Politique de confidentialité
Cadic Services est l’éditeur de la solution de la solution logicielle nommée « Cadic Intégrale ».
Le siège social de Cadic Services est situé 146 rue Montmartre 75002 Paris, France. Cadic Services est enregistré au registre du commerce et des sociétés sous le numéro SIREN 520 656 174.
Dans ce qui suit, nous emploierons souvent «Cadic» pour désigner la société Cadic Services, car c’est le nom qui est connu des utilisateurs.
Cadic exploite plusieurs sites Web, dont les suivants :
- Service de Support : clients.cadic-services.com
- Support des Projets : projets.clientcadic.net
- Société: www.cadic-services.
com - Documentation : documentation.cadic-
services.com
La politique de Cadic respecte la confidentialité des informations que nous pouvons être amenés à collecter dans le cadre de l’exploitation de nos sites Web et de nos applications. Cadic s’engage, dans le cadre de ses activités et conformément à la législation en vigueur en France et en Europe, à assurer la protection, la confidentialité et la sécurité des données à caractère personnel des utilisateurs de ses services, ainsi qu’à respecter leur vie privée.
Cadic accorde une importance particulière au respect de la vie privée des Utilisateurs et de la confidentialité de leurs données personnelles, et s’engage ainsi à traiter les données dans le respect des lois et réglementations applicables, et notamment la Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (ci-après la “Loi Informatique et Liberté”), et le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après le “RGPD”).
La présente politique de confidentialité, mise en place par Cadic Services, a pour but de fournir aux utilisateurs une information synthétique et globale sur les traitements de données à caractère personnel opérés par le logicle Cadic Intégrale Zéphyr
Définitions
Donnée à caractère personnel : constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou identifiable, c’est-à-dire qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres.
Traitement de données à caractère personnel : constitue un traitement de données à caractère personnel toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction.
Cookie : un cookie est une information déposée sur le disque dur d’un internaute par le serveur du site qu’il visite. Il contient plusieurs données : le nom du serveur qui l’a déposé, un identifiant sous forme de numéro unique, éventuellement une date d’expiration. Ces informations sont parfois stockées sur l’ordinateur dans un simple fichier texte auquel un serveur accède pour lire et enregistrer des informations.
Administrateur documentaire : une ou plusieurs personnes physiques formées par Cadic à l’administration du produit Cadic Intégrale tel que livré chez le client. Un administrateur documentaire Cadic dispose de toutes les autorisations et de toutes les informations nécessaires l’administration de l’application et notamment dans ses aspects relatifs à la collecte d’informations personnelles.
Notice documentaire : une notice est en ensemble de données décrivant une unité documentaire (un document, un livre, un article de presse, un film). La notice documentaire comprend des données structurées (titre, auteur, mots clés etc.) et peut contenir des données non structurées (texte intégral des documents liés). Les deux types de données sont stockés dans des index ainsi que dans des champs d’une table (dans un SGBD donc).
Responsable de traitement
En tant que responsable de traitement qui consiste à mettre à disposition de ses clients un système de gestion informatisée d’informations documentaires en ligne (en mode S.a.a.S. ou OnPremise), Cadic Services, l’éditeur de Cadic Intégrale, respecte l’ensemble des lois et règlements relatifs à la protection des données à caractère personnel en vigueur dans les pays où elle exerce ses activités, incluant notamment mais non limitativement :
- à compter du 25 mai 2018, le règlement européen 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du Traitement des Données à Caractère Personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données, souvent appelé RGPD) ;
- la loi française n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés et ses évolutions.
Finalités
La collecte des données sur les sites web de Cadic Service et dans le produit Cadic Intégrale poursuit les objectifs suivants :
- Mise en œuvre des services documentaires Cadic Intégrale avec prise en compte des droits d’accès ;
- Assistance des clients ;
- Études et analyses de l’utilisation des services, notamment à des fins d’améliorations des sites et services.
- Réutilisation au sein du logiciel des informations collectées afin de permettre certains services : historique de recherches, profils par exemple
- Cadic Services, en tant que sous-traitant, ne peut pas déterminer les finalités des traitements de données personnelles qui peuvent se trouver contenue dans les documents déposés par ses clients.
Périmètre des données collectées
Données de la fiche utilisateur Cadic Intégrale
Ces données sont nécessaires pour que les utilisateurs puissent se connecter à l’application et utiliser ses services.
