Conditions Générales de Service
Addendum sur le traitement des données
Politique de Confidentialité
Liste des sous-traitants
Accord de Niveau de Service
Politique d'assistance
Politique d'Utilisation Acceptable
Avis sur les Cookies
Avis CCPA
PDPL Notice
Avis PIPL
Évaluation de l'Impact du Transfert de Données
Conditions d'utilisation du site web
Politique d'éthique commerciale
Politique de Verrouillage de Compte
Demande d'Accès aux Données
Accord de divulgation des vulnérabilités
Déclaration de Travail
Conditions d'Auto-Gestion

Liste des sous-traitants

Ideanote fait appel à certains sous-traitants pour faciliter la prestation de ses services. Un sous-traitant est un processeur de données tiers engagé par Ideanote qui accepte de recevoir des données personnelles d'Ideanote destinées à être traitées (i) au nom des clients d'Ideanote ; (ii) conformément aux instructions du client communiquées par Ideanote ; et (iii) conformément aux termes d'un contrat écrit entre Ideanote et les sous-traitants.

Ideanote impose à chaque sous-traitant des conditions de protection des données concernant leurs contrôles de sécurité et les lois applicables pour la protection des données personnelles. Des informations supplémentaires relatives aux mesures de sécurité des sous-traitants sont disponibles via les liens externes ci-dessous.

Lorsque l'engagement d'un sous-traitant nécessite le transfert transfrontalier de données personnelles, Ideanote a effectué des évaluations d'impact de transfert pour un tel transfert de données.

Ideanote tient à jour une liste des noms et emplacements de tous les sous-traitants ci-dessous.

Durée du traitement : Pour chaque sous-traitant ci-dessous, le traitement des données personnelles aura lieu pendant la durée d'utilisation continue d'Ideanote par le client et pendant les périodes de rétention définies dans l'accord du client avec Ideanote.

Accords de traitement des données

Nous avons mis en place des Accords de Traitement des Données écrits (« DPA ») avec tous nos sous-traitants. Le DPA est un contrat entre un contrôleur de données et un processeur de données, et couvre les éléments requis en vertu de l'Art. 28 du RGPD. Cela inclut les rôles et responsabilités des parties lorsque des données personnelles sont traitées.

Conformément au Règlement Général sur la Protection des Données (RGPD), des clauses contractuelles garantissant des sauvegardes appropriées en matière de protection des données peuvent être utilisées comme base pour les transferts de données de l'UE vers des pays tiers. Cela inclut les clauses contractuelles types – appelées clauses contractuelles standard (« SCC ») – qui ont été « pré-approuvées » par la Commission européenne. Tous nos sous-traitants en dehors de l'UE ont des SCC en place.

Sous-traitants tiers

Ideanote collabore avec d'autres tiers pour fournir des fonctions ou fonctionnalités spécifiques au sein du Service. Ces fournisseurs auront accès aux informations personnelles pertinentes (de manière identifiable et anonyme) afin de fournir leurs fonctions respectives. L'utilisation des informations est limitée à des fins spécifiques.

Pertinent pour les utilisateurs finaux

Les sous-traitants suivants sont utilisés pour fournir le Service Ideanote et font partie de la chaîne de traitement des données sensibles, personnelles et autres des utilisateurs finaux.

Google Cloud

Versions : Standard, Dédié, Résidence des données

Fonction : Infrastructure de serveur

Données personnelles : IP de l'utilisateur final, URL de l'utilisateur final, Référent de l'utilisateur final, Navigateur de l'utilisateur final, Appareil de l'utilisateur final, Événements de l'utilisateur final, Paramètres de l'utilisateur final

Données sensibles : Contenu du client

Données pseudonymisées : ID de l'utilisateur final

Autres données : Sous-domaine du client, E-mail de l'entreprise cliente, Nom du client, E-mail du client, Paramètres du client, Événements

Mesures du fournisseur : Infrastructure sécurisée, Chiffrement au repos, Chiffrement en transit, Conformité et certifications, Confidentialité, Blog

Certifications : ISO27001/17/18, SOC1/2/3, PCI DSS, HIPAA

Mesures additionnelles : Ideanote héberge exclusivement son Service sur les serveurs Google Cloud (dans l'UE ou d'autres emplacements, selon les paramètres de résidence des données), où il est chiffré au repos. Les sauvegardes sont également effectuées sur les serveurs Google Cloud au même emplacement, de sorte que vos données restent stockées à cet emplacement.

Rétention : Ideanote conserve les données sur les espaces de travail des clients jusqu'à ce qu'il soit demandé de les supprimer ou si un espace de travail est inactif pendant plus d'un an. Le client a la possibilité de supprimer du Contenu et des utilisateurs finaux individuellement et en masse, ainsi que de supprimer toutes les données de son espace de travail (conformément au RGPD).

Entité : Google Inc.

