Politique d'utilisation de données à caractère personnel OVHcloud

Privacy Policy

Mise à jour le 13 Avril 2023

Si vous êtes client, prospect, partenaire, fournisseur ou si vous êtes un dirigeant, un salarié ou un préposé de ces derniers ("Préposé(s)") et/ou que vous utilisez un service d’OVHcloud, OVH SAS et ses sociétés apparentées (ci-après « OVHcloud ») peuvent être amenées à traiter des données à caractère personnel vous concernant.

C’est le cas lorsque vous visitez un site internet OVHcloud, lorsque vous communiquez ou interagissez avec OVHcloud (par téléphone, par courriel, via votre compte OVHcloud, des formulaires en ligne ou autres outils de communication tels que le Chatbot, le « live chat » et autres), lorsque vous participez à des événements OVHcloud, ou lorsque vous utilisez les services d’OVHcloud.

La présente politique a pour objet de décrire l’ensemble des traitements de données personnelles vous concernant ("Personnes Concernées", "vous", "votre", "vos") ainsi réalisés par OVHcloud, et d’en préciser les conditions.

La présente politique s’applique aux traitements de données à caractère personnel mis en œuvre par OVHcloud en qualité de responsable du traitement, c’est-à-dire ceux dont OVHcloud détermine les moyens et les finalités. Les conditions des traitements réalisés par OVHcloud en qualité de sous-traitant, notamment sur instructions de ses clients sont détaillées dans la Partie I de l’Annexe « Traitement de données à caractère personnel d’OVH ».

Les termes qui sont définis par le Règlement (UE) 2016/679 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ou « RGPD » (par exemple « données à caractère personnel », « responsable du traitement », « sous-traitant », etc.) ont la même signification lorsqu’ils sont utilisés dans le cadre de la présente politique.

Partie 1 - Description des traitements de données
Partie 2 - Conditions de réalisation des traitements

Partie 1 - Description des traitements de données

1. La gestion des contrats

Base légale: Les traitements décrits ci-après sont nécessaires à l’exécution des contrats conclus par OVHcloud, y compris l’exécution des mesures précontractuelles nécessaires à leur conclusion, ainsi qu’à la prise en compte de différentes demandes (telles que la gestion d’une candidature à l’emploi ou d’une demande de participation à un événement) (Article 6.1b) du RGPD).

Dans le cadre de l’exécution des contrats conclus avec ses clients, prestataires, fournisseurs et partenaires, OVHcloud traite des données à caractère personnel les concernant ou concernant leurs Préposés, et dont le traitement est nécessaire à la mise en place et à l’exécution des contrats ainsi établis.

1.1 Gestion des contrats clients, prestataires, fournisseurs et partenaires

Prestataires, fournisseurs et partenaires
Les données à caractère personnel traitées par OVHcloud concernant ses prestataires, fournisseurs et partenaires sont constituées essentiellement des données d’identification (nom, prénom, adresse email et numéro de téléphone) de leurs Préposés avec lesquels OVHcloud interagit, ainsi que les échanges et interactions (courriels et autres messages électroniques, rapports d’activités, comptes rendus) entre OVHcloud et ces Préposés.

Clients
Les données à caractère personnel traitées par OVHcloud, concernant ses clients sont :

  1. les données d'identification du client (nom, prénom, adresse postale, adresse email, numéro de téléphone, justificatif d’identité, justificatif de domicile, identifiant client OVHcloud ou « NIC Handle ») ;
  2. Communications entre le client et OVHcloud (échanges tels que tickets supports relatifs à la conclusion et à l’exécution du contrat, historiques des demandes et réponses) ;
  3. Les données de consommation des services (historiques de commande et d’utilisation ou de tentative d'utilisation des services) ;
  4. Les moyens de paiement (moyens de paiement utilisés tels que numéro de carte bancaire ou numéro de compte bancaire, et titulaire du moyen de paiement).

Lorsque le client n'est pas une personne physique, OVHcloud collecte les catégories de données à caractère personnel décrites ci-dessus concernant les Préposés du Client interagissant avec OVHcloud.

Dans le cadre de l’exécution du contrat, les données ainsi traitées par OVHcloud sont utilisées à des fins de gestion des activités commerciales (information et support, propositions commerciales, gestion des commandes, gestion des réclamations, facturation), de gestion des paiements, et de gestion des comptes clients.

Détails des traitements réalisés dans le cadre de l’exécution des contrats clients partenaires et fournisseurs

 
Finalités des traitements*Catégories de données à caractère personnel traitéesDurée de conservationCatégories de Destinataires
Gestion de l’activité commerciale

Communications


Données d’identification

Données de consommation des services

1 an depuis l'interaction concernée + 4 ans en archive

 

Durée du contrat (durée de l'existence du compte client)

 

OVHcloud (services commercial, support, finance et facturation)

Prestataire de signature électronique des mandats de prélèvement SEPA

Gestion des paiements et facilitation des achatsMoyens de paiement (y compris titulaires des moyens de paiement)

Paiements uniques : Jusqu’au paiement complet (augmenté du délai de contestation des paiements).