Ces données sont soit créées par les administrateurs documentaires sur la base d’informations communiquées par les utilisateurs, soit récupérées d’annuaires d’entreprise (LDAP par exemple).
Ces données sont stockées dans la table des utilisateurs, nommée ILS_LEC. Cette table est figurée par un index Cadic Intégral et elle est aussi entreposée dans une base Mysql. Les données nécessaires de cette table sont les suivantes :
- LEC_NUM : numéro unique identifiant un utilisateur.
- LEC_LOGIN : identifiant unique utilisateurs.
- LEC_EMAIL : adresse mail de l’utilisateur (nécessaire pour les notifications par mail)
- LEC_NOM : nom et prénom de l’utilisateur
- LEC_CATEG_PORTAIL : groupe fonctionnel (nécessaire pour filtrer les services)
D’autres données sont renseignables mais elles ne sont pas strictement nécessaires fonctionnellement (liste non exhaustive):
- LEC_ADRESSE, LEC_VILLE, LEC_CODE_POSTAL : pour les notifications papier
- LEC_TEL : numéro de téléphone
- LEC_PHOTO : photo d’identité
- LEC_PASSE : mot de passe crypté. Uniquement nécessaire si aucun annuaire d’entreprise n’est utilisé. Si un annuaire est utilisé aucun mot de passe n’est stocké dans l’application Cadic Intégrale.
Données de connexions, de téléchargements et de navigation
Ces données sont nécessaires pour tracer les événements de connexion de téléchargements de documents mais aussi pour collecter les informations de recherches et consultations dans les différentes « vues » Cadic Intégrale.
Ces données sont collectées automatiquement par l’application. L’administrateur documentaire peut à tout moment activer ou désactiver ces collectes. Les informations recueillies ne contiennent que le numéro de l’utilisateur sans information de nom ou de mail.
Ces données sont stockées dans la table des traces, nommée ILS_LOG. Cette table est figurée par un index Cadic Intégral et elle est aussi entreposée dans une base Mysql. Les données principales de cette table sont les suivantes :
- LOG_DATE : date de l’action tracée
- LOG_IP : adresse IP du poste utilisateur
- LOG_CATEGORIE : groupe fonctionnel de l’utilisateur
- LOG_CENTRE : site de l’utilisateur
- LOG_CRITERES : critères de recherche utilisés pour accéder aux informations
- LOG_VUE : interface utilisée
- LOG_PAGE et LOG_TYPE_PAGE : type d’interface utilisée (vue de recherche, connexion, téléchargement)
- LOG_POST_VARS : ensemble des données postées pour la recherches
- LOG_SESSION : identifiant de session utilisateur (afin de permettre de ne lui présenter que ses actions faites pendant sa session en cours) ;
Les données collectées dans cette table sont anonymes et elles ne servent que pour des services fonctionnels (historique de recherches) et à des fins statistiques.
Chaque utilisateur peut faire une demande de purge à son administrateur documentaire.
Marqueurs de modifications de données
Dans certaines « vues » de production Cadic Intégrale utilise des marqueurs de création et de modification. Ainsi le nom du producteur est-il conservé dans les notices documentaires qu’il crée ou modifie.
Transaction de Bibliothéconomie et Gestion des Archives
Ces deux modules nécessitent de stocker des transactions utilisateurs. C’est le cas notamment des prêts et retours de prêts dans le module BiblioWeb.
Les transactions sont réparties sur plusieurs tables : la table des exemplaires (ILS_EXP, ILS_EXPP), et la table des transactions (ILS_TRS) dans le cas des prêts et réservations.
Diffusion sélective d’informations, push de données personnalisées
L’application Cadic Intégrale permet à ses utilisateurs de se créer des profils documentaires basés sur des recherches dans le fonds. Il existe des profils publics et des profils privés. Les informations collectées sont déposées dans la table DSI_PROF stockée en index et parfois en table Mysql.
Les profils contiennent des informations personnelles comme le nom et l’email de l’utilisateur. Chaque utilisateur est en capacité à tout moment de :
se désabonner des profils publics
supprimer ses profils personnels
Journaux et fichiers de logs Cadic Intégrale
A des fins de qualité et de monitoring de l’application, Cadic Intégrale trace un certain nombre d’événements dans des fichiers de logs.
