politique de confidentialité

Cette politique s'applique à toutes les données personnelles traitées via les sites Web QS Project, les services de plateforme et les applications associées. QS Project agit en tant que responsable du traitement au sens de l'article 4, paragraphe 7 du RGPD en ce qui concerne les données d'enregistrement du compte, les informations de facturation et les données d'utilisation des services. Lorsqu'une organisation cliente détermine les finalités et les moyens de traitement des données de projet soumises à la plateforme, QS Project agit en tant que sous-traitant au sens de l'article 4, paragraphe 8, du RGPD et traite ces données uniquement conformément aux instructions documentées du client et à tout accord de traitement de données applicable.

Le responsable du traitement des données aux fins de la présente politique est QS Project, une société enregistrée en Irlande dont le siège social est situé à Standhouse Road, Newbridge, Co. Kildare, W12 DT21, Irlande. Pour toutes demandes relatives à la protection des données, à l'exercice des droits des personnes concernées ou aux réclamations concernant le traitement des données personnelles, veuillez contacter notre délégué à la protection des données à privacy@qs-project.com.

Nous traitons les catégories de données personnelles suivantes :

• Identité et coordonnées (nom, adresse email, numéro de téléphone, adresse postale)
• Identifiants de compte et enregistrements d'authentification (mots de passe cryptés, événements d'authentification multifacteur)
• Dossiers de licence et de facturation (niveau d'abonnement, références de paiement, détails de facturation)
• Dossiers de projet et d'entrepreneur soumis par les utilisateurs autorisés
• Données techniques et de l'appareil (adresse IP, type de navigateur, système d'exploitation, horodatage d'accès)
• Données d'utilisation et d'interaction du service (pages visitées, fonctionnalités utilisées, durée de la session)
• Support aux communications (tickets, correspondance, enregistrements d'appels le cas échéant)

Nous traitons les données personnelles sur une ou plusieurs des bases juridiques suivantes conformément à l'article 6, paragraphe 1, du RGPD :

a) Exécution d'un contrat — traitement nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou pour prendre des mesures à la demande de la personne concernée avant de conclure un contrat (article 6, paragraphe 1, point b)). (b) Obligation légale — traitement nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis, y compris les obligations en vertu du droit irlandais en matière fiscale, du travail et des sociétés (article 6, paragraphe 1, point c)). (c) Intérêts légitimes — traitement nécessaire aux fins des intérêts légitimes poursuivis par QS Project, y compris la sécurité du service, la prévention de la fraude et la fiabilité de la plateforme, à condition que ces intérêts ne soient pas supplantés par les droits et libertés fondamentaux de la personne concernée (article 6, paragraphe 1, point f)). (d) Consentement — lorsqu'aucune autre base légale ne s'applique, le traitement est effectué sur la base du consentement libre, spécifique, éclairé et sans ambiguïté de la personne concernée (article 6, paragraphe 1, point a)). Le consentement peut être retiré à tout moment sans affecter la licéité du traitement effectué avant le retrait.

Les données personnelles sont traitées pour les finalités spécifiées, explicites et légitimes suivantes :

• Fourniture, exploitation et maintenance des services de la plateforme
• Création de compte utilisateur, authentification et gestion des accès
• Administration des licences et gestion des abonnements
• Traitement des paiements, facturation et tenue des dossiers financiers
• Détection et prévention des fraudes, des abus et des accès non autorisés
• Support client et communications liées au service
• Diagnostic des services, suivi des performances et amélioration
• Respect des obligations légales, réglementaires et fiscales applicables
• Application des droits contractuels et résolution des litiges

Les données personnelles peuvent être divulguées aux catégories de destinataires suivantes :

• Sous-traitants agréés fournissant des services d'hébergement, d'infrastructure, de vérification d'identité, de traitement des paiements et de communication, chacun étant lié par des accords écrits de traitement de données conformément à l'article 28 du RGPD.
• Conseillers professionnels (juridiques, audit, comptable) soumis à des obligations de confidentialité
• Autorités de régulation et organismes chargés de l'application de la loi lorsque la divulgation est requise par la loi ou par ordonnance d'un tribunal compétent.
• Entités successeurs en cas de fusion, d'acquisition ou de réorganisation, soumises à des obligations équivalentes en matière de protection des données

Une liste actuelle des sous-traitants ultérieurs est disponible sur demande auprès de privacy@qs-project.com.

