Conformité RGPD

Cet avis RGPD explique comment RemotIQ Pty Ltd traite les données personnelles lorsque le Règlement général sur la protection des données (Règlement (UE) 2016/679, RGPD) et le RGPD britannique (UK GDPR) s'appliquent. Il complète notre Politique de Confidentialité. En cas d'incohérence sur un sujet régi spécifiquement par le RGPD ou l'UK GDPR, le présent avis prévaut pour les personnes concernées.

À qui s'applique cet avis

Le RGPD s'applique au traitement des données personnelles des personnes situées dans l'Espace économique européen (EEE). L'UK GDPR s'applique au traitement des données des personnes situées au Royaume-Uni. Nous nous conformons aux deux lorsqu'ils sont engagés. Les références au RGPD doivent se lire comme renvoyant à l'UK GDPR pour les personnes au Royaume-Uni.

Notre rôle : responsable de traitement et sous-traitant

Nous avons deux rôles distincts selon l'activité. En tant que responsable de traitement, nous déterminons les finalités et moyens du traitement pour les visiteurs de notre site, prospects, clients, fournisseurs, candidats et contacts professionnels. Notre Politique de Confidentialité décrit ce traitement en détail. En tant que sous-traitant, nous traitons des données personnelles pour le compte de nos clients lors de la prestation de services — par exemple, lorsque nous opérons ou maintenons un système contenant les données des utilisateurs finaux du client. Dans ce cas, le client est responsable de traitement et notre traitement est encadré par ses instructions documentées et par l'Accord de Traitement de Données (DPA) signé entre nous.

Catégories de données personnelles

Comme responsable de traitement, nous traitons généralement : données d'identification et de contact (nom, e-mail, téléphone, fonction, employeur) ; données commerciales (offres, factures, métadonnées de paiement) ; données techniques (adresse IP, identifiants d'appareil, empreinte navigateur lorsque strictement nécessaire, journaux d'interactions) ; données de candidat (nom, coordonnées, CV et toute information complémentaire fournie). Comme sous-traitant, les catégories sont déterminées par notre client et précisées dans son DPA et ses instructions ; nous ne collectons pas de données supplémentaires de notre propre initiative.

Bases légales (en tant que responsable)

Nous nous appuyons sur les bases suivantes (article 6 RGPD). Exécution d'un contrat — pour fournir les services, gérer les comptes, émettre des factures et répondre aux demandes. Intérêts légitimes — pour communiquer avec les prospects à leur initiative, maintenir et améliorer nos services, tenir nos registres, gérer la sécurité et administrer notre activité de manière proportionnée. Consentement — pour les cookies non essentiels, les communications marketing si requises, et tout traitement où le consentement est la base la plus appropriée ; il peut être retiré à tout moment. Obligation légale — pour respecter les lois applicables, notamment fiscales, comptables, anti-blanchiment et requêtes licites des autorités. Nous ne recourons pas à la prise de décision automatisée produisant des effets juridiques ou similaires au sens de l'article 22 RGPD.

Traitement pour le compte des clients (en tant que sous-traitant)

Lorsque nous agissons en tant que sous-traitant, nous respectons l'article 28 RGPD. Nous traitons les données personnelles uniquement sur instructions documentées du responsable, y compris pour les transferts internationaux, sauf obligation légale. Nous garantissons la confidentialité du personnel ayant accès. Nous mettons en œuvre des mesures techniques et organisationnelles appropriées. Nous ne recourons à des sous-traitants ultérieurs qu'avec l'autorisation du responsable, en transférant des obligations équivalentes. Nous assistons le responsable, compte tenu de la nature du traitement et des informations disponibles, dans le respect de ses obligations envers les personnes concernées et en matière de sécurité et de notification de violations. Nous supprimons ou restituons les données personnelles à la fin de la prestation, sauf conservation imposée par la loi.

Sous-traitants ultérieurs

Nous recourons à des sous-traitants ultérieurs soigneusement sélectionnés — par exemple, fournisseurs d'infrastructure, de messagerie et de paiement. Nous tenons une liste à jour à disposition des clients sous DPA. Nous informons le client à l'avance de tout sous-traitant nouveau ou remplaçant et lui ouvrons le droit de s'y opposer. Nous garantissons par contrat que le sous-traitant ultérieur est soumis aux mêmes obligations de protection des données que dans notre DPA, en présentant notamment des garanties suffisantes en mesures techniques et organisationnelles.

Transferts internationaux

Notre siège est en Australie, qui n'a pas été reconnue par la Commission européenne comme assurant un niveau de protection adéquat au sens de l'article 45 RGPD. Lorsque nous transférons des données personnelles depuis l'EEE ou le Royaume-Uni vers l'Australie ou d'autres pays tiers, nous nous appuyons sur les Clauses contractuelles types (décision d'exécution (UE) 2021/914) pour les transferts depuis l'EEE, et sur l'International Data Transfer Addendum du Royaume-Uni publié par l'ICO pour les transferts depuis le Royaume-Uni. Nous réalisons des analyses d'impact des transferts et appliquons des mesures supplémentaires — chiffrement en transit et au repos, contrôles d'accès et, le cas échéant, pseudonymisation — pour protéger les données. Une copie du mécanisme applicable peut être obtenue sur demande à privacy@remotiq.com.au.

