Se rendre au contenu

Politique de confidentialité

ARTICLE 1 - Champ d’applicationARTICLE 2 - DéfinitoonsARTICLE 3 - Responsable de traitement et contactARTICLE 4 - Personnes concernées, catégories de données et sourcesARTICLE 5 - Finalités des traitements et bases légalesARTICLE 6 - Destinataires et partage des donnéesARTICLE 7 - Transferts de données hors EEE ARTICLE 8 - Durées de conservationARTICLE 9 - Cookies et autres traceursARTICLE 10 - Sécurité et confidentialitéARTICLE 11 - Vos droits ARTICLE 12 - Réclamation auprès de la CNILARTICLE 13 - Données traitées pour le compte des clientsARTICLE 14 - Données sensiblesARTICLE 15 - MineursARTICLE 16 - Modification de la PolitiqueARTICLE 17 - Date d'effetANNEXE 1 - Instructions RGPD et traitement des donnéesANNEXE 2 - Instructions RGPD & Sous-traitance des donnéesANNEXE 3 - Gouvernance des accès privilégiés, secrets, domaines et environnements

ARTICLE 1 - Champ d’application

 La Politique s’applique aux traitements de données à caractère personnel réalisés par Conyvo en qualité de responsable de traitement, notamment dans le cadre du site internet, des formulaires de contact, des échanges commerciaux, des prestations, du support, des espaces ou portails mis à disposition et, le cas échéant, des recrutements.

Elle ne s’applique pas aux traitements réalisés par des sites, applications ou services tiers accessibles via des liens externes, lesquels disposent de leurs propres politiques de confidentialité. 

ARTICLE 2 - Définitoons

  • Donnée à caractère personnel : toute information se rapportant à une personne physique identifiée ou identifiable.
  • Traitement : toute opération portant sur des données personnelles (collecte, enregistrement, consultation, conservation, transmission, suppression, etc.
  • Responsable de traitement : l’entité qui détermine les finalités et les moyens du traitement.
  • Sous-traitant : l’entité qui traite des données pour le compte du responsable de traitement.
  • EEE : Espace économique européen.
  • Cookies / traceurs : fichiers ou technologies similaires déposés ou lus sur le terminal d’un utilisateur afin d’assurer des fonctionnalités, mesurer l’audience ou mémoriser des préférences

ARTICLE 3 - Responsable de traitement et contact

Pour les traitements décrits dans la présente Politique, le responsable de traitement est :











Dénomination

Conyvo, SASU à capital variable

Siège social

39 Bd Georges Clemenceau, 83000 Toulon

Email

contact@conyvo.com 

Contact protection des données

Maxime Girard – m.girard@conyvo.com

Les informations légales d’édition et d’immatriculation de Conyvo figurent, le cas échéant, dans les mentions légales du site. Si Conyvo désigne formellement un délégué à la protection des données, la présente Politique sera mise à jour en conséquence.

ARTICLE 4 - Personnes concernées, catégories de données et sources

Selon les interactions avec Conyvo, les personnes concernées peuvent notamment être :

  • les visiteurs du site et utilisateurs des formulaires de contact ;
  • les prospects et contacts commerciaux ;
  • les clients, leurs représentants, salariés ou collaborateurs autorisés ;
  • les prestataires, partenaires et apporteurs d’affaires ;
  • les utilisateurs d’un espace client, portail, partage documentaire ou système d’authentification associé ;
  • les candidats, lorsque Conyvo met en place un processus de recrutement.

Les catégories de données susceptibles d’être traitées comprennent notamment :

  • données d’identification et de contact : nom, prénom, société, fonction, email, téléphone, adresse postale ou professionnelle ;
  • données relatives aux demandes et aux échanges : message, besoin exprimé, historique des échanges, pièces jointes, comptes rendus et rendez-vous ;
  • données contractuelles et commerciales : devis, bons de commande, contrats, factures, suivi de projet, tickets support et réclamations ;
  • données techniques et de sécurité : adresse IP, journaux d’évènements, identifiants techniques, informations navigateur ou terminal et traces d’authentification ;
  • données de paiement ou administratives : références de transaction, informations de facturation et, si nécessaire, coordonnées bancaires ou mandat SEPA dans le cadre des prestations concernées ;
  • contenus transmis ou produits dans le cadre des prestations : fichiers, médias, maquettes, exports, documents et éléments fournis par le client ou générés pour lui ;
  • données candidats, le cas échéant : CV, lettre, portfolio, expériences et informations communiquées pendant le recrutement.