Service par abonnement avec renouvèlement automatique ou en paiement à la demande (« pay as you go ») : jusqu’à résiliation du service, révocation ou expiration du moyen de paiement (augmenté du délai de contestation des paiements).

Le moyen de paiement peut être conservé au-delà des durées ci-dessus avec consentement du titulaire pour facilitation des achats jusqu’au retrait du consentement, révocation ou expiration du moyen de paiement augmenté du délai de contestation.

OVHcloud (services support, finance et facturation) : Informations partielles uniquement (numéros tronqués).

Prestataires de services de paiement

Prestataire de signature électronique des contrats

Gestion des Comptes Client – Le ManagerDonnées d’identification 

Justificatifs d’identité et de domicile**		Durée d’existence du compte client      

Durée nécessaire à l’exécution des mesures précontractuelles de vérification d’identité		OVHcloud (Services commercial et support)    

Partenaires OVHcloud***


(*) Les données mentionnées ci-dessus peuvent être traitées à d’autres fins que l’exécution des contrats et conservées à ce titre pour d'autres durées plus courtes ou plus longues, en particulier à des fins de prospection commerciale (plus de détails ci-après Partie 1.3 « Les activités marketing et de prospection commerciale »), afin de respecter la réglementation en vigueur notamment celles applicables en matière de localisation, de conservation des données de trafic, de comptabilité et de fiscalité (plus de détails ci-après Partie 1.4 « Respect des obligations légales »), ainsi que pour des raisons d’intérêt légitime, notamment en cas de contentieux ou de détecter et prévenir prévention des actes frauduleux (plus de détails ci-après Partie 1.5 « Poursuite d’intérêts légitime »).
(**) La collecte d’un justificatif d’identité ou d’un justificatif de domicile n’est pas systématique. Elle intervient lorsque cela est requis pour la contractualisation de certains services tels que certains noms de domaine ou service de communication électronique. Un justificatif d’identité peut également être demandé lorsque cela est requis par la loi (plus de détails ci-après Partie 1.4 « Respect des obligations légales ») ou lorsqu’il existe un doute sur l’identité du demandeur afin de prévenir les risques de fraude (plus de détails ci-après Partie 1.5 « Poursuite d’intérêts légitimes »).
(***) Certains services sont fournis par OVHcloud en collaboration avec des partenaires tels que les registres des noms de domaines commercialisés par OVHcloud, les fournisseurs de licences logiciels ou les partenaires technologiques d’OVHcloud, auxquels peuvent être communiquées certaines des données d’identifications. En ce cas, les conditions de traitement sont précisées dans les conditions particulières applicables aux services concernés.

1.2 Activités de recrutement

Dans le cadre de ses activités de recrutement, OVHcloud traite des données à caractère personnel concernant les candidats nécessaires au traitement de leur(s) candidature(s). Les données concernées sont les données d’identification et coordonnées du candidat, son Curriculum Vitae, les courriers, courriels et documents transmis par les candidats, les dates et résultats d'entretiens, le positionnement salarial, les suites données à la candidature, type et durée de contrat proposé.

Les conditions décrites dans le cadre de la présente politique concernent uniquement le traitement des données des candidats à l’embauche, à l’exclusion des salariés d’OVHcloud. Les conditions de traitement des données à caractère personnel des salariés d’OVHcloud sont décrites dans le cadre d’une autre politique d’utilisation communiquées lors du processus d’embauche.

Détails des traitements réalisés à des fins de recrutement

Finalités des traitements*Catégories de données à caractère personnel traitéesDurée de conservationCatégories de Destinataires

Recrutement

Données de candidature

15 mois à compter du dernier contact*.

Service des ressources humaines et services proposant des postes

(*) Les données peuvent être conservées et traitées au-delà de cette période avec le consentement de la personne concernée.

1.3 Gestion des événements OVHcloud

En cas d’organisation d’événements, que ce soit physiques ou en ligne, OVHcloud traite des données à caractère personnel relatives aux inscrits et participants à l’événement, en particulier leurs données d’identification (nom, prénom, coordonnées, adresses email, numéro de téléphone, société et fonction au sein de la société) ainsi que des données relatives à leur participation (conférences et ateliers auxquels ils sont inscrits et participent). Ces données sont collectées afin d’organiser l’événement et de gérer les participations (inscriptions, information, parcours).

Détails des traitements réalisés afin de gestion des événements

Finalités des traitements*Catégories de données à caractère personnel traitéesDurée de conservationCatégories de Destinataires

Organisation et gestion de la participation aux évènements OVHcloud

Données d’identification et de participation.

