Mentions légales

Gmelius SA (Gmelius Ltd)
Avenue Louis-Casaï, 71
1216 Cointrin / Meyrin
Genève, Suisse, Terre

Numéro d'enregistrement : CHE-411.148.873
Appelez-nous : +1 (888) 978-1725

RGPD & DPA

Gmelius s'engage à respecter le règlement général sur la protection des données ("GDPR") et à permettre à ses clients de se conformer à cette dernière loi sur la protection des données. Nous suivons un cadre strict de "Privacy by Design" et nous maintenons un programme solide de protection de la vie privée et de sécurité que nous évaluons et améliorons en permanence.
Dernière mise à jour :
13 avril 2021

Nous comprenons que la GDPR a des exigences et des obligations strictes tant pour les contrôleurs de données que pour les sous-traitants et nous nous engageons à aider nos clients à utiliser Gmelius de manière conforme. Notre GDPR est disponible ci-dessous afin que nos clients puissent être sûrs que leurs données sont traitées de manière légale et transparente.

Le présent addendum relatif au traitement des données de GDPR ("DPA") fait partie du contrat cadre de services ou des conditions d'utilisation disponibles sur https://gmelius.com/legal/terms ou à tout autre endroit où les conditions d'utilisation peuvent être affichées de temps à autre (le cas échéant, le "contrat"), conclu par et entre le client et Gmelius (Gmelius SA / Gmelius AG) ("Gmelius"), en vertu duquel le client a accédé aux services d'application de Gmelius tels que définis dans le contrat applicable. Le but de cette LPD est de refléter l'accord des parties en ce qui concerne le traitement des données personnelles conformément aux exigences de la législation sur la protection des données telles que définies ci-dessous.

Si l'entité cliente qui conclut le présent DPA a signé un bon de commande ou une déclaration de travail avec Gmelius conformément au contrat (un "document de commande"), mais n'est pas elle-même partie au contrat, le présent DPA est un addendum à ce document de commande et aux documents de commande de renouvellement applicables. Si l'entité du client qui conclut la présente DPD n'est pas partie à un document de commande ni à l'accord, la présente DPD n'est pas valide et n'est pas juridiquement contraignante. Cette entité doit demander à l'entité cliente qui est partie au contrat d'exécuter cette DPA.

La présente LPD ne remplace ni ne supplante aucun accord ou addendum relatif au traitement des données personnelles négocié par le client et mentionné dans le contrat, et tout accord ou addendum ainsi négocié individuellement s'applique en lieu et place de la présente LPD.

Dans le cadre de la fourniture des services d'application au client conformément à l'accord, Gmelius peut traiter des données personnelles au nom du client. Gmelius s'engage à respecter les dispositions suivantes en ce qui concerne les données personnelles soumises par ou pour le client aux services d'application ou collectées et traitées par ou pour le client par le biais des services d'application. Tout terme en majuscule mais non défini dans le présent document a la signification indiquée dans le contrat.

Termes de traitement des données

Dans la présente LPD, "législation sur la protection des données" signifie les directives européennes 95/46/CE et 2002/58/CE (telles que modifiées par la directive 2009/136/CE) et toute législation et/ou règlement les mettant en œuvre ou pris en application, ou qui modifie, remplace, réédite ou consolide l'une d'entre elles (y compris le règlement général sur la protection des données [règlement (UE) 2016/679]), et toutes les autres lois applicables relatives au traitement des données personnelles et à la vie privée qui peuvent exister dans toute juridiction concernée.

Les termes "responsable du traitement", "sous-traitant", "personne concernée", "données à caractère personnel", "traitement" et "mesures techniques et organisationnelles appropriées" sont interprétés conformément à la législation applicable en matière de protection des données.

Les parties conviennent que le client est le responsable du traitement des données et que Gmelius est son sous-traitant en ce qui concerne les données personnelles traitées dans le cadre de la fourniture des services d'application. Le client doit se conformer à tout moment à la législation sur la protection des données en ce qui concerne toutes les données personnelles qu'il a fournies à Gmelius en vertu de l'accord.

L'objet du traitement des données couvert par la présente DPA est les services d'application commandés par le client soit par le biais du site web de Gmelius, soit par un document de commande et fournis par Gmelius au client via www.gmelius.com ou comme décrit en outre dans le contrat ou la DPA. Le traitement sera effectué jusqu'à la fin de la période de commande des services d'application par le client.