Ces données sont collectées directement auprès des personnes concernées, via les formulaires du site, les échanges email ou téléphoniques, les processus contractuels, les outils de support, les espaces documentaires ou les interfaces d’authentification.

Certaines données peuvent également être collectées indirectement lorsqu’elles sont nécessaires à l’exécution d’un projet, à l’ouverture d’un accès ou à la gestion de la relation commerciale, par exemple auprès du client ou de l’organisation concernée, d’un partenaire ou apporteur d’affaires, d’une source professionnelle accessible au public ou d’un administrateur de compte désignant les utilisateurs autorisés.

Lorsque les données ne sont pas collectées directement auprès de la personne concernée, Conyvo fournit l’information requise par la réglementation dès que possible et, au plus tard, dans le délai légal applicable ou lors du premier contact utile, sauf exception prévue par les textes. 

ARTICLE 5 - Finalités des traitements et bases légales

Conyvo traite les données personnelles pour des finalités déterminées, explicites et légitimes. Les principales sont les suivantes : 

Finalité

Exemples de données

Base légale

Gestion des demandes, prise de contact et qualification du besoin

Identité, coordonnées, contenu des messages, pièces jointes

Mesures précontractuelles lorsque la demande vise une prestation ; à défaut, intérêt légitime à répondre aux sollicitations reçues

Élaboration des devis, contractualisation, exécution des prestations et suivi projet

Coordonnées, informations projet, contenus transmis, livrables, échanges

Exécution du contrat ou mesures précontractuelles à la demande de la personne concernée

Facturation, comptabilité et obligations légales

Données d’identification, factures, paiements, pièces justificatives

Obligation légale et exécution du contrat pour les opérations nécessaires à la facturation

Support, réclamations, qualité de service et gestion des incidents

Échanges, tickets, éléments techniques, journaux nécessaires

Exécution du contrat pour le support lié à la prestation ; à défaut, intérêt légitime à améliorer le service et traiter les incidents

Prospection commerciale et communication B2B

Email professionnel, société, fonction, historique d’échanges, préférences

Intérêt légitime, sous réserve que la sollicitation soit en lien avec l’activité professionnelle de la personne et qu’un droit d’opposition simple soit offert

Prospection commerciale B2C par voie électronique

Email personnel, coordonnées, preuve du consentement, préférences

Consentement préalable, sauf exception légale applicable

Sécurisation des systèmes, prévention de la fraude et journalisation

Adresse IP, identifiants techniques, logs, évènements de sécurité

Intérêt légitime à assurer la sécurité des systèmes et, le cas échéant, obligation légale

Mesure d’audience, gestion des préférences et cookies

Données de navigation, identifiants cookie, préférences

Consentement lorsque requis ; intérêt légitime uniquement pour les traceurs strictement nécessaires ou bénéficiant d’une exemption applicable

Gestion d’un espace client, portail documentaire ou SSO

Identifiants de compte, droits d’accès, traces d’authentification

Exécution du contrat pour l’administration des accès ; intérêt légitime à sécuriser les comptes et le portail

Gestion des candidatures, si un recrutement est ouvert

CV, lettre, portfolio, échanges, appréciations liées au processus

Mesures précontractuelles à la demande du candidat ; intérêt légitime à organiser et évaluer le recrutement

Gestion des demandes d’exercice de droits et de conformité RGPD

Identité, coordonnées, contenu de la demande, éléments de vérification strictement nécessaires

Obligation légale

Lorsque le traitement repose sur l’intérêt légitime, les intérêts poursuivis peuvent notamment être la gestion des demandes, l’organisation de la relation commerciale, la sécurisation des systèmes, la prévention de la fraude, l’amélioration du service et la promotion proportionnée des services de Conyvo auprès de professionnels.

Certaines données sont nécessaires pour répondre à une demande, établir un devis, conclure ou exécuter un contrat, créer ou administrer un accès ou respecter une obligation légale. À défaut de communication de ces données, Conyvo peut ne pas être en mesure de traiter la demande, de fournir le service ou d’ouvrir l’accès concerné.

Conyvo ne met pas en œuvre de décision entièrement automatisée produisant des effets juridiques ou affectant de manière significative la personne concernée. Aucun profilage de cette nature n’est réalisé dans le cadre de la présente Politique.

S’agissant de la prospection électronique, Conyvo distingue les usages B2B et B2C. La prospection B2B repose, en principe, sur l’intérêt légitime lorsqu’elle vise des coordonnées professionnelles en lien avec l’activité ou la fonction de la personne sollicitée, sous réserve qu’elle soit informée et qu’un droit d’opposition simple, effectif et gratuit soit offert. La prospection B2C par voie électronique repose sur le consentement préalable, sauf exception légale applicable. Toute sollicitation électronique adressée par Conyvo comporte, le cas échéant, un moyen simple de désinscription ou d’opposition.


