Politique de confidentialité d'Agdatahub

Version AGDATAHUBPC-2023-01, publiée le  01 janvier 2023

Agdatahub accorde une grande importance à la protection des données à caractère personnel et porte une attention toute particulière aux informations (« Données Personnelles ») que vous lui transmettez lorsque vous utilisez les sites internet Agdatahub et la plateforme pour les Produits EXCHANGE, CONSENT et CONNECT (la « Plateforme »).

Les « Sites » définissent les sites internet suivants :

La « Plateforme » inclut les produits suivants (« Produits ») :

  • Produit EXCHANGE : désigne les services d’intermédiation de données pour gérer les échanges entre abonnés au sein des filières agricoles et agroalimentaires, accessible à l’adresse suivante : https://platform.api-agro.eu/
  • Produit CONSENT : désigne la gamme des services fonctionnels et techniques Connect, Consent et Verif, basés sur l’Identité Numérique Agricole dédiée aux exploitations agricoles. Ces services sont disponibles en ligne (portail web agriculteur et portail partenaire) pour les membres accessibles à l’adresse suivante : https://agritrust.fr et via une application mobile dédiée aux exploitations agricoles.

Conformément au Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et à la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés modifiée (ensemble la
« Réglementation »), la présente politique de confidentialité a pour objet de vous informer de la manière dont Agdatahub utilise et protège vos données à caractère personnel (la « Politique de Confidentialité »).

1. Identité et coordonnées du responsable de traitement

Le responsable du traitement est la société Agdatahub SAS, ayant son siège social au 9, avenue George V, 75008 PARIS – France.

Pour toute question relative à la présente Politique de Confidentialité ou demande relative aux traitements de vos Données Personnelles effectués par Agdatahub vous concernant :

Agdatahub
9, avenue George V
75008 PARIS
Tél : +33 1 87 16 41 66
Mail : dpo@agdatahub.eu

2. Finalités des traitements

Agdatahub traite vos Données Personnelles pour les finalités suivantes :

  • Traitement d’une demande d’information commerciale émise par un Abonné via ses Membres (tels que ces termes sont définis dans les Conditions Générales de la Plateforme AGDATAHUB) via les Sites ;
  • Traitement d’une demande de devis émise par un Membre via les Sites ;
  • Inscription à la lettre d’information émise par les Sites ;
  • Création et gestion de votre compte Abonné, Membre ou Exploitant Agricole sur la Plateforme ;
  • Accès au support fonctionnel et à l’assistance technique de la Plateforme ;
  • Gestion des paiements pour les achats effectués via les Plateformes ;
  • Traitement de demandes de rendez-vous auprès d’un collaborateur Agdatahub ;
  • Gestion des paiements des Abonnements aux Produits EXCHANGE et/ou CONSENT ainsi que des prestations de services spécifiques.

3. Données traitées

Quelles Données Personnelles ?

Agdatahub traite les Données Personnelles suivantes :

  • Pour le traitement de demande d’information : adresse email, nom, prénom, société, fonction, téléphone professionnel ;
  • Pour le traitement de demande de devis : adresse email, nom, prénom, société, fonction, téléphone professionnel ;
  • Pour l’inscription à la lettre d’information sur le Site: adresse email, nom, prénom ;
  • Pour la création de votre compte Abonné, Membre ou Exploitant Agricole sur la Plateforme: adresse email, nom, prénom, numéro de téléphone professionnel, adresse postale ;
  • Support fonctionnel et Assistance technique de la Plateforme: adresse email, nom, prénom, numéro de téléphone professionnel.
  • Pour le paiement en ligne des abonnements et des prestations de service via le service de paiements Stripe: nom, prénom, numéro de carte bancaire, email et numéro de téléphone portable

 
Quand ?

Nous collectons les informations que vous nous fournissez notamment quand :

  • vous créez votre compte Abonné, Membre ou Exploitant Agricole sur la Plateforme ;
  • vous créez une Identité Numérique Agricole ;
  • vous souscrivez à un Abonnement (tel que défini dans les Conditions Générales de la Plateforme AGDATAHUB) via la Plateforme ;
  • vous contactez le support fonctionnel ou l’assistance technique d’Agdatahub ;
  • vous rédigez un commentaire ;
  • vous communiquez par messages avec un membre de la Plateforme.

