Politique de confidentialité

1. Préambule

La présente politique de confidentialité décrit la manière dont Kubo, éditeur du service Tracco (ci-après l'« Éditeur »), collecte, utilise et protège les données à caractère personnel des utilisateurs du Service, conformément au Règlement (UE) 2016/679 du 27 avril 2016 (« RGPD ») et à la loi française n° 78-17 du 6 janvier 1978 modifiée (« Loi Informatique et Libertés »).

2. Responsable du traitement

S'agissant des données collectées dans le cadre de la gestion des comptes, de la facturation et de la communication avec ses clients, le responsable du traitement est Kubo, dont l'identité complète figure dans les mentions légales .

S'agissant des données importées par le Client dans le Service (bons de livraison, factures, données fournisseurs, numéros de série, etc.), le Client agit en qualité de responsable de traitement, et l'Éditeur en qualité de sous-traitant au sens de l'article 28 du RGPD.

Toute demande relative à la protection des données peut être adressée à : contact@tracco.fr.

3. Données collectées

Dans le cadre de l'utilisation du Service, l'Éditeur est amené à collecter les catégories de données suivantes :

• Données de compte : nom du centre, adresse email professionnelle, mot de passe (stocké sous forme chiffrée).
• Données de facturation : raison sociale, adresse, numéro de TVA, identifiants de paiement traités par notre prestataire.
• Données métier importées : bons de livraison, factures, données fournisseurs, lignes de produits, numéros de série d'appareils.
• Données techniques : adresse IP, journaux de connexion, identifiants de session, données nécessaires à la sécurité et à la traçabilité du Service.

L'Éditeur attire l'attention du Client sur le fait que les numéros de série d'appareils d'audioprothèse peuvent constituer, en combinaison avec d'autres informations, des données à caractère personnel indirectement identifiantes. À ce titre, ils sont chiffrés au repos.

4. Finalités du traitement

Les données sont collectées et traitées aux fins suivantes :

• fourniture, exploitation et amélioration du Service ;
• gestion du compte client et de l'abonnement ;
• facturation et recouvrement ;
• support utilisateur et communications relatives au Service ;
• sécurité du Service, prévention et détection des fraudes ;
• respect des obligations légales et réglementaires.

5. Bases légales

Les traitements reposent, selon les finalités, sur les bases légales suivantes :

• Exécution du contrat (art. 6.1.b RGPD) pour la fourniture du Service, la gestion du compte et la facturation ;
• Obligation légale (art. 6.1.c RGPD) pour la conservation des factures et documents comptables ;
• Intérêt légitime (art. 6.1.f RGPD) pour la sécurité du Service, la prévention des fraudes et l'amélioration des fonctionnalités.

6. Sous-traitants et destinataires

Pour la fourniture du Service, l'Éditeur a recours aux sous-traitants suivants, chacun encadré par les garanties contractuelles requises par l'article 28 du RGPD :

* Les transferts hors UE éventuels sont encadrés par les clauses contractuelles types adoptées par la Commission européenne.

Les données ne sont en aucun cas vendues, louées ou communiquées à des tiers à des fins commerciales.

7. Hébergement

L'ensemble des données est hébergé en France (région Paris) par Scaleway, prestataire certifié Hébergeur de Données de Santé (HDS). Cette certification atteste du respect d'exigences renforcées en matière de sécurité, traçabilité et confidentialité des données de santé et des données indirectement identifiantes du domaine.

8. Sécurité

L'Éditeur met en œuvre les mesures techniques et organisationnelles appropriées pour garantir la sécurité et la confidentialité des données, et notamment :

• chiffrement des communications en transit (TLS 1.3) ;
• chiffrement au repos des données sensibles (AES-256) ;
• authentification renforcée des accès administrateurs ;
• journalisation des accès et des actions sensibles ;
• sauvegardes quotidiennes chiffrées ;
• cloisonnement strict des données entre clients (multi-tenant).

9. Durée de conservation

Les données sont conservées pendant toute la durée de l'Abonnement, puis pour les durées légales applicables (notamment dix ans pour les pièces comptables, conformément à l'article L.123-22 du Code de commerce).

À l'issue de ces durées, les données sont supprimées ou anonymisées. Le Client peut à tout moment exporter ses données depuis son espace personnel.

10. Vos droits

Conformément au RGPD, toute personne concernée dispose des droits suivants sur ses données :

• droit d'accès (article 15) ;
• droit de rectification (article 16) ;
• droit à l'effacement (article 17) ;
• droit à la limitation du traitement (article 18) ;
• droit à la portabilité des données (article 20) ;
• droit d'opposition (article 21) ;
• droit de définir des directives relatives au sort de ses données après son décès.

Ces droits peuvent être exercés à tout moment en écrivant à contact@tracco.fr, accompagné le cas échéant d'un justificatif d'identité. Une réponse est apportée dans un délai d'un mois maximum.

11. Réclamation auprès de la CNIL

Toute personne s'estimant lésée dans ses droits peut introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL), 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 — www.cnil.fr.

12. Cookies

Le Service utilise uniquement des cookies strictement nécessaires à son fonctionnement (authentification, session, sécurité). Ces cookies, exemptés de consentement préalable au sens de l'article 82 de la loi Informatique et Libertés, ne sont pas utilisés à des fins de mesure d'audience ou de publicité.

13. Modification de la présente politique

La présente politique peut être amenée à évoluer. Toute modification substantielle sera notifiée aux Clients par email ou via le Service avec un préavis raisonnable.