Durée de l’événement + 90 jours*

Equipes OVHcloud en charge de l’organisation des évènements
 

Partenaires des évènements

(*) Sous réserve de l’exercice du droit d’opposition de la personne concernée, les données collectées peuvent aussi être utilisées et conservées pendant les 180 jours suivant l’événement afin de communication d’informations sur l’événement (retour d’expérience) ou sur l’organisation d’événements similaires à venir, ou à des fins marketing et de prospection commerciale dans les conditions prévues ci-dessous (plus de détails ci-après Partie 1.3 « Les activités marketing et de prospection commerciale »).

2. L’exécution des services OVHcloud

Base légale : Les traitements décrits ci-après sont nécessaires à l’exécution des services fournis par OVHcloud (Article 6.1b) du RGPD).

Afin de fournir et d’assurer la maintenance de ses services, de même que dans le cadre des prestations de support et d’assistance à leur utilisation, OVHcloud traite les catégories de données suivantes relatives à ses clients, utilisateurs et aux services utilisés par ces derniers :

  1. Les données d’identification du client (essentiellement nom, prénom, coordonnés, identifiant client et utilisateurs ou « NIC Handle » du client ou de ses préposés) ;
  2. Les communications entre le client ou ses Préposés et OVHcloud (échanges tels que courriels et tickets supports relatifs à la fourniture et à l’utilisation des services, aux opérations de maintenance, aux incidents éventuels) ;
  3. Les données d’identification des services utilisés (liste des services utilisés, caractéristiques, période d’utilisation, localisation).
  4. Les données techniques (identifiants machines, configurations, données de connexion, états des services, données d’utilisation et journaux d’événements).

Dans la mesure où OVHcloud détermine les moyens et finalités des traitements de données à caractère personnel ainsi réalisés dans le cadre de ses outils et de son système d’information, OVHcloud est responsable de ces traitements.

Ne sont pas concernées par la présente section 2., les données que les clients confient à OVHcloud dans le cadre de l’utilisation de ses services, notamment les données hébergées ou traitées par les clients sur les infrastructures mises à leur disposition par OVHcloud. En effet, ces données ne sont traitées par OVHcloud en qualité de sous-traitant que sur instruction du client, dans les conditions prévues dans l’Annexe Traitement des données à caractère personnel (Partie 1).

Détails sur les conditions des traitements réalisés dans le cadre de la fourniture des services OVHcloud

Finalités des traitements*Catégories de données à caractère personnel traitéesDurée de conservationCatégories de Destinataires

Support et assistance à l’utilisation des services
 


Maintenance des services   


Gestion des incidents

Identification du client 
Identification des services    

 

Communications    


Données techniques

 

Durée contrat (durée de l’existence du compte client) 


1 an depuis la communication concernée + 4 ans en archive 


Durée d’utilisation des services concernés)

OVHcloud (Services support et maintenance des produits)    

Partenaires OVHcloud**

(*) Les données mentionnées ci-dessus peuvent être traitées à d’autres fins que l’exécution des services et conservées à ce titre pour d'autres durées plus courtes ou plus longues, en particulier afin de respecter la réglementation en vigueur notamment celle applicable en matière de conservation des données de trafic et de localisation, de comptabilité et de fiscalité (plus de détails ci-après Partie 1.4 « Respect des obligations légales) ainsi que pour des raisons d’intérêt légitime notamment afin d’assurer la sécurité des services ou en cas de contentieux (plus de détails ci-après Partie 1.5 « Poursuite d’intérêts légitime »).
(**) Certains services sont fournis par OVHcloud en collaboration avec des partenaires tels que les registres des noms de domaines commercialisés par OVHcloud, les fournisseurs de licences logiciels ou les partenaires technologiques d’OVHcloud, auxquels peuvent être communiquées certaines des données à caractère personnel susmentionnées. En ce cas, les conditions de traitement sont précisées dans les conditions particulières applicables aux services concernés.

3. Les activités marketing et de prospection commerciale

Base légale : Les traitements décrits ci-après sont réalisés, selon les cas, sur la base des intérêts légitimes d'OVHcloud de promouvoir ses services et activités, ou du consentement des personnes concernées (en particulier clients et prospects) (Articles 6.1 a) et f) du RGPD).

Dans le cadre de ses activités commerciales, OVHcloud traite des données relatives à ses clients et prospects (et à leurs Préposés) afin de leur communiquer des informations relatives aux activités d’OVHcloud, et le cas échéant de ses partenaires, de leur proposer des services, ou encore de les inviter à des événements.

Les personnes concernées par ces traitements sont des clients OVHcloud (et leurs Préposés), à savoir des personnes utilisant les services OVHcloud ou ayant simplement ouvert un compte client OVHcloud, ou des personnes qui, bien que n’étant pas client OVHcloud, peuvent avoir un intérêt pour les activités et services d’OVHcloud, en raison notamment de leurs activités professionnelles ou du fait qu’elles aient pris contact avec OVHcloud, online ou encore à l’occasion d’un événement.

