La société O2Switch (ci-après « O2Switch ») attache une grande importance à la protection des données personnelles. La présente politique de confidentialité vise à préciser les droits et obligations d’O2Switch et de ses clients.
Dans le cadre de leurs relations contractuelles, O2Switch et ses clients responsables de traitement (ci-après dénommés conjointement « les Parties ») s’engagent à respecter la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (ci-après, « le RGPD»).

Chacune des Parties s’engage notamment, concernant les traitements de données à caractère personnel dont elle est responsable à respecter les droits des personnes concernées (notamment droit d’information, d’accès, de rectification et de suppression des données). Le Client, qui demeure seul responsable du choix du Service, s’assure que le Service présente les caractéristiques et conditions requises pour pouvoir procéder aux traitements de données à caractère personnel envisagés dans le cadre de l’utilisation du Service, compte-tenu de la règlementation en vigueur, notamment lorsque le Service est utilisé pour traiter des données sensibles (par exemple, données de santé). Lorsque O2Switch propose un Service destiné à permettre au Client de réaliser des traitements de données à caractère personnel soumis à des dispositions légales ou réglementaires spécifiques (par exemple, l’hébergement de données de santé), O2Switch communique au Client le périmètre de responsabilité de ce dernier, ainsi que les conditions dans lesquelles O2Switch se conforme auxdits standards ou réglementations.

1. Propriété des données et responsable du traitement
Le Client reste propriétaire des données qu’il traite au moyen des Services proposés par O2Switch. En applications des dispositions du RGPD, il demeure le seul responsable du traitement.

2. Localisation des données
Les Données Client sont localisées dans un ou plusieurs sites situés en France, sauf dispositions contraires stipulées dans la
documentation mise à disposition par O2Switch au titre des offres souscrites par le Client (ci-après le « Pays de localisation des données»). Dès lors que les Données Personnelles sont :
– collectées par le Client hors du Pays de localisation des données avant d’y être transférées au titre du Service, et/ou
– transférées par le Client, ou par O2Switch sur instruction du Client, hors du Pays de localisation des données, 

Il relève de la responsabilité du Client de s’assurer que la collecte, le traitement et/ou le transfert de Données Personnelles dans le Pays de localisation des données sont autorisés par les législations locales applicables ou à défaut et lorsque cela est légalement possible d’encadrer ces transferts par des outils juridiques adéquats. Lorsque le Pays de localisation des données est la France, O2Switch s’engage à ne pas transférer les sites où sont localisées les Données Client en dehors de la France sans l’accord préalable du Client.

Politique des Données Personnelles O2Switch – Version avril 2020 2

3. Obligation du Client responsable de traitement
Le Client doit communiquer clairement à O2Switch toute information utile quant aux finalités du traitement envisagé et prendre en compte toute observation pertinente de O2Switch tenue à une obligation de conseil dans le cadre de toute demande raisonnable.
En tant que responsable de traitement, le Client s’engage à :
1. fournir à O2Switch les données visées en annexe du Bon de Commande
2. documenter promptement par écrit, y compris sous forme électronique, toute instruction concernant le traitement des
données par O2Switch
3. veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le RGPD de la part de
O2Switch
4. superviser le traitement, y compris réaliser le cas échéant et à ses frais les audits et les inspections auprès de O2Switch .

4. Obligation du O2Switch, sous-traitant pour le compte du Client
En tant que sous-traitant, O2Switch s’engage à :
1. traiter les données uniquement pour la ou les seule(s) finalité(s) qui fait/font l’objet de la sous-traitance
2. traiter les données conformément aux instructions documentées du Client, responsable de traitement. Si O2Switch
considère qu’une instruction constitue une violation du RGPD ou de toute autre disposition du droit de l’Union ou du droit
des Etats membres relative à la protection des données, elle en informe immédiatement le Client. En outre, si O2Switch est
tenue de procéder à un transfert de données vers un pays tiers ou à une organisation internationale, en vertu du droit de
l’Union ou du droit de l’Etat membre auquel elle est soumise, O2Switch doit informer le responsable du traitement de cette
obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants
d’intérêt public
3. garantir la confidentialité des données à caractère personnel traitées dans le cadre du Contrat souscrit par le Client,
4. veiller à ce que les personnes autorisées à traiter les données à caractère personnel en vertu du Contrat souscrit par le Client :
– s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité
– reçoivent la formation nécessaire en matière de protection des données à caractère personnel

5. prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut

6. Sous-traitance
O2Switch peut faire appel à un autre sous-traitant (ci-après, « le sous-traitant ultérieur ») pour mener des activités de traitement spécifiques. Dans ce cas, il informe préalablement et par écrit le responsable de traitement de tout changement envisagé concernant l’ajout ou le remplacement d’autres sous-traitants. Cette information doit indiquer clairement les activités de traitement sous-traitées, l’identité et les coordonnées du sous-traitant et les dates du contrat de sous-traitance. Le responsable de traitement dispose d’un délai minimum de 7 (sept) jours ouvrés à compter de la date de réception de cette information pour présenter ses objections. Cette sous-traitance ne peut être effectuée que si le responsable de traitement n’a pas émis d’objection pendant le délai convenu.
Le sous-traitant ultérieur est tenu de respecter les obligations de la présente Politique des Données Personnelles pour le compte et selon les instructions du responsable de traitement. Il appartient au sous-traitant initial de s’assurer que le sous-traitant ultérieur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du règlement européen sur la protection des données. Si le sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, le sous-traitant initial demeure pleinement responsable devant le responsable de traitement de l’exécution par l’autre sous-traitant de ses obligations.