En ce qui concerne les données à caractère personnel traitées dans le cadre de la fourniture des services d'application, Gmelius :

  1. Le traitement des données à caractère personnel doit se faire uniquement en conformité avec les instructions documentées du client (telles que définies dans la présente LPD ou dans le contrat ou telles que notifiées par le client à Gmelius). Si Gmelius est tenu de traiter les données à caractère personnel pour toute autre finalité prévue par la loi applicable à laquelle il est soumis, Gmelius informera le client de cette exigence avant le traitement, à moins que cette loi ne l'interdise pour des raisons importantes d'intérêt public.
  2. Doit informer le client sans retard excessif si, selon Gmelius, une instruction de traitement des données personnelles donnée par le client enfreint la législation applicable en matière de protection des données.
  3. met en œuvre et maintient des mesures techniques et organisationnelles appropriées visant à protéger les données à caractère personnel contre tout traitement non autorisé ou illicite et contre toute perte, destruction, détérioration, vol, altération, accès ou divulgation accidentels ou illicites. Ces mesures doivent être appropriées au préjudice qui pourrait résulter de tout traitement non autorisé ou illicite, de la perte accidentelle, de la destruction, de la détérioration ou du vol de données à caractère personnel et compte tenu de la nature des données à caractère personnel à protéger.
  4. Peut engager d'autres sociétés pour fournir des services limités en son nom, à condition que Gmelius se conforme aux dispositions de la présente clause. Ces sous-traitants seront autorisés à traiter les données personnelles uniquement pour fournir les services pour lesquels Gmelius les a engagés, et il leur sera interdit d'utiliser les données personnelles à d'autres fins. Gmelius reste responsable du respect par ses sous-traitants des obligations de la présente LPD. Tout sous-traitant auquel Gmelius transfère des données à caractère personnel aura conclu avec Gmelius des accords écrits exigeant que le sous-traitant respecte des conditions substantiellement similaires à la présente LPD. Une liste des sous-traitants est à la disposition du client à l'annexe A de la présente DPD. Si le client souhaite être informé au préalable de toute mise à jour de la liste des sous-traitants, il peut en faire la demande par écrit en envoyant un courriel au service d'assistance de Gmelius. Gmelius mettra à jour la liste dans les trente (30) jours suivant une telle notification si le client ne s'y oppose pas légitimement dans ce délai. Les objections légitimes doivent contenir des motifs raisonnables et documentés relatifs au non-respect par un sous-traitant de la législation applicable en matière de protection des données. Si, de l'avis raisonnable de Gmelius, ces objections sont légitimes, le client peut, en adressant une notification écrite à Gmelius, résilier le contrat.
  5. Veille à ce que tout le personnel de Gmelius devant accéder aux données à caractère personnel soit informé de la nature confidentielle des données à caractère personnel et respecte les obligations énoncées dans la présente clause.
  6. À la demande du client, fait des efforts commercialement raisonnables, dans la mesure du possible, pour satisfaire à l'obligation du client de répondre aux demandes d'exercice des droits de la personne concernée prévus au chapitre III du RGPT (y compris les demandes d'informations relatives au traitement et les demandes d'accès, de rectification, d'effacement ou de portabilité des données à caractère personnel).
  7. Prend des mesures raisonnables à la demande du client pour l'aider à respecter les obligations prévues aux articles 32 à 36 du GDPR, en tenant compte de la nature du traitement et des informations dont dispose Gmelius.
  8. À la fin de la durée applicable des services d'application, à la demande du client, les données personnelles seront détruites de manière sécurisée ou renvoyées au client. Voir : Comment supprimer définitivement mon compte ?
  9. Peut transférer, stocker et traiter des données personnelles de l'EEE, de la Suisse ou du Royaume-Uni vers les États-Unis aux fins de la présente LPD. Si le stockage et/ou le traitement des données personnelles implique des transferts de données personnelles de l'EEE, de la Suisse ou du Royaume-Uni vers un pays tiers qui n'assure pas un niveau de protection adéquat en vertu de la loi européenne sur la protection des données, et que la loi européenne sur la protection des données s'applique à ces transferts, le client peut alors conclure la clause contractuelle type avec Gmelius à partir du tableau de bord Gmelius. Les transferts de données seront donc soumis aux Clauses contractuelles types ; et Gmelius veillera à respecter ses obligations au titre des Clauses contractuelles types en ce qui concerne ces transferts. Si le client a conclu les clauses contractuelles types mais qu'il détermine par la suite de manière raisonnable qu'elles n'offrent pas un niveau de protection adéquat, alors, si une solution de transfert alternative n'est pas mise à disposition par Gmelius, le client peut résilier le contrat en supprimant son compte Gmelius associé (section 8 ci-dessus).
  10. Doit permettre au client et à ses auditeurs ou agents autorisés respectifs de mener des audits ou des inspections pendant la durée du contrat, ce qui comprend la fourniture d'un accès raisonnable aux locaux, ressources et personnel utilisés par Gmelius dans le cadre de la fourniture des services d'application, et fournir toute l'assistance raisonnable afin d'aider le client à exercer ses droits d'audit en vertu de la présente clause. Les objectifs d'un audit en vertu de la présente clause comprennent la vérification que Gmelius traite les données personnelles conformément à ses obligations en vertu de la LPD et de la législation applicable en matière de protection des données. Nonobstant ce qui précède, cet audit consistera uniquement à : (a) la fourniture par Gmelius d'informations écrites (y compris, sans limitation, des questionnaires et des informations sur les politiques de sécurité) qui peuvent inclure des informations relatives aux sous-traitants ; et (b) des entretiens avec le personnel informatique de Gmelius. Cet audit peut être effectué par le client ou par un organisme de contrôle composé de membres indépendants et possédant les qualifications professionnelles requises, liés par un devoir de confidentialité. Pour éviter tout doute, aucun accès à une quelconque partie du système informatique de Gmelius, aux sites ou centres d'hébergement de données ou à l'infrastructure ne sera autorisé. Avant le début d'un tel audit, le client et Gmelius conviendront mutuellement de la portée, du calendrier et de la durée de l'audit. Le client doit rapidement informer Gmelius de toute non-conformité découverte au cours d'un audit. Le client ne peut pas auditer Gmelius plus d'une fois par an. Le client est responsable de tous les coûts et frais liés à cet audit, y compris tous les coûts et frais raisonnables pour tout le temps que Gmelius consacre à cet audit, en plus des tarifs des services fournis par Gmelius.
  11. Si Gmelius a connaissance de toute destruction, perte, altération, divulgation ou accès accidentel, non autorisé ou illégal aux données personnelles traitées par Gmelius dans le cadre de la fourniture des services d'application (un "incident") en vertu du contrat, il doit sans délai en informer le client et lui fournir (dès que possible) une description de l'incident ainsi que des mises à jour périodiques des informations sur l'incident, y compris son impact sur le contenu du client. Gmelius doit en outre prendre des mesures pour enquêter sur l'incident et raisonnablement prévenir ou atténuer les effets de l'incident.
  12. Gmelius fournira les informations demandées par le client pour démontrer le respect des obligations énoncées dans la présente LPD.

