Politique de confidentialité activité d’Expertise Comptable en France, plateforme eazy
Mazars considère que la sécurité des données et la conformité à la protection des données constituent un sujet très important.
Ce document a pour objectif de décrire les grandes lignes de la politique de Mazars pour protéger les Données à Caractère Personnel (« DCP ») qu’il collecte lors de la préparation des travaux d’expertise comptable via la plateforme eazy, qui permet notamment la mise à disposition de logiciels pour la gestion de l’activité du client par le client. Ces services comprennent notamment l’assistance à l’établissement des comptes annuels, assistance à l’élaboration des déclarations fiscales, réalisation de missions accessoires tel que la gestion RH, de la paie, secrétariat juridique pour les clients de Mazars en France, pour les travaux de révision comptable, et pour tous les autres travaux liés à l’expertise comptable. Dans ce cadre il est aussi prévu l’utilisation par les clients de Mazars en France de la plateforme eazy. Ce document précise la gestion des DCP pendant les missions d’AOS dans le cadre de la mise en conformité avec le Règlement Européen sur la Protection des données (UE) 2016/679. (« RGPD »).
1. Dispositions générales
Dans le cadre de son activité, Mazars France traite les Données à caractère personnel conformément aux lois et règlements en vigueur relatifs à la protection des Données à caractère personnel, conformément La loi Informatique et Libertés du 17 juin 2019, loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.
Les données à caractère personnel qui sont traitées par Mazars lors de vos interactions sur le portail eazy dépend des données que vous nous transmettez. Lors d’une simple visite sur le portail eazy, si vous ne renseignez pas de données supplémentaires, nous ne conserverons de votre passage que les données liées aux cookies (voir Politique Cookies AOS EAZY pour plus d’informations).
En nous transmettant vos données à caractère personnel vous nous donnez votre consentement pour nous permettre de les utiliser dans le cadre du traitement indiqué dans votre contrat.
Nous ne vendons ni ne louons vos données personnelles à quelque fin que ce soit. Nous ne partageons vos données personnelles collectées via la plateforme avec des organisations extérieures au groupe Mazars qu’avec les sous-traitants précisés dans la section 5 de ce document.
Sauf dans le cas où vous nous feriez une demande de droits, Mazars France est le responsable de traitement de toutes les données à caractère personnel que vous nous transmettriez via nos sites internet
Chaque communication émanant de Mazars France vous permettra si vous le souhaitez d’interrompre l’envoi ultérieur de messages, via un lien « d’opt-out ».
Afin d’améliorer la qualité de ses services, toutes les données à caractère personnel qui vous concernent, seraient anonymisées préalablement à toute utilisation faite par Mazars France.
Pour toute demande de droit veuillez-vous rendre au paragraphe 9 « Demandes de droits » de ce document. Pour toute question complémentaire concernant les données à caractère personnel, le délégué à la protection des données de Mazars France vous répondra à l’adresse mail dédiée dpo@mazars.fr.
2. Pourquoi Mazars traite vos données ?
Mazars ne traite les données personnelles que pour des finalités déterminées, explicites et légitimes. Mazars ne traite pas ces données de manière incompatible avec ces finalités.
Nous sommes amenés à collecter des données à caractère personnel à des fins suivantes :
- Communiquer avec le client : répondre à des demandes d'information émises par le client, gérer la communication opérationnelle (incident, évolutions fonctionnelles, sécurité, …), gérer la communication commerciale et les demandes d'avis sur le Portail
- Assister le client : assister pour la résolution d'incidents techniques ou des difficultés d'usage
- Gérer les accès du client dit « provisionning » : créer les comptes et les utilisateurs dans les logiciels tiers, initialiser les paramétrages par défaut dans les services tiers
3. Catégories des données à caractère personnel traitées
Dans le cadre des activités d’AOS, les équipes de Mazars en France sont amenées à traiter les DCP des contacts chez les clients AOS qui interagissent avec les collaborateurs de Mazars en France, et notamment via le portail eazy soit, les DCP des collaborateurs, des clients, des fournisseurs, des actionnaires, et de toutes autres parties utilisées par les clients :
- Nom, prénom, mail professionnel, téléphone professionnel
- Adresse IP, log d'accès, localisation
Informations collectées relatives aux contacts chez les clients AOS
Chez Mazars, nous centralisons le traitement des données personnelles concernant les contacts (clients anciens, actuels et potentiels, personnes employées par ou associées à de tels clients et autres contacts commerciaux, tels que des anciens collaborateurs, des consultants, des régulateurs et des journalistes).