Localisation des données : Dépend des paramètres de résidence des données de l'espace de travail (par ex. UE, États-Unis, CA, SA)

Base légale : DPA (SCC)

SendGrid

Versions : Standard, Dédié, Résidence des données (UE, États-Unis, mais pas CA, AE)

Fonction : Infrastructure d'e-mail

Données personnelles : Adresses e-mail de l'utilisateur final, Noms de l'utilisateur final

Données sensibles : Aucune

Autres données : Contenu des e-mails

Mesures du fournisseur : Mesures de sécurité, RGPD

Certifications : SOC2 Type II

Mesures additionnelles : Ideanote applique un chiffrement de bout en bout TLS 1.1. complet en transit pour tous les e-mails.

Rétention : Les fournisseurs d'e-mails SendGrid conservent l'activité des messages (tels que les ouvertures et les clics) pendant un maximum de 90 jours. Les statistiques d'envoi agrégées et les listes de suppression (rejets, désabonnements) ainsi que les rapports de spam sont stockés indéfiniment.

Entité : Twilio Inc.

Localisation des données : UE ou États-Unis (selon les paramètres de résidence des données de l'espace de travail)

Base légale : DPA (SCC)

Fournisseurs d'IA facultatifs

Ideanote collabore avec un fournisseur de LLM tiers pour des fonctionnalités basées sur l'IA. L'utilisation des informations est limitée à des fins spécifiques. Vous pouvez les désactiver via les paramètres d'IA de l'espace de travail.

Versions : Standard, Dédié, Résidence des données

Fonction : IA générative

Données personnelles : Aucune

Données sensibles : Aucune

Autres données : Contenu de l'idée

Mesures du fournisseur : Mesures de sécurité

Certifications : SOC2 Type II

Mesures additionnelles : Ideanote applique un indicateur de non-journalisation et aucune révision humaine. Le contenu n'est pas utilisé pour entraîner leur IA (source). Vous pouvez choisir de ne pas utiliser les fonctionnalités d'IA d'Ideanote si vous souhaitez éviter que des données ne soient envoyées à OpenAI.

Rétention : Aucune. L'indicateur est défini pour désactiver la rétention des journaux.

Entité : Microsoft Inc.

Localisation des données : Dépend des paramètres de résidence des données de l'espace de travail (par ex. UE, États-Unis, CA, SA)

Base légale : Pas de données personnelles

Analytique facultative

Ideanote collabore avec un fournisseur d'analyse tiers pour analyser l'utilisation et améliorer le Service. L'utilisation des informations est limitée à des fins spécifiques. Vous pouvez les désactiver via les paramètres de l'espace de travail sous « Partager les données d'utilisation ».

PostHog

Versions : Standard

Fonction : Analyse de produit

Données personnelles : Adresses e-mail de l'utilisateur final, Données de service de l'utilisateur final

Données sensibles : Aucune

Mesures du fournisseur : Confidentialité, Sécurité

Certifications : SOC2 Type II

Mesures additionnelles : PostHog est activé par défaut pour la collecte de données d'utilisation anonymisées afin d'améliorer la fiabilité et les performances de la plateforme. Les clients peuvent se désinscrire dans les paramètres de leur espace de travail. Si désactivé, PostHog n'est pas chargé et aucune donnée n'est collectée.

Rétention : Les données sont conservées conformément à la Politique de confidentialité de PostHog et sont supprimées ou anonymisées lorsqu'elles ne sont plus nécessaires.

Entité : PostHog Inc.

Localisation des données : Union européenne

Base légale : DPA (Accord de traitement des données)

Pertinent pour les clients

Les sous-traitants suivants ne sont utilisés qu'en relation avec les données directement liées au client qui s'est inscrit à un espace de travail Ideanote et aux propriétaires d'espace de travail invités à des fins de facturation - et non avec d'autres utilisateurs finaux invités à collaborer sur la plateforme.

Stripe

Fonction : Traitement des paiements et des cartes de crédit

Données sensibles : Détails de la carte de crédit du client

Données personnelles : E-mail de contact du client, Nom de contact du client, IP de contact du client, Adresse du client

Autres données : Nom de l'entreprise cliente, Sous-domaine du client, Abonnement du client, Nom de l'entreprise cliente

Mesures du fournisseur : Centre de sécurité

Certifications : PCI Service Provider Level 1, PCI DSS

Mesures additionnelles : Ideanote utilise Stripe pour les services liés au traitement des paiements pour notre abonnement et notre facturation. L'utilisation des informations est limitée à cette fin spécifique. Stripe est conforme PCI et Ideanote ne gère ni ne stocke les informations de carte de crédit.

Rétention : Ideanote conserve les enregistrements de données de facturation pendant 10 ans maximum pour des raisons de conformité, cela n'inclut pas les données personnelles. Les données de carte de crédit peuvent être supprimées par le client dans l'interface Ideanote.

Entité : Stripe Inc.

Localisation des données : États-Unis

Base légale : DPA (SCC)

G-Suite

Fonction : Suite bureautique pour la communication.

Données sensibles : Aucune, sauf si partagées avec Ideanote par le client dans le cadre d'une demande client (par ex. Exportation de données).

Données personnelles : Aucune, sauf si partagées avec Ideanote par le client dans le cadre d'une demande client (par ex. Exportation de données).

