Avis de confidentialité

I. OBJET GÉNÉRAL

La présente déclaration de confidentialité décrit la manière dont Hubject GmbH (« Hubject », « nous », « notre » ou « nos ») collecte, utilise, divulgue et protège les données à caractère personnel sur nos sites Web, plateformes et applications, conformément au règlement général sur la protection des données (RGPD), à la la loi européenne sur les données, la directive européenne sur la protection des données (et ses transpositions nationales telles que la BDSG), la norme ISO/IEC 27001:2022 et notre accord standard de traitement des données (DPA) pour les clients B2B (partenaires).

‍

• Hubject agit en tant que sous-traitant pour les partenaires (responsables du traitement) conformément à l'article 28 du RGPD, comme spécifié dans l'accord sur le traitement des données conclu avec eux, et conformément au point 8 détaillé ci-dessous. Dans ce cadre, les données privées collectées sont celles des « utilisateurs finaux » (c'est-à-dire les personnes qui utilisent ou bénéficient en dernier ressort d'un produit ou d'un service proposé par un partenaire ou un partenaire stratégique) et des personnes de contact du partenaire (les personnes agissant au nom des clients professionnels de Hubject).
• Hubject agit en tant que responsable du traitement des données en ce qui concerne les données à caractère personnel des catégories suivantes de personnes concernées, également désignées dans la présente déclaration de confidentialité sous le nom d'« utilisateurs directs » :  
  •  Visiteurs du site Web de Hubject
  • « Candidat » (personne qui soumet des informations personnelles à Hubject (telles qu'un CV, un formulaire de candidature ou des documents connexes) afin d'être prise en considération pour un emploi, ou qui exprime de toute autre manière son intérêt pour un poste.
  • « Contacts LinkedIn » : professionnels et partenaires potentiels contactés via LinkedIn, spécifiquement et uniquement lorsque la personne fait partie du réseau professionnel existant de l'employé.
  • Conférence sur les réseaux interurbains (ICNC) Participants.
  • Personnes à contacter chez les fournisseurs (personnes agissant au nom des fournisseurs commerciaux de Hubject).

Tous ensemble désignés dans le présent avis sous le terme « personnes concernées ».

‍

1. RÉSUMÉ

• Nous traitons les données à caractère personnel uniquement pour fournir nos services, respecter nos obligations légales ou sur la base d'un consentement ou d'intérêts légitimes, conformément aux lois applicables.
• Si vous êtes un utilisateur final, nous traitons vos données pour le compte de nos partenaires (par exemple, votre fournisseur de mobilité) et vous recommandons de les contacter pour exercer vos droits en matière de données.
• Nous n'utilisons pas vos données à des fins de profilage ou de prise de décision automatisée sans vous en informer au préalable.
• Vos données sont protégées à l'aide d'un cryptage, de contrôles d'accès et de principes de minimisation des données.
• Nous utilisons des cookies uniquement lorsque cela est nécessaire ou avec votre consentement.
• En vertu du RGPD, vous avez le droit d'accéder à vos données personnelles, de les corriger, de les supprimer ou de vous opposer à leur traitement.

‍

Coordonnées

Responsable du traitement des données (pour les données collectées pour le compte de Hubject ou lorsque Hubject est le responsable du traitement) :

Hubject GmbH

EUREF-Campus 22, 10829 Berlin, Allemagne

Courriel : dataprotection@hubject.com

Délégué à la protection des données (DPO) :

Dr. Katharina Vera Boesche

Boesche Rechtsanwälte PartGmbB

Ohmstr. 7, 10179 Berlin

Courriel : datenschutz@hubject.com

‍

2. PRINCIPES GÉNÉRAUX DU TRAITEMENT DES DONNÉES

Nous traitons les données à caractère personnel de manière licite, loyale et transparente. Les bases juridiques suivantes prévues à l'article 6 du RGPD s'appliquent :

• Consentement
• Nécessité contractuelle
• Obligation légale
• Intérêts légitimes

Nous adhérons aux principes de minimisation, d'exactitude, de limitation du stockage, d'intégrité et de confidentialité des données, et garantissons les droits des personnes concernées en vertu des articles 12 à 22 du RGPD.

