Conformité RGPD

Le RGPD structure les responsabilités autour de deux rôles distincts, dont la compréhension est essentielle pour toute organisation traitant des données personnelles :

• Le responsable du traitement est l’entité qui décide de collecter des données personnelles, définit les finalités et les moyens du traitement. Il est responsable du choix de la base légale, de l’information des personnes concernées et du respect de leurs droits.
• Le sous-traitant est l’entité qui traite des données pour le compte et sur instruction du responsable du traitement. Il n’agit jamais de sa propre initiative sur ces données et doit se conformer aux instructions du responsable.

Dans le cadre de son activité, Nexyrus intervient selon deux postures distinctes : en tant que responsable du traitement pour les données qu’elle collecte directement (prospects, clients, navigation sur le site), et en tant que sous-traitant lorsqu’elle déploie et administre des outils numériques pour le compte de ses clients professionnels.

Pour les données collectées dans le cadre de sa propre activité commerciale (formulaires de contact, espace client, CRM interne, cookies analytiques et publicitaires), Nexyrus agit en qualité de responsable du traitement. À ce titre, nous nous engageons à :

• Identifier et documenter une base légale valide pour chaque traitement (consentement, intérêt légitime, exécution d’un contrat, obligation légale)
• Informer les personnes concernées de manière claire et transparente sur l’utilisation de leurs données
• Ne collecter que les données strictement nécessaires aux finalités poursuivies (principe de minimisation)
• Respecter les durées de conservation définies dans notre politique de confidentialité
• Garantir l’exercice effectif des droits des personnes (accès, rectification, effacement, portabilité, opposition)
• Notifier la CNIL en cas de violation de données dans les 72 heures, conformément à l’article 33 du RGPD

Lorsque Nexyrus déploie, intègre ou administre des outils numériques (CRM, téléphonie, messagerie, automatisations) pour le compte de ses clients professionnels du bâtiment et du BTP, ces clients conservent la qualité de responsable du traitement. Nexyrus intervient alors comme sous-traitant et s’engage à :

• Ne traiter les données que sur instruction documentée du client, et pour les seules finalités convenues
• Ne jamais utiliser les données des clients de nos clients à des fins propres ou commerciales
• Signer un accord de traitement des données (DPA — Data Processing Agreement) avec chaque client, définissant les rôles, les obligations et les garanties applicables
• Informer le client sans délai de toute demande d’un tiers (autorité, personne concernée) portant sur ses données
• Assister le client dans l’exercice des droits des personnes concernées et dans la réalisation d’analyses d’impact (AIPD) si nécessaire
• Supprimer ou restituer l’ensemble des données à l’issue de la prestation, selon l’instruction du client

Il incombe au client, en sa qualité de responsable du traitement, de s’assurer qu’il dispose d’une base légale valide pour collecter les données de ses propres contacts, et de mettre en place les mentions d’information et mécanismes de consentement appropriés avant tout transfert de données vers les outils déployés par Nexyrus.

Le RGPD impose qu’un traitement de données personnelles repose sur une base légale explicitement identifiée. Nexyrus applique les bases légales suivantes selon les traitements concernés :

Certains outils techniques utilisés par Nexyrus impliquent un traitement de données par des prestataires dont les serveurs sont situés en dehors de l’Union européenne, notamment aux États-Unis. Conformément au RGPD, ces transferts ne sont licites que si des garanties appropriées sont en place.

Pour tous les transferts hors UE, Nexyrus s’assure que l’un des mécanismes suivants est appliqué :

• Clauses Contractuelles Types (CCT) adoptées par la Commission européenne, intégrées aux accords conclus avec les sous-traitants concernés
• Décision d’adéquation de la Commission européenne reconnaissant un niveau de protection suffisant dans le pays destinataire
• Certification du prestataire au cadre EU-U.S. Data Privacy Framework (DPF), lorsqu’applicable

Les prestataires tiers concernés (notamment dans le domaine de l’analyse d’audience et de la publicité en ligne) disposent de leurs propres engagements de conformité RGPD, que Nexyrus vérifie contractuellement avant tout déploiement.

