Politique de Confidentialité

Comment nous collectons, utilisons et protégeons vos données personnelles

Politique de Confidentialité

Dernière mise à jour : 27 novembre 2025

Cette Politique de Confidentialité explique comment Cleero ("Cleero", "nous", "notre") traite les données personnelles lorsque vous utilisez notre site Web [object Object], notre application Web à [object Object] (ensemble : la "Plateforme"), et lorsque vous interagissez avec nous d'une autre manière. Nous nous engageons à protéger votre vie privée et à traiter les données personnelles conformément au Règlement Général sur la Protection des Données (UE) 2016/679 ("RGPD") et aux lois belges applicables en matière de protection des données.

Qui Nous Sommes (Responsable du Traitement)

L'application et le site Web Cleero sont exploités par Peakdesigns CommV, agissant sous la marque Cleero. Aux fins décrites dans cette Politique de Confidentialité, Peakdesigns CommV agit en tant que responsable du traitement des données personnelles des utilisateurs de la Plateforme et des visiteurs du site Web.

Peakdesigns CommV ("Cleero")
Voortstraat 72
3580 Beringen
Belgique
TVA : BE 0759.767.742
E-mail : [email protected]

Selon la manière dont vous utilisez nos services, vous pouvez également agir en tant que responsable du traitement indépendant, par exemple lorsque vous téléchargez ou saisissez des données personnelles de vos propres clients, fournisseurs ou employés dans la Plateforme. Dans ces cas, vous êtes responsable de vous assurer qu'un tel traitement est conforme au RGPD (par exemple en fournissant votre propre avis de confidentialité à ces personnes concernées).

Champ d'Application de Cette Politique

Cette Politique de Confidentialité s'applique lorsque nous traitons des données personnelles de :

  • Visiteurs de notre site Web cleero.be ;
  • Utilisateurs de notre Plateforme (app.cleero.be) tels que entrepreneurs, entreprises, comptables et leur personnel ;
  • Personnes dont les données sont incluses dans les documents et données traités via la Plateforme (par ex. clients, fournisseurs, personnes de contact, employés) ;
  • Personnes qui nous contactent par e-mail, canaux de support ou médias sociaux ;
  • Clients potentiels et abonnés à la newsletter.

Si vous souhaitez des informations sur la manière dont nous utilisons les cookies et technologies similaires, veuillez consulter notre Politique des Cookies séparée.

Catégories de Données Personnelles

Nous traitons les catégories suivantes de données personnelles, selon votre relation avec nous et la manière dont vous utilisez la Plateforme :

Données de Compte et de Profil

  • Données d'identification : prénom, nom, titre ;
  • Données de contact : adresse e-mail, numéro de téléphone ;
  • Données de compte : nom d'utilisateur, mot de passe (stocké sous forme hachée), journaux d'authentification ;
  • Préférences linguistiques et préférences de communication ;
  • Informations sur l'entreprise : nom de l'entreprise, numéro de TVA, adresse professionnelle, secteur, rôle/fonction.

Données dans la Plateforme (Données Commerciales et Financières)

Le cœur de notre service est de traiter et de stocker des données commerciales et financières. Ces données peuvent contenir des données personnelles vous concernant et concernant des tiers (tels que vos clients, fournisseurs et employés). Les exemples incluent :

  • Factures, notes de crédit, devis, rappels et autres documents ;
  • Registres de clients et de fournisseurs (noms, coordonnées, numéros de TVA, coordonnées bancaires le cas échéant) ;
  • Registres de dépenses et d'achats (y compris les reçus, factures et documents similaires téléchargés) ;
  • Données de transactions bancaires obtenues via des flux bancaires connectés ou des relevés importés ;
  • Données comptables et de reporting dérivées de ce qui précède.