Hubject agit conformément aux obligations énoncées dans notre politique de protection des données et notre politique de conservation des données. Ces politiques régissent notre traitement interne de vos données à caractère personnel en tant que personne concernée, que nous agissions en tant que responsable du traitement ou sous-traitant (comme décrit au point 1 ci-dessus).

Des mesures de sécurité telles que le chiffrement, les contrôles d'accès, la pseudonymisation et la suppression sécurisée sont appliquées à toutes les activités de traitement. Vous trouverez plus de détails aux sections 6 (Conservation), 11 (Partage avec des tiers) et 12 (Réponse en cas de violation).

‍

3. DROITS DES PERSONNES CONCERNÉES

En tant que personne concernée, vous pouvez exercer les droits suivants en nous contactant à l'adresse dataprotection@hubject.com :

• Accès aux données personnelles
• Rectification ou effacement
• Limitation du traitement
• Opposition au traitement
• Portabilité des données
• Plainte auprès de l'autorité de contrôle

Remarque : si vous êtes un utilisateur final d'un service fourni par l'un de nos partenaires (par exemple, EMP ou CPO), Hubject agit uniquement en tant que sous-traitant et ne peut pas vous identifier directement sans les informations fournies par le partenaire. Dans ce cas, vous devez exercer vos droits auprès du partenaire qui agit en tant que responsable du traitement de vos données à caractère personnel. Cela garantit le respect de l'article 12, paragraphe 2, du RGPD et de nos obligations en vertu des articles 28 et 29 du RGPD en tant que sous-traitant.

Nous n'effectuons aucune prise de décision automatisée ni aucun profilage au sens de l'article 22 du RGPD.

‍

4. CONSERVATION ET SUPPRESSION PROGRESSIVE DES DONNÉES

Nous conservons les données personnelles uniquement pendant la durée nécessaire à la réalisation des finalités pour lesquelles elles ont été collectées, ou conformément aux obligations légales :

• Données des utilisateurs finaux : pseudonymisées et conservées uniquement dans les environnements de production conformément à l'article 5, paragraphe 1, point c), du RGPD.
• Comptes utilisateurs et métadonnées de la plateforme :jusqu'à 10 ans après la désactivation (conformément à la politique de conservation des données)
• Visiteurs du site Web de Hubject : pendant toute la durée de la relation commerciale + 2 ans (conformément à la politique de conservation des données)
• Données personnelles du représentant du partenaire : supprimées 1 an après la fin de la relation commerciale, sauf si la conservation légale l'exige.
• Données personnelles des candidats à un emploi : 6 mois
• Conférence sur le réseau intercharge (icnc) Participants : 1an
• Données marketing : consentement retiré

La suppression sécurisée et la journalisation des événements de destruction sont appliquées conformément aux contrôles ISO27001:2022.

4.1. PRATIQUES DE CONSERVATION

• Les données personnelles sont stockées dans des systèmes sécurisés et sauvegardées conformément à notre politique de conservation des données.
• Les sauvegardes sont conservées pendant deux ans maximum, après quoi elles sont supprimées ou détruites de manière sécurisée, conformément aux exigences des normes ISO27001:2022 et RGPD.
• Nous veillons à minimiser les données dans nos sauvegardes et nos systèmes opérationnels, en ne stockant que ce qui est strictement nécessaire.