Ces contacts sont traités conformément à la politique de confidentialité tel que décrite sur le site www.mazars.fr (Politique de confidentialité site internet - Mazars - France).
Aussi pour les clients qui utilisent l’application eazy, voici les informations collectées.
Via le portail eazy les clients accèdent à des services (logiciels informatiques) édités par Mazars France ou par un partenaire de Mazars France. Les services, auxquels donne accès le portail eazy, couvrent totalement ou partiellement l'activité du client à savoir :
- la gestion des ventes (reçus de vente, devis, commandes, factures, bons de livraisons...),
- la gestion des achats (demande d'achats, commandes d'achats, factures d'achats, stocks, réception des marchandises...),
- la gestion des frais professionnels (justificatifs, RIB...),
- la gestion documentaire (justificatifs de ventes ou d'achats...),
- la gestion de la paie (éléments variables de paie, bulletin de paie, déclarations sociales...)
- la gestion de la comptabilité (écritures comptables, déclarations fiscales et comptables...)
- la gestion des demandes de financements (dossiers de financement, comptes sociaux...)
Informations fournies volontairement
Nous collectons des données personnelles que vous fournissez volontairement via notre site, par exemple lorsque vous remplissez des formulaires de contact en ligne, adhérez à une newsletter, téléchargez des contenus, utilisez l’un de nos outils d’analyse comparative en ligne, vous vous abonnez à l’envoi de communications marketing de notre part, participez à des enquêtes ou vous inscrivez à des événements que nous organisons. Les informations que nous recueillons à votre sujet incluent :
- L’intitulé du poste, l’échelon ou la fonction, le rôle ;
- Le nom de l’entreprise ou de l’organisation ;
- Des données sur l’entreprise ;
- D’autres informations pertinentes pour les enquêtes auprès des clients ou des recherches similaires ;
- Informations relatives aux événements saisies par le biais de formulaires de contact liés à des événements, telles que des restrictions alimentaires ;
- Toute autre donnée personnelle que vous décidez de nous communiquer volontairement.
Nous ne collectons pas intentionnellement de données sensibles, sauf si vous nous fournissez de telles données dans le cadre de votre participation à nos événements.
Nous appliquons le principe de minimisation des données collectées, pour cela nous nous réservons la possibilité de supprimer les informations que nous n’utiliserions pas.
Les bases juridiques pour le traitement des données à caractère personnel sont l’exécution d’un contrat signé par le client de Mazars avec le cabinet.
4. Obligation de confidentialité
Mazars s’engage à garantir la confidentialité des Données à caractère personnel traitées en application des contrats conclus avec ses clients. Pour ce faire, Mazars préserve la confidentialité des Données à caractère personnel à tout moment à l’égard de son personnel, de ses collaborateurs et de toute personne susceptible d’y avoir accès.
Mazars s’engage à veiller à ce que le personnel autorisé à traiter les Données à caractère personnel :
- respecte la confidentialité et/ou soit soumis à une obligation légale ou contractuelle de confidentialité.
- reçoive la formation nécessaire en matière de protection des Données à caractère personnel.
5. Sous-traitance de Mazars
Mazars peut faire appel à des sous-traitants (ci-après, les « Sous-Traitants Ultérieurs ») pour mener ses activités de traitement. Dans ce cas, Mazars informe par écrit les clients concernés.
Le Sous-Traitant est tenu de respecter les obligations prévues par le Règlement européen de la protection des données (UE) 2016/679 (RGPD). Mazars s’assure directement que le Sous-Traitant Ultérieur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que les Traitements répondent aux exigences du RGPD.