Ces différents logs sont tous activables ou désactivables par l’administrateur documentaire. Ces fichiers sont stockés pour la plupart, hors de l’application Cadic et ils ne sont pas accessibles aux utilisateurs. Ces fichiers peuvent contenir des informations personnelles (par exemple pour les traces d’entrée en session). Ces informations ne sont jamais communiquées. Elles sont présentes uniquement à des fins de maintenance et de supervision de l’application.
Un utilitaire accessible aux administrateurs documentaires permet de purger ces différents fichiers de traces.
Trace des actions d’écriture dans les index et le SGBD
Parmi les traces activables et désactivables par l’administrateur documentaire, le cas des traces d’écriture est un cas un peu particulier. Cette fonctionnalité permet d’historiser de manière chronologique toutes les insertions, modifications, suppressions de données, d’index et de tables.
Ces traces ne sont pas obligatoires, elles sont cependant fortement recommandées car elles permettent entre autre une reprise sur panne plus rapide (restauration des sauvegardes de la veille et relance des écritures du jour). De part leur nature ces traces contiennent parfois des données personnelles (mail, nom…).
Ces données ne sont jamais exploitées en dehors de la reprise sur incident ; elles peuvent elles aussi être désactivées et purgées par l’administrateur documentaire.
Cookies et stockage local sur le navigateur du poste de travail
Cadic Intégrale utilise des cookies ainsi que le stockage local (depuis la version Alizé). L’utilisation des cookies est strictement nécessaire au fonctionnement de notre produit, cependant il ne s’agit que de cookies techniques ne conservant aucune donnée privée.
Refuser l’utilisation des cookies rendra notre application inopérante.
Fichiers temporaires personnels stockés sur le serveur
Cadic Intégrale utilise des répertoires propres à chaque utilisateur. Ces répertoires sont stockés sur le serveur, dans l’application Cadic. Ils servent à entreposer des fichiers temporaires contenant par exemple des impressions pdf, des exports de données, des sélections de notices.
Ces données ne sont jamais utilisées en dehors du service personnalisé à chaque utilisateur. Elles peuvent être purgées sur demande ou de manière périodique.
Données contenues dans les documents déposés dans Cadic Intégrale
Ces données relèvent de la responsabilité des clients Cadic. A tout moment les administrateurs documentaires peuvent modifier ces documents et éventuellement les retirer du système.
Les administrateurs documentaires choisissent aussi le mode d’indexation des documents insérés dans le système :
- Aucune indexation des documents
- Indexation en texte intégral d’un document principal, aucune indexation des documents secondaires
- Indexation en texte intégral du document principal ET des documents secondaires
Ces choix sont réversibles et à la portée des administrateurs documentaires.
Lorsqu’un document est indexé en texte intégral, le contenu du document devient accessible en recherche. Le processus conduisant à la consultation du document et à son éventuel téléchargement est soumis à contrôle des droits d’accès (mise en confrontation du groupe fonctionnel et du niveau d’habilitation de l’utilisateur face aux contraintes indiquées pour le document);
Données contenues dans les médias déposés dans Cadic Intégrale
Cadic Intégrale permet l’indexation des données présentes dans les documents textuels (voir paragraphe précédent) mais aussi dans les documents multimédias comme les images, les enregistrements sonores et les vidéos. Dans le cadre de cette indexation Cadic Intégrale dispose de mécanismes permettant de récupérer l’ensemble des méta données présentes dans les documents comme :
- les propriétés des documents bureautiques : créateur, date, titre, mots clés …
- les données techniques (Exif pour les images): Codec, sous titres, séquences, orientation, couleur …
- données de localisation GPS
- les données IPTC : titre, légende, auteur, mots clés…
Ces données peuvent contenir des informations personnelles (des auteurs notamment). La récupération et l’utilisation de ces informations relève de la responsabilité du client.
Leur récupération et leur versement dans les index Cadic Intégrale rend ces données accessibles en recherche.
Données traitées pour la mise en oeuvre du service Cadic Intégrale
Aux fins d’utiliser le service Cadic, le client qui a souscrit un abonnement (ou qui héberge dans ses murs notre application) crée des accès au service. Les données traitées pour créer et gérer ces accès comprennent un identifiant, un mot de passe (non systématique) et une adresse de courriel. L’adresse de courriel est nécessaire à l’utilisation du service qui requiert par exemple l’envoi de notifications ou de liens par courriel.
Des données de connexion sont aussi collectée et traitées, notamment l’adresse IP utilisée pour la connexion : cela est nécessaire pour pouvoir vous assister et pour satisfaire à nos contraintes légales, notamment en ce qui concerne la traçabilité des accès et des usages.
