Conformité RGPD

1. Champ d'application

Lorsque le Règlement Général sur la Protection des Données s'applique,Vextra Agency s'efforce d'intégrer ses principes dans la conception du site, dans ses pratiques commerciales raisonnables et dans la conduite de ses missions techniques.

2. Principes directeurs

Nos pratiques sont guidées par les principes suivants :

• minimisation des données et collecte proportionnée ;
• finalités explicites et documentation du besoin ;
• limitation des accès et rôles clairement attribués ;
• sécurité adaptée aux risques ;
• durées de conservation cohérentes ;
• traçabilité suffisante pour l'audit et la gouvernance.

3. Rôles de traitement

Selon le contexte, Vextra Agency peut agir soit en tant que responsable de traitement pour ses propres opérations commerciales et marketing, soit en tant que sous-traitant lorsqu'elle traite des données pour le compte d'un client dans le cadre d'une mission.

Quand Vextra intervient comme sous-traitant, un accord de traitement des données ou une clause équivalente peut être proposé afin de préciser l'objet, la durée, la nature du traitement, les catégories de données et les obligations respectives des parties.

4. Privacy by design et privacy by default

Les architectures conçues par l'agence visent à limiter les collectes inutiles, à éviter les duplications non justifiées, à séparer les environnements, à documenter les flux de données et à prévoir des mécanismes de reprise humaine pour les décisions sensibles.

5. Base légale et documentation

Nous recommandons que chaque traitement client piloté ou outillé par nos systèmes soit adossé à une base légale identifiable, à une finalité claire et à une documentation interne proportionnée. Cette documentation peut inclure des règles de minimisation, des circuits d'approbation, des politiques de conservation, des journaux d'accès et des règles d'escalade.

6. Droits des personnes concernées

Lorsque Vextra Agency agit en qualité de responsable de traitement, les personnes concernées peuvent demander l'exercice de leurs droits d'accès, de rectification, d'effacement, d'opposition, de limitation ou de portabilité lorsque ces droits sont applicables.

Lorsque Vextra agit en qualité de sous-traitant, les demandes des personnes concernées doivent en principe être arbitrées par le client responsable de traitement. L'agence peut néanmoins l'assister dans une mesure raisonnable, selon les termes du contrat.

7. Sous-traitants ultérieurs et transferts

L'agence peut s'appuyer sur des sous-traitants techniques pour l'hébergement, le monitoring, la messagerie, les sauvegardes, les outils collaboratifs ou certaines briques applicatives. Lorsqu'un transfert international de données est impliqué, des garanties adaptées doivent être envisagées au regard du risque et du droit applicable.

8. Sécurité et incidents

La sécurité n'est pas traitée comme un ajout cosmétique. Elle repose sur un ensemble de mesures proportionnées pouvant inclure gestion d'accès, segmentation, chiffrement en transit, gestion des secrets, journalisation, surveillance raisonnable et procédures de correction.

En cas d'incident impliquant des données personnelles et relevant de ses obligations, Vextra Agency cherche à documenter, qualifier, contenir et notifier l'événement selon le cadre contractuel et réglementaire applicable.

9. Conservation et suppression

Les systèmes et recommandations de Vextra favorisent des politiques de conservation proportionnées. Les données n'ont pas vocation à être conservées indéfiniment sans justification opérationnelle, juridique ou de sécurité.

10. Analyses d'impact et usages sensibles

Pour les traitements susceptibles d'engendrer un risque élevé pour les droits et libertés des personnes, une analyse d'impact peut être nécessaire. Vextra peut contribuer au cadrage technique d'une telle analyse, mais ne se substitue pas à la responsabilité juridique ou réglementaire du client.

11. Contact RGPD

Pour toute demande liée à la protection des données ou au RGPD, vous pouvez écrire à privacy@vextra.agency.