4.2. TRAITEMENT DES DEMANDES DE SUPPRESSION

• Si vous demandez la suppression de vos données en vertu de l'article 17 du RGPD, celles-ci seront rapidement supprimées de nos systèmes actifs, à condition qu'il n'existe aucune raison légitime de conserver vos données personnelles. Comme indiqué ci-dessus, si vous êtes un utilisateur final, il peut être nécessaire d'adresser votre demande directement aux partenaires (responsables du traitement des données).
• Les données présentes dans les sauvegardes ne peuvent pas être supprimées immédiatement, mais elles sont marquées pour effacement et seront définitivement supprimées à l'expiration de la période de conservation des sauvegardes.
• Si une sauvegarde est restaurée, toutes les données précédemment marquées pour suppression seront supprimées pendant le processus de récupération.

4.3. AUDIT, SURVEILLANCE ET CONFORMITÉ DES FOURNISSEURS

• Nous conservons des journaux d'audit relatifs à l'accès aux sauvegardes, aux demandes d'effacement et aux processus de restauration.
• Nos processeurs et fournisseurs informatiques sont contractuellement tenus de se conformer à nos exigences en matière de conservation et de suppression des données.
• Les méthodes de suppression sécurisée sont appliquées conformément aux meilleures pratiques et à nos politiques internes.
• Vous pouvez demander plus de détails sur nos procédures de conservation ou de suppression des données en contactant : dataprotection@hubject.com

‍

5. SITE WEB DE HUBJECT ET UTILISATION GÉNÉRALE

5.1. DONNÉES COLLECTÉES

• Adresse IP, informations sur le navigateur, système d'exploitation, heure et date d'accès
• Données du formulaire de contact (si soumises)
• Inscription à la newsletter (e-mail, vérification)

5.2. OUTILS UTILISÉS

• Google Analytics avec anonymisation des adresses IP
• Gestionnaire de balises Google
• Pardot/Salesforce (uniquement après acceptation)

5.3. UTILISATION DES COOKIES

Vous trouverez ci-dessous un résumé des cookies et des traceurs utilisés sur les sites Web et les plateformes Hubject :

‍

• Cookies de session nécessaires à la fourniture technique
• Cookies de suivi facultatifs (acceptation via une bannière de cookies)

5.4. BASE JURIDIQUE

• Art. 6(1)(f) du RGPD pour les cookies nécessaires et les analyses (intérêt légitime)
• Art. 6(1)(a) du RGPD pour les outils marketing (sur la base du consentement)

‍

6. SECTIONS SPÉCIFIQUES AU PRODUIT

6.1. PORTAIL DU SYSTÈME DE COURTAGE HUBJECT (HBS)

‍

6.2. INTER CHARGE DIRECT (ICD)

• 6.2.1. PORTAIL ADMINISTRATIF DE L'ICD

‍

• 6.2.2. PORTAIL PUBLIC DE L'ICD

‍

6.3. PLUG&CHARGE

‍

6.4. Application icnc EVENT

‍

6.5. ASSISTANCE À LA CLIENTÈLE

• 6.5.1. BILLETTERIE (ZENDESK)

• 6.5.2. CENTRE D'APPELS (WOW24-7)

• 6.5.3. PROJET MB. CHARGE

‍

‍

7. LIENS VERS L'APP STORE / PLAY STORE

Les liens vers la politique de confidentialité et les mentions légales doivent être intégrés dans :

• Google Play Console : Ajouter sous Informations sur l'application > URL de la déclaration de confidentialité
• App Store d'Apple : sous « Informations sur l'application »
• Dans l'application : intégré dans « Paramètres » ou « À propos ».

‍

8. TRANSFERTS INTERNATIONAUX

Tous les transferts internationaux de données sont protégés par des clauses contractuelles types (SCC) si nécessaire, conformément à l'annexe I (Détails du sous-traitant) et à l'annexe II (Mesures techniques et organisationnelles) du DPA de Hubject. Aucun transfert n'est effectué sans l'autorisation préalable du partenaire (responsable du traitement).

8.1. PARTAGE DE DONNÉES ET TIERS

Hubject ne partage les données personnelles avec des tiers que lorsque cela est nécessaire pour remplir nos obligations légales ou fournir nos services, et toujours dans le respect des principes de minimisation des données, de limitation des finalités et de transparence.

