traitement des données à caractère personnel

  • Pour fournir et améliorer le Service d’abonnement

Nous utilisons les informations de votre compte et les données client pour vous fournir les produits et Services. Par exemple, nous utilisons l’adresse e-mail que vous fournissez lors de l’inscription au produit pour créer votre compte utilisateur, et nous utilisons vos informations de paiement pour traiter les paiements pour l’utilisation payante du Service d’abonnement. Nous recueillons des données sur la façon dont nos produits et Services sont utilisés en surveillant et en suivant les utilisateurs de nos produits. Nous utilisons ces données pour développer et améliorer nos produits et Services. Par exemple, nous utilisons les données d’utilisation pour évaluer les tendances et l’utilisation du produit afin de nous aider à déterminer les nouvelles fonctionnalités ou intégrations qui pourraient intéresser nos utilisateurs.

  • Pour sécuriser et protéger nos produits et les utilisateurs de TinyMDM

Nous utilisons les informations de votre compte pour enquêter et aider à prévenir les incidents de sécurité. Nous pouvons également utiliser ces informations pour répondre aux exigences légales. Nous utilisons vos informations pour vérifier les comptes d’utilisateurs et les inscriptions à de nouveaux produits, ainsi que pour détecter et prévenir les abus de produits.

  • Pour communiquer avec vous au sujet des Services

Nous utilisons les données que vous fournissez lors de votre inscription au Service d’abonnement pour vous contacter par e-mail ou notification dans l’application concernant la facturation, la gestion de compte, l’invitation à des événements, l’envoi de la newsletter, de devis, de la documentation technique et commerciale… Nous vous envoyons des mises à jour concernant nos Conditions d’utilisation du Service client ou d’autres accords juridiques. Nous pouvons également communiquer avec vous au sujet d’incidents de sécurité par e-mail ou par notification dans l’application. Nous utilisons vos informations pour fournir un support client, tel que la résolution des problèmes techniques que vous rencontrez.

  • Pour améliorer notre suivi de relation clients

TinyMDM peut surveiller et enregistrer les communications avec vous (telles que les conversations téléphoniques et les e-mails) à des fins d’assurance qualité, de formation, de prévention de la fraude et de conformité.

  • Réseaux sociaux

Nos sites Web incluent des fonctionnalités de réseaux sociaux, telles que le bouton “J’aime” de Linkedin ou de Youtube et des widgets, tels que le bouton de partage. Ces fonctionnalités peuvent collecter votre adresse IP, la page que vous visitez sur nos sites, et peuvent définir un cookie pour permettre à la fonctionnalité de fonctionner correctement. Les fonctionnalités et les widgets des médias sociaux sont soit hébergés par un tiers, soit hébergés directement sur nos sites Web. Cette politique de confidentialité ne s’applique pas à ces fonctionnalités. Vos interactions avec ces fonctionnalités sont régies par la politique de confidentialité et d’autres politiques des sociétés qui les fournissent.

6) Mesures de sécurité des données à caractère personnel

Nous sommes soucieux de préserver la confidentialité de vos informations. Nous fournissons des garanties physiques, électroniques et procédurales pour protéger les informations que nous traitons et conservons. Par exemple, nous limitons l’accès à ces informations aux employés et sous-traitants autorisés qui ont besoin de les connaître pour exploiter, développer ou améliorer notre application. Veuillez noter que, bien que nous nous efforcions de fournir une sécurité raisonnable pour les informations que nous traitons et conservons, aucun système de sécurité ne peut empêcher toutes les violations potentielles de la sécurité.

Nous utilisons diverses technologies et procédures de sécurité pour aider à protéger vos données personnelles contre tout accès, utilisation ou divulgation non autorisés. Nous sécurisons les données personnelles que vous fournissez sur des serveurs informatiques dans un environnement contrôlé et sécurisé, protégé contre tout accès, utilisation ou divulgation non autorisés. Toutes les données personnelles sont protégées par des mesures physiques, techniques et organisationnelles appropriées, que vous pouvez consulter ici.

7) Transfert des données en dehors de l’UE

Vos informations personnelles peuvent être utilisées ou stockées par nous ou nos prestataires de Services et nos sociétés affiliées en dehors de l’Espace économique européen aux fins décrites dans le présent accord de sous-traitance de vos données personnelles (DPA). Nous exigeons que nos fournisseurs de Services et nos sociétés affiliées protègent vos informations personnelles. Tout transfert de vos données sera soumis à un contrat approuvé par la Commission européenne qui protégera vos droits à la vie privée et vous donnera des recours dans le cas peu probable d’une violation de la sécurité.

