RGPD - Engagement et liste des sous-traitants

Codbip applique les principes du Règlement (UE) 2016/679 (RGPD) et de la loi française Informatique et Libertés : finalité, proportionnalité, minimisation, exactitude, durée limitée, intégrité et confidentialité.

BTPBip étant un SaaS B2B, Codbip intervient le plus souvent en qualité de sous