Vous êtes responsable de l'exactitude, de la licéité et de la mise à jour des données personnelles que vous téléchargez ou saisissez dans la Plateforme. Lorsque vous saisissez des données personnelles de tiers (par ex. vos clients), vous devez vous assurer que vous avez une base juridique valable pour le faire et que ces personnes ont été informées de manière appropriée. Notre Plateforme n'est pas conçue pour le traitement systématique de catégories particulières de données personnelles au sens de l'article 9 du RGPD (telles que les données concernant la santé, les convictions religieuses ou l'appartenance syndicale). Vous devez éviter d'inclure de telles données sensibles dans les documents ou champs traités via la Plateforme, sauf si cela est strictement nécessaire, licite et conforme à vos propres obligations en tant que responsable du traitement.

Données Techniques et d'Utilisation

  • Adresse IP, type et version du navigateur, système d'exploitation, informations sur l'appareil ;
  • Date et heure d'accès, pages visitées, actions effectuées dans l'application (journaux d'audit), localisation approximative (basée sur l'adresse IP) ;
  • Identifiants de cookies et identifiants de suivi similaires (comme décrit dans notre Politique des Cookies) ;
  • Données de journal relatives aux performances, aux erreurs et aux événements de sécurité.

Données de Communication et de Support

  • Contenu des e-mails et messages que vous nous envoyez (par ex. demandes de support, commentaires, plaintes) ;
  • Métadonnées des tickets de support (horodatages, notes internes relatives à votre demande) ;
  • Notes d'appels (si vous nous contactez par téléphone) dans la mesure nécessaire pour traiter votre demande.

Données Marketing et Prospects

  • Détails d'abonnement à la newsletter (nom, e-mail, langue et centres d'intérêt, si fournis) ;
  • Informations que vous fournissez lors d'événements ou via des formulaires (par ex. formulaires de prospects, demandes de démonstration) ;
  • Préférences concernant la réception de communications marketing.

Finalités et Bases Juridiques du Traitement

Nous traitons les données personnelles aux fins énumérées ci-dessous et nous nous appuyons sur les bases juridiques suivantes en vertu du RGPD :

Fourniture et Exploitation de la Plateforme

Nous traitons les données personnelles pour :

  • Créer et gérer des comptes d'utilisateurs et des organisations ;
  • Fournir des fonctionnalités de facturation, de gestion des dépenses et de comptabilité associées ;
  • Émettre et envoyer des documents (par ex. factures, rappels, devis) par e-mail ou via Peppol ;
  • Se connecter à des partenaires bancaires pour synchroniser les transactions (uniquement avec votre configuration et autorisation explicites) ;
  • Importer et rapprocher des relevés bancaires et des documents comptables de fournisseurs tiers lorsque vous activez ces intégrations ;
  • Permettre la collaboration avec des comptables ou d'autres utilisateurs autorisés ;
  • Fournir un support client et une gestion des incidents.

Base juridique : Article 6(1)(b) RGPD (exécution d'un contrat) et, lorsque vous agissez en tant que représentant d'une entreprise, notre intérêt légitime à communiquer avec nos clients et utilisateurs (Article 6(1)(f) RGPD).

Respect des Obligations Légales

Nous traitons les données personnelles pour nous conformer aux obligations légales, en particulier en vertu des lois belges en matière de comptabilité, de fiscalité et de lutte contre le blanchiment d'argent. Cela comprend :

  • Conservation des documents et registres comptables pendant la période légalement requise (généralement 7 à 10 ans, selon l'obligation spécifique) ;
  • Fourniture d'informations aux autorités compétentes lorsque nous y sommes légalement obligés ;
  • Mise en œuvre de mesures pour prévenir la fraude, l'abus et le blanchiment d'argent, le cas échéant.

Base juridique : Article 6(1)(c) RGPD (respect d'une obligation légale).

KYC et Contrôles de Risque

Pour certaines organisations et cas d'utilisation (par exemple dans le contexte de la connectivité Peppol, des intégractions bancaires ou de la facturation d'abonnement), nous pouvons effectuer des contrôles Know Your Customer (KYC) et des contrôles de risque connexes en utilisant des fournisseurs tiers spécialisés. Cela implique généralement la vérification des détails de l'organisation et, le cas échéant, des informations sur les représentants ou les personnes de contact.