Les traitements nécessitant le consentement des personnes concernées (telles qu’actions commerciales non en lien avec les activités professionnelles de la personne concernée ou avec des services qu’elle utilise déjà) sont réalisés si la personne concernée y a consenti de manière libre, spécifique, éclairée et univoque. Lorsque le recueil du consentement est opéré en ligne, notamment à l’occasion de l’ouverture d’un compte client OVHcloud, d’une inscription à un événement, ou encore de la formulation d’une demande via formulaire, une case à cocher spécifique dite « opt in » est utilisée. Lorsque le recueil du consentement est opéré hors ligne, un processus, tel que présentation orale ou via formulaire papier de la finalité et des conditions de traitement des données collectées, et demande de consentement exprès de la personne concernée est mis en œuvre.

Concernant les traitements réalisés sur la base d’intérêts légitimes (notamment des actions commerciales en lien avec les activités professionnelles ou les services déjà utilisés par la personne concernée), OVHcloud veille à respecter le droit d'opposition des personnes concernées et s’assure qu’il peut être facilement exercé dans le cadre de chaque communication adressée.

OVHcloud peut également être amenée à entrer en contact à des fins de promotion et de prospection commerciale avec des personnes dont les coordonnées sont communiquées par des partenaires. En ce cas, OVHcloud veille à ce que lesdits partenaires s'engagent à ce que les données relatives à ces personnes aient été collectées conformément à la règlementation en vigueur, et que ces personnes aient consenti à ce que leurs données soient ainsi communiquées à des fins marketing et de prospection commerciale.

Concernant les contacts professionnels, OVHcloud veille à ce que les services qui leurs sont proposés soient en rapport avec leurs activités professionnelles, et que ces derniers puissent exercer leur droit d’opposition à tout moment et de manière effective.

Sous réserve du respect des droits des personnes concernées, les traitements réalisés dans le cadre de ces activités de promotion et de prospection commerciale portent sur les données suivantes :

  1. Les données d’identification (nom, prénom, coordonnées, adresse email) ;
  2. Les données de navigation internet (adresse IP, User ID, historiques de navigation) ;
  3. Les intérêts de la personne concernée (données d’utilisation des services, historiques de commandes, données de participation aux événements) ;
  4. Les interactions de la personne concernée avec OVHcloud (par exemple, demandes formulaires, « call to action »).

Pour plus d’informations sur les cookies et informations collectées par OVHcloud concernant les utilisateurs de ses Sites Internet, consultez la Politique d’utilisation des cookies d’OVHcloud.

Détails sur les traitements réalisés par OVHcloud à des fins promotionnelles et de prospection commerciale

Finalités des traitementsCatégories de données à caractère personnel traitéesDurée de conservationCatégories de Destinataires

Prospection commerciale et communication d’informations sur les activités, produits, services et évènements d’OVHcloud et de ses partenaires

. Données d’identification

. Intérêts de la personne concernée 

. Interactions

. Jusqu'au retrait du consentement (pour les traitements ayant pour la base légale le consentement).    

. Jusqu'à l'exercice du droit d’opposition ou au plus tard jusqu’au dernier contact initié par le Client avec OVHcloud + 36 mois (pour les traitements ayant pour base légale des intérêts légitimes)

Services marketing et commercial d’OVHcloud    

Partenaires OVHcloud (consentement distinct dans les formulaires de collecte)

Gestion des demandes d’information sur les services adressées via les sites internet OVHcloudDonnées d’identification 

Contenu de la demande

Durée de traitement de la demande + 1 an

OVHcloud (équipes support et commerciales)    

Partenaires OVHcloud concernés par la demande
Cookies et autres traceurs

Données de navigation Internet

Voir la « Politique d’utilisation des cookies » d’OVHcloud.

 
Gestion des listes de diffusion

Données d’identification

. Jusqu'au retrait du consentement (pour les traitements ayant pour la base légale le consentement),    

. Jusqu'à l'exercice du droit d’opposition ou au plus tard jusqu’au dernier contact initié par le Client avec OVH + 36 mois (pour les traitements ayant pour la base légale des intérêts légitimes d'OVH)

OVHcloud (services marketing et produit)

Gestion des sites du groupe OVH

Données publiées sur les sites (telles que posts, interviews, photos, vidéo).

Jusqu'au retrait du consentement ou exercice du droit d’opposition ou fin d’utilisation

Public (visiteurs des sites)

4. Le respect de nos obligations

Base légale : Les traitements décrits ci-après sont réalisés par OVHcloud afin de respecter ses obligations légales (Article 6.1.c) du RGPD).

Dans le cadre de ses activités, OVHcloud est soumis à différentes obligations légales dont le respect nécessite des traitements de données à caractère personnel.