Lorsque vous utilisez la fonction de partage de document par email (envois de paniers par ex), Cadic collecte l’adresse email du destinataire avec lequel le document est partagé. Cela est requis pour pouvoir lui envoyer le lien de partage.
Toutes les actions que vous faites sur les documents et les méta données sont journalisées : dépôt, modifications, suppressions, indexations , partage (y compris l’adresse du destinataire), etc. Cela est requis pour la bonne marche du service, dont une des fonctionnalités est de permettre de tracer et de retrouver les actions effectuées sur les notices et documents.
Localisation des traitements
Les traitements que Cadic est susceptible d’effectuer sur les données à caractère personnel sont effectués dans des centres de données hébergées en France, dans ses locaux (Paris, France), et chez ses prestataires en France. Les traitements directement sous le contrôle de Cadic sont donc tous effectués en France.
Concernant les clients utilisant la solution Cadic Intégrale installée dans leurs murs ; tous les traitements sont réalisés in situ, donc sur le serveur du client.
Si un prestataire, fournisseur ou sous-traitant de Cadic effectue des traitements dans un pays qui n’est pas dans l’Union Européenne ni dans un pays de la liste des pays reconnus comme adéquats tout en ayant donné les garanties nécessaires (par exemple en ayant adhéré à des programmes tels Privacy Shield, Safe Harbor, ou en ayant mis en place des Règles d’Entreprises Contraignantes (BCR), etc.), les relations contractuelles entre Cadic et ce tiers imposent la mise en place de garanties appropriées. A ce jour Cadic ne travaille pas avec de tels tiers.
Cadic dispose d’une filiale marocaine nommée « Cadic Maroc » ; cette filiale ne traite que des clients marocains ou africains. Cadic Maroc et Cadic Services (France) gèrent de manière totalement indépendantes leurs données.
Destinataires des données traitées pour la mise en œuvre du service
Cadic peut éventuellement divulguer les données personnelles que vous avez renseignées ou qui ont été renseignées par le souscripteur de l’abonnement au service, à ses employés, prestataires ou organismes affiliés qui
- (i) ont besoin d’avoir connaissance de ces informations afin de les traiter au nom de Cadic ou de fournir des services disponibles sur les sites web de Cadic, et
- (ii) qui ont convenu de ne pas les divulguer à des tiers.
Cadic ne louera ni ne vendra ni ne transférera d’aucune façon à des tiers vos données personnelles (notamment votre adresse email de connexion). En dehors de ses employés, prestataires, comme indiqué ci-dessus, Cadic ne divulgue des données personnelles que dans le cas d’une assignation à comparaître, d’une ordonnance du tribunal ou de tout autre ordre gouvernemental, ou lorsque Cadic estime que cette divulgation est nécessaire pour protéger les biens ou les droits de Cadic, d’un tiers ou du grand public.
Si vous êtes un utilisateur enregistré sur un site Cadic et que vous avez fourni votre adresse e-mail, Cadic peut occasionnellement vous envoyer un e-mail pour vous annoncer de nouvelles fonctionnalités, vous demander votre avis, ou tout simplement vous tenir informé des nouveautés de Cadic et de ses produits. Cadic prend toutes les mesures raisonnables et nécessaires pour protéger vos données contre les accès non autorisés, l’utilisation, la modification ou la destruction de données personnelles (ou potentiellement personnelles).
Transfert à des tiers des données contenues dans vos documents
Les données que vous renseignez ou qui sont contenues dans les documents que vous déposez dans Cadic ne sont pas transmises à des tiers du fait de Cadic sauf avec votre consentement exprès. De fait, pour que de telles données soient transmises à des tiers, il faut que vous l’ayez décidé et qu’un tel transfert ait été mis en place par vous-même et les équipes de Cadic ou de ses partenaires. Cela peut notamment consister en des transferts vers des services d’archivage en ligne, vers des organismes de fédération d’indexation (SUDOC), vers des opérateurs de téléimpression ou de télépostage, vers un coffre-fort électronique, vers des prestataires de certification de documents, etc. Ces transferts sont optionnels et toujours explicites et c’est vous qui en décidez. Quand de tels transferts existent, vos registres de traitement et vos mentions d’information aux personnes concernées doivent les mentionner. Les tiers qui pourraient vous être présentés par Cadic dans le cadre de ses offres optionnelles et de ses prestations additionnelles seront sélectionnés notamment en fonction des garanties qu’ils offrent en matière de protection des données à caractère personnel.