ARTICLE 6 - Destinataires et partage des données

 Les données sont accessibles uniquement aux personnes habilitées chez Conyvo, dans la stricte limite de leurs missions et selon un principe de besoin d’en connaître. Ces personnes sont soumises à une obligation de confidentialité appropriée.

Les données peuvent également être communiquées :

  • aux sous-traitants techniques intervenant pour l’hébergement, la messagerie, la gestion commerciale, l’ERP/CRM, le partage documentaire, l’authentification, l’analyse d’audience, le support, le paiement ou la facturation ;
  • aux partenaires ou prestataires intervenant sur un projet, uniquement lorsque cela est nécessaire à la réalisation de la prestation et dans un cadre contractuel approprié ;
  • aux autorités administratives, judiciaires ou organismes habilités lorsque la loi l’impose ou lorsque cela est nécessaire à la défense des droits de Conyvo.

Conyvo ne vend pas les données personnelles. Toute communication de données à un tiers pour sa propre prospection est exclue, sauf consentement explicite de la personne concernée ou obligation légale particulière.

La liste actualisée des principales catégories de sous-traitants et, lorsque cela est pertinent, des prestataires impliquant un transfert hors EEE peut être communiquée sur demande à l’adresse mentionnée à l’article 3.
 

ARTICLE 7 - Transferts de données hors EEE 

 Conyvo privilégie, dans la mesure du possible, des prestataires et solutions hébergeant les données dans l’Espace économique européen. Lorsque certains prestataires ou outils impliquent néanmoins un traitement de données en dehors de l’EEE, Conyvo s’assure de l’existence d’un cadre juridique approprié, tel qu’une décision d’adéquation, des clauses contractuelles types de la Commission européenne ou toute autre garantie adaptée selon le RGPD.

Lorsqu’elles existent, les garanties pertinentes et les modalités pour en obtenir une copie ou connaître l’endroit où elles ont été mises à disposition peuvent être demandées à l’adresse de contact mentionnée à l’article 3.

ARTICLE 8 - Durées de conservation

 Conyvo conserve les données pour une durée proportionnée à la finalité poursuivie. Lorsque la durée ne peut pas être fixée de manière uniforme, elle est déterminée selon la nature de la relation, les obligations légales applicables, la nécessité de maintenir la preuve et les règles de prescription.

Au-delà des durées de gestion courante, certaines données peuvent faire l’objet d’un archivage intermédiaire à accès restreint lorsqu’il est nécessaire de respecter une obligation légale ou réglementaire, de constater, exercer ou défendre un droit en justice, ou de conserver une preuve. À titre indicatif, les contrats et correspondances commerciales sont en principe conservés 5 ans et les pièces comptables 10 ans lorsque les textes l’imposent.

Règle spécifique Conyvo : les produits, éléments de production et livrables clients (médias, exports, maquettes, documents projet, fichiers techniques, éléments remis pour la réalisation de la prestation et personnalisés pendant une collaboration) sont conservés pendant une durée maximale de 2 ans à compter de la clôture du projet ou de la fin de la relation contractuelle, sauf instruction écrite différente du client, obligation légale ou nécessité de conservation probatoire dûment justifiée.

Les données clients utilisées à des fins de fidélisation ou de prospection sont conservées pendant la relation commerciale puis, sauf exception, pendant 3 ans à compter du dernier achat, de la fin de la prestation, de l’expiration d’une garantie ou du dernier contact émanant du client.

Les données nécessaires à la gestion d’une liste d’opposition à la prospection sont conservées pendant 3 ans à compter de l’exercice du droit d’opposition.

Catégorie / traitement

Exemples de données

Durée indicative

Demandes de contact et prospection prospects

Identité, coordonnées, message, historique d’échanges

3 ans à compter du dernier contact émanant de la personne concernée, sauf opposition, suppression anticipée ou obligation légale contraire

Relation contractuelle client

Contrats, échanges, suivi, support, dossier client

Durée de la relation contractuelle, puis archivage intermédiaire restreint pendant les délais de prescription applicables et selon les obligations légales

Prospection / fidélisation clients

Coordonnées, historique commercial utile à la relation, préférences

Pendant la relation commerciale puis 3 ans à compter du dernier achat, de la fin de la prestation, de l’expiration d’une garantie ou du dernier contact émanant du client