Ainsi, dans le cadre du respect de ses obligations comptables et fiscales, OVHcloud traite des données et conserve des preuves relatives aux commandes passées par ses clients et à leur règlement.

Par ailleurs, afin d’assurer la sécurité des services qu’il propose, conformément aux dispositions de l’article 32 du RGPD, ou de respecter les obligations mises à sa charge lorsqu’il agit en qualité de fournisseur de services de communications électroniques tel que prévu par l’article 4 de la Directive « vie privée et communications électroniques » 2002/58 (ePrivacy), OVHcloud conserve des données d’identification (nom, prénom, identifiant utilisateur, identifiant client, justificatif d’identité, justificatif de domicile) ainsi que des données techniques relatives à l’utilisation des services (données de traffic et de localisation, journalisation des connexions et journaux d’événements).

OVHcloud a également l’obligation de répondre aux demandes d’exercice de droits des personnes concernées par les traitements de données à caractère personnel, ou à certaines demandes de juridictions et d’autorités judiciaires ou administratives de communication d’information, ou encore de déclarer certaines violations de données à caractère personnel, ce qui implique des traitements de données à caractère personnel.

Détails sur les traitements réalisés par OVHcloud afin de respecter ses obligations légales

Finalités des traitementsCatégories de données à caractère personnel traitéesDurée de conservationCatégories de Destinataires

Tenue de la comptabilité générale et des comptabilités auxiliaires rattachées

Historiques de commandes et de consommation 

Pièces comptables (factures, bon de commande, avoirs, etc.)

Historique des paiements et opérations

10 ans suivant l’événement concerné (commande, utilisation du service, etc.)

OVHcloud (Services comptabilité et finance)    

Prestataires de paiement  

Administrations fiscales

Identification des utilisateurs des services de communication électronique fournis par OVHcloud et des sites Internet hébergés par OVHcloudDonnées d’identification (y compris pièce d’identité et justificatif de domicile lorsque cela est requis) 

Données techniques relatives à l’utilisation des services

Durée de conservation prévue par la réglementation applicable

OVHcloud (services maintenance, sécurité et juridique)

Obligation de sécurisation des traitements, services et infrastructures

Données techniques relatives à l’utilisation des services

Durée déterminée en fonction de l’analyse de risque

OVHcloud (services de sécurité et de maintenance)    

Partenaires technologiques d’OVH
Gestion des demandes réalisées dans le cadre de procédures judiciaires et administrativesDonnées d’identification 

Données relatives aux services commandés et à leur utilisation

5 ans en archive à compter de la clôture de la demande, ou toute durée de prescription applicable supérieure

Service juridique OVHcloud    

Autorités administratives et judiciaires
Gestion des demandes adressées au délégué à la protection des donnéesDonnées d’identification 

Communications réalisées dans le cadre du traitement de la demande (demandes et réponses apportées)    

Justificatifs d’identité (lorsqu’il existe un doute sur l’identité du demandeur)



5 ans en archive à compter de la clôture de la demande

 

 

1 an en archive à compter de la clôture de la demande

OVHcloud (Services juridique et support)

Gestion des violations de données à caractère personnel

Données objet de la violation et personnes concernées

5 ans à compter de la violation

OVHcloud (service juridique et sécurité) 

Autorités administratives et judiciaires

5. La poursuite d’intérêts légitimes

Bases légales : Traitements nécessaire à la sauvegarde des intérêts vitaux, et traitements nécessaires aux fins d’intérêts légitimes poursuivis par OVHcloud ou par un tiers (Article 6.1.f) du RGPD)

OVHcloud peut être amené à procéder à des traitements nécessaires à la poursuite d’intérêts légitimes, de même qu’à la sauvegarde d’intérêts vitaux de la personne concernée ou d'une autre personne physique.

Lorsqu’il procède à des traitements nécessaires aux fins d’intérêts légitimes, OVHcloud veille à ce que les intérêts ou les libertés et droits fondamentaux de la personne concernée ne prévalent pas sur lesdits intérêts légitimes, et à ce que les traitements ainsi réalisés soient compatibles et aient un lien avec les services fournis à la personne concernée et les finalités pour lesquelles les données ont été initialement collectées.

Parmi les traitements réalisés par OVHcloud à des fins d’intérêts légitimes figurent ceux nécessaires à assurer la sécurité des services, à lutter contre la fraude, à se constituer des preuves, à former ses équipes, à améliorer ses produits, à étudier la satisfaction de ses clients, ou encore à gérer des impayés, des litiges ou des contentieux.