Nexyrus applique une politique de sécurité rigoureuse, tant pour les données qu’elle traite en propre que pour celles qu’elle gère pour le compte de ses clients. Les mesures mises en place comprennent notamment :

• Chiffrement des communications par protocole HTTPS (TLS) sur l’ensemble du site et des interfaces client
• Chiffrement des mots de passe en base de données (hachage irréversible)
• Contrôle strict des accès aux données, limité aux personnes habilitées selon le principe du moindre privilège
• Hébergement des données du site sur infrastructure française certifiée (O2Switch, Clermont-Ferrand)
• Sauvegardes régulières et systèmes de reprise d’activité pour limiter tout risque de perte ou d’altération des données
• Veille continue sur les vulnérabilités et tests de sécurité réguliers sur les outils déployés
• Procédure interne de gestion des violations de données, avec notification à la CNIL sous 72 heures en cas d’incident avéré

Toute personne dont les données sont traitées par Nexyrus, directement ou dans le cadre d’une prestation pour un client, dispose des droits suivants :

• Droit d’accès : obtenir confirmation que des données vous concernant sont traitées et en recevoir une copie
• Droit de rectification : faire corriger des données inexactes ou incomplètes
• Droit à l’effacement : obtenir la suppression de vos données dans les cas prévus par la réglementation
• Droit à la limitation du traitement : suspendre temporairement l’utilisation de vos données
• Droit à la portabilité : recevoir vos données dans un format structuré et réutilisable
• Droit d’opposition : vous opposer à un traitement fondé sur l’intérêt légitime ou à des fins de prospection commerciale

Pour exercer ces droits, adressez votre demande par email à dpo@nexyrus.com, accompagnée d’un justificatif d’identité. Nous nous engageons à y répondre dans un délai d’un mois. Si vous n’êtes pas satisfait de la réponse apportée, vous pouvez introduire une réclamation auprès de la CNIL (www.cnil.fr).

Conformément à l’article 28 du RGPD, tout client confiant à Nexyrus le déploiement ou l’administration d’outils numériques traitant des données personnelles est tenu de signer un accord de traitement des données (Data Processing Agreement — DPA) avec Nexyrus.

Cet accord formalise notamment :

• La nature, la finalité et la durée des traitements effectués par Nexyrus pour le compte du client
• Les catégories de données traitées et les personnes concernées
• Les obligations et droits du responsable du traitement (le client)
• Les garanties apportées par Nexyrus en qualité de sous-traitant
• Les conditions de recours à d’éventuels sous-traitants ultérieurs, et les garanties exigées d’eux
• Les modalités de suppression ou de restitution des données à l’issue de la prestation

Pour toute demande relative à la signature d’un DPA ou pour obtenir un modèle, contactez-nous à dpo@nexyrus.com.

Lorsqu’un client fait appel à Nexyrus pour déployer des outils numériques, il demeure seul responsable de la conformité RGPD de ses propres pratiques de collecte. À ce titre, il lui appartient notamment de :

• Identifier et documenter la base légale sur laquelle il collecte les données de ses contacts (consentement, contrat, intérêt légitime, etc.)
• Mettre en place les mentions d’information obligatoires (mentions légales, politique de confidentialité) sur ses propres supports de communication
• Recueillir les consentements nécessaires avant tout envoi de données vers les outils déployés par Nexyrus
• Ne pas transmettre à Nexyrus de données sans base légale valide ni de données appartenant à des catégories sensibles (santé, origines, opinions politiques, etc.) sans garanties spécifiques
• Gérer les demandes d’exercice de droits émanant de ses propres contacts, et en informer Nexyrus si cela implique une action sur les outils administrés
• Mettre à jour ses propres politiques de confidentialité pour refléter le recours à Nexyrus comme sous-traitant

Nexyrus met à disposition de ses clients des ressources et conseils pratiques pour les accompagner dans cette démarche, sans toutefois se substituer à un conseil juridique spécialisé. Nous recommandons à tout client traitant des volumes importants de données de consulter un délégué à la protection des données ou un avocat spécialisé.

Nexyrus s’engage à maintenir cette page à jour en fonction des évolutions réglementaires, jurisprudentielles ou de ses pratiques internes. La version en vigueur est celle publiée sur le site à la date de consultation. Pour toute question relative à la conformité RGPD de nos services, contactez notre DPO à l’adresse dpo@nexyrus.com.