Sécurité

Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger les données personnelles contre la destruction accidentelle ou illicite, la perte, l'altération, la divulgation ou l'accès non autorisés. Elles incluent : chiffrement en transit (TLS) et au repos lorsqu'il est pris en charge ; contrôles d'accès au moindre privilège ; authentification multi-facteurs sur les comptes d'administration ; pratiques de développement sécurisées ; cloisonnement entre environnements clients ; gestion des risques fournisseurs ; journalisation et supervision ; sauvegardes et restauration testée ; procédures de réponse aux incidents. Nous réexaminons régulièrement nos mesures et les mettons à jour au regard du risque et de l'état de l'art.

Notification de violation de données

En tant que responsable, nous notifions à l'autorité de contrôle compétente toute violation de données sans délai injustifié et, dans la mesure du possible, au plus tard 72 heures après en avoir pris connaissance, sauf si la violation n'est pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques. Lorsque la violation est susceptible d'engendrer un risque élevé, nous informons les personnes concernées sans délai injustifié. En tant que sous-traitant, nous informons le responsable sans délai injustifié après avoir pris connaissance d'une violation affectant ses données, en lui transmettant les informations nécessaires au respect de ses propres obligations.

Vos droits

Les personnes situées dans l'EEE et au Royaume-Uni disposent des droits suivants : droit d'information ; droit d'accès ; droit de rectification ; droit à l'effacement (droit à l'oubli) dans des circonstances définies ; droit à la limitation du traitement ; droit à la portabilité pour les données qu'elles ont fournies lorsque le traitement repose sur le consentement ou un contrat et est automatisé ; droit d'opposition au traitement fondé sur l'intérêt légitime (y compris le profilage) et à la prospection à tout moment ; droit de retirer le consentement à tout moment, sans affecter la licéité d'un traitement antérieur ; droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques ou similaires.

Comment exercer vos droits

Si nous sommes responsables de vos données, écrivez à privacy@remotiq.com.au. Nous répondons sous 30 jours ; en cas de demande complexe ou nombreuse, nous pouvons prolonger jusqu'à deux mois supplémentaires en vous indiquant la raison. Nous ne facturons pas la réponse, sauf demandes manifestement infondées ou excessives. Nous pouvons devoir vérifier votre identité pour protéger vos données. Si nous ne détenons vos données qu'en tant que sous-traitant pour un client, nous transmettons votre demande à ce client (responsable) sans délai injustifié ; vous pouvez aussi le contacter directement.

Mineurs

Nos services s'adressent à des organisations et aux professionnels qui y travaillent. Nous ne collectons pas sciemment de données personnelles d'enfants de moins de 16 ans (ou de l'âge applicable au consentement numérique selon la loi locale) sans consentement vérifiable d'un parent ou tuteur. Si vous pensez que nous détenons les données d'un mineur, contactez privacy@remotiq.com.au et nous les supprimerons.

Conservation

En tant que responsable, nous conservons les données aussi longtemps que nécessaire à la finalité, incluant obligations légales, comptables ou de reporting. Les durées habituelles figurent dans notre Politique de Confidentialité. En tant que sous-traitant, nous conservons les données pour la durée de la prestation et les supprimons ou restituons à la fin conformément au DPA, sauf rétention imposée par la loi.

Accord de Traitement de Données (DPA)

Les clients qui ont besoin d'un DPA peuvent obtenir notre modèle à privacy@remotiq.com.au. Il intègre les Clauses contractuelles types de l'UE et l'Addendum du Royaume-Uni le cas échéant, traite la gouvernance des sous-traitants ultérieurs, les mesures de sécurité, la notification des violations et l'assistance aux droits des personnes. Nous signons le DPA avant tout traitement de données personnelles pour le compte d'un client lorsque le RGPD ou l'UK GDPR s'applique.

Autorités de contrôle

Vous avez le droit d'introduire une réclamation auprès d'une autorité de contrôle, notamment dans l'État membre de votre résidence habituelle, de votre lieu de travail ou du lieu où la violation aurait été commise. Au Royaume-Uni, l'autorité est l'Information Commissioner's Office (ICO) — ico.org.uk. La liste des autorités de l'UE est publiée par le Comité européen de la protection des données sur edpb.europa.eu. Nous apprécierions toutefois la possibilité d'examiner d'abord vos préoccupations directement — écrivez à privacy@remotiq.com.au.

Représentants UE et Royaume-Uni

Nous ne sommes actuellement pas établis dans l'UE ni au Royaume-Uni. Lorsque l'article 27 du RGPD ou de l'UK GDPR exige la désignation d'un représentant, nous en désignerons un et mettrons à jour cet avis avec ses coordonnées. Dans l'intervalle, adressez vos demandes à privacy@remotiq.com.au.

Modifications de cet avis

Nous mettons à jour cet avis lorsque nos traitements changent ou lorsque les lignes directrices d'autorités ou la jurisprudence rendent une clarification appropriée. La date d'entrée en vigueur indique la version courante. Les modifications substantielles seront communiquées à l'avance aux personnes et clients concernés.

Contact

Confidentialité et RGPD : privacy@remotiq.com.au. Postal : RemotIQ Pty Ltd, #203 Hampton Rd, Northampton WA 6535, Australie.