Détails sur les traitements réalisés par OVHcloud à des fins d’intérêts légitimes

Finalités des traitementsCatégories de données à caractère personnel traitéesDurée de conservationCatégories de Destinataires

Sécurisation des traitements, services et infrastructures OVHcloud

Données techniques relatives à l’utilisation des services

Durée déterminée en fonction de l’analyse de risque

OVHcloud

Autorités

Partenaires technologiques OVHcloud

Anonymisation aux fins de recherche, de développement, d’amélioration, de reporting ou de statistiquePotentiellement toutes données objet de la présente politiqueDurée de l’opération d’anonymisationOVHcloud
Réalisation d’enquêtes de satisfaction et d’études clients, tests produits, amélioration des services d'OVHcloudDonnées d’identification des clients et utilisateurs des services

Historiques de commandes

Données d’utilisation des services

Données relatives à l’utilisation du support client		1 anOVHcloud (services support, produits et marketing)
Gestion des impayésDonnées d’identification

Données financières

Données de paiement

Historique des commandes		5 ans à compter de l'incident de non-paiementService client et Directions juridique et financière OVHcloud

Prestataires de services de recouvrement et conseils externes
Détection et prévention de la fraudeDonnées d’identification
Historiques de commandes
Données bancaires
Données de localisation
Données de connexion
Evaluation

Justificatifs d’identité et de domicile (lorsqu’il existe un doute sur l’identité du demandeur)		Durée déterminée en fonction du risque et des résultats de l’analyse (maximum 5 ans)



Durée déterminée en fonction du risque et des résultats de l’analyse (maximum 12 mois).		OVHcloud (Equipes en charge de la prévention de la fraude et des impayés)

Directions juridique et financière OVHcloud

Prestataires de services de paiement
Constitution de preuve en cas de litige ou contentieuxDonnées d’identification

Communications

Historiques des commandes

Historiques des paiements

Données d’utilisation des services		Dans la limite du délai de prescription à compter de chaque événement concerné

En cas de procédure, jusqu’à achèvement et épuisement des voies de recours		Service client, et directions juridique et financière OVHcloud

Conseils externes
Formation et évaluation des équipes support et amélioration de la qualité de serviceDonnées d’identification
Compte rendu des appels
Evaluation des collaborateurs

Enregistrement des appels (sauf exercice du droit d’opposition)		1 an à compter de chaque événement concerné


6 mois à compter de chaque événement concerné		OVHcloud (Services support, training et qualité)

Partie 2 - Conditions de réalisation des traitements

1. Engagements d'OVH

Dans le cadre des traitements décrits dans la présente politique, OVHcloud se conforme, en qualité de responsable du traitement, à la réglementation en vigueur, notamment au Règlement (UE) 2016/679 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (le « RGPD »), ainsi que toute décision législative ou réglementaire des États membres de l’Union européenne qui trouverait à s’appliquer auxdits traitements, comme la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés telle que modifiée par l’Ordonnance n°2019-964 du 18 septembre 2019 en France.

À ce titre, OVHcloud s’engage notamment à :

  • Ne collecter que des données à caractère personnel nécessaires dans le cadre des finalités suscitées ;
  • Mettre en œuvre des processus de nature à s’assurer de l’exactitude et de la mise à jour des données utilisées dans le cadre desdits traitements, ainsi que de leur effacement lorsqu’elles ne sont plus nécessaires aux finalités poursuivies ;
  • Ne pas traiter les données à caractère personnel en sa possession pour d’autres finalités que celles mentionnées dans le cadre de la présente politique, sauf à obtenir le consentement des personnes concernées, ou à les en informer concernant les traitements fondés sur d’autres bases légales que le consentement ;
  • Documenter les traitements réalisés au sein d’un registre et procéder à toutes les analyses d’impact nécessaires ;
  • Mettre un place un processus de gestion des incidents et des violations de données, notifier les autorités de protection compétentes dans les conditions de l’article 33 du RGPD, et informer les personnes concernées, conformément à l’article 34 du RGPD lorsque la violation est susceptible d'engendrer un risque élevé pour leurs droits et libertés ;
  • Mettre en place des mesures techniques et organisationnelles de nature à protéger les données à caractère personnel contre les risques de sécurité, telles que précisées par la Politique de Sécurité des Systèmes d’Information d’OVHCloud.

2. Mesures techniques et organisationnelles de sécurité

La protection des données à caractère personnel est pleinement intégrée au système de gestion de sécurité de l’information d’OVHcloud, dans le cadre duquel OVHCloud poursuit différents objectifs tels que :

  • Déploiement d’une approche industrielle, à grande échelle, de la sécurité ;
  • Positionnement d’OVHCloud comme un acteur de confiance dans l’écosystème ;
  • Mise en place de systèmes de management de la sécurité (ISMS) et de la vie privée (PIMS) ;
  • Approche de la sécurité par les risques ;
  • Démonstration de la sécurité via la certification, le contrôle interne et l’audit externe ;
  • Réponse unifiée aux incidents de sécurité et aux violations de données à caractère personnel ;
  • Intégration des enjeux de sécurité et de protection de la vie privée dans l’évolution des produits ;
  • Evaluation de la sécurité et mise en place d’amélioration continue.