Listes d’opposition à la prospection

Email, numéro, date et portée de l’opposition

3 ans à compter de l’exercice du droit d’opposition

Comptes et accès inactifs

Identifiants de compte, droits d’accès, traces d’authentification

2 ans à compter de la dernière action émanant de la personne, puis suppression ou anonymisation, sous réserve d’un archivage nécessaire

Produits / livrables clients

Fichiers, médias, exports, maquettes, documents projet

2 ans maximum après la clôture du projet ou la fin de la relation, sauf exception justifiée

Factures et pièces comptables

Factures, bons, justificatifs, écritures

10 ans à compter de la clôture de l’exercice concerné

Logs et événements de sécurité

Adresse IP, identifiants techniques, traces d’accès

En principe 6 à 12 mois, sauf nécessité particulière, obligation légale ou analyse post-incident

Cookies et mesure d’audience

Identifiants cookies, statistiques, préférences

Selon la finalité et l’outil utilisé ; en principe 13 mois maximum pour le dépôt ou la lecture de certains traceurs, sous réserve des exemptions et paramétrages applicables

Choix cookies

Consentement, refus, préférences

En principe 6 mois pour la conservation du choix exprimé, sauf justification particulière

Si Conyvo met en œuvre un recrutement, les données des candidats non retenus peuvent être conservées pendant une durée maximale de 2 ans à compter du dernier contact, sous réserve d’en avoir informé le candidat et, lorsque cela est requis, d’avoir recueilli son accord pour une conservation au-delà du processus immédiat.

ARTICLE 9 - Cookies et autres traceurs

 Lors de la navigation sur le site, des cookies ou autres traceurs peuvent être déposés ou lus sur le terminal de l’utilisateur, sous réserve de ses choix. Les traceurs strictement nécessaires au fonctionnement du site, à la sécurité ou à la fourniture d’un service expressément demandé ne requièrent pas, en principe, le recueil du consentement.

Les traceurs susceptibles d’être utilisés peuvent poursuivre les finalités suivantes :

  • fonctionnement technique et sécurité du site ;
  • mesure d’audience et amélioration du service ;
  • mémorisation des préférences de navigation ;
  • le cas échéant, prospection ou mesure de performance marketing, sous réserve du consentement lorsque requis.

Lorsqu’un consentement est requis, l’utilisateur peut accepter, refuser ou paramétrer les cookies via le bandeau ou le module de gestion des cookies. Aucun traceur non strictement nécessaire n’est déposé ou lu avant l’expression d’un choix valable de l’utilisateur, sauf exemption légale applicable. Il doit être aussi simple de refuser ou de retirer son consentement que de l’accorder, et le mécanisme de gestion ou de retrait doit rester accessible à tout moment. Le refus ou le retrait du consentement n’affecte pas la navigation hors traceurs strictement nécessaires, mais peut dégrader certaines fonctionnalités si ces traceurs sont utiles à des services optionnels.

Lorsque Conyvo utilise un outil de mesure d’audience configuré de manière à bénéficier d’une exemption de consentement, celui-ci reste limité à la mesure d’audience strictement nécessaire et fait l’objet d’une information appropriée. Dans les autres cas, ces traceurs sont soumis au consentement.

La liste détaillée des traceurs effectivement utilisés, de leurs finalités, de leurs durées, de leurs émetteurs et, lorsqu’ils impliquent des tiers, des liens utiles vers leurs informations de confidentialité, figure dans le bandeau ou module de gestion des cookies et/ou dans une politique cookies dédiée lorsqu’un tel document est mis en place.

ARTICLE 10 - Sécurité et confidentialité

Conyvo met en œuvre des mesures techniques et organisationnelles appropriées afin de protéger les données contre la destruction, la perte, l’altération, la divulgation non autorisée ou l’accès non autorisé. Ces mesures peuvent notamment inclure, selon les traitements, la gestion des habilitations, l’authentification, la journalisation, la sauvegarde, le cloisonnement des accès, la sécurisation des échanges, le recours à des prestataires encadrés et la gestion des incidents.

Aucune transmission sur internet n’étant totalement sûre, Conyvo ne peut garantir une sécurité absolue, mais s’engage à mettre en œuvre les actions nécessaires en cas d’incident et, le cas échéant, à notifier les autorités ou personnes concernées conformément à la réglementation applicable. 