8.2. OBJET DU PARTAGE DES DONNÉES

Nous ne partageons les données personnelles que :

• Avec des prestataires de services de confiance pour soutenir les opérations de notre plateforme, le service client, l'hébergement, le marketing (par exemple, Salesforce, Pardot) et la sécurité.
• Conformément à un objectif spécifique et légitime clairement communiqué à la personne concernée.
• Sur la base d'un des fondements juridiques prévus par le RGPD (par exemple, contrat, consentement ou intérêt légitime).

8.3. MESURES DE PROTECTION RELATIVES AU PARTAGE DES DONNÉES

Pour garantir la protection des données lors du recours à des sous-traitants tiers :

• Nous effectuons des évaluations fondées sur les risques avant de sélectionner les prestataires de services.
• Nous concluons des accords de traitement des données (DPA) qui définissent clairement les obligations en matière de confidentialité, de sécurité et de réponse aux violations.
• Nous tenons à jour un registre centralisé des destinataires, qui est régulièrement mis à jour et révisé.
• Nous utilisons le cryptage et des contrôles d'accès pour protéger les données partagées.
• Seule la quantité minimale de données nécessaire à la finalité spécifique est partagée.

8.4. TRANSFERTS INTERNATIONAUX

Pour les transferts en dehors de l'UE/EEE, voir la section 10.

8.5. ENREGISTREMENT ET SURVEILLANCE

Hubject conserve des journaux d'audit des accès aux données par les prestataires de services et les examine régulièrement afin de détecter toute anomalie ou utilisation non autorisée.

8.6. CONSERVATION ET SUPPRESSION DES DONNÉES

• Les données personnelles partagées avec les prestataires de services ne sont conservées que pendant la durée nécessaire à la réalisation de l'objectif du traitement.
• Une fois qu'elles ne sont plus nécessaires, les données sont soit supprimées de manière sécurisée, soit anonymisées conformément à notre politique de conservation des données.

9. PRÉVENTION, RÉACTION ET NOTIFICATION EN CAS DE VIOLATION DE DONNÉES

Hubject dispose d'un plan de réponse aux violations de données robuste et conforme à la norme ISO 27001:2022 afin de détecter, contenir et répondre aux violations de données personnelles.

En cas de violation impliquant des données à caractère personnel, nous suivons les étapes suivantes :

• Détection et vérification : nous utilisons des systèmes de surveillance avancés pour détecter et vérifier tout accès non autorisé ou toute utilisation abusive des données.
• Confinement et éradication : les systèmes affectés sont isolés, les causes profondes sont recherchées et les vulnérabilités sont corrigées.
• Avis : Si une violation de données à caractère personnel répond aux critères énoncés à l'article 33 ou 34 du RGPD, nous en informerons l'autorité de contrôle compétente dans un délai de 72 heures et les personnes concernées lorsque cela est nécessaire.
  • Utilisateurs finaux (rôle de processeur) :
    • Si Hubject agit en tant que sous-traitant (par exemple, pour les OEM/EMP/CPO utilisant nos plateformes), nous en informerons le partenaire concerné (responsable du traitement) sans retard injustifié, conformément à l'article 33, paragraphe 2, du RGPD. Il incombe au responsable du traitement d'informer les personnes concernées et les autorités de contrôle.
  • Utilisateurs directs (rôle de contrôleur) :
    • Si Hubject agit en tant que responsable du traitement (par exemple, pour les utilisateurs du site Web ou les personnes inscrites à l'application icnc) et que la violation concerne vos données à caractère personnel, Hubject en informera les personnes concernées et l'autorité de contrôle conformément aux articles 33 et 34 du RGPD.
• Récupération et surveillance : nous rétablissons les opérations à l'aide de sauvegardes propres, vérifions l'intégrité des données et renforçons la surveillance après l'incident.
• Analyse post-incident : nous analysons l'incident afin d'améliorer les systèmes, les politiques et les protocoles d'intervention.