Lorsque vous démarrez un processus KYC, vous serez redirigé vers un environnement de vérification sécurisé exploité par un tel fournisseur. Dans cet environnement, ils peuvent vous demander de fournir des informations d'identité, y compris des images de votre document d'identité (par exemple une carte d'identité ou un passeport), des photos de selfie ou de courtes vidéos pour des contrôles de vivacité, et d'autres données nécessaires pour confirmer votre identité et votre rôle. Cette preuve (qui peut inclure des données biométriques telles que des modèles faciaux ou des signaux de vivacité) est collectée et stockée sur l'infrastructure de ce fournisseur de vérification selon ses propres conditions et avis de confidentialité. Nous recevons le résultat et les informations de statut pertinentes (par exemple si la vérification a réussi, nécessite des informations supplémentaires ou a été refusée), ainsi que des métadonnées limitées nécessaires pour lier le résultat à votre organisation et à votre compte, mais nous ne stockons pas systématiquement les documents d'identité bruts ou les images de selfie dans nos propres systèmes.

Lorsque vous soumettez des personnes à des contrôles KYC en tant que responsable du traitement indépendant (par exemple vos propres directeurs ou représentants), vous êtes responsable de vous assurer qu'il existe une base juridique appropriée pour le traitement (y compris le consentement explicite pour les données biométriques lorsque la loi l'exige) et que ces personnes reçoivent des informations adéquates sur l'utilisation des fournisseurs KYC et le traitement potentiel d'identifiants biométriques.

Base juridique : Notre intérêt légitime à protéger nos services et à nous conformer aux exigences contractuelles et réglementaires (Article 6(1)(f) RGPD), et, lorsque les contrôles sont exigés par la loi ou par nos partenaires financiers, Article 6(1)(c) RGPD (obligation légale).

Sécurité, Prévention de la Fraude et Amélioration du Service

Nous traitons les données techniques et d'utilisation pour :

  • Sécuriser la Plateforme et l'infrastructure sous-jacente (par ex. surveillance, journaux d'accès, détection d'anomalies) ;
  • Prévenir, détecter et enquêter sur les abus (tentés), la fraude ou les incidents de sécurité ;
  • Surveiller les performances et la fiabilité de la Plateforme ;
  • Améliorer et optimiser les fonctionnalités existantes et en développer de nouvelles (par ex. en analysant des données d'utilisation anonymisées ou agrégées).

Base juridique : Notre intérêt légitime à maintenir nos services sécurisés, fiables et en amélioration continue (Article 6(1)(f) RGPD).

Marketing et Communication

Nous pouvons utiliser vos coordonnées pour :

  • Envoyer des communications liées au service (par ex. modifications de la Plateforme, alertes de sécurité, mises à jour importantes) ;
  • Envoyer des newsletters et des communications marketing sur Cleero, de nouvelles fonctionnalités et offres ;
  • Vous inviter à des enquêtes, webinaires ou événements.

Base juridique :

  • Pour les communications liées au service et transactionnelles : notre intérêt légitime et/ou l'exécution d'un contrat (Article 6(1)(b) et (f) RGPD) ;
  • Pour le marketing direct électronique aux non-clients : votre consentement préalable (Article 6(1)(a) RGPD et règles applicables en matière de confidentialité électronique) ;
  • Pour le marketing auprès des clients existants concernant des services similaires : notre intérêt légitime, avec une option de désinscription facile dans chaque message (Article 6(1)(f) RGPD).

Traitement des Demandes, Questions et Plaintes

Lorsque vous nous contactez (par ex. via [email protected] ou via le support dans l'application), nous traitons les informations que vous fournissez afin de répondre et de suivre votre demande.

Base juridique : Notre intérêt légitime à répondre à vos questions et à fournir un support (Article 6(1)(f) RGPD) et, le cas échéant, l'exécution d'un contrat (Article 6(1)(b) RGPD).

Traitement Basé sur le Consentement

Lorsque nous nous appuyons sur votre consentement (par ex. pour certains cookies, pour des communications marketing spécifiques, ou lorsque des données exceptionnellement sensibles seraient traitées), vous êtes libre de retirer ce consentement à tout moment.