Politique des Données Personnelles O2Switch – Version avril 2020 3

7. Droit d’information des personnes concernées
Il appartient au responsable de traitement de fournir l’information aux personnes concernées par les opérations de traitement au moment de la collecte des données.

8. Exercice des droits des personnes
Dans la mesure du possible, O2Switch doit aider le responsable de traitement à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées : droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage). Lorsque les personnes concernées exercent auprès du sous-traitant des demandes d’exercice de leurs droits, le sous-traitant doit adresser ces demandes dès réception par courrier électronique à l’adresse dpo@o2switch.fr. Le Délégué à la Protection des Données (DPO) nommé par O2Switch est Maitre Alexandre Archambault, Avocat au Barreau de Paris.

9. Notification des violations de données à caractère personnel
O2Switch notifie au responsable de traitement toute violation de données à caractère personnel dans un délai maximum de 24 (vingtquatre) heures après en avoir pris connaissance et par courrier électronique. Cette notification est accompagnée de toute documentation utile afin de permettre au responsable de traitement, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente.

10. Aide du sous-traitant dans le cadre du respect par le responsable de traitement de ses obligations
O2Switch apporte son aide, dans la limite des moyens dont elle dispose, pour toute demande raisonnable du responsable de traitement pour la réalisation d’analyses d’impact relative à la protection des données. O2Switch apporte son aide, dans la limite des moyens dont elle dispose, pour toute demande raisonnable du responsable de traitement pour la réalisation de la consultation préalable de l’autorité de contrôle.

11. Mesures de sécurité
O2Switch s’engage à mettre en œuvre, lorsque cela est possible, les mesures appropriées de sécurité suivantes :
– la pseudonymisation et le chiffrement des données à caractère personnel ;
– les moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;
– les moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais
appropriés en cas d’incident physique ou technique;
– une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement 

O2Switch s’engage à mettre en œuvre les mesures de sécurité raisonnablement appropriées prévues par l’état de l’art tel que précisé par les recommandations de la CNIL et de l’ANSSI.

12. Sort des données
Au terme de la prestation de services relatifs au traitement de ces données, O2Switch s’engage, au choix des Parties :
– détruire toutes les données à caractère personnel ou
– à mettre gratuitement (dans la limite de 60 jours) à disposition du Client responsable de traitement sur un répertoire
informatique sécurisé accessible à distance sur authentification toutes les données à caractère personnel dans leur dernière
version hébergée (« dump), à l’exclusion de toute autre version antérieure, ou
– à mettre gratuitement (dans la limite de 60 jours à disposition du sous-traitant désigné par le Client responsable de traitement responsable de traitement sur un répertoire informatique sécurisé accessible à distance sur authentification les données à caractère personnel dans leur dernière version hébergée (« dump), à l’exclusion de toute autre version antérieure.

Politique des Données Personnelles O2Switch – Version avril 2020 4

Le renvoi doit s’accompagner de la destruction de toutes les copies existantes dans les systèmes d’information du sous-traitant. Une fois détruites, O2Switch justifiera par écrit, le cas échéant sous forme électronique, de la destruction.
Toute demande excédant ce périmètre (par exemple demande de fourniture de « snapshot » des données, conservation au-delà de 60 jours) sera susceptible de faire l’objet d’une facturation, après devis préalablement communiqué par O2Switch.

14. Registre des catégories d’activités de traitement
O2Switch déclare tenir par écrit un registre de toutes les catégories d’activités de traitement effectuées pour le compte du Client comprenant :
– le nom et les coordonnées du responsable de traitement pour le compte duquel il agit, des éventuels sous-traitants et, le cas échéant, du délégué à la protection des données;
– les catégories de traitements effectués pour le compte du responsable du traitement;
– le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y
compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article
49, paragraphe 1, deuxième alinéa du RGPD, les documents attestant de l’existence de garanties appropriées;
– dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles, y compris
entre autres, selon les besoins :
• la pseudonymisation et le chiffrement des données à caractère personnel;
• des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des
systèmes et des services de traitement;
• des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des
délais appropriés en cas d’incident physique ou technique;
• une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et
organisationnelles pour assurer la sécurité du traitement.