Nous disposons d'une équipe interne d'intervention en cas d'incident (IRT) composée de membres des services de sécurité informatique, juridique, conformité et gestion. Des formations régulières, des tests (par exemple, des exercices sur table) et des mises à jour de nos procédures d'intervention en cas d'incident sont organisés afin d'assurer une amélioration continue.

Pour toute question concernant notre réponse en cas de violation ou nos pratiques en matière de sécurité, veuillez contacter dataprotection@hubject.com.

‍

II. AVIS DE CONFIDENTIALITÉ SPÉCIFIQUES

Cette section complète la section I en décrivant les dispositions spécifiques applicables à certaines catégories de personnes concernées. Tous les principes généraux et toutes les exigences décrits dans la section I restent applicables lorsqu'ils sont pertinents.

1. AVIS DE CONFIDENTIALITÉ POUR LES PERSONNES DE CONTACT DES FOURNISSEURS

Cette section s'applique aux personnes de contact des fournisseurs.

Contrôleur

Hubject GmbH

EUREF-Campus 22, 10829 Berlin, Allemagne

Courriel : dataprotection@hubject.com

Finalité du traitement

Nous traitons les données des personnes de contact des fournisseurs afin de :

• Communiquer et gérer la relation contractuelle
• Accorder l'accès à nos plateformes (par exemple, portail HBS, portail d'administration)
• Fournir un soutien et des informations pertinentes pour l'entreprise
• Envoyer des communications marketing, si le consentement est donné

Bases juridiques

Art. 6(1)(b) RGPD – Pour l'exécution d'un contrat avec l'organisation représentée

Art. 6(1)(f) RGPD – Intérêt légitime dans la communication opérationnelle B2B

Art. 6(1)(a) RGPD – Consentement (uniquement pour les e-mails marketing facultatifs)

Catégories de données

• Nom, adresse électronique, numéro de téléphone, fonction, employeur
• Informations relatives au compte et à la connexion (le cas échéant)
• Correspondance et données d'assistance

Destinataires (partage de données)

• Services internes (par exemple, ventes, opérations)
• Processeurs externes (par exemple, Salesforce, Pardot, fournisseurs d'hébergement) opérant dans le cadre de contrats et de CCT s'ils sont situés en dehors de l'UE.

Rétention

Conservées pendant toute la durée du contrat et supprimées 1 an après sa résiliation, sauf si une conservation plus longue est requise par la loi.

Vos droits

Vous pouvez nous contacter à l'adresse dataprotection@hubject.com pour exercer vos droits :

• Accès, rectification, effacement, opposition, portabilité et retrait du consentement (le cas échéant)

2. AVIS DE CONFIDENTIALITÉ POUR LES CANDIDATS À UN EMPLOI

Cette section s'applique aux candidats à un emploi.

Contrôleur

Hubject GmbH

EUREF-Campus 22, 10829 Berlin, Allemagne

Courriel : dataprotection@hubject.com

Finalité du traitement

Vos données personnelles sont traitées pour :

• Évaluation de votre candidature et de votre aptitude à occuper le poste.
• Communiquer avec vous pendant le processus de recrutement.
• Respecter les obligations légales et réglementaires.

Bases juridiques

Art. 6(1)(b) RGPD – Pour des raisons contractuelles – pour prendre une mesure à votre demande avant la conclusion d'un contrat de travail.

Art. 6 (1)(c) RGPD - Pour les obligations légales de se conformer aux lois sur l'emploi et le travail

Art. 6(1)(f) RGPD – Intérêt légitime à gérer efficacement le processus de recrutement

Art. 6, paragraphe 1, point a), du RGPD – Consentement

Catégories de données

Nous pouvons collecter les informations suivantes

• Coordonnées : nom, coordonnées (adresse électronique, numéro de téléphone), adresse.
• Détails de la candidature : CV, lettre de motivation, parcours professionnel, formation, diplômes.
• Données d'évaluation : notes d'entretien, résultats de tests, références.
• Données relatives à la conformité légale : documentation relative au droit au travail, vérification des antécédents (lorsque la loi le permet).