Transfert de données vers un pays tiers non membre de l’Union Européenne
Ainsi qu’il est dit plus haut, les données que vous renseignez ou qui sont contenues dans les documents que vous déposez dans Cadic ne sont pas transmises à des tiers. Si un transfert hors de l’UE doit être mis en place, Cadic et vous-mêmes devez vous assurer que ce transfert est encadré par l’une des garanties offertes par la Commission Européenne – notamment par des clauses contractuelles types ou par le Privacy Shield pour les transferts vers les Etats-Unis, par des règles d’entreprise contraignantes (BCR) ou par tout autre mesure approprié et reconnue. Les tiers qui pourraient vous être présentés par Cadic dans le cadre de ses offres optionnelles et de ses prestations additionnelles seront sélectionnés notamment en fonction des garanties qu’ils offrent en matière de protection des données à caractère personnel.
Prospection commerciale
Si vous êtes un utilisateur final enregistré sur un site Cadic et que vous avez fourni votre adresse e-mail ou qu’elle a été fournie par le souscripteur de l’abonnement, Cadic peut occasionnellement vous envoyer un e-mail pour vous annoncer de nouvelles fonctionnalités, vous demander votre avis ou tout simplement vous tenir informé des nouveautés de Cadic et ses produits.
Modalités d’exercice des droits d’accès, de rectification et d’opposition
En tant qu’utilisateur de nos sites web et de nos applications, vous avez le droit :
- De demander à ce que vos données, notamment utilisées pour communiquer avec vous (adresse de courriel, téléphone, etc.), soient effacées de nos fichiers.
- De demander à ce que vos données traitées pour rendre le service soient effacées de nos fichiers. C’est ce qu’on appelle le droit à l’oubli. Si vous exercez votre droit à l’oubli, et que vous avez un accès à Cadic Intégrale, cet accès deviendra impossible puisque vos coordonnées auront été effacée de nos fichiers.
- De vous opposer à la collecte et au traitement de données vous concernant lorsqu’elles ne sont pas strictement nécessaires. Votre adresse email, votre identifiant, votre nom nous sont nécessaires pour ouvrir votre accès à notre application, et nous avons besoin de votre email pour vous envoyer des informations, des courriels de confirmation ou d’activation, etc.
- D’accéder aux données collectées à votre sujet et de les récupérer sous un format électronique standard ;
- D’en obtenir la rectification ;
- De demander une limitation de leur traitement – en refusant par exemple toute utilisation à des fins de prospection.
Ces droits peuvent être exercés en adressant un courriel à l’adresse dpo@cadic.fr ou en nous contactant aux coordonnées disponibles sur notre site web www.cadic-services.com.
Sécurité des données
Cadic prend toutes les mesures raisonnables et nécessaires pour protéger les données traitées contre les accès non autorisés, l’utilisation, la modification ou la destruction de données personnelles (ou potentiellement personnelles). Nous avons comme souci constant de maintenir la sécurité des données et plus globalement de nos produits en les faisant régulièrement évoluer dans ce sens. Nous attirons l’attention de nos clients sur la nécessité de maintenir leurs versions de Cadic Intégrale à jour avec les dernières versions et ceci afin de profiter de toutes les nouvelles fonctionnalités mais aussi et peut être surtout de tous les dispositifs de protection.
Sous-traitance
Cadic fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en oeuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences de la réglementation européenne et garantisse la protection des droits de la personne concernée.
Traceurs et cookies
Un cookie est un petit fichier de texte et de chiffres qui est sauvegardé sur votre navigateur ou disque dur de votre ordinateur.
Nous utilisons plusieurs cookies dans l’application Cadic dont le principal est le cookie de session. Celui ci ne contient aucune donnée utilisateur, aucune information personnelle sensible.
Désactiver les cookies relève de la liberté individuelle mais cela est incompatible avec l’utilisation de nos produits.
Modifications de la politique de confidentialité
Bien que la plupart des changements soient susceptibles d’être mineurs, Cadic peut être amené à modifier sa politique de confidentialité, et ce, à sa seule discrétion. Cadic encourage les visiteurs de son site à vérifier fréquemment cette page afin d’y lire les éventuels changements concernant sa politique de confidentialité. L’utilisation d’un de nos sites ou d’une de nos applications après d’éventuels changements de politique de confidentialité constitue votre acceptation de ces changements.