Base juridique : Article 6(1)(a) RGPD (consentement). Le retrait du consentement n'affecte pas la licéité du traitement fondé sur le consentement avant son retrait.

Intégrations Peppol et Bancaires

Facturation Électronique Peppol

Cleero prend en charge l'envoi et la réception de factures électroniques via le réseau Peppol. Lorsque vous activez Peppol dans les paramètres de votre organisation, nous traitons les données personnelles qui apparaissent dans vos factures et détails d'enregistrement afin de livrer et de recevoir des documents via l'infrastructure Peppol.

Cela implique :

  • Partage des données de facture (y compris d'éventuelles données personnelles de personnes de contact) avec notre fournisseur de point d'accès Peppol et le point de terminaison Peppol du destinataire ;
  • Traitement d'identifiants tels que votre ID Peppol, numéro de TVA et détails de l'organisation ;
  • Réception de mises à jour de statut et de rapports de livraison du réseau Peppol.

Base juridique : Exécution du contrat (Article 6(1)(b) RGPD) et respect des obligations légales relatives à la facturation électronique.

Connexions Bancaires

Si vous connectez votre compte bancaire ou activez les flux bancaires, nous recevrons les données de transaction des comptes sélectionnés via des API bancaires sécurisées ou des fichiers que vous téléchargez. Ces données peuvent inclure des descriptions de transactions contenant des données personnelles.

Nous utilisons ces données pour :

  • Synchroniser et rapprocher les transactions bancaires avec vos factures et dépenses ;
  • Importer et traiter les relevés bancaires et les documents comptables connexes de fournisseurs tels que Codabox, si vous activez ces connexions ;
  • Générer des aperçus financiers et des rapports au sein de la Plateforme ;
  • Vous soutenir dans votre comptabilité et votre collaboration avec votre comptable.

Base juridique : Exécution du contrat (Article 6(1)(b) RGPD) et respect des obligations financières et comptables applicables (Article 6(1)(c) RGPD).

Partage de Données et Destinataires

Nous ne vendons pas vos données personnelles. Nous ne partageons les données que dans les situations suivantes :

Sous-traitants (Prestataires de Services)

Nous travaillons avec des prestataires de services soigneusement sélectionnés qui traitent les données personnelles en notre nom ("sous-traitants"), par exemple pour :

  • Hébergement cloud et infrastructure ;
  • Sauvegarde et surveillance de base de données ;
  • Livraison et suivi d'e-mails pour les e-mails transactionnels et de notification (par exemple via des fournisseurs tels que Postmark, qui traitent les événements de livraison, d'ouverture, de rebond et de plainte) ;
  • Traitement des paiements pour les abonnements (par exemple via des fournisseurs tels que Mollie) ;
  • Analytique, suivi des erreurs et journalisation ;
  • Outils de support client ;
  • Fournisseurs OCR et de traitement de documents utilisés pour extraire des données de factures et de reçus (par exemple Google Cloud Document AI et Google Cloud Storage dans les régions de l'UE) ;
  • Fournisseurs de points d'accès Peppol et infrastructure de facturation électronique associée ;
  • Fournisseurs de connectivité bancaire (par exemple Ponto) et fournisseurs de relevés bancaires/documents (par exemple Codabox), lorsque vous activez ces intégrations ;
  • Fournisseurs de vérification d'identité, KYC et de conformité que nous utilisons pour vérifier les organisations et, le cas échéant, leurs représentants dans des cas spécifiques. Dans ces flux, ces fournisseurs peuvent collecter et héberger des documents d'identité et des preuves biométriques (telles que des scans de carte d'identité et des selfies) dans leurs propres environnements tout en partageant les résultats de vérification et des métadonnées limitées avec nous.

Ces sous-traitants ne peuvent traiter les données personnelles que selon nos instructions documentées, dans le cadre d'un accord de traitement de données tel que requis par l'article 28 du RGPD. Ils ne sont pas autorisés à utiliser les données à leurs propres fins.