Ces éléments sont précisés dans la politique de sécurité des systèmes d’information d’OVHCloud.

3. Anonymisation

OVHcloud se réserve le droit de procéder à l’anonymisation des données objet de la présente politique, c’est-à-dire de les modifier afin qu’elles ne permettent plus, même de manière indirecte, d’identifier, d’individualiser ou de singulariser la personne concernée, et de les réutiliser seulement sous forme anonyme.

OVHcloud s’efforce d’appliquer les principes suivants en matière d’anonymisation :

  1. L’impossibilité d’isoler un individu au sein d’un groupe plus grand sur la base des données ;
  2. L’impossibilité de relier deux enregistrements concernant la même personne ; et
  3. L’impossibilité d’inférer, avec une forte probabilité, des informations inconnues concernant une personne.

Dans la mesure où les données ainsi anonymisées ne constituent plus des données à caractère personnel, OVHcloud se réserve le droit de les conserver et de les utiliser à d’autres fins que celles prévues dans le cadre de la présente politique, notamment afin de pouvoir produire des statistiques, développer de nouveaux services ou améliorer des services existants, réaliser des analyses marketing ou encore développer des stratégies commerciales.

4. Sous-traitance

Les Sociétés Apparentées OVHcloud, à l’exception toutefois des entités étasuniennes d’OVHcloud, peuvent participer aux traitements de données objet de la présente politique, réalisés par OVHcloud en qualité de responsable des traitements.

OVHcloud a également recours à des prestataires tiers tels que des prestataires de services de sécurité, fournisseurs réseaux, fournisseurs d’applications et d’outils internes, prestataires de services de paiement, analystes marketing, analystes web, fournisseurs de solutions d’emailing, enquêtes de satisfactions, sociétés de conseils, auditeurs, etc. intervenant en qualité de sous-traitants sur instruction d’OVHcloud.

OVHcloud s’assure que ses sous-traitants s’engagent à respecter la réglementation en vigueur et mettre en place des mesures techniques et organisationnelles appropriées afin d’assurer la protection des données à caractère personnel qu’ils sont amenés à traiter sur instruction d’OVHcloud. OVHcloud veille notamment à ce que ces sous-traitants n’aient accès qu’aux seules données nécessaires à l’exécution de leur mission.

De plus, lorsqu’il a recours à des solutions logicielles tierces pour le traitement de données relatives à l’utilisation et à la fourniture de ses services (notamment outils de ticketing et de gestion du support, outils utilisés pour le provisionnement et la maintenance, ou encore solution de gestion de la relation commerciale), OVHcloud privilégie l’hébergement des solutions « on premise » sur ses propres infrastructures.

Dans tous les cas, un contrat est établi entre OVHcloud et le sous-traitant, et des mesures techniques et organisationnelles appropriées sont mises en place conformément aux articles 28 et 32 du RGPD.

La présente section 4. ne traite pas des conditions dans lesquelles OVHcloud est autorisée à recourir à des sous-traitants ultérieurs dans le cadre des traitements de données à caractère personnel réalisés par OVHcloud en qualité de sous-traitant sur instruction de ses clients. Lesdits traitements sont soumis aux conditions prévues dans la Partie 1 de l’annexe « Traitement de données à caractère personnel d’OVH ».

5. Transferts de données en dehors de l’Union européenne

OVHcloud s’attache à limiter les transferts de données à caractère personnel en dehors de l’Union européenne.

Hébergement des données

Pour les clients des entités européennes d’OVHcloud, l’hébergement au sein de l’Union européenne des données les concernant est toujours privilégié, y compris en cas de recours à des sous-traitants. Toutefois, lorsque lesdits clients européens choisissent des services hébergés dans des centres données OVHcloud situés en dehors de l’Union européenne, notamment au Canada, en Australie ou à Singapour, les données à caractère personnel nécessaires à l’exécution des services peuvent être hébergées en dehors de l’Union européenne.

Traitements à distance

Du fait l’organisation internationale d’OVHcloud, les activités de traitement de données décrites dans le cadre de la présente politique peuvent être réalisées depuis des localisations hors Union-Européenne par les Sociétés Apparentées et prestataires tiers sous-traitants d’OVHcloud tel que prévu dans la section 2.4. ci-dessus.

Les présentes stipulations ne concernent que les données traitées par OVHcloud en qualité de responsable de traitement conformément à la présente politique, à l’exclusion des données à caractère personnel que les clients d’OVHcloud lui confient et qu‘OVHcloud traite en qualité de sous-traitant. Les conditions de transfert des données à caractère personnel traitées par OVHcloud en qualité de sous-traitant sur instruction de ses clients sont définies dans la Partie 1 de l’annexe « Traitement de données à caractère personnel d’OVH »

Lorsque les données à caractère personnel objet de la présente politique sont transférées (y compris en cas d’accès à distance) vers des pays tiers à l’Union Européenne ne bénéficiant pas de décision d’adéquation de la Commission européenne adoptée conformément à l’article 25 de la directive 95/46/CE ou à l’article 45 du RGPD, OVHcloud s’assure que des garanties appropriées telles que prévues à l’article 46 du RGPD sont mises en place, et ce, que l’importateur de données soit une entité OVHcloud ou une entité tierce.