Autres données : Nom de l'entreprise, Demandes des clients

Mesures du fournisseur : Infrastructure sécurisée, Chiffrement au repos, Chiffrement en transit, Conformité et certifications, Confidentialité

Certifications : ISO27001/17/18, SOC1/2/3, PCI DSS, HIPAA

Mesures additionnelles : La communication interne ne contient pas de données personnelles, à l'exception du support demandé par le client en relation avec une demande de support. Les traces des données clients sont supprimées dès que possible. L'accès est sécurisé via le SSO et restreint sur la base du besoin d'en connaître.

Rétention : Les données sensibles et personnelles relatives aux demandes de support client sont supprimées dans les 72 heures suivant la complétion des demandes client.

Entité : Google Inc.

Localisation des données : États-Unis

Base légale : DPA (SCC)

Slack

Fonction : Communication interne

Données sensibles : Aucune, sauf si partagées avec Ideanote par le client dans le cadre d'une demande client (par ex. Exportation de données)

Données personnelles : Aucune, sauf si partagées avec Ideanote par le client dans le cadre d'une demande client (par ex. Exportation de données)

Autres données : Nom de l'entreprise, Demandes des clients

Mesures du fournisseur : Infrastructure sécurisée, Chiffrement au repos, Chiffrement en transit, Conformité et certifications, Confidentialité

Certifications : ISO27001/17/18, SOC2 Type II, SOC3, CSA, FedRamp, HIPAA

Mesures additionnelles : La communication interne ne contient pas de données personnelles, à l'exception du support demandé par le client en relation avec une demande de support. Les traces des données clients sont supprimées dès que possible. L'accès est sécurisé via le SSO et restreint sur la base du besoin d'en connaître.

Rétention : Les données sensibles et personnelles relatives aux demandes de support client sont supprimées dans les 72 heures suivant la complétion des demandes client.

Entité : Slack Inc.

Localisation des données : États-Unis

Base légale : DPA (SCC)

Intercom

Fonction : Intégration client, support et sensibilisation.

Données sensibles : Aucune

Données personnelles : E-mail de contact du client, Nom de contact du client

Données pseudonymisées : ID client

Autres données : Sous-domaine client, Nom de l'entreprise cliente, Comptes d'activité agrégés

Mesures du fournisseur : Confidentialité et sécurité

Certifications : Certifié SOC2

Mesures additionnelles : Aucune

Rétention : Les données des contacts inactifs sont supprimées après 3 ans.

Entité : Intercom Inc.

Localisation des données : UE, États-Unis

Base légale : DPA (SCC)

Zapier

Fonction : Automatisation des flux de travail

Données sensibles : Aucune

Données personnelles : E-mail de contact du client, Nom de contact du client

Données pseudonymisées : ID client

Autres données : Sous-domaine client, Nom de l'entreprise cliente, Comptes d'activité agrégés

Mesures du fournisseur : Sécurité, Confidentialité

Certifications : Certifié SOC2

Mesures additionnelles : Aucune

Rétention : Les journaux sont supprimés après 70 jours

Entité : Zapier Inc.

Localisation des données : États-Unis

Base légale : DPA (SCC)

Pipedrive

Fonction : CRM de vente et sensibilisation

Données sensibles : Aucune

Données personnelles : E-mail de contact du client, Nom de contact du client

Données pseudonymisées : ID client

Autres données : Sous-domaine client, Nom de l'entreprise cliente, Comptes d'activité agrégés

Mesures du fournisseur : Confidentialité et sécurité

Certifications : Certifié SOC2

Mesures additionnelles :  Utilisé uniquement pour quelques leads et clients sélectionnés.

Rétention : Les données des contacts inactifs sont supprimées après 3 ans.

Entité : Pipedrive Inc.

Localisation des données : UE, États-Unis

Base légale : DPA (SCC)

Dock

Fonction : Intégration client

Données sensibles : Aucune

Données personnelles : E-mail de contact du client, Nom de contact du client

Données pseudonymisées : ID client

Autres données : Sous-domaine client, Nom de l'entreprise cliente, Comptes d'activité agrégés

Mesures du fournisseur : Confidentialité et sécurité

Certifications : Conforme SOC2

Mesures additionnelles : Utilisé uniquement pour quelques leads et clients sélectionnés.

Rétention : Les données des contacts inactifs sont supprimées après 3 ans.

Entité : Dock Labs, Inc.

Localisation des données : États-Unis

Base légale : DPA (SCC)

Changements des sous-traitants

Nos besoins commerciaux peuvent changer de temps à autre. Par exemple, nous pourrions retirer un sous-traitant pour consolider et minimiser notre utilisation de sous-traitants. De même, nous pourrions ajouter un sous-traitant si nous estimons que cela améliorera notre capacité à fournir nos Services. Avant d'engager des sous-traitants, nous effectuons une diligence raisonnable, y compris une analyse de sécurité et juridique. Nous n'engageons un sous-traitant que si notre qualité, notre sécurité et les normes du RGPD sont respectées.

Les changements de sous-traitants sont régis par le DPA que nous avons mis en place avec vous.