ARTICLE 11 - Vos droits 

Sous réserve des conditions prévues par le RGPD, toute personne concernée dispose notamment des droits suivants : accès, rectification, effacement, limitation du traitement, opposition, portabilité lorsqu’elle est applicable, retrait du consentement lorsque celui-ci constitue la base légale du traitement, droit de ne pas faire l’objet d’une décision individuelle automatisée lorsqu’un tel traitement existerait, ainsi que, conformément à la loi Informatique et Libertés, du droit de définir des directives relatives au sort de ses données après son décès.

Pour exercer vos droits, vous pouvez adresser votre demande à Maxime GIRARD – contact@conyvo.com  ou par courrier à CONYVO SASU, 39 Bd Georges Clemenceau, 83000 Toulon, en précisant l’objet de votre demande et tout élément permettant de vous identifier. Conyvo peut demander un justificatif complémentaire uniquement en cas de doute raisonnable sur l’identité du demandeur.

Conyvo répond dans les meilleurs délais et au plus tard dans un délai d’un mois à compter de la réception de la demande, sauf prolongation autorisée par la réglementation en cas de complexité ou de pluralité de demandes.

ARTICLE 12 - Réclamation auprès de la CNIL

 Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés ou que le traitement de vos données n’est pas conforme à la réglementation applicable, vous pouvez introduire une réclamation auprès de la Commission nationale de l’informatique et des libertés (CNIL).

CNIL – 3 Place de Fontenoy – TSA 80715 – 75334 Paris Cedex 07 – www.cnil.fr


ARTICLE 13 - Données traitées pour le compte des clients

 Dans le cadre de certaines prestations, Conyvo peut être amenée à traiter des données à caractère personnel pour le compte de ses clients, en qualité de sous-traitant au sens du RGPD. Dans cette hypothèse, le client demeure responsable de traitement et Conyvo agit sur instructions documentées, dans les limites du contrat, des annexes RGPD, d’un DPA ou de tout autre document contractuel applicable.

La présente Politique n’a pas vocation à se substituer aux mentions d’information qui doivent être fournies par le client lorsqu’il détermine lui-même les finalités et moyens du traitement.

ARTICLE 14 - Données sensibles

Conyvo ne collecte pas intentionnellement de données dites sensibles au sens du RGPD, sauf si une obligation légale, une nécessité contractuelle dûment justifiée ou une communication spontanée de la personne concernée le rend strictement nécessaire. Dans une telle hypothèse, seules les données pertinentes sont traitées et des mesures de protection renforcées sont mises en œuvre. Il est demandé aux personnes concernées d’éviter de transmettre de telles données lorsqu’elles ne sont pas requises.


ARTICLE 15 - Mineurs

Les services de Conyvo ne sont pas spécifiquement destinés aux mineurs. Si un mineur transmet des données personnelles sans l’autorisation requise ou si un représentant légal estime que des données concernant un mineur ont été communiquées à Conyvo, il peut contacter Conyvo afin d’en demander la suppression ou l’examen

ARTICLE 16 - Modification de la Politique

Conyvo peut modifier la présente Politique à tout moment afin de tenir compte des évolutions légales, réglementaires, jurisprudentielles, techniques ou organisationnelles. La version applicable est celle en vigueur à la date de consultation ou de publication sur le site.

ARTICLE 17 - Date d'effet

Version : 1.0

Date de dernière mise à jour : 03/04/2026.

ANNEXE 1 - Instructions RGPD et traitement des données

La présente annexe précise le cadre d’instruction applicable lorsque Conyvo agit en qualité de responsable de traitement pour ses propres finalités. Elle complète la Politique de confidentialité et doit être lue avec les contrats, CGV, CGU, bons de commande, DPA et documents opérationnels applicables.

ARTICLE 1 - Objet, qualification et documentation préalable

Tout traitement nouveau, toute évolution substantielle d’un traitement existant ou tout nouveau flux de données doit être documenté avant sa mise en œuvre ou, à défaut, dès que possible. Cette documentation identifie au minimum la finalité, la base légale, les catégories de données, les personnes concernées, les destinataires, la durée de conservation, les outils mobilisés, les mesures de sécurité de référence et le responsable interne du traitement.

Lorsque le traitement présente un risque élevé pour les droits et libertés des personnes, Conyvo procède, lorsque cela est requis, à une analyse d’impact relative à la protection des données et met en place les mesures correctrices ou arbitrages nécessaires avant déploiement

ARTICLE 2 - Principes de traitement et d’instruction interne

Les traitements sont conçus et exploités selon les principes de licéité, loyauté, transparence, limitation des finalités, minimisation des données, exactitude, limitation de la conservation, intégrité, confidentialité et responsabilité. Les équipes et intervenants n’accèdent qu’aux données strictement nécessaires à leurs missions, dans les outils autorisés et pour des finalités déterminées.