Liste des Sous-Traitants :
- Sous-traitants logiciel :
- SILAE Expert : outil de gestion de paie;
- YOOZ : outil de dématérialisation des achats;
- CEGID : outil de production comptable;
- SHOP APPLICATION : outil de gestion de caisse et de site de ventes en ligne;
- EXPENSYA : outil de gestion de frais;
- ONEUP : outil de gestion intégré pour piloter les flux financiers des entreprises clientes de Mazars.
- Sous-traitants Outillage :
- DATADOG : outil de supervision des infrastructures.
- Outil de gestion mail de Mazars à ses clients : MAILCHIMP ; ZENDESK ; TWILIO.
Pour plus de détails voir infra Annexe 1 – Détail sous-traitant.
5. Territorialité
Dans l’éventualité où Mazars procède à un transfert de Données à caractère personnel vers un pays situé hors de l’Union Européenne ou une organisation internationale, Mazars s’engage à en informer préalablement l’utilisateur, sauf motif légitime d’intérêt public exonérant Mazars de l’obligation de notification.
Dans le cas d’un tel transfert, Mazars s’engage à respecter les garanties appropriées prévues par le RGPD, par la mise en place de clauses contractuelles type ou par l’application de règles contraignantes (Binding Corporate Rules).
Dans le cas de l’utilisation du portail eazy, les informations de paramétrage sont stockées sur des serveurs Mazars hébergés en France. Nous ne procédons à aucun transfert vers nos sous-traitants logiciel Hors-UE de données métier.
Dans le cas où vous seriez, ou si vous devenez ou êtes client d'une entreprise Mazars dans un autre pays du groupe alors les conditions de traitement des données différentes pourraient s’appliquer. Dans ce cas veuillez consulter la déclaration de confidentialité de ce pays.
6. Durée de conservation des données à caractère personnel
Dans le respect des obligations de confidentialité, notre politique est de conserver les données personnelles uniquement pendant le temps nécessaire aux fins décrites dans les Finalités de Traitement. Ces données sont conservées pour une durée conforme aux dispositions régissant les activités de Mazars en France.
Concernant les contacts du client, dans le cas où votre entreprise est cliente du groupe Mazars en France, les données à caractère personnel des contacts resteront « actifs » dans le traitement.
Pour les clients du portail eazy, à la fin de notre relation contractuelle, pendant un délai de 13 mois nous conserverons les données à caractère personnel qui vous concernent conformément à l’exécution de contrat tel que décrit par la partie 2.
Concernant les autres données à caractère personnel utilisées lors de missions d’expertise comptable, vous pouvez accéder aux détails à la politique de confidentialité dédiée : Politique de confidentialité activité d’Expertise Comptable en France - Mazars - France
Toutefois, dans le cas où vous souhaiteriez que nous supprimions vos données à caractère personnel, collectées, utilisées, vous pouvez nous adresser une demande de droit à travers le lien indiqué dans le point 9 de ce document.
7. Désignation d’un DPO
Mazars a désigné un DPO dûment déclaré à la CNIL. Le DPO est l’interlocuteur référent/privilégié pour toute question relative aux Données à caractère personnel et aux Traitements de Données à caractère personnel effectués par Mazars pour le compte de ses clients.
Pour toute information complémentaire, vous pouvez adresser votre demande / requête au Délégué à la Protection des données (DPO) de Mazars France à dpo@mazars.fr ou à l’adresse suivante :
Data Protection Officer (DPO) de Mazars France
61 RUE HENRI REGNAULT - EXALTIS - 92400 COURBEVOIE - FRANCE
Le DPO de Mazars France est un interlocuteur indépendant en charge de la gestion des risques au niveau du groupe Mazars. A cet effet, il ne dépend ni de l’informatique de Mazars France, ni du comité de direction de Mazars France. Le DPO est impliqué dès la conception des nouveaux projets informatiques jusqu’aux suivis des incidents éventuels. Le DPO présente régulièrement les travaux et les actions menés au comité de direction de Mazars France.
