Politique de Confidentialité
Notre engagement à protéger vos données personnelles conformément au RGPD et à la législation irlandaise.
La présente Politique de confidentialité explique comment Knogin CyberSecurity Limited (« Knogin », « nous » ou « notre ») collecte, utilise, conserve et protège vos données à caractère personnel. Nous nous engageons à protéger votre vie privée conformément au Règlement général sur la protection des données (UE) 2016/679 (« RGPD »), à la loi irlandaise sur la protection des données de 2018, à la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés (« Loi Informatique et Libertés »), et à toute la législation applicable en matière de protection des données. Nous agissons en qualité de sous-traitant lorsque nous traitons des données à caractère personnel pour le compte de nos clients en vertu d’accords de prestation de services. La présente Politique de confidentialité porte sur notre rôle de responsable du traitement pour les données à caractère personnel que nous collectons directement auprès de vous et par l’intermédiaire de nos systèmes.
On entend par « données à caractère personnel » toute information se rapportant à une personne physique identifiée ou identifiable. Nous sommes susceptibles de traiter les catégories suivantes de données à caractère personnel :
Noms, prénoms, titres, pseudonymes, numéros de téléphone, adresses postales, adresses électroniques et affiliations professionnelles.
Lorsque cela est pertinent pour des candidatures à un emploi ou des relations avec des clients : sexe, âge, nationalité, parcours scolaire, expérience professionnelle, qualifications professionnelles et informations similaires que vous nous communiquez.
Lorsque vous payez nos services : numéros de compte bancaire, informations de carte de paiement, identifiants de transaction, relevés de facturation et informations de facturation.
Adresses IP, identifiants d’appareil, type et version du navigateur, système d’exploitation, horodatages d’accès, pages visitées, sources de référencement, durée de session, données de navigation, journaux d’erreurs et journaux d’événements système.
Schémas d’activité de l’utilisateur, événements d’authentification, journaux de contrôle d’accès, données d’incidents de sécurité, indicateurs de menaces, données de détection d’anomalies et scores d’évaluation des risques générés par nos systèmes de sécurité.
Dans certaines circonstances, nous sommes susceptibles de traiter des données sensibles révélant l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, des données relatives à la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle. Nous ne traitons ces données que lorsque nous disposons d’une base juridique pour ce faire.
Nous collectons des données à caractère personnel par les moyens suivants : Directement auprès de vous : Lorsque vous nous contactez, créez un compte, vous abonnez à des services, soumettez des demandes, postulez à un emploi ou communiquez avec nous de toute autre manière. De manière automatique par l’intermédiaire de nos systèmes : Lorsque vous accédez à nos sites internet ou utilisez nos services, nous collectons automatiquement des données techniques et des journaux par le biais de cookies, de journaux de serveur et de technologies similaires. Auprès de nos clients : Lorsque nous fournissons des services de cybersécurité, nos clients peuvent nous transmettre des données à caractère personnel aux fins de traitement conformément à nos contrats de service. Auprès de sources tierces : Nous pouvons recevoir des données à caractère personnel provenant de sources accessibles au public, de bases de données sectorielles et de partenaires lorsque la loi le permet.
Nous ne traitons les données à caractère personnel que lorsque nous disposons d’une base juridique au titre de l’article 6 du RGPD :
Traitement nécessaire à l’exécution d’un contrat auquel vous êtes partie ou à l’exécution de mesures précontractuelles prises à votre demande.
Traitement nécessaire au respect d’une obligation légale à laquelle nous sommes soumis en vertu du droit irlandais, français ou de l’Union européenne.
Traitement nécessaire aux fins des intérêts légitimes poursuivis par nous-mêmes ou par un tiers, à condition que ces intérêts ne prévalent pas sur vos droits et libertés fondamentaux. Nos intérêts légitimes comprennent la gestion et la sécurisation de notre entreprise, la prévention de la fraude et de la cybercriminalité, l’amélioration de nos services et la protection de nos clients contre les menaces de sécurité.
Lorsque le traitement est fondé sur votre consentement, vous avez le droit de le retirer à tout moment, sans que cela ne porte atteinte à la licéité du traitement fondé sur le consentement donné avant son retrait.
Traitement nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique.