Le caractère obligatoire ou facultatif des données vous est signalé lors de la collecte par un astérisque. Certaines données sont collectées automatiquement du fait de vos actions sur le site (voir ci-après les paragraphes « Cookies » et « Traitements effectués par le gestionnaire de la Plateforme »)

Afin de renforcer la confiance entre les Abonnés, Membres ou Exploitants Agricoles inscrits sur la Plateforme, Agdatahub peut vous demander de confirmer votre identité par l’authentification Linkedin. Lors de l’authentification par Linkedin, vous acceptez de donner accès à certaines informations de votre profil (nom, prénom et photographie de profil) à Agdatahub.

4. Base légale des traitements

Les bases légales applicables sont les suivantes :

  • Le contrat : le traitement est nécessaire à l’exécution de votre contrat avec Agdatahub ou à l’exécution de mesures précontractuelles prises à votre demande ;
  • Le consentement : pour tout traitement qui n’est pas nécessaire à l’exécution de votre contrat avec Agdatahub ou à l’exécution de mesures précontractuelles prises à votre demande, vous acceptez le traitement de vos Données Personnelles par le biais d’un consentement exprès (case à cocher, clic…). Vous pouvez retirer ce consentement à tout moment.

5. Destinataires

Vos Données Personnelles ne sont transmises qu’aux sous-traitants et fournisseurs auxquels Agdatahub fait appel pour assurer :

  • la diffusion de la lettre d’information du Site et des informations marketing associées (évènements, club utilisateurs….) ;
  • la mise en relation permettant d’aboutir à l’édition d’un devis commercial ;
  • la gestion, la maintenance et l’hébergement de la Plateforme ;
  • l’accès au support fonctionnel et à l’assistance technique de la Plateforme ;
  • le traitement des opérations de paiement.

En aucun cas il ne sera procédé à la commercialisation de vos Données Personnelles.

6. Durée de conservation

Agdatahub conservera vos Données Personnelles aussi longtemps que nécessaire pour accomplir la ou les finalités décrites dans le paragraphe « Données traitées ».

En tout état de cause, la durée de conservation de vos Données Personnelles n’excédera pas trois (3) années, à partir de la fin de l’Abonnement (pour les Abonnés, ayant souscrit à un Produit EXCHANGE et/ou CONSENT) ou à partir de la dernière communication (pout toute autre personne),  sauf durée de conservation plus longue qui serait requise par la Réglementation ou par une agence administrative ou judiciaire compétente. A l’expiration de la durée de conservation, ou à votre demande, vos Données Personnelles seront supprimées.

7. Cookies

A l’exception des cookies techniques nécessaires à la fourniture du service, dont la seule finalité est de faciliter l’usage des Produits EXCHANGE et/ou CONSENT et de certains cookies de mesure d’audience bénéficiant d’une exemption au recueil de consentement[1], tel l‘outil Matomo Analytics dans sa version 4, votre consentement exprès sera requis avant toute utilisation de tous autres cookies. Vous pouvez accepter ou refuser le dépôt de cookies à tout moment. Si vous ne souhaitez pas que des cookies soient stockés sur votre terminal, vous pourrez bloquer tous les cookies ou certains d’entre eux en modifiant les paramètres de votre navigateur. Les cookies seront conservés pendant une durée de 13 mois.

Lors de chaque connexion sur la Plateforme, une bannière présentant des informations relatives au dépôt de cookies et de technologies similaires apparaît en bas de votre écran et est accessible à tout moment en cliquant sur le lien « Gestion des cookies » présent dans le pied de page des Sites. Cette bannière vous permet d’exprimer votre consentement aux différents cookies ou de les rejeter.

Nous attirons votre attention sur le fait que les cookies de partage des réseaux sociaux sont émis et gérés par l’éditeur du réseau social concerné.

8. Traitements effectués par le gestionnaire du Produit EXCHANGE

Nous attirons votre attention sur le fait que lors de votre usage de la Plateforme pour le Produit API-AGRO, la société Dawex, gestionnaire du Produit EXCHANGE recueille par le biais de cookies, votre adresse IP, vos données de connexions et données de navigation, les offres consultées et les historiques des transactions réalisées, ainsi que les opérations et échanges ayant conduit à ces transactions.