Lorsque des données personnelles sont transférées vers un pays en dehors de l'Espace économique européen (« EEE ») qui n'a pas fait l'objet d'une décision d'adéquation de la Commission européenne en vertu de l'article 45 du RGPD, nous veillons à ce que des garanties appropriées soient en place conformément à l'article 46 du RGPD. Ces garanties comprennent, le cas échéant, des clauses contractuelles types adoptées par la Commission européenne, complétées par une analyse d'impact du transfert et toute mesure technique ou organisationnelle supplémentaire nécessaire pour garantir un niveau de protection essentiellement équivalent pour les données personnelles transférées.

Les données personnelles ne seront conservées que le temps nécessaire à la réalisation des finalités pour lesquelles elles ont été collectées, conformément au principe de limitation de la conservation prévu à l'article 5, paragraphe 1, point e) du RGPD. Les périodes de conservation spécifiques sont déterminées en fonction de la nature des données, des finalités du traitement et des obligations légales de conservation applicables, y compris celles découlant de la loi sur la consolidation des impôts de 1997 (telle que modifiée) et de la loi sur les sociétés de 2014. À l'expiration de la période de conservation applicable, les données personnelles sont supprimées de manière sécurisée ou anonymisées de manière irréversible.

En vertu du chapitre III du RGPD, tel que donné effet par la partie 3 de la loi sur la protection des données de 2018, vous disposez des droits suivants concernant vos données personnelles :

• Droit d'accès (Article 15) — pour obtenir une confirmation du traitement et une copie de vos données personnelles
• Droit de rectification (article 16) — de faire corriger sans retard injustifié les données personnelles inexactes
• Droit à l'effacement (article 17) — pour demander la suppression de données personnelles lorsque des motifs spécifiés s'appliquent
• Droit à la limitation du traitement (article 18) — pour demander la limitation du traitement dans des circonstances définies
• Droit à la portabilité des données (article 20) — recevoir des données personnelles dans un format structuré, couramment utilisé et lisible par machine
• Droit d'opposition (article 21) — s'opposer au traitement fondé sur des intérêts légitimes ou du marketing direct
• Droit de ne pas être soumis à une prise de décision automatisée (article 22) — y compris un profilage produisant des effets juridiques ou d'importance similaire

L'exercice de ces droits est soumis aux conditions, limitations et exemptions énoncées dans le RGPD et la loi sur la protection des données de 2018.

Pour exercer l'un des droits énoncés ci-dessus, veuillez soumettre une demande écrite à privacy@qs-project.com. Nous pouvons exiger une vérification de votre identité avant de donner suite à une demande, conformément à l'article 12, paragraphe 6, du RGPD. Nous répondrons aux demandes valables dans les plus brefs délais et en tout état de cause dans un délai d'un mois à compter de leur réception, à moins que la complexité ou le volume des demandes ne justifient une prolongation pouvant aller jusqu'à deux mois supplémentaires, auquel cas vous en serez informé.

Nous utilisons des cookies strictement nécessaires au fonctionnement de notre plateforme et des cookies d'analyse limités pour surveiller les performances du service. Tous les cookies non essentiels nécessitent votre consentement éclairé préalable, conformément au règlement 5 des Communautés européennes (réseaux et services de communications électroniques) (confidentialité et communications électroniques) de 2011 (S.I. n° 336/2011). Vous pouvez gérer vos préférences en matière de cookies à tout moment via le contrôle des préférences en matière de cookies dans l'application ou les paramètres de votre navigateur. Pour plus de détails, veuillez vous référer à notre politique en matière de cookies.

Conformément à l'article 32 du RGPD, nous mettons en œuvre les mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté au risque, notamment :

• Contrôles d'accès basés sur les rôles et principe du moindre privilège
• Cryptage des données personnelles en transit via TLS
• Surveillance continue, journalisation et détection des anomalies
• Procédures documentées de réponse aux incidents et de gestion des violations
• Évaluations régulières de la sécurité et gestion des vulnérabilités

Bien qu'aucun système ne puisse garantir une sécurité absolue, nous maintenons et révisons périodiquement ces mesures pour nous assurer qu'elles restent proportionnées à la nature et à la sensibilité des données personnelles traitées.

Nos services sont destinés à un usage professionnel et commercial et ne s'adressent pas aux enfants. Nous ne collectons ni ne traitons sciemment les données personnelles d'enfants de moins de 16 ans (âge du consentement numérique applicable en Irlande en vertu de l'article 31 de la loi sur la protection des données de 2018). Si nous apprenons que des données personnelles ont été collectées auprès d'un enfant sans le consentement approprié d'un parent ou d'un tuteur, nous prendrons des mesures rapides pour supprimer ces données.