8. Mesures de sécurité
Mazars s’appuie sur la combinaison plusieurs niveaux de sécurité logique, physique et humaine lesquels participent activement à la sécurité de son système d’information.
Mission AOS
En termes de sécurité logique, les mesures appliquées sont, notamment :
- Paramétrage des ordinateurs, serveurs selon un protocole identique qui tient compte des dernières versions des éditeurs.
- Protection des serveurs et ordinateurs via un anti-virus, régulièrement mis à jour.
- Cryptage de tous les disques durs des ordinateurs portables des collaborateurs.
- Chiffrement des disques de tous les serveurs.
Sécurité physique des serveurs de Production « Métier »
En termes de sécurité physique, les mesures appliquées sont, notamment :
- Un accès restreint du personnel de l’informatique administrateur des serveurs ou ayant des opérations de maintenance à réaliser.
- Un accès limité aux salles serveurs : accès par badge, vidéo surveillance, suivi des entrées sorties.
- Gestion des privilèges : seuls les administrateurs peuvent configurer un ordinateur ou un serveur. Mazars met en place une ségrégation des rôles d’administrateurs.
- Des composants de sécurité périmétrique de type : firewalls, proxy, reverse proxy filtrent les accès aux ressources de Mazars.
Sécurité humaine de l’information lors des missions AOS
Depuis 2018, l’ensemble des collaborateurs Mazars en France a bénéficié de formations relatives au RGPD en présentiel ou en webinar. Ces formations sont construites sur mesure pour le collaborateur Mazars. Chaque année, des sessions de mise à jour des connaissances sont rendues obligatoires. Les nouveaux entrants bénéficient dans leur parcours d’intégration de séances obligatoires sur ce sujet.
Portail eazy
Toutes les données qui transitent entre le client et le portail eazy sont chiffrées en utilisant le protocole TLS. L’accès aux informations obtenues via le portail est restreint aux seules personnes autorisées. De plus, Mazars soumet ses dispositifs à des contrôles de vérification de leur efficacité. Des campagnes de tests d’intrusions sont menées par des prestataires indépendants à minima tous les 24 mois afin de tester l’efficacité des procédures mises en place par Mazars. La mise en place du suivi des incidents détectés et la coordination avec le directeur des systèmes d’information permettent d’adapter les ressources et les moyens mis en œuvre.
A travers l’authentification par identifiant et par mot de passe, les utilisateurs clients ont l’option de l'authentification par un second facteur afin de sécuriser leur accès.
Toutefois, internet peut ne pas procurer le degré de sécurité attendu. Bien que nous ayons mis en œuvre les moyens appropriés nous ne pouvons garantir la sécurité et intégrité lors de ce transfert. Une fois les données arrivées sur votre système d’information, il relève de votre responsabilité d’assurer cette sécurité.
9. Demande de droits - Vos droits
Sauf dans le cas où vous nous feriez une demande de droits, Mazars France est le responsable de traitement de toutes les données à caractère personnel que vous nous transmettriez via nos sites internet. Si vous nous faites une demande relative à un site du groupe Mazars ou sur le site internet Mazars d’un pays spécifique alors, nous transmettrons pour vous cette demande.
En conséquence, vous pouvez exercer un certain nombre de droits sur vos données, notamment :
- Droit d’accès aux données à caractère personnel, pour accéder aux données personnelles que nous détenons à votre sujet
- Droit à la rectification de vos données personnelles, si celles-ci sont incomplètes, ou incorrectes, ou inexactes.
- Droit à tout moment à ne plus recevoir de communications marketing ;
- Droit à la limitation ou à l’opposition quant au traitement des données personnelles ;
- Droit à l’oubli, demande de suppression de vos données personnelles (sous certaines conditions et conformément à la législation en vigueur) ;
Nous nous occuperons de tout exercice de vos droits de personne concernée conformément aux exigences du RGPD et conformément à la Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés et du règlement (UE) 2016/679 du 27 avril 2016.
