Accord sur le traitement des données

Télécharger l'accord sur le traitement des données iLost

Ouvrir l'accord sur le traitement des données (PDF)

Sur la base de deux phases de traitement distinctes, comme le montre l'aperçu visuel au bas de cette page, le présent document décrit la manière dont les données à caractère personnel sont traitées au sein de la plateforme iLost. Il explique les types de données à caractère personnel concernés, les rôles des parties et le cadre réglementaire applicable, sans faire référence à des articles juridiques spécifiques à une juridiction.

Définitions

  1. Réclamation / Déclaration de perte : informations soumises par un utilisateur via la plateforme iLost dans le but de revendiquer la propriété ou le droit sur un objet trouvé.
    Une réclamation ne prend effet qu'après vérification du compte de l'utilisateur, qui comprend la soumission d'une adresse e-mail et la validation via un lien de vérification, et l'acceptation par iLost conformément à ses politiques. Une fois cette acceptation obtenue, les informations relatives à la réclamation sont mises à la disposition du client concerné et l'objet trouvé est associé à l'utilisateur.
    Ce moment marque le passage de la phase 1 à la phase 2, comme décrit ci-dessous.

  2. Client : Une organisation, une entreprise ou une institution (y compris, mais sans s'y limiter, les hôtels, les lieux de réception, les opérateurs de transport et les institutions publiques) qui utilise la plateforme iLost pour enregistrer et gérer les objets trouvés.
    Pour éviter toute ambiguïté, un client n'est pas une personne physique.

  3. Responsable du traitement : l'entité qui détermine les finalités et les moyens essentiels du traitement des données à caractère personnel.

  4. Objet trouvé : un objet enregistré sur la plateforme iLost par un client. Un objet trouvé peut ne pas être initialement lié à une personne identifiable et peut, après soumission et vérification d'une réclamation, être associé à un utilisateur.

  5. Plateforme iLost : La solution logicielle en ligne exploitée par iLost, comprenant son interface web et ses widgets de recherche intégrés, qui permet aux clients d'enregistrer et de gérer les objets trouvés et aux utilisateurs de rechercher, signaler, réclamer et récupérer des objets perdus.

  6. Données à caractère personnel : toute information relative à une personne physique identifiée ou identifiable, y compris, mais sans s'y limiter, le nom, les coordonnées, les données d'identification, les photographies, les informations relatives aux réclamations et les identifiants en ligne tels que les adresses IP.

  7. Traitement : toute opération ou ensemble d'opérations effectuées sur des données à caractère personnel, telles que la collecte, le stockage, l'utilisation, la divulgation ou la suppression.

  8. Sous-traitant : l'entité qui traite les données à caractère personnel pour le compte d'un responsable du traitement.

  9. Utilisateur : une personne physique qui interagit directement avec la plateforme iLost pour rechercher, réclamer ou récupérer un objet perdu et dont les données à caractère personnel sont traitées dans ce contexte. Lorsque la législation applicable en matière de protection des données s'applique, un utilisateur est considéré comme une « personne concernée », un « individu » ou un concept juridique équivalent en vertu de cette législation.

1. Phase 1 – Traitement initié par le client

Au cours de la phase 1, les données à caractère personnel sont saisies dans la plateforme iLost par un membre du personnel du client dans le cadre de l'enregistrement et de la gestion des objets trouvés.

Les actions telles que la notification proactive d'un propriétaire potentiel ou la mise en correspondance d'un objet à un guichet physique sont considérées comme faisant partie de la phase 1 et restent sous la responsabilité du client en tant que responsable du traitement.

Cela peut inclure, sans s'y limiter :

  • Les coordonnées d'un propriétaire connu ou présumé qui n'est pas encore un utilisateur
  • Les notes ajoutées à un objet trouvé
  • Les informations personnelles saisies pour confirmer la récupération d'un objet sans réclamation en ligne

Rôles dans la phase 1

Dans la phase 1 :

  • Le client détermine la finalité du traitement, à savoir la restitution des objets trouvés à leurs propriétaires légitimes
  • Le client agit en tant que responsable du traitement
  • iLost agit en tant que sous-traitant, traitant les données à caractère personnel saisies par et pour le compte du client

La relation de traitement dans la phase 1 est régie par l'accord sur le traitement des données (DPA) applicable.