Lorsque nous traitons des catégories particulières de données à caractère personnel, nous nous fondons sur l’une des conditions prévues à l’article 9, paragraphe 2, du RGPD : votre consentement explicite ; traitement nécessaire dans le domaine du droit du travail, de la sécurité sociale ou de la protection sociale ; traitement nécessaire à la sauvegarde des intérêts vitaux lorsque vous êtes dans l’incapacité de donner votre consentement ; traitement nécessaire à la constatation, à l’exercice ou à la défense de droits en justice ; ou traitement nécessaire pour des motifs d’intérêt public important.
Nous utilisons des systèmes de sécurité automatisés, y compris des algorithmes d’apprentissage automatique et d’intelligence artificielle, pour analyser les schémas de comportement des utilisateurs et les événements système aux fins de détection et de prévention des menaces de sécurité. Ce traitement constitue un « profilage » au sens de l’article 4, paragraphe 4, du RGPD. Données utilisées pour le profilage : Nos systèmes de sécurité automatisés traitent les horodatages de connexion, les schémas d’accès, les informations sur les appareils, les adresses IP, les données de géolocalisation, le comportement de session, les journaux d’activité et les schémas d’utilisation historiques. Fonctionnement du profilage : Nos systèmes établissent des lignes de base comportementales pour les utilisateurs et les systèmes, puis identifient les anomalies ou les écarts susceptibles d’indiquer des comptes compromis, un vol d’identifiants, une activité malveillante ou des menaces de sécurité. Les modèles d’apprentissage automatique attribuent des scores de risque fondés sur des facteurs tels que le moment de l’accès, la cohérence de la localisation, la reconnaissance de l’appareil, les schémas d’action et l’écart par rapport aux normes établies. Conséquences du profilage : Le profilage peut entraîner des alertes de sécurité, des restrictions d’accès, la suspension de comptes, des exigences d’authentification renforcées ou un renvoi pour examen manuel. Dans certaines circonstances, les décisions automatisées peuvent restreindre ou bloquer l’accès à des systèmes ou des services. Base juridique : Nous traitons ces données sur le fondement de nos intérêts légitimes à maintenir la sécurité et l’intégrité de nos systèmes et à protéger nos clients contre les cybermenaces. Lorsque des décisions automatisées produisent des effets juridiques vous concernant ou vous affectent de manière significative de façon similaire, nous nous fondons sur l’article 22, paragraphe 2, point b), du RGPD (traitement autorisé par la loi à des fins de sécurité) ou l’article 22, paragraphe 2, point a), du RGPD (traitement nécessaire à l’exécution d’un contrat).
En vertu de l’article 22 du RGPD, vous avez le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques vous concernant ou vous affectant de manière significative de façon similaire. Lorsque nous prenons de telles décisions automatisées, vous avez le droit de : • Obtenir une intervention humaine de la part d’un membre qualifié de notre équipe de sécurité • Exprimer votre point de vue concernant la décision automatisée • Contester la décision et demander un réexamen • Obtenir une explication de la logique générale appliquée dans le traitement automatisé • Demander des informations sur l’importance et les conséquences envisagées de ce traitement Pour exercer ces droits, contactez-nous à l’adresse privacy@knogin.com. Nous répondrons dans un délai d’un mois à compter de la réception de votre demande.
Nous faisons appel à des prestataires de services tiers pour traiter des données à caractère personnel pour notre compte. Ces sous-traitants sont contractuellement tenus de traiter les données à caractère personnel uniquement selon nos instructions documentées et de mettre en œuvre des mesures de sécurité techniques et organisationnelles appropriées. Nous sommes susceptibles de faire appel à des sous-traitants supplémentaires pour des services spécifiques. Une liste à jour de nos sous-traitants ultérieurs est disponible sur demande en contactant privacy@knogin.com.