Destinataires (partage de données)

Services internes (par exemple, RH, responsables)

Fournisseurs externes (par exemple, plateformes de recrutement, agences de vérification des antécédents)

Conservation des données

6 mois, sauf si le consentement est donné pour le vivier de talents.

Vos droits

Vous pouvez nous contacter à l'adresse dataprotection@hubject.com pour exercer vos droits :

• Accès, rectification, effacement, opposition, portabilité et retrait du consentement (le cas échéant)

3. AVIS DE CONFIDENTIALITÉ CONCERNANT LES DONNÉES COLLECTÉES À DES FINS DE MARKETING

Nous utilisons les informations que nous recueillons pour commercialiser nos services et communiquer avec vous par le biais de divers canaux, notamment les réseaux sociaux tels que LinkedIn.

Contrôleur

Hubject GmbH

EUREF-Campus 22, 10829 Berlin, Allemagne

Courriel : dataprotection@hubject.com

Utilisation de LinkedIn pour le réseautage et la prospection de clients

Objectif et justification

Cette action de sensibilisation favorise le réseautage, la participation à des événements (par exemple, icnc) et le maintien de relations commerciales. Il s'agit de communications personnalisées individuelles, et non de marketing de masse.

Informations que nous partageons : utilisation des audiences appariées LinkedIn

Nous partageons certaines informations personnelles avec des partenaires publicitaires tiers afin de proposer des publicités plus pertinentes (« publicité ciblée » ou « reciblage »). Nous utilisons des fonctionnalités telles que LinkedIn Matched Audiences, qui nous permettent de cibler des publicités destinées à nos clients et contacts existants sur la plateforme LinkedIn.

Vos choix et vos options de désinscription :
Nous respectons vos préférences en matière de confidentialité. Avant tout téléchargement de données vers LinkedIn à des fins de reciblage, nous filtrons nos listes d'audience afin d'exclure les personnes qui ont exercé leur droit de se désinscrire des communications marketing ou du partage de données à des fins publicitaires. Cela garantit que vos préférences sont respectées dans nos pratiques publicitaires ciblées.

Contenu accessible au public et communications générales

Veuillez noter que les communications effectuées via les publications LinkedIn organiques (publications effectuées directement sur le fil d'actualité de notre page d'entreprise) et les campagnes publicitaires générales (publicités n'utilisant pas les listes de clients téléchargées) sont accessibles à toute personne ayant accès à la plateforme. Ces activités ont une large portée, ne sont pas ciblées à l'aide des données spécifiques de votre profil issues de nos bases de données internes et sont conçues pour sensibiliser le grand public.

Base juridique

En vertu de l'article 6, paragraphe 1, point f), du RGPD (intérêt légitime), Hubject a un intérêt commercial à collaborer avec des professionnels dans un contexte pertinent. Outreach respecte les normes de la plateforme et les attentes des utilisateurs.

Catégories de données

• Nom, adresse électronique, numéro de téléphone, fonction, employeur

Destinataires (partage de données)

Services internes (par exemple, ventes, marketing)

Fournisseurs externes (par exemple, plateformes de communication, outils analytiques)

Conservation des données

Jusqu'à ce que le consentement soit retiré.

Vos droits

• Accès, rectification, effacement, opposition, portabilité et retrait du consentement (le cas échéant). Si vous ne souhaitez pas être contacté via LinkedIn, vous pouvez vous y opposer via les paramètres de messagerie de LinkedIn ou en envoyant un e-mail à dataprotection@hubject.com.

Si vous souhaitez consulter l'une des politiques mentionnées dans le présent document, veuillez contacter le responsable de la conformité de Hubject à l'adresse dataprotection@hubject.com. Nous vous en fournirons une copie sur simple demande.

‍