Aucune donnée personnelle confidentielle ne doit être copiée, exportée, transmise ou réutilisée dans un canal, un espace de stockage, une messagerie, un outil d’automatisation, un service d’intelligence artificielle ou un environnement non validé lorsque cela n’est pas nécessaire, proportionné et juridiquement encadré.

ARTICLE 3 - Information des personnes, preuve et exercice des droits

 Conyvo veille à fournir aux personnes concernées une information conforme et intelligible sur les traitements qui les concernent, directement ou indirectement, dans les délais requis par la réglementation. Lorsque le traitement repose sur le consentement, la preuve du consentement, des préférences ou du refus doit pouvoir être conservée et restituée.

Les demandes d’exercice de droits font l’objet d’une traçabilité suffisante, d’une vérification d’identité proportionnée et d’un traitement dans les délais réglementaires. Lorsque la demande concerne un traitement réalisé pour le compte d’un client, Conyvo coopère selon son rôle et redirige ou assiste le responsable de traitement lorsque cela est juridiquement requis.

ARTICLE 4 - Sécurité, confidentialité et gestion des incidents

Les habilitations, journaux utiles, sauvegardes, cloisonnements, mécanismes d’authentification, procédures de partage et dispositifs de protection retenus doivent être cohérents avec la sensibilité des données traitées. Lorsque cela est disponible et pertinent, une authentification multifacteur, une journalisation adaptée et des mécanismes de limitation des accès sont privilégiés.

Tout incident ou soupçon d’incident affectant des données personnelles doit être remonté sans délai injustifié à la direction ou au contact protection des données, avec les faits connus, les catégories de données potentiellement concernées, la source présumée, les mesures déjà prises et les actions de confinement proposées.

5 - Conservation, archivage, restitution et suppression

Chaque traitement est rattaché à une durée de conservation ou à une règle de détermination documentée. À l’expiration de la durée applicable, les données doivent être supprimées, anonymisées ou archivées de manière intermédiaire à accès restreint lorsqu’une obligation légale, réglementaire, probatoire ou contentieuse le justifie.

Sauf instruction écrite différente du client, obligation légale contraire ou nécessité probatoire dûment justifiée, les produits, éléments de production et livrables clients conservés par Conyvo restent soumis à la règle spécifique de conservation maximale de deux (2) ans après clôture du projet ou fin de la relation contractuelle.

6 - Revue, auditabilité et mise à jour

Conyvo maintient une documentation de conformité proportionnée comprenant notamment, selon les cas, le registre des traitements, les mentions d’information, les preuves de consentement, les DPA, les listes de sous-traitants utiles, les éléments de sécurité, les incidents significatifs et les décisions d’arbitrage. Cette documentation est réexaminée et actualisée périodiquement, notamment en cas d’évolution des outils, des flux, des finalités ou du cadre légal.

ANNEXE 2 - Instructions RGPD & Sous-traitance des données

La présente annexe s’applique lorsqu’un client confie à Conyvo un traitement de données à caractère personnel en qualité de sous-traitant, ainsi que lorsque Conyvo recourt elle-même à un sous-traitant ultérieur. Elle complète les stipulations contractuelles applicables et prévaut, pour son périmètre, sur toute instruction incompatible non validée par écrit.

ARTICLE 1 - Encadrement contractuel préalable

Aucun traitement de données réalisé pour le compte d’un client ne doit être engagé sans contrat, devis, DPA, annexe RGPD ou autre acte juridique suffisamment documenté reprenant le périmètre de la prestation, l’objet, la durée, la nature, les finalités, les catégories de données, les catégories de personnes concernées ainsi que les obligations et droits du client en qualité de responsable de traitement.

Conyvo traite les données uniquement sur instruction documentée du client, sauf obligation légale contraire. Si une instruction apparaît manifestement illicite, disproportionnée, techniquement dangereuse ou incompatible avec la réglementation applicable, Conyvo peut demander confirmation, clarification, adaptation ou suspension de l’instruction concernée.

ARTICLE 2 - Confidentialité, personnel autorisé et limitation d’usage

Seules les personnes habilitées, formées et soumises à une obligation de confidentialité appropriée peuvent accéder aux données confiées par le client. Ces accès sont limités au strict besoin d’en connaître et à la durée utile à l’exécution, à la sécurité, à la maintenance ou à la continuité du service concerné.