Les données à caractère personnel peuvent être transférées vers des pays situés en dehors de l’Espace économique européen (« EEE ») qui peuvent ne pas offrir le même niveau de protection des données que l’Irlande ou la France, et être traitées dans ces pays. Lorsque nous transférons des données à caractère personnel en dehors de l’EEE, nous veillons à ce que des garanties appropriées soient mises en place : Décisions d’adéquation : Transferts vers des pays ayant fait l’objet d’une décision d’adéquation de la Commission européenne (y compris les transferts vers les États-Unis dans le cadre du Cadre de protection des données UE-États-Unis pour les organisations certifiées). Clauses contractuelles types : Transferts soumis aux clauses contractuelles types de l’UE adoptées par la Commission européenne (Décision d’exécution (UE) 2021/914). Règles d’entreprise contraignantes : Le cas échéant, transferts au sein de groupes d’entreprises soumis à des règles d’entreprise contraignantes approuvées. Les données à caractère personnel peuvent être transférées aux États-Unis par l’intermédiaire des services de Microsoft et de Cloudflare, sous réserve de la certification au titre du Cadre de protection des données UE-États-Unis et/ou des clauses contractuelles types. Nous réalisons des évaluations de l’impact des transferts lorsque cela est nécessaire afin d’évaluer le niveau de protection dans les pays destinataires et mettons en œuvre des mesures supplémentaires le cas échéant.
Nous pouvons communiquer des données à caractère personnel aux autorités répressives, aux organismes de réglementation ou à d’autres autorités publiques lorsque : • Nous y sommes tenus par la législation irlandaise, française ou européenne, par une décision de justice ou un mandat • La communication est nécessaire et proportionnée pour la prévention, la détection, la recherche ou la poursuite d’infractions pénales, conformément à la section 41(b) de la loi irlandaise sur la protection des données de 2018 • La communication est nécessaire à la sauvegarde des intérêts vitaux de toute personne • La communication est nécessaire à la constatation, à l’exercice ou à la défense de droits en justice Nous vous informerons de toute communication, sauf lorsque la loi l’interdit ou lorsque la notification risquerait de porter préjudice à une enquête en cours.
Conformément à l’article 48 du RGPD et aux Lignes directrices 02/2024 du CEPD, nous traitons les demandes des autorités répressives situées en dehors de l’EEE de la manière suivante : Traités d’entraide judiciaire : Lorsqu’une demande d’une autorité d’un pays tiers est fondée sur un accord international, tel qu’un Traité d’entraide judiciaire (« TEJ ») en vigueur entre le pays demandeur et l’Irlande ou l’Union européenne, nous exécuterons la demande conformément à cet accord. Demandes sans accord international : Lorsqu’une demande d’une autorité d’un pays tiers n’est pas fondée sur un accord international applicable, la demande n’est pas automatiquement reconnue ni exécutoire en droit de l’UE. Nous évaluerons si nous disposons d’une base juridique au titre de l’article 6 du RGPD et d’un mécanisme de transfert approprié au titre du chapitre V du RGPD, et pourrons renvoyer l’autorité demandeuse aux voies du TEJ. Demandes extraterritoriales : Nonobstant d’éventuelles prétentions de compétence extraterritoriale en vertu de la législation de pays tiers (y compris la loi américaine CLOUD Act), nous sommes soumis au droit européen de la protection des données. Nous ne communiquerons pas de données à caractère personnel à des autorités de pays tiers, sauf si la demande est formulée en vertu d’un accord international applicable ou si nous avons identifié à la fois une base juridique au titre de l’article 6 du RGPD et un mécanisme de transfert approprié au titre du chapitre V du RGPD. Notification : Lorsque nous recevons une demande d’une autorité d’un pays tiers et que nous ne sommes pas empêchés de le faire, nous informerons les personnes concernées de la demande.
Nous conservons les données à caractère personnel uniquement pendant la durée nécessaire à la réalisation des finalités pour lesquelles elles ont été collectées, au respect d’obligations légales, à la résolution de litiges et à l’exécution de nos accords. Nous procédons à des révisions régulières des données conservées et supprimons ou anonymisons de manière sécurisée les données à caractère personnel qui ne sont plus nécessaires.
Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger les données à caractère personnel contre tout accès non autorisé, toute altération, divulgation ou destruction. Ces mesures comprennent : • Chiffrement des données à caractère personnel en transit et au repos • Contrôles d’accès et mécanismes d’authentification • Évaluations de sécurité régulières et tests d’intrusion • Formation du personnel à la protection des données et à la sécurité de l’information • Procédures de réponse aux incidents • Mesures de sécurité physique pour nos locaux et centres de données Lorsque nous faisons appel à des sous-traitants, nous veillons à ce qu’ils présentent des garanties suffisantes pour mettre en œuvre des mesures techniques et organisationnelles appropriées.