Comptables et Autres Utilisateurs Autorisés

Vous pouvez inviter des comptables, des collègues ou d'autres tiers à votre organisation ou partager des documents spécifiques avec eux via la Plateforme. Dans ce cas, vous contrôlez quelles données sont partagées et avec qui. Vous êtes responsable de vous assurer qu'un tel partage est licite et, si nécessaire, couvert par un accord approprié entre vous et ce tiers.

Intégrations et Webhooks Configurés par Vous

Vous pouvez choisir de connecter Cleero à d'autres outils logiciels (par exemple des applications de comptabilité, CRM ou de paiement) ou de configurer des webhooks sortants qui envoient des événements de Cleero vers des URL que vous contrôlez. Lorsque vous activez ces intégrations, nous transmettrons les données que vous sélectionnez (telles que les données de documents, de clients ou de transactions) à ces tiers en votre nom. Ces tiers traitent les données selon leurs propres conditions et politiques de confidentialité, et vous êtes responsable de la configuration et de la maintenance de ces intégrations de manière conforme au RGPD. Pour certaines intégrations (par exemple Codabox "Sales Invoice – Copy to Accountant"), vous pouvez accepter des conditions distinctes directement avec le fournisseur d'intégration. Dans ces cas, ce fournisseur peut agir en tant que responsable du traitement indépendant pour le traitement qu'il effectue selon ses propres conditions et est responsable de sa propre conformité à la législation sur la protection des données.

Autorités et Obligations Légales

Nous pouvons divulguer des données personnelles aux autorités publiques, aux régulateurs, aux organismes d'application de la loi ou aux tribunaux lorsque la loi l'exige ou lorsque nous croyons de bonne foi qu'une telle divulgation est raisonnablement nécessaire pour se conformer aux processus juridiques, pour répondre aux réclamations, ou pour protéger nos droits, les utilisateurs ou le public.

Transferts d'Entreprise

Dans le contexte d'une transaction d'entreprise (par ex. fusion, acquisition, restructuration), les données personnelles peuvent être divulguées aux tiers concernés impliqués dans la transaction, sous réserve de garanties de confidentialité appropriées.

Transferts Internationaux

En règle générale, nous visons à stocker et à traiter les données personnelles au sein de l'Espace Économique Européen (EEE). Si des données personnelles sont transférées vers des pays en dehors de l'EEE qui ne fournissent pas un niveau de protection adéquat, nous veillerons à ce que des garanties appropriées soient en place, telles que les Clauses Contractuelles Types de la Commission européenne ou tout autre mécanisme reconnu par le RGPD.

Conservation des Données

Nous ne conservons pas les données personnelles plus longtemps que nécessaire aux fins décrites dans cette Politique de Confidentialité, à moins qu'une période de conservation plus longue ne soit requise ou permise par la loi. En particulier :

  • Données comptables et financières (y compris factures, documents justificatifs et transactions bancaires) : conservées pendant la période requise par la législation belge en matière de comptabilité et de fiscalité (généralement 7 à 10 ans après la fin de l'exercice financier) ;
  • Données de compte : conservées tant que votre compte est actif. Après la fermeture, nous conserverons des informations limitées pendant une période raisonnable (par ex. jusqu'à 3 ans) pour les réclamations juridiques et la tenue de registres, et aussi longtemps que requis par les obligations de conservation légales ;
  • Données de support et de correspondance : conservées pendant la durée nécessaire pour traiter votre demande et pendant une période raisonnable par la suite pour les preuves et l'assurance qualité (par ex. jusqu'à 3 ans, sauf si un litige nécessite une conservation plus longue) ;
  • Données marketing : conservées jusqu'à ce que vous retiriez votre consentement ou vous opposiez au traitement, ou jusqu'à ce que nous déterminions que les données ne sont plus exactes ou pertinentes ;
  • Journaux techniques : conservés à des fins de sécurité et opérationnelles, généralement entre plusieurs semaines et un maximum de 12 mois, sauf si une période plus longue est requise dans le contexte d'un incident ou d'une obligation légale.

Après les périodes de conservation applicables, les données personnelles seront supprimées ou anonymisées de manière irréversible afin que les individus ne soient plus identifiables.