Les données confiées ne peuvent pas être réutilisées pour le compte propre de Conyvo, pour l’amélioration libre de ses services, pour des finalités de prospection ou pour toute autre finalité autonome, sauf autorisation écrite expresse du client, qualification juridique appropriée et information des personnes concernées lorsque cela est requis.

ARTICLE 3 - Sous-traitants ultérieurs et chaîne de sous-traitance

Le recours à un sous-traitant ultérieur doit être encadré, selon le contrat applicable, par une autorisation spécifique ou générale du client. En cas d’autorisation générale, le client est informé de toute évolution substantielle de la chaîne de sous-traitance dans des conditions lui permettant, le cas échéant, de faire valoir une opposition légitime liée au RGPD ou à la sécurité.

Conyvo veille à imposer à ses sous-traitants ultérieurs des obligations de protection des données et de sécurité au moins équivalentes à celles mises à sa charge pour le traitement concerné. Conyvo demeure responsable, vis-à-vis de son client, de la bonne exécution des obligations de son sous-traitant ultérieur dans les limites prévues par la loi et le contrat.

ARTICLE 4 - Transferts hors EEE, localisation et outils tiers

Lorsque l’exécution de la prestation implique un hébergement, un accès, un support ou un transit de données hors EEE, Conyvo vérifie l’existence d’un mécanisme juridique valable et, lorsque nécessaire, de mesures complémentaires adaptées au risque, telles qu’une décision d’adéquation, des clauses contractuelles types ou des mesures techniques et organisationnelles renforcées.

Aucun outil tiers ou service externe ne doit être mobilisé pour le traitement confié sans vérification préalable de sa compatibilité contractuelle, de sa localisation, de sa sécurité, de ses conditions d’accès et, lorsque pertinent, de ses conditions de transfert international.

ARTICLE 5 - Assistance, droits des personnes, audits et violations

Dans la mesure requise par la réglementation et proportionnée à la prestation, Conyvo assiste le client pour répondre aux demandes d’exercice de droits, documenter les mesures de sécurité, réaliser une analyse d’impact, préparer une consultation de l’autorité de contrôle, traiter un incident ou démontrer sa conformité. Cette assistance peut être facturée lorsqu’elle excède les obligations usuelles ou résulte d’un manquement, d’une instruction tardive ou d’une modification du périmètre décidée par le client.

En cas de violation de données personnelles dont Conyvo a connaissance dans le cadre d’un traitement confié, Conyvo notifie le client sans délai injustifié avec les informations utiles alors disponibles : nature de l’incident, périmètre présumé, catégories de données, mesures de confinement, impacts potentiels et point de contact de suivi. Sauf stipulation contraire ou obligation légale spécifique, le client demeure responsable des notifications à l’autorité de contrôle et aux personnes concernées.

Les audits et demandes documentaires du client doivent rester proportionnés, compatibles avec la confidentialité des autres clients, les secrets d’affaires, la sécurité des systèmes et la continuité d’activité. Sauf urgence justifiée, un audit documentaire à distance est privilégié avant toute inspection sur site.

ARTICLE 6 - Fin de prestation, réversibilité et preuve

À l’expiration ou à la cessation de la prestation, Conyvo procède selon les instructions du client et le cadre contractuel applicable à la restitution, à la suppression ou à l’anonymisation des données, sous réserve des obligations légales de conservation, des sauvegardes à cycle normal et des archives probatoires strictement nécessaires.

La réversibilité, l’export, l’extraction, le reformatage, le transfert assisté, les opérations de purge contrôlée et la production d’attestations spécifiques sont régis par les documents contractuels applicables et peuvent donner lieu à une facturation dédiée lorsque cela a été prévu ou que l’opération excède le service standard. 

ANNEXE 3 - Gouvernance des accès privilégiés, secrets, domaines et environnements

La présente annexe décrit les principes de gouvernance applicables aux accès critiques et actifs sensibles de Conyvo, sans divulguer de secrets opérationnels, identifiants, configurations détaillées ou inventaires exhaustifs qui demeurent confidentiels. Elle complète les exigences de sécurité de la Politique et les documents internes ou contractuels applicables.

ARTICLE 1 - Périmètre gouverné

Sont notamment visés les comptes administrateurs ou à privilèges élevés, les systèmes d’authentification et d’habilitation, les environnements de production, préproduction, test et développement, les consoles cloud, les serveurs, registrars, DNS, certificats, dépôts de code, espaces documentaires, messageries, outils de gestion, sauvegardes, API, clés, tokens, secrets applicatifs, codes de récupération et supports permettant un accès sensible ou une reprise de contrôle.