En vertu du RGPD, de la législation irlandaise en matière de protection des données et de la Loi Informatique et Libertés, vous disposez des droits suivants :
Vous avez le droit d’obtenir la confirmation que des données à caractère personnel vous concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès à ces données et aux informations relatives au traitement.
Vous avez le droit d’obtenir la rectification des données à caractère personnel inexactes et le complètement des données incomplètes.
Vous avez le droit d’obtenir l’effacement de vos données à caractère personnel dans certaines circonstances, notamment lorsque les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées.
Vous avez le droit d’obtenir la limitation du traitement dans certaines circonstances, notamment lorsque nous vérifions l’exactitude des données que vous avez contestées.
Vous avez le droit de recevoir les données à caractère personnel que vous nous avez fournies dans un format structuré, couramment utilisé et lisible par machine, et de les transmettre à un autre responsable du traitement.
Vous avez le droit de vous opposer au traitement fondé sur des intérêts légitimes, y compris le profilage. Nous cesserons le traitement à moins que nous ne démontrions des motifs légitimes et impérieux prévalant sur vos intérêts, droits et libertés.
Vous avez le droit d’obtenir une intervention humaine, d’exprimer votre point de vue et de contester les décisions automatisées.
Lorsque le traitement est fondé sur le consentement, vous pouvez le retirer à tout moment sans que cela ne porte atteinte à la licéité du traitement fondé sur le consentement donné avant son retrait.
Si vous n’êtes pas satisfait de la manière dont nous traitons vos données à caractère personnel ou répondons à vos demandes, vous avez le droit d’introduire une réclamation auprès d’une autorité de contrôle. Commission de Protection des Données d’Irlande (DPC) 21 Fitzwilliam Square South Dublin 2, D02 RD28 Irlande Site internet : www.dataprotection.ie Téléphone : +353 1 765 0100 / +353 57 868 4800 Vous pouvez également introduire une réclamation auprès de l’autorité de contrôle de votre pays de résidence ou de votre lieu de travail s’il est différent de l’Irlande. En France, l’autorité compétente est la Commission Nationale de l’Informatique et des Libertés (CNIL), 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07, www.cnil.fr.
Nos services ne sont pas destinés aux enfants de moins de 16 ans. Nous ne collectons pas sciemment de données à caractère personnel auprès d’enfants de moins de 16 ans. Si vous estimez que nous avons collecté des données à caractère personnel d’un enfant de moins de 16 ans, veuillez nous contacter immédiatement à l’adresse privacy@knogin.com.
Nous sommes susceptibles de mettre à jour la présente Politique de confidentialité de temps à autre. Nous vous informerons des modifications substantielles en publiant la politique mise à jour sur notre site internet avec une nouvelle date d’entrée en vigueur. Nous vous encourageons à consulter régulièrement la présente Politique de confidentialité. Pour les modifications significatives affectant vos droits, nous fournirons un avis visible sur notre site internet ou par communication directe le cas échéant.
Si vous avez des questions concernant la présente Politique de confidentialité ou nos pratiques en matière de protection des données, veuillez nous contacter : Contact Protection des Données Knogin CyberSecurity Limited Dublin 6, Irlande Téléphone : 1800-816933 (Irlande) / +353-1-800-816933 (International) Courriel : privacy@knogin.com Nous répondrons à votre demande dans un délai d’un mois. Ce délai peut être prolongé de deux mois supplémentaires si nécessaire, compte tenu de la complexité et du nombre de demandes. Nous vous informerons de toute prolongation dans un délai d’un mois à compter de la réception de votre demande. Nous pouvons demander des informations supplémentaires pour vérifier votre identité avant de répondre à votre demande.
Questions sur la Confidentialité ?
Notre équipe de Protection des Données est là pour vous aider avec toute question ou préoccupation liée à la confidentialité.
Contact Protection des Données
Knogin CyberSecurity Limited
Dublin 6, Irlande
Irlande: 1800-816933
International: +353-1-800-816933
Autorité de Contrôle
Commission de Protection des Données d’Irlande (DPC)
21 Fitzwilliam Square South, Dublin 2, D02 RD28, Irlande