Ces Données Personnelles sont collectées afin de :

  • inscrire les Membres aux lettres d’informations;
  • éditer des devis commerciaux ;
  • réaliser des statistiques de visite et d’usage du Produit (nombre de pages visitées, fréquence…) ;
  • améliorer l’expérience du Membre ;
  • sécuriser les transactions réalisées par l’intermédiaire de la Plateforme ;
  • s’assurer que l’utilisation de la Plateforme par les Membres est conforme aux Conditions Générales d’abonnement du Produit EXCHANGE ;
  • s’assurer que la Plateforme ne fait pas l’objet d’un usage abusif.

La collecte de ces Données Personnelles est fondée sur votre consentement exprès lors de l’ Abonnement au Produit EXCHANGE. Vous pouvez retirer ce consentement à tout moment.

Les données sont conservées tant que votre compte est actif. Elles sont ensuite archivées conformément à la réglementation applicable. Notamment, lors de la désinscription du Membre, les données d’identité sont supprimées et les données de connexion sont anonymisées, sauf pour les messages échangés où le nom / prénom sont conservés pendant une durée de trois ans.

9. Traitements effectués par le gestionnaire du Produit CONSENT

Nous attirons votre attention sur le fait que lors de votre usage de la Plateforme pour le Produit EXCHANGE, la société Orange Business, gestionnaire du Produit CONSENT recueille par le biais de cookies, votre adresse IP, vos données de connexions et données de navigation, les offres consultées et les historiques des transactions réalisées, ainsi que les opérations et échanges ayant conduit à ces transactions. 

Ces Données Personnelles sont collectées afin de : 

  • inscrire les Membres aux lettres d’informations; 
  • éditer des devis commerciaux ;  
  • réaliser des statistiques de visite et d’usage du Produit (nombre de pages visitées, fréquence…) ;  
  • améliorer l’expérience du Membre; 
  • sécuriser les transactions réalisées par l’intermédiaire de la Plateforme ; 
  • s’assurer que l’utilisation de la Plateforme par les Membres est conforme aux Conditions Générales d’abonnement du Produit CONSENT ; 
  • s’assurer que la Plateforme ne fait pas l’objet d’un usage abusif. 

La collecte de ces Données Personnelles est fondée sur votre consentement exprès lors de l’ Abonnement au Produit CONSENT. Vous pouvez retirer ce consentement à tout moment.  

Les données sont conservées tant que votre compte est actif. Elles sont ensuite archivées conformément à la réglementation applicable.

10. Vos droits

Conformément à la Réglementation, vous pouvez exercer les droits suivants :

  • Accès : vous pouvez demander des informations relatives au traitement de vos Données Personnelles, ainsi qu’une copie de celles-ci.
  • Rectification : si vous estimez que vos Données Personnelles sont inexactes ou incomplètes, vous pouvez exiger que vos Données Personnelles soient modifiées en conséquence.
  • Suppression : vous pouvez demander la suppression de vos Données Personnelles, dans la mesure permise par la Réglementation.
  • Limitation : vous pouvez demander la limitation du traitement de vos Données Personnelles.
  • Opposition : vous pouvez vous opposer au traitement de vos Données Personnelles, pour des raisons liées à votre situation particulière. Vous pouvez notamment vous opposer au traitement de vos Données Personnelles à des fins de marketing direct, y compris au profilage lié à ce type de marketing direct, sans qu’Agdatahub ne puisse refuser.

En sus des droits précités, vous avez la possibilité d’organiser le sort de vos Données Personnelles après votre mort, en envoyant vos instructions à Agdatahub.

Vous avez également le droit de retirer votre consentement à tout moment lorsque le consentement donné sert de base légale au traitement concerné de vos Données Personnelles. Dans ces conditions, le retrait de votre consentement aura pour effet d’interrompre le traitement concerné pour l’avenir mais n’affectera pas la licéité dudit traitement effectué préalablement.

Enfin, au titre du droit à la portabilité, vous avez le droit de récupérer les Données Personnelles vous concernant qu’Agdatahub a en sa possession, et, lorsque cela est techniquement possible, de demander leur transfert à un tiers.

Vous pouvez exercer vos droits auprès d’Agdatahub en envoyant votre demande au point de contact mentionné dans le paragraphe 1 « Identité et coordonnées du Responsable de Traitement » ci-après. Agdatahub vous informe qu’il sera en droit, le cas échéant, de s’opposer aux demandes manifestement infondées ou excessives.