ARTICLE 2 - Principes généraux de gouvernance

Les accès sont accordés selon les principes de moindre privilège, de besoin d’en connaître, de séparation des tâches, de traçabilité et de révocabilité. Les droits d’administration doivent être attribués à des personnes identifiées, pour un périmètre défini, après validation appropriée et pour une durée cohérente avec la mission ou la fonction exercée.

Les comptes partagés, génériques ou non nominatifs sont évités autant que possible pour les usages d’administration courants. Lorsqu’un accès mutualisé demeure techniquement nécessaire, son usage est strictement limité, documenté, protégé et journalisé.

ARTICLE 3 - Accès privilégiés et actions d’administration

Lorsque cela est disponible, une authentification multifacteur doit être activée pour les comptes d’administration, les consoles critiques, les registrars, les DNS, les coffres-forts de secrets et les environnements de production. Les mots de passe ou secrets par défaut doivent être modifiés dès la mise en service.

Les opérations sensibles d’administration, de délégation de droits, d’ajout de contact de récupération, de transfert de domaine, d’export massif, de rotation de secret, de changement DNS, de réinitialisation d’accès ou de suppression doivent être tracées et, selon la criticité, soumises à une validation renforcée, à un double contrôle ou à une revue a posteriori.

Les habilitations sont revues périodiquement, au moins une fois par an et à chaque changement de mission, d’organisation, d’outil ou de niveau de risque. Toute fin de mission, départ, rupture contractuelle, perte de confiance ou incident de sécurité entraîne la suspension ou la révocation rapide des accès concernés.

ARTICLE 4 - Secrets, clés, certificats et éléments de récupération

Les mots de passe, clés privées, certificats, jetons, secrets d’API, codes de récupération et informations équivalentes doivent être stockés dans un mécanisme de conservation sécurisé et maîtrisé, tel qu’un coffre-fort de secrets ou de mots de passe, et non dans des documents bureautiques non protégés, des échanges non chiffrés ou des supports informels.

La rotation des secrets intervient notamment en cas d’incident, de suspicion de compromission, de changement d’intervenant, de suppression d’un accès, de changement d’environnement ou lorsqu’une politique de sécurité l’exige. Les secrets doivent être différenciés autant que possible par service, environnement et usage.

ARTICLE 5 - Domaines, registrars, DNS et actifs d’identité

Conyvo tient ou peut tenir dans un registre interne distinct l’inventaire des domaines, sous-domaines, registrars, gestionnaires DNS, certificats, contacts de récupération, titulaires, administrateurs principaux et secondaires, statuts MFA, dates d’échéance, dates de revue, restrictions de transfert et mesures de continuité applicables.

Toute opération relative aux domaines ou à l’identité numérique de l’entreprise doit être documentée et rattachée à un responsable identifiable. Les contacts de récupération et moyens de reprise doivent être limités, à jour, protégés et revus lors des changements de gouvernance, d’outils ou de prestataires.

ARTICLE 6 - Gouvernance des environnements et des données

Les environnements de production, préproduction, test et développement doivent être raisonnablement cloisonnés. Les secrets, accès, jeux de données et permissions ne doivent pas être répliqués indistinctement entre environnements. L’usage de données réelles en environnement hors production est évité ou strictement encadré, avec anonymisation, pseudonymisation ou justification opérationnelle documentée lorsque cela est nécessaire.

Les déploiements, extractions, restaurations de sauvegarde, interventions d’urgence, accès temporaires et opérations de support privilégié doivent être journalisés ou documentés selon la criticité du système concerné.

ARTICLE 7 - Procédure d’urgence, continuité et sortie

Un dispositif d’accès d’urgence peut être prévu pour les situations de continuité, d’incident majeur, de perte de disponibilité d’un administrateur ou de risque opérationnel grave. Son usage doit rester exceptionnel, limité dans le temps, motivé, traçable et faire l’objet d’une revue a posteriori.

À la fin d’une relation, d’une mission ou d’un contrat, Conyvo procède, selon le contexte, à la révocation des droits, à la rotation des secrets utiles, à la récupération ou neutralisation des supports, à la mise à jour de l’inventaire, à la vérification des délégations restantes et à la conservation des preuves nécessaires à la sécurité et à la conformité.

L’inventaire détaillé associé à cette annexe peut comprendre, selon les besoins, l’actif ou service concerné, l’environnement, le titulaire, l’administrateur principal, l’administrateur secondaire, le statut MFA, le registrar ou fournisseur, l’emplacement du secret, le contact de récupération, la date de dernière revue et la date de restitution, suppression