Sujets des données

Tout utilisateur de l'extension de navigateur, des applications web et mobiles ou toute personne identifiable pour laquelle des données à caractère personnel sont traitées par Gmelius pour le compte du responsable du traitement des données autres que les données anonymes. Une liste actualisée des types de données se trouve dans notre politique de confidentialité.

Activités de traitement des données

La fourniture de services d'application par Gmelius au client.

Terme

Cette LPD restera en vigueur aussi longtemps que Gmelius effectuera des opérations de traitement de données personnelles pour le compte du client ou jusqu'à la résiliation du contrat Gmelius (et que toutes les données personnelles auront été renvoyées ou supprimées conformément à la section 8 ci-dessus).

Annexe A

Liste des sous-processeurs

Sous-processeur Pays Objet DPA
Cloudflare, Inc. ÉTATS-UNIS DNS & CDN Voir
Stripe, Inc. ÉTATS-UNIS Passerelle de paiement Voir
Google, Inc. ÉTATS-UNIS Infrastructure dans les nuages, journalisation, analyse Voir
HubSpot, Inc. ÉTATS-UNIS Ventes et marketing Voir
Drift, Inc. ÉTATS-UNIS Ventes et marketing Voir
Sendgrid, Inc. ÉTATS-UNIS Email Service de livraison Voir

Signaler les problèmes de sécurité

Chez Gmelius, nous considérons que la sécurité de nos systèmes est une priorité absolue. Mais quel que soit l'effort que nous déployons pour la sécurité des systèmes, il peut y avoir des vulnérabilités. Nous avons mis en œuvre une politique de divulgation responsable pour garantir que les problèmes sont traités rapidement et en toute sécurité.

Si vous pensez avoir découvert une faille de sécurité dans notre produit, nous voulons avoir de vos nouvelles.

Soumettre une faille de sécurité
Vous avez des questions ou besoin de plus d'informations ?
Nous contacter