8) En cas de violation des données à caractère personnel

Nous nous engageons également à informer nos clients de tout dysfonctionnement entraînant accidentellement ou illégalement la destruction, la perte, l’altération, la divulgation ou l’accès non autorisés de données à caractère personnel dans les 72h suivant le moment où nous en avons eu connaissance (Art. 33 du RGPD), sauf si ce dysfonctionnement n’est pas susceptible d’entraîner un risque pour les droits et libertés ou les personnes physiques.

À votre demande, nous vous fournirons rapidement l’assistance raisonnable nécessaire pour vous permettre de notifier les violations de données personnelles pertinentes aux autorités compétentes et/ou aux personnes concernées, si vous êtes tenu de le faire en vertu des lois sur la protection des données.

Par ailleurs, dans l’hypothèse où la violation serait susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, nous communiquerons la violation des Données à Caractère Personnel à la Personne Concernée dans les meilleurs délais, sauf si nous avons mis en œuvre les mesures de protection techniques et organisationnelles appropriées et que ces mesures ont été appliquées aux Données à Caractère Personnel affectées par ladite violation, en particulier les mesures qui rendent les Données à Caractère Personnel incompréhensibles pour toute personne qui n’est pas autorisée à y avoir accès, telles que le chiffrement.

9) Droit des personnes concernées

A tout moment, à la demande d’un titulaire de compte, tinymdm.net, tinymdm.fr, et autres Services B2B de TinyMDM s’engagent, dans un délai de 30 jours:

  • Exporter leurs données utilisateur.
  • Supprimer les données utilisateur.
  • Mettre à jour les données utilisateur.
  • Supprimer le compte.

Selon le RGPD, les données à caractère personnel doivent être immédiatement effacées sur demande lorsque les données ne sont plus nécessaires à leur finalité de traitement initiale, ou lorsque la personne concernée a retiré son consentement et qu’il n’existe pas d’autre motif légal de traitement (article 17 du RGPD).

Pour supprimer votre compte, veuillez consulter la console d’administration TinyMDM, onglet Mon Compte et cliquer sur Supprimer mon compte. Pour demander l’effacement de vos données, faites une demande écrite à rgpd[at]arsnovasystems.com. Si aucune exception ne s’applique, nous prendrons des mesures dans un délai d’un mois pour assurer l’effacement des données des systèmes de sauvegarde ainsi que des systèmes actifs. Si nous avons des doutes sur l’identité de la personne qui fait la demande, nous sommes dans le droit de demander plus d’informations.

10) Utilisation de cookies

Les cookies sont de petits fichiers texte qui sont stockés dans le répertoire du navigateur. Ils permettent notamment aux propriétaires de site de comprendre comment les visiteurs utilisent leur site, de mémoriser les identifiants des utilisateurs et de stocker les préférences de ces derniers à l’égard du site. Les cookies sont l’un des principaux outils qui nous permettent de fournir des Services sécurisés et efficaces. Les cookies dits “essentiels” sont indispensables au bon fonctionnement de notre Site et de nos Services, dont ils garantissent l’utilisabilité et la sécurité en activant des fonctions de base comme la navigation et l’accès aux espaces sécurisés du site. Les cookies dits “Préférences” sont utilisés par TinyMDM afin de mémoriser vos préférences et de vous reconnaître lorsque vous utilisez à nouveau nos Services. Les cookies dits “Statistiques” nous permettent de comprendre comment les visiteurs interagissent avec nos Services. Enfin les cookies dits “Marketing” servent à afficher des publicités qui sont pertinentes pour nos visiteurs.

Vous pouvez désactiver les cookies à tout moment, à l’exception des cookies dont nous avons besoin pour vous fournir nos Services. Si vous décidez de désactiver les cookies, certaines fonctionnalités de notre Site ou de nos Services sont susceptibles de ne plus fonctionner normalement.

11) Responsable du traitement des données à caractère personnel

Le responsable du Traitement des Données à Caractère Personnel au sein de notre Entreprise est Monsieur Romain Cousseau, en qualité de data protection officer (DPO) de la société Ars Nova Systems: romain.cousseau [a] arsnovasystems.com

12) Changement

La présente politique de confidentialité peut être mise à jour de temps à autre pour quelque raison que ce soit. Nous vous informerons de toute modification de notre politique de confidentialité en publiant la nouvelle politique de confidentialité ici. Nous vous conseillons de consulter régulièrement la présente politique de confidentialité pour prendre connaissance des modifications éventuelles, car le fait de continuer à l’utiliser vaut approbation de toutes les modifications.

Vous avez des questions concernant notre politique de confidentialité ?