11. Liens vers des sites de tiers

Vous pouvez être en mesure d’accéder à des sites internet de tiers par le biais de liens disponibles sur la Plateforme. L’utilisation de ces sites tiers sera régie par les politiques de confidentialité de ces sites et non par la présente Politique de Confidentialité.

12. Transferts hors Espace Économique Européen

Par principe, nous veillons à minimiser les situations dans lesquelles les données personnelles pourraient faire l’objet d’un transfert vers un pays situé hors de l’Union Européenne. Néanmoins, il peut arriver que l’utilisation des services fournis par un prestataire ou une application tierce implique un transfert de données à caractère personnel vers un pays situé hors de l’Union européenne. Dans ces situations, nous veillons à ce que les traitements impliquant un transfert de données à caractère personnel hors de l’Union européenne n’aient lieu qu’à condition d’assurer un niveau de protection de vos données personnelles suffisant et approprié. A ce titre, nous utilisons l’un des mécanismes prévus par la réglementation européenne permettant d’encadrer ces transferts.

De surcroît, nous veillons également, conformément aux recommandations du Comité Européen de la Protection des Données relatives aux mesures qui complètent les mécanismes de transfert destinés à garantir le respect du niveau de protection des données à caractère personnel de l’UE, à évaluer l’efficacité pratique du mécanisme de transfert choisi au regard de la législation du pays tiers. S’il ressort de cette analyse que le mécanisme de transfert choisi n’offre pas un niveau de protection essentiellement équivalent à celui de l’UE, nous veillons, dans la mesure du possible, à ce que des mesures supplémentaires (techniques, organisationnelles ou contractuelles) soient mises en place et régulièrement évaluées.

Pour être le plus transparent possible, vous trouverez ci-dessous un tableau contenant les traitements réalisés impliquant un transfert de données hors Union européenne et le mécanisme de transfert utilisé.

Prestataire
(Traitement) 
Mécanisme de transfert utilisé
(Le cas échéant, mesures supplémentaires adoptées) 

STRIPE (Sous-traitant) 

https://stripe.com/ 

 

(Gestion des transactions en ligne par carte bancaire) 

Mécanisme de transfert utilisé : Clauses contractuelles type de la Commission européenne (CCT).

Mesures supplémentaires :

  • Contrôle d’accès physique pour empêcher les personnes non autorisées d’accéder aux systèmes de traitement des données disponibles dans les locaux et les installations (y compris les bases de données, les serveurs d’applications et le matériel connexe), où les données personnelles sont traitées.
  • Contrôle d’accès virtuel pour empêcher l’utilisation des systèmes de traitement des données par des personnes non autorisées.
  • Contrôle d’accès aux données pour s’assurer que les personnes autorisées à utiliser un système de traitement de données n’ont accès qu’à des données personnelles conformément à leurs droits d’accès, et que les données personnelles ne peuvent pas être lues, copiées, modifiées ou supprimées sans autorisation.
  • Contrôle de la divulgation pour s’assurer que les données personnelles ne peuvent pas être lues, copiées, modifiées ou supprimées sans autorisation lors de la transmission électronique, du transport ou du stockage sur des supports de stockage (manuels ou électroniques), et qu’il peut être vérifié à quelles sociétés ou autres entités juridiques les données personnelles sont divulguées.
  • Contrôle d’entrée pour vérifier si les données ont été saisies, modifiées ou supprimées, et par qui, des systèmes de traitement des données.
  • Contrôle de la disponibilité pour s’assurer que les données personnelles sont protégées contre la destruction ou la perte accidentelle (physique/logique).
  • Contrôle de séparation pour s’assurer que les données personnelles collectées à des fins différentes peuvent être traitées séparément.
  • Par défaut, Stripe chiffre les données. Les contrôles de sécurité mis en œuvre chez Stripe comprennent la configuration TLS 1.2 pour les données en transit, le cryptage TLS et / ou SSL pour HTTPS et des tests réguliers des composants d’infrastructure. L’authentification en deux étapes est disponible pour une couche de sécurité supplémentaire lors de la connexion au Dashboard.
  • Chaque demande d’accès aux données par des autorités administratives, judiciaires et policières est examinée afin de répondre avec le minimum d’informations requises aux demandes licites.