Vos Droits en Vertu du RGPD

Sous réserve des conditions et limitations en vertu du RGPD, vous disposez des droits suivants concernant vos données personnelles :

  • Droit d'accès : vous pouvez demander la confirmation du traitement de vos données personnelles et obtenir une copie de ces données ;
  • Droit de rectification : vous pouvez demander la correction de données personnelles inexactes ou incomplètes ;
  • Droit à l'effacement : vous pouvez demander la suppression de vos données personnelles dans certaines circonstances (par ex. si les données ne sont plus nécessaires, si vous retirez votre consentement et qu'il n'y a pas d'autre base juridique, ou si le traitement est illicite) ;
  • Droit à la limitation : vous pouvez demander que nous limitions le traitement dans certaines situations (par ex. pendant que nous évaluons une objection ou vérifions l'exactitude) ;
  • Droit à la portabilité des données : pour les données que vous nous avez fournies et que nous traitons par des moyens automatisés sur la base du consentement ou d'un contrat, vous pouvez demander une copie structurée, couramment utilisée et lisible par machine, ou nous demander de les transmettre à un autre responsable du traitement lorsque cela est techniquement possible ;
  • Droit d'opposition : vous pouvez vous opposer, pour des raisons tenant à votre situation particulière, au traitement fondé sur nos intérêts légitimes. Vous pouvez toujours vous opposer au traitement à des fins de marketing direct sans donner de raison ;
  • Droit de retirer le consentement : lorsque le traitement est fondé sur votre consentement, vous pouvez retirer ce consentement à tout moment, sans affecter la licéité du traitement avant le retrait.

Vous pouvez exercer ces droits en nous contactant à [email protected]. Nous pouvons vous demander des informations supplémentaires pour confirmer votre identité si nécessaire. Nous visons à répondre dans un délai d'un mois après réception de votre demande, conformément à l'article 12 du RGPD.

Droits des Personnes Concernées Relatifs aux Données Que Vous Contrôlez

Si vous êtes un client de Cleero et que vous stockez des données personnelles de tiers dans la Plateforme (par ex. vos propres clients, fournisseurs ou employés), vous agissez en tant que responsable du traitement indépendant pour ces données. Toute demande de personne concernée que ces individus nous adressent concernant ces données vous sera, le cas échéant, transmise. Vous êtes responsable du traitement de ces demandes conformément au RGPD.

Sécurité des Données Personnelles

Nous prenons des mesures techniques et organisationnelles appropriées pour protéger les données personnelles contre la destruction, la perte, l'altération, la divulgation ou l'accès non autorisés accidentels ou illicites. Ces mesures comprennent, entre autres :

  • Connexions cryptées (HTTPS/TLS) entre votre navigateur et notre Plateforme ;
  • Cryptage des données au repos pour l'infrastructure principale le cas échéant ;
  • Contrôles d'accès et mécanismes d'authentification, y compris le support de mots de passe forts et de mesures de sécurité supplémentaires ;
  • Accès basé sur les rôles au sein de notre organisation afin que seul le personnel autorisé ait accès aux données sur la base du besoin de savoir ;
  • Sauvegardes régulières et mécanismes de reprise après sinistre ;
  • Surveillance, journalisation et alertes pour détecter les activités inhabituelles ;
  • Politiques internes et formation du personnel sur la protection des données et la confidentialité.

Nous appliquons également des routines automatisées et des tâches planifiées pour appliquer nos règles de conservation et pour mettre en œuvre la suppression douce et l'obscurcissement le cas échéant, conformément à nos obligations légales.

Malgré ces mesures, aucun système ne peut être entièrement sécurisé. Si vous soupçonnez une mauvaise utilisation, une perte ou un accès non autorisé à vos données personnelles, veuillez nous contacter immédiatement à [email protected].

Violations de Données

En cas de violation de données personnelles, nous évaluerons les risques potentiels pour les individus et, si la loi l'exige, notifierons l'Autorité Belge de Protection des Données et, le cas échéant, les personnes concernées, conformément aux articles 33 et 34 du RGPD.