Quand l’importateur est une Société Apparentée d’OVHcloud les garanties appropriées susvisées sont constituées des clauses contractuelles types 2010/87/UE adoptées par la Commission européenne sur le fondement du paragraphe 4 de l'article 26 de la directive 95/46/CE qui, conformément à l’article 4 de la décision d’exécution (UE) 2021/914 de la Commission européenne du 4 juin 2021, sont réputées offrir des garanties appropriées au sens du paragraphe 1 de l’article 46 du RGPD jusqu’au 27 décembre 2022.

A ce titre, OVHcloud, qui se réserve le droit de substituer auxdites clauses contractuelles types toute autre garantie appropriée prévue au chapitre V du RGPD, travaille à la mise en place des clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers en vertu du règlement (UE) 2016/679 du Parlement européen et du Conseil, adoptées par ladite décision d’exécution (UE) 2021/914 de la Commission.

De plus, OVHcloud s’assure que le droit et les pratiques des pays de destination ne sont pas susceptibles de porter atteinte à l’efficacité desdites clauses contractuelles, et dans le cas contraire, met en place des mesures supplémentaires de nature à assurer l’efficacité des mécanismes de garantie susvisés conformément aux Recommandations 01/2020 du Comité Européen de la Protection des Données.

En tout état de cause, OVHcloud met en place des mesures techniques et organisationnelles (telles que traçabilité, limitation des accès) visant à protéger les données transférées en particulier contre tout accès ou divulgation non autorisés, et veille à respecter les dispositions de la réglementation européenne, notamment l’article 48 du RGPD, en cas de demande d’une autorité d’un pays tiers à l’Union européenne visant à obtenir communication de données à caractère personnel concernant les clients de ses entités européennes.

6. Traitement des demandes des autorités

OVHcloud peut recevoir des demandes d’autorités judiciaires, administratives ou autres, visant à obtenir communication des données à caractère personnel en sa possession relatives à ses clients.

Dans ce cas, OVH s’engage à :

  • Vérifier la compétence de l’autorité demanderesse ;
  • Ne répondre qu’à des demandes valablement formées ;
  • Si cela est autorisé, informer au préalable la personne concernée afin de lui permettre de faire valoir ses droits ;
  • Limiter la communication aux seules données requises par l’autorité.

En cas de demande d’une autorité d’un pays tiers à l’Union européenne visant à obtenir communication de données relatives à un client européen d’OVHcloud, OVHcloud s’y oppose sous réserve des cas suivants :

(a) la demande est réalisée conformément à un accord international, tel qu'un traité d'entraide judiciaire, en vigueur entre le pays demandeur et l'Union européenne ou l’État membre dont relève l’entité OVHcloud auprès de laquelle le client ouvert son compte client OVHcloud ;

(b) le client visé par la demande a ouvert un compte client OVHcloud auprès une entité OVHcloud établie dans la même juridiction que l’autorité demanderesse ; ou,

(c) conformément à l’article 49 du RGPD en particulier lorsque la demande poursuit un intérêt public reconnu par le droit de l’Union ou par le droit d’un État membre de l’Union européenne, ou qu’elle est nécessaire à la sauvegarde d’intérêts vitaux.

7. Droits des personnes concernées

Conformément au RGPD, vous disposez du droit d’accéder aux données à caractère personnel susvisées vous concernant, ainsi que du droit de les rectifier, d’en demander la suppression et la portabilité, ainsi que du droit de limiter ou de vous opposer à certains traitements. Lorsque le traitement est fondé sur le consentement, vous disposez également du droit de retirer ce consentement à tout moment.

Ces droits peuvent être exercés en utilisant le formulaire prévu à cet effet sur le Site Internet d’OVHcloud, ou par courrier postal à l’adresse : OVH S.A.S., Délégué à la Protection des Données, 2 rue Kellermann, 59100 Roubaix, France.

Conformément à l’article 12 du RGPD, chaque demande doit être impérativement accompagnée des informations pertinentes permettant de démontrer votre identité. Il y sera répondu dans les meilleurs délais et en tout état de cause dans le respect des dispositions de l’article 12 suscité. En cas de doute raisonnable quant à l’identité de la personne physique présentant la demande, il peut être demandé que soient fournies des informations supplémentaires nécessaires pour confirmer l’identité de la personne concernée, notamment une preuve d’identité.

Vous pouvez également adresser une réclamation auprès de l’autorité de protection des données compétente.