BeamPulse et le RGPD

Version du 2 Avril 2019.

Le 25 mai 2018 le Règlement Général sur la Protection des Données (RGPD) est entré en vigueur. Le RGPD permet aux citoyens de l’Union Européenne d’exercer un meilleur contrôle de leurs données à caractère personnel, et assure une sécurité renforcée des données à travers l’Europe.

BeamPulse est en conformité avec le RGPD depuis le 25 mai 2018.

Du fait de ses activités, au sens du RGPD, BeamPulse est à la fois Responsable de traitement de données et Sous-traitant de données. Le présent document se décompose en conséquence en deux parties, qui correspondent respectivement à ces deux rôles.

 

Dans ce qui suit :

BeamPulse désigne la société BeamPulse SAS.

Client désigne le client de la société BeamPulse.

Prospect désigne un contact commercial de la société BeamPulse.

Utilisateur désigne une personne à qui le Client a donné accès à son compte BeamPulse (il s’agit des collaborateurs du Clients).

Visiteur désigne un internaute qui visite un des sites Web du Client.

  

I) BeamPulse en tant que Responsable de traitement de données

BeamPulse collecte des informations personnelles sur ses partenaires et ses salariés, en respect des recommandations de la CNIL et du RGPD. Ces données sont sous le contrôle du DPO de BeamPulse.

BeamPulse collecte les informations suivantes :

1) Clients de BeamPulse

  • Nom
  • Prénom
  • Email professionnel
  • Téléphone professionnel

2) Prospects de BeamPulse

  • Nom
  • Prénom
  • Email professionnel
  • Téléphone professionnel

3) Utilisateurs de la plateforme BeamPulse (employés des Clients ayant accès à la plateforme BeamPulse et Prospects bénéficiant d’un essai gratuit)

  • Nom
  • Prénom
  • Email professionnel
  • Téléphone professionnel
  • Rôles et droits de l’utilisateur

Owner : Gestion de sites, d’Utilisateurs et du compte

Admin : Gestion de sites et d’Utilisateurs

Project : Configuration et utilisation des sites

User : Simple accès Utilisateur aux sites

Restriction par site : voir uniquement les cartes de chaleur

Restriction par site : interdiction de lancer une campagne

  • Adresse IP de connexion des Utilisateurs (les collaborateurs du Client)

Pour des raisons de sécurité et de traçabilité, BeamPulse enregistre les adresses IP des connexions au DashBoard. Ces connexions sont réalisées par les Utilisateurs (les comptes Utilisateurs crées par le Client lui-même) et permettent de :

  • Tracer toutes les actions réalisées par les Utilisateurs (provenant d’une adresse IP donnée).
  • Restreindre l’accès depuis des adresses IP précises (par exemple une adresse IP appartenant au Client).

4) Droit à l’oubli

Les Clients peuvent détruire les comptes de leurs Utilisateurs à tout moment.

Les Prospects peuvent demander la modification de leurs informations, de leurs préférences de réception d’information en provenance de BeamPulse, ainsi que leur suppression des listes de diffusion.

 

II) BeamPulse en tant que Sous-Traitant de données

BeamPulse est une solution de marketing comportementale en ligne, en mode SaaS, qui offre les services suivants :

  • segmentation des internautes en temps-réel,
  • analyse du comportement des internautes,
  • déclenchement d’actions en temps-réel.

1) L’intégralité des services de BeamPulse est sous le contrôle total du Client de BeamPulse. Le Client peut activer, désactiver et configurer tous les services qu’il utilise de manière totalement autonome.

2) De manière générale BeamPulse ne réalise aucune collecte, ni aucun traitement, qui ne résulterait pas d’une directive explicite donnée par le Client (ou d’un des Utilisateurs désignés par le Client) au moyen de son tableau de bord d’administration accessible en ligne (le DashBoard).

3) Dans sa configuration initiale, la plateforme BeamPulse ne récolte et ne traite aucune donnée personnelle au sens du RGPD. Les données récoltées sont des données comportementales, anonymisées, ne permettant pas d’identifier un Visiteur donné.

4) Utilisation des cookies

BeamPulse utilise 1 seul cookie. Ce cookie contient une valeur aléatoire, comprise entre 0 et 999. La durée de vie de ce cookie est inférieure à 13 mois conformément à la recommandation de la CNIL. Ce cookie est déposé dans le navigateur du Visiteur.

5) Collecte, minimisation et anonymisation des données.

La société BeamPulse ne collecte, ne traite et n’enregistre que les données strictement nécessaires à la bonne exécution des services qu’elle commercialise.

A la demande explicite du Client, et seulement dans ce cas, BeamPulse peut collecter l’adresse IP des Visiteurs, et traiter cette adresse pour en déduire la géolocalisation (à l’échelle de la ville) et la météo (à l’échelle de la ville) lors des traitements de segmentation en temps-réel.