Enfants

La Plateforme n'est pas destinée à être utilisée par des enfants de moins de 18 ans. Nous ne collectons pas sciemment de données personnelles auprès d'enfants de moins de 18 ans. Si nous apprenons que nous avons collecté de telles données, nous prendrons des mesures pour les supprimer.

Modifications de Cette Politique de Confidentialité

Nous pouvons modifier cette Politique de Confidentialité de temps à autre, par exemple pour refléter des changements dans la loi ou dans nos services. La version la plus récente sera toujours disponible sur https://www.cleero.be et au sein de la Plateforme. Lorsque les modifications sont importantes, nous fournirons un avis clair (par exemple par e-mail ou notification dans l'application).

Questions et Plaintes

Si vous avez des questions sur cette Politique de Confidentialité ou sur la façon dont nous traitons les données personnelles, ou si vous souhaitez exercer vos droits, vous pouvez nous contacter à :

E-mail : [email protected]

Vous avez également le droit de déposer une plainte auprès de l'autorité de contrôle compétente. En Belgique, il s'agit de l'Autorité Belge de Protection des Données :

Gegevensbeschermingsautoriteit (GBA) / Autorité de protection des données (APD)
Drukpersstraat 35, 1000 Bruxelles, Belgique
Site Web : www.gegevensbeschermingsautoriteit.be

Annexe – Conditions de Traitement des Données (Responsable du Traitement–Sous-traitant)

Cette Annexe s'applique lorsque, dans le cadre de la fourniture de la Plateforme, nous traitons des données personnelles en tant que sous-traitant pour votre compte en tant que responsable du traitement au sens du RGPD. Elle fait partie de l'accord entre vous et Cleero et est incorporée par référence dans nos Conditions d'Utilisation et cette Politique de Confidentialité.

Objet, Durée et Nature du Traitement

  • Objet : traitement des données personnelles incluses dans les Données Client que vous téléchargez ou générez dans la Plateforme (telles que factures, dépenses, transactions bancaires et données de contact) dans le but de fournir et de soutenir les services Cleero.
  • Durée : pour la durée de votre abonnement ou relation contractuelle avec nous, plus toute période de conservation requise par la loi ou le contrat comme décrit dans cette Politique de Confidentialité et nos Conditions d'Utilisation.
  • Nature et finalité : hébergement, stockage, organisation, visualisation, utilisation, transmission et autres opérations sur les données personnelles nécessaires pour fournir, maintenir, sécuriser et améliorer la Plateforme, pour fournir un support et pour se conformer aux obligations légales applicables.
  • Types de données personnelles : comme décrit dans les Sections 3 et 5 de cette Politique de Confidentialité (par ex. données d'identification et de contact, données financières et de transaction, données contenues dans les documents, données techniques et d'utilisation le cas échéant).
  • Catégories de personnes concernées : vos représentants et personnel, vos clients et fournisseurs, et autres personnes dont les données sont incluses dans les Données Client que vous traitez via la Plateforme.

Rôles et Instructions

  • Vous agissez en tant que responsable du traitement concernant les Données Client traitées dans la Plateforme à vos propres fins commerciales.
  • Cleero agit en tant que sous-traitant pour ces Données Client et ne les traitera que sur vos instructions documentées, qui sont principalement énoncées dans nos Conditions d'Utilisation, cette Politique de Confidentialité, votre configuration de la Plateforme et toute instruction écrite que vous nous fournissez raisonnablement de temps à autre (dans la mesure où elles sont conformes au contrat et aux capacités techniques).
  • Si nous sommes tenus par le droit de l'UE ou d'un État membre de traiter des données personnelles au-delà de vos instructions, nous vous informerons de cette exigence légale avant le traitement (sauf si ce droit interdit une telle information pour des motifs importants d'intérêt public).

Confidentialité et Sécurité

  • Nous veillons à ce que les personnes autorisées à traiter des données personnelles en notre nom soient liées par une obligation de confidentialité appropriée (contractuelle ou légale).
  • Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger les données personnelles comme décrit dans la Section 11 (Sécurité des Données Personnelles) de cette Politique de Confidentialité, en tenant compte de l'état de l'art, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement.