15. Documentation
O2Switch met à la disposition, le cas échéant sous forme électronique, du Client responsable de traitement la documentation
nécessaire pour démontrer le respect de toutes ses obligations et pour permettre la réalisation d’audits, y compris des inspections, par le responsable du traitement ou un autre auditeur qu’il a mandaté, et contribuer à ces audits.
O2Switch met en œuvre tout moyen et procédure raisonnablement appropriés pour garantir l’intégrité, la confidentialité et la sécurité des données objets du traitement. En particulier O2Switch s’interdit de céder ou de communiquer à des tiers les données traités par le Service.
O2Switch propose au Client une possibilité d’export / portabilité des données, selon des modalités précisées dans la Documentation associée à chaque offre souscrite par le Client. Toute demande de portabilité qui excéderait (par exemple demande de fourniture de « snapshot » des données, retraitement des données, conservation au-delà de 60 jours après résiliation) le périmètre d’une demande raisonnable sera susceptible de faire l’objet d’une facturation, après devis préalablement communiqué par O2Switch.
5. Collecte de données personnelles dans le cadre du Service fourni par O2Switch
Dans le cadre de la souscription aux services proposés par O2Switch et pendant la fourniture de ces services, O2Switch collecte les catégories de données suivantes :
i. Données d’identification : adresse IP (avec port source) de la demande de souscription en ligne, nom, prénom, adresse
postale et adresse de courrier électronique, numéro de téléphone, numéro de client, numéro de SIRET, numéro de TVA
intra-communautaire
ii. Données de facturation et/ou de paiement : coordonnées bancaires, moyen de paiement, référence carte bancaire
iii. Données de suivi de la relation Client : demandes d’assistance, correspondance avec le Client, adresse IP (avec port
source) des requêtes effectuées par le Client sur sa console de gestion de compte

Politique des Données Personnelles O2Switch – Version avril 2020 5

O2Switch utilise ces données pour les besoins de l’exécution et de la gestion du Contrat souscrit par le Client, la sécurisation du compte du Client, ainsi que pour satisfaire aux obligations légales en matière d’identification des créateurs de contenus sur Internet. Les coordonnées bancaires du Client seront utilisées par O2Switch pour la facturation, le paiement et le recouvrement de toute somme due et née d’un contrat conclu avec O2Switch.
Ceci comprend la gestion du compte Client et de la relation contractuelle, l’installation, la maintenance, la fourniture et la gestion du service souscrit, la délivrance d’une assistance et le traitement des demandes, la facturation du service, la gestion des réclamations et différends et les procédures de recouvrement, également par le biais de tiers. 

Ces données sont conservées pendant le temps nécessaire à la gestion du contrat et/ou pendant la durée légale. Sans ces données, O2Switch ne pourrait pas exécuter les prestations souscrites par le Client et lui garantir un haut niveau de protection des données. O2Switch pourra également utiliser ces données lorsqu’elle y a un intérêt légitime. Ces données permettront ainsi à O2Switch d’évaluer la performance des services délivrés au Client en vue de les améliorer et d’en développer de nouveaux, ainsi que pour réaliser des actions de fidélisation, de prospection, de sondage et de promotion.
Les données fournies par le Client pourront également être utilisées afin de garantir la sécurité du réseau O2Switch et de prévenir d’éventuelles fraudes ou dans le cadre de fusions, ventes d’actifs ou transferts de tout ou partie de son activité, en transférant les données personnelles Clients à la ou aux tierces parties impliquées dans la transaction dans le cadre de la transaction. Ces données seront conservées pendant le temps nécessaire à la réalisation de ces finalités et pour une durée maximale de 24 (vingt-quatre) mois à compter de la fin de la relation contractuelle concernant la prospection directe.

O2Switch pourra également utiliser ces données afin de respecter ses obligations légales (incluant les lois anti-fraude, les lois sur le blanchiment d’argent et les dispositions concernant le retard ou l’absence de paiement par le Client) et/ou pour répondre aux demandes des autorités publiques et gouvernementales Françaises dans l’exercice de leurs missions conférées par les lois et règlements
en vigueur. Le Client peut à tout moment accéder à ses données, les rectifier, demander leur suppression, s’opposer à un traitement pour des motifs légitimes en raison de sa situation particulière ou encore exercer son droit à la portabilité de vos données, via la console de gestion de compte en ligne ou par courrier postal en justifiant de son identité à : O2Switch – Informatique et Libertés – 222-224 Boulevard Gustave Flaubert 63000 Clermont -Ferrand. Vous pouvez à tout moment contacter notre Délégué à la Protection des Données personnelles à l’adresse : dpo@o2switch.fr. Le Délégué à la Protection des Données (DPO) nommé par O2Switch est Maitre Alexandre Archambault, Avocat au Barreau de Paris.

Les données dont O2Switch a besoin pour la finalité pour laquelle elles ont été collectées, nécessaires au respect d’une obligation légale et/ou à la constatation, à l’exercice ou à la défense de droits en justice pourront cependant ne pas être supprimées. En s’adressant au Délégué à la Protection des Données personnelles d’O2Switch, le Client peut également définir des directives relatives au sort de vos données à caractère personnel après son décès. En cas de réclamation à laquelle O2Switch n’aurait pas donné de réponse satisfaisante, le Client dispose de la faculté de s’adresser à la Commission Nationale de l’Informatique et des Libertés (CNIL) en charge du respect des obligations en matière de données personnelles.