Nous nous réservons le droit de mettre à jour cette politique de confidentialité de temps à autre pour refléter les changements dans nos activités de traitement, les exigences légales ou les orientations réglementaires. Lorsqu'un changement est important, nous en informerons les personnes concernées via les canaux de service ou par d'autres moyens appropriés. La date « Dernière mise à jour » en tête de cette politique indique la date à laquelle la révision la plus récente est entrée en vigueur. Nous vous encourageons à consulter cette politique périodiquement.

Sans préjudice de tout autre recours administratif ou judiciaire, vous avez le droit de déposer une réclamation auprès d'une autorité de contrôle conformément à l'article 77 du RGPD. En Irlande, l'autorité de contrôle compétente est la Commission de protection des données (An Coimisiún um Chosaint Sonraí), 21 Fitzwilliam Square South, Dublin 2, D02 RD28, Irlande (www.dataprotection.ie).

Cette politique est régie et interprétée conformément aux lois de l'Irlande. Le traitement des données personnelles décrit ici vise à respecter :

• Règlement (UE) 2016/679 (Règlement Général sur la Protection des Données)
• Loi sur la protection des données 2018 (telle que modifiée)
• Règlement des Communautés européennes (réseaux et services de communications électroniques) (confidentialité et communications électroniques) de 2011 (S.I. n° 336/2011)
• Toute autre législation irlandaise et européenne applicable en matière de protection des données et de confidentialité

Dans le cadre du fonctionnement normal du service, QS Project ne prend pas de décision automatisée, y compris le profilage, qui produit des effets juridiques sur les personnes concernées ou les affecte de manière significative au sens de l'article 22 du RGPD. Si cette position change, nous informerons au préalable les personnes concernées de la logique impliquée, de l'importance et des conséquences envisagées d'un tel traitement, et mettrons en œuvre des garanties appropriées, y compris le droit d'obtenir une intervention humaine, d'exprimer un point de vue et de contester la décision.

Nous maintenons des procédures documentées de réponse aux incidents pour la détection, l’évaluation et la gestion des violations de données personnelles. En cas de violation susceptible d'entraîner un risque pour les droits et libertés des personnes physiques, nous en informerons la Commission de Protection des Données dans les meilleurs délais et, si possible, au plus tard 72 heures après avoir pris connaissance de la violation, conformément à l'article 33 du RGPD. Lorsqu'une violation est susceptible d'entraîner un risque élevé pour les droits et libertés des personnes concernées, nous communiquerons la violation à ces personnes dans les plus brefs délais, conformément à l'article 34 du RGPD.

Certaines fonctionnalités du Service intègrent des capacités d'intelligence artificielle (« IA »), notamment la génération de contenu assistée par l'IA dans les éditeurs de documents. Lorsque vous utilisez ces fonctionnalités, les traitements de données suivants ont lieu :

• Les invites soumises par l'utilisateur et, si le contexte l'exige, le contenu du document pertinent sont transmis à des fournisseurs de services d'IA tiers dans le seul but de générer le résultat demandé.
• QS Project engage des fournisseurs de services d'IA dans le cadre d'accords écrits de traitement de données qui imposent des obligations de confidentialité, de sécurité et de protection des données conformément à l'article 28 du RGPD.
• Les invites et les résultats générés ne sont pas utilisés par QS Project ou ses fournisseurs de services d'IA pour former ou améliorer les modèles d'IA, sauf si vous avez fourni votre consentement explicite et éclairé pour une telle utilisation.
• Les données d'interaction avec l'IA ne sont conservées que le temps nécessaire à la prestation de services, à l'assurance qualité et à l'enquête sur les utilisations abusives, et sont ensuite supprimées conformément à nos politiques de conservation des données.

Les fonctionnalités assistées par l'IA n'impliquent pas de prise de décision automatisée produisant des effets juridiques ou tout aussi importants sur les personnes concernées au sens de l'article 22 du RGPD. Le résultat généré par l'IA est présenté à l'utilisateur pour examen, modification et approbation avant toute utilisation. Vous restez seul responsable de l’examen, de la vérification et de l’approbation de tout contenu généré par l’IA avant de l’incorporer dans des documents ou des communications.