Sous-traitants Ultérieurs

  • Nous pouvons engager des sous-traitants ultérieurs (autres sous-traitants) pour traiter des données personnelles en notre nom aux fins décrites dans cette Politique de Confidentialité (par exemple fournisseurs d'hébergement, livraison d'e-mails, processeurs de paiement, fournisseurs de connectivité bancaire, fournisseurs OCR/traitement de documents, points d'accès Peppol et fournisseurs KYC).
  • Nous conclurons des accords écrits avec ces sous-traitants ultérieurs qui imposent des obligations de protection des données au moins aussi protectrices que celles énoncées dans cette Annexe, comme l'exige l'article 28(4) du RGPD.
  • Nous restons responsables envers vous de la performance de nos sous-traitants ultérieurs en relation avec les obligations en vertu de cette Annexe.

Assistance et Demandes des Personnes Concernées

  • En tenant compte de la nature du traitement et des informations dont nous disposons, nous vous fournirons, sur demande, une assistance raisonnable pour vous acquitter de vos obligations de répondre aux demandes des personnes concernées exerçant leurs droits en vertu du RGPD (par exemple accès, rectification, effacement, limitation, portabilité et opposition).
  • Lorsqu'une personne concernée nous contacte directement concernant des données que vous contrôlez, nous la dirigerons vers vous ou vous en informerons afin que vous puissiez traiter la demande, sauf si nous sommes légalement tenus de répondre directement.

Assistance en Matière de Sécurité, Violations et AIPD

  • En tenant compte de la nature du traitement et des informations dont nous disposons, nous vous fournirons une assistance raisonnable pour assurer le respect de vos obligations en vertu des articles 32 à 36 du RGPD (sécurité du traitement, notifications de violations de données, analyses d'impact sur la protection des données et consultation préalable), dans la mesure où ces obligations concernent le traitement que nous effectuons pour votre compte.
  • Nous vous informerons sans retard indu après avoir pris connaissance d'une violation de données personnelles affectant les Données Client, conformément à la Section 12 de cette Politique de Confidentialité, et vous fournirons les informations raisonnablement requises pour satisfaire à vos obligations légales.

Suppression ou Restitution des Données

  • À la résiliation ou à l'expiration de votre abonnement ou sur votre demande écrite, nous supprimerons ou vous restituerons les données personnelles traitées pour votre compte, conformément à nos pratiques de conservation des données décrites dans la Section 8 de cette Politique de Confidentialité et nos Conditions d'Utilisation, sauf si une période de conservation plus longue est requise par la loi.
  • Nous pouvons conserver des copies de données personnelles dans la mesure requise pour le respect d'obligations légales, pour des preuves en cas de réclamations juridiques, ou comme autrement permis par la loi applicable, auquel cas ces données seront traitées conformément à cette Politique de Confidentialité.

Transferts Internationaux

Lorsque nous ou nos sous-traitants ultérieurs transférons des données personnelles vers un pays en dehors de l'EEE qui ne fournit pas un niveau de protection adéquat, nous veillerons à ce qu'un tel transfert soit couvert par des garanties appropriées en vertu du Chapitre V du RGPD, telles que les Clauses Contractuelles Types de la Commission européenne ou tout autre mécanisme de transfert reconnu par la Commission européenne.

Audits et Informations

  • Nous mettrons à votre disposition toutes les informations raisonnablement nécessaires pour démontrer le respect des obligations énoncées à l'article 28 du RGPD et dans cette Annexe, par exemple en fournissant de la documentation ou des résumés de sécurité et, le cas échéant, des réponses à des questionnaires raisonnables.
  • Si la loi l'exige et sous réserve d'un préavis raisonnable, d'exigences de confidentialité et de sécurité, vous (ou un auditeur indépendant mandaté par vous) pouvez effectuer des audits ou des inspections de nos activités de traitement pertinentes, limités à ce qui est nécessaire pour vérifier le respect de cette Annexe et de l'article 28 du RGPD. La portée, le calendrier et les modalités pratiques de ces audits seront convenus à l'avance, et les audits seront effectués de manière à minimiser les perturbations de nos opérations.