2. Phase 2 – Traitement initié par l'utilisateur (post-vérification)

La phase 2 ne commence qu'après qu'un utilisateur a soumis une réclamation ou un rapport de perte et qu'iLost a terminé son processus de vérification.
Cette vérification comprend la confirmation des coordonnées de l'utilisateur (telles que la vérification de l'adresse e-mail) et la conformité avec les politiques internes de validation et de lutte contre les abus d'iLost.

Jusqu'à ce que la vérification soit terminée, les données personnelles fournies par l'utilisateur sont traitées exclusivement par iLost et ne sont pas mises à la disposition du client.

Une fois qu'une réclamation ou un rapport de perte a été vérifié et approuvé par iLost, la phase 2 devient active et les données personnelles pertinentes de l'utilisateur peuvent être mises à la disposition du client pour un traitement ultérieur.

Données personnelles fournies par l'utilisateur

Au cours du processus de réclamation ou de déclaration de perte, un utilisateur peut fournir des données personnelles telles que :

  • Nom et coordonnées
  • Informations ou explications relatives à la réclamation visant à prouver la propriété
  • Messages échangés via la plateforme iLost
  • Coordonnées d'expédition et adresse pour le retour d'un article
  • Images ou documents justificatifs

En soumettant une réclamation ou une déclaration de perte et en acceptant la politique de confidentialité et les conditions applicables, l'utilisateur accepte le traitement de ces données personnelles par iLost dans le but d'exploiter la plateforme iLost et de faciliter la récupération des objets perdus.

Rôle d'iLost dans la phase 2

Dans la phase 2 :

  • iLost agit en tant que responsable du traitement indépendant pour tous les traitements initiés par l'utilisateur sur la plateforme iLost, y compris :
  • Vérification de l'utilisateur
  • Gestion des comptes
  • Traitement des réclamations
  • Flux de communication

  • Lancement de l'expédition

  • iLost détermine si et quand les données personnelles de l'utilisateur sont mises à la disposition du client, en fonction des résultats de la vérification et des politiques de la plateforme.

Identifiabilité des objets trouvés dans la phase 2

Un objet trouvé enregistré dans la phase 1 ne constitue pas automatiquement une donnée personnelle.

Un objet trouvé n'est lié à une personne identifiable que lorsque la réclamation ou la déclaration de perte d'un utilisateur a été vérifiée par iLost.

À partir de ce moment, l'objet trouvé est considéré comme une donnée personnelle traçable au sein de la plateforme iLost.

Divulgation des données personnelles au client

Après vérification, certaines données personnelles de l'utilisateur (par exemple, les informations relatives à la réclamation ou les détails d'expédition) peuvent être divulguées au client lorsque et dans la mesure où cela est nécessaire pour :

  • Vérifier la propriété
  • Prendre une décision finale quant à la correspondance
  • Préparer et effectuer l'expédition ou la remise physique de l'objet

Aucune donnée personnelle de l'utilisateur n'est partagée avec le client avant la vérification et l'approbation par iLost.

3. Relation entre les responsables du traitement dans la phase 2

Une fois que les données personnelles de l'utilisateur ont été divulguées au client après vérification, elles sont traitées et échangées dans le cadre d'un cadre de responsable du traitement à responsable du traitement (C2C).

Dans ce cadre :

  • iLost reste le responsable du traitement pour le traitement initié par l'utilisateur au sein de la plateforme iLost, y compris la vérification, la communication et les flux de travail au niveau de la plateforme
  • Le client reste le responsable du traitement pour son propre traitement ultérieur, y compris :
  • La vérification de la propriété et la prise de décision finale concernant la correspondance
  • La conservation des enregistrements internes
  • La préparation et la réalisation de l'expédition ou de la remise physique

Chaque partie détermine de manière indépendante ses propres finalités et moyens essentiels de traitement et est responsable du respect des lois applicables en matière de protection des données en ce qui concerne ses propres activités de traitement.