Pour les contacts du client avec Mazars France, nous vous permettons d’effectuer toutes vos demandes de droits directement en ligne sur cette page.
Dans les autres cas ou si vous n’êtes pas satisfait, vous pouvez adresser votre demande
- Par mail au DPO dpo@mazars.fr
- Par courrier
Data Protection Officer (DPO) de Mazars France
61 RUE HENRI REGNAULT - EXALTIS - 92400 COURBEVOIE - FRANCE
Aussi dans la mesure où vous ne seriez pas satisfait de la façon dont nous traiterions votre demande, vous avez le droit d'introduire une réclamation auprès de l’autorité de contrôle de la Commission nationale de l'informatique et des libertés conformément à l’article 15.1 du RGPD via le formulaire https://www.cnil.fr/fr/plaintes
10. Accès de mineurs à notre site internet
Notre portail n'est pas destiné à être utilisé par des mineurs de moins de seize (16) ans. Mazars ne collecte, ne divulgue ni ne vend sciemment les données personnelles des mineurs de moins de 16 ans. dpo@mazars.fr
11. Profilage et décision entièrement automatisée
Les travaux AOS ni le portail eazy ne prévoient pas de profilage.
12. Version
Tout changement dans cette politique RGPD qui concerne le site internet www.mazars.fr sera mis en ligne le plus rapidement possible par nos équipes afin de vous tenir informés.
Nous vous recommandons de vérifier régulièrement cette politique afin de rester informés des évolutions de notre registre de traitement.
Dernière mise à jour : 1 décembre 2021
13. Glossaire
Les termes ci-après sont définis comme suit dans le respect de la réglementation RGPD.
- Données à caractère personnel : toute information se rapportant à une personne physique identifiée ou identifiable (par exemple : nom, prénom, adresse, date de naissance, etc.)
- DPO : Data Protection Officer, ou délégué à la protection des données à caractère personnel ;
- Personne Concernée : personne dont les données à caractère personnel sont traitées
- Responsable de Traitement : la personne physique ou morale qui détermine les finalités et les moyens d’un ou plusieurs traitements de données à caractère personnel, en l’espèce le Client ;
- RGPD : Règlement Général sur la Protection des Données n°2016/679 du 27 avril 2016 qui entre en application le 25 mai 2018 ;
- Sous-Traitant : la personne physique ou morale qui traite des données à caractère personnel pour le compte, sur instruction et sous l’autorité d’un responsable de traitement,
- Traitement : désigne toute opération ou ensemble d’opérations effectués à l’aide de procédés automatisés ou non et portant sur des données à caractère personnel, en l’espèce le ou les traitement(s) effectués par Mazars dans le cadre de sa mission décrite au Contrat ;
- Violation de Données à caractère personnel : toute violation de sécurité entraînant de manière accidentelle ou illicite la destruction, la perte, l’altération, la divulgation ou l’accès non autorisés aux Données à caractère personnel traitées;
- ERP : Enterprise ressource planning.
ANNEXE 1 – Détail sous-traitant
Les éléments ci-après précisent le respect de la réglementation RGPD par le sous-traitant.
- SILAE Expert : outil de gestion de paie : dpo@silaexpert.fr (Politique de confidentialité)
- YOOZ : outil de dématérialisation des achats (Yooz Inc. Privacy Policy)
- CEGID : outil de production comptable (Privacy policy - CEGID)
- EXPENSYA : Outil de gestion de frais (Politique de confidentialité | Expensya)
- DATADOG : outil de supervision des infrastructures (Privacy Policy | Datadog)
- MAILCHIMP : outil de gestion mail et marketing ((RGPD) | Mailchimp)
- ONEUP : outil de gestion intégré pour TPE (OneUp | Privacy Policy)
- ZENDESK : outil de service client Confidentialité et protection des données | Zendesk
- TWILIO : outil de communication client Twilio GDPR Program
- SHOP APPLICATION : outil de gestion de caisse et de site de ventes en ligne
Commentaires
0 commentaire
Cet article n'accepte pas de commentaires.