    Voir aussi https://stripe.com/fr/privacy-center/legal#data-transfers

Brevo

https://www.brevo.com/fr/

 

(solution de mailing) 

Mécanisme de transfert utilisé : Clauses contractuelles type de la Commission européenne (CCT) .

Mesures supplémentaires :

  • Les données personnelles ne sont traitées que par les employés de Brevo, et les filiales américaines (Inc) et indiennes (Silver Line Ltd) sont contrôlées par Brevo.
  • Le transfert consiste exclusivement en un accès à distance aux données, pour atteindre deux objectifs précis (support et maintenance), dans des situations identifiées et limitées selon le principe de minimisation des données.
  • Les employés sont soumis à un accord de confidentialité et sont régulièrement sensibilisés à la protection des données et au RGPD.
  • Toute copie ou extraction de données par les employés de Brevo est interdite.
  • Aucune donnée sensible (au sens de l’article 9 du RGPD) n’est traitée par Brevo.
  • Le stockage des données se fait dans l’Union européenne et les données de sauvegarde (back up data) sont cryptées.
  • Les sous-traitants sont des filiales de Brevo qui répondront aux demandes des clients exactement comme s’ils étaient situés dans l’Espace économique européen.
  • A ce jour, l’activité de Brevo n’a jamais fait l’objet d’une demande de l’administration américaine en vertu de l’article 702 de la FISA.

Le cas échéant, Brevo s’engage à refuser systématiquement, lorsque la loi applicable le permet, de communiquer des données à un tiers (y compris à des personnes de droit public).

Freshdesk  

https://freshdesk.com  

 

(solution de gestion du support client) 

  • Mécanisme de transfert utilisé : Clauses contractuelles type de la commission européenne (CCT).

    Mesures supplémentaires :

    • Hébergement des données en Union Européenne
    • Les sous-traitants ultérieurs sont exclus
    • Les données sont chiffrées à la fois au repos et en transit
    • Le tranfert des données hors UE est effectué pour des besoins de support / sécurité.

    Pour les mesures techniques et organisationnelles additionnelles de Freshdesk : https://www.freshworks.com/data-processing-addendum/

13. Données Personnelles des mineurs

Les Produits EXCHANGE et CONSENT ne sont pas destinés aux mineurs.

Il appartient aux parents et à toute personne exerçant l’autorité parentale de décider si leur enfant mineur est autorisé à utiliser les Produits.

14. Réclamation

Si vous considérez que le traitement de vos Données Personnelles constitue une violation de la Réglementation, et sans préjudice de tout autre recours administratif ou juridictionnel, vous avez le droit d’introduire une réclamation auprès d’une autorité de contrôle, en particulier dans l’État membre dans lequel se trouve votre résidence habituelle ou le lieu où la violation aurait été commise.

En France, l’autorité de contrôle compétente pour recevoir de telles réclamations est la Commission Nationale de l’Informatique et des Libertés (CNIL).

Sur les données à caractère personnel contenues dans les Fichiers échangés au sein du Produit EXCHANGE :

Les fichiers échangés dans le cadre de votre utilisation de la Plateforme peuvent contenir des données à caractère personnel (les « Fichiers »). Vous êtes, en tant qu’Abonné de la Plateforme, responsable de traitement de ces données.

Dans le cas où Agdatahub serait considéré comme étant un sous-traitant au sens de la Réglementation, vous devez vous assurer qu’Agdatahub est autorisé à traiter pour votre compte les Fichiers.

A cet égard, Agdatahub peut accéder à, enregistrer temporairement ou transférer les données à caractère personnel présentes dans les Fichiers aux fins de permettre aux autres Abonnés et Membres de bénéficier des Produits EXCHANGE et de conclure des transactions, pendant toute la durée d’utilisation de la Plateforme, dans le respect de vos instructions et des conditions de la Plateforme.

Agdatahub s’interdit de procéder à toute modification du contenu des Fichiers et toute modification du contenu des Fichiers devra être effectuée par vous-même.

En tant qu’Abonné vous devez déclarer directement sur l’interface du Produit EXCHANGE la présence de données à caractère personnel dans les Fichiers afin notamment qu’un traitement automatique soit mis en œuvre afin de masquer les données à caractère personnel dans l’échantillon mis en ligne. En cas d’omission de déclaration, Agdatahub n’est pas tenu responsable de la visibilité des données à caractère personnel dans l’échantillon mis en ligne.