4. Résumé de la répartition des responsabilités

Phase 1

  • Client : Responsable du traitement
  • iLost : Sous-traitant (en vertu de l'accord de traitement des données)

Phase 2 (post-vérification et divulgation)

  • iLost : Responsable du traitement indépendant (traitement initié par l'utilisateur)
  • Client : Responsable du traitement indépendant (traitement opérationnel propre)
  • Les données à caractère personnel sont échangées dans le cadre d'une clause de responsable du traitement à responsable du traitement

5. Réglementations applicables en matière de protection des données et de confidentialité

La liste suivante n'est pas exhaustive.
Les exigences applicables dépendent de la localisation du client, de l'utilisateur et des activités de traitement concernées (phase 1 et/ou phase 2).

Amériques

  • États-Unis (sélectionnés) : California Consumer Privacy Act / California Privacy Rights Act (CCPA/CPRA) – principalement phase 2
  • États-Unis : autres lois étatiques sur la confidentialité (le cas échéant) – phase 1 et/ou phase 2
  • Brésil : loi générale sur la protection des données (LGPD) – Phase 1 et Phase 2
  • Canada : LPRPDE et lois provinciales applicables en matière de confidentialité – Phase 1 et Phase 2
  • Mexique : Loi fédérale sur la protection des données personnelles détenues par des entités privées – Phase 1 et Phase 2
  • Argentine : Loi sur la protection des données – Phase 1 et Phase 2

Asie-Pacifique

  • Chine : Loi sur la protection des informations personnelles – Phase 1 et Phase 2 (le cas échéant)
  • Japon : Loi sur la protection des informations personnelles – Phase 1 et Phase 2
  • Singapour : Loi sur la protection des données personnelles – Phase 1 et Phase 2
  • Australie : Loi sur la protection de la vie privée de 1988 – Phase 1 et Phase 2
  • Corée du Sud : Loi sur la protection des informations personnelles – Phase 1 et Phase 2
  • Inde : Loi sur la protection des données personnelles numériques – Phase 1 et Phase 2 (le cas échéant)
  • Indonésie : Loi sur la protection des données personnelles – Phase 1 et Phase 2
  • Thaïlande : Loi sur la protection des données personnelles – Phase 1 et Phase 2
  • Malaisie : Loi sur la protection des données personnelles – Phase 1 et Phase 2
  • Philippines : Loi sur la confidentialité des données – Phase 1 et Phase 2
  • Vietnam : Décret sur la protection des données personnelles – Phase 1 et Phase 2
  • Hong Kong : Ordonnance sur les données personnelles (confidentialité) – Phase 1 et Phase 2
  • Taïwan : Loi sur la protection des données personnelles – Phase 1 et Phase 2

Europe

  • Union européenne / EEE : Règlement général sur la protection des données (RGPD) – Phase 1 et Phase 2
  • Royaume-Uni : RGPD britannique et loi sur la protection des données de 2018 – Phase 1 et Phase 2
  • Suisse : Loi fédérale sur la protection des données (LPD) – Phase 1 et Phase 2

Moyen-Orient et Afrique

  • Règlements sur la protection des données des Émirats arabes unis / DIFC / ADGM – Phase 1 et Phase 2
  • Qatar : Loi sur la protection des données – Phase 1 et Phase 2
  • Israël : Loi sur la protection de la vie privée – Phase 1 et Phase 2
  • Arabie saoudite : Loi sur la protection des données personnelles (PDPL) – Phase 1 et Phase 2
  • Bahreïn / Oman : Lois nationales applicables en matière de protection des données – Phase 1 et Phase 2
  • Turquie : Loi sur la protection des données personnelles – Phase 1 et Phase 2
  • Afrique du Sud : Loi sur la protection des informations personnelles (POPIA) – Phase 1 et Phase 2
  • Nigeria : Loi sur la protection des données du Nigeria (NDPA) – Phase 1 et Phase 2
  • Kenya : Loi sur la protection des données – Phase 1 et Phase 2

Chaque partie reste responsable du respect des lois sur la protection des données applicables à ses propres activités de traitement et à sa propre juridiction et doit informer iLost par écrit de tout ajout ou modification important apporté à ce qui précède.

Aperçu visuel du flux

Vous trouverez ci-dessous un diagramme illustrant le flux complet des données entre la phase 1 et la phase 2, y compris les rôles de l'organisation et de l'utilisateur, ainsi que la transition des responsabilités du responsable du traitement.

Diagramme du flux de données des phases 1 et 2