L’information est minimisée et ne sert qu’à rendre les services de géolocalisation et de météo. La collecte et l’anonymisation de l’adresse IP sont réalisées dans le navigateur du Visiteur et l’adresse IP complète (ou partielle) du Visiteur n’est jamais stockée sur les serveurs de BeamPulse.

Dans le cadre de sa politique de « Privacy by Design » BeamPulse applique ce qui suit :

  • L’anonymisation et la minimisation des données sont réalisées dans le navigateur du Visiteur. L’agrégation des données est réalisée sur les serveurs de BeamPulse.
  • le Client peut demander si l’adresse IP du Visiteur commence par 3 octets spécifiques, et la condition dira « oui » ou « non » (l’évaluation de la condition ignorera le dernier octet si le Client en fournit un). Typiquement, le Client peut utiliser cette condition pour exclure du trafic venant de sa propre société par exemple.
  • le Client peut demander si la localisation du Visiteur correspond à un pays, une région, ou une ville. Typiquement le Client peut utiliser cette condition pour inclure ou exclure du trafic en provenance d’un pays, région ou ville.
  • le Client peut obtenir la météo locale (au niveau de la ville du Visiteur). Les indications suivantes sont disponibles (tendance générale, température, vitesse du vent et pourcentage d’humidité). Typiquement cette condition est utilisée pour proposer un contenu en fonction de la météo.
  • Les données des champs de type « input » (ceux renseignés par les Visiteurs dans les formulaires) ne peuvent pas être capturées car BeamPulse utilise l’API de navigateur « MutationObserver interface » qui ne permet pas d’écouter ces champs input.
  • L’enregistreur de sessions utilise un algorithme de suppression des informations potentiellement confidentielles (celles qui sont spécifiques à une session donnée). Les textes concernés sont remplacés par des suites de lettres « X ». Si le Client considère que l’algorithme est trop stricte (qu’il supprime trop d’informations) il est possible d’inverser la logique de suppression en ne supprimant que le contenu des champs explicitement désignés par le Client comme contenant des informations devant être supprimées.

6) Traitement de données personnelles fournies par le Client

Le Client a la possibilité d’utiliser des Données Personnelles existantes dans son propre système d’information (CRM, DMP, TMS…) pour enrichir les conditions de segmentation de BeamPulse.

Dans ce cas, le Client contrôle à tout moment ces informations et s’engage à n’utiliser que des Données Personnelles autorisées par les Visiteurs du site du Client.

Les conditions de segmentation sont évaluées par du code JavaScript qui s’exécute dans le navigateur du Visiteur. Ce code JavaScript est généré par BeamPulse et correspond aux conditions de segmentation définies par le Client. Les éventuelles Données Personnelles sont transférées du système d’information du Client vers le navigateur du Visiteur, pour être traitées par le code JavaScript généré par BeamPulse. Il n’y a donc pas de transfert de Données Personnelles du système d’information du Client vers les serveurs de BeamPulse.

BeamPulse ne stocke jamais les Données Personnelles éventuellement utilisées par le Client pour la segmentation en temps-réel, et ne les communique en aucun cas à des tiers.

7) Droit à l’oubli

BeamPulse fournit à ses Clients une URL à rajouter dans les conditions d’utilisation du site Web.

Cette URL permet à un Visiteur du site Web de demander la désactivation des services BeamPulse sur son navigateur.

8) Respect de la directive DNT (Do not Track)

Par défaut BeamPulse respecte cette directive, et désactive ses services si cette directive est activée dans le navigateur du Visiteur.

Note : Il n’y a pas de consensus sur le respect de cette directive, et la majorité des services en ligne ne respectent pas cette directive. Le Client à la possibilité de demander explicitement à BeamPulse d’ignorer cette directive.

 

III) Mesures organisationnelles et techniques

  • Le DPO (Data Protection Officier) de BeamPulse peut être joint à dpo@beampulse.com
  • Tous les développements technologiques de BeamPulse s’inscrivent dans la logique de « Privacy by Design » : anonymisation et minimisation des données.
  • Notification en cas d’incident : en cas d’incident impactant les données, vous serez informés dans les plus brefs délais, conformément au RGPD. Le processus suivi par BeamPulse en cas d’incident de sécurité est documenté et disponible sur demande.
  • Localisation des serveurs : les serveurs utilisés par BeamPulse sont localisés en France.
  • Planification de la sécurité : BeamPulse met en place des mesures de sécurité qui tiennent compte de l’état de l’art et des obligations du RGPD.
  • Toutes les données statistiques – par ailleurs anonymes – sont conservées par défaut pendant 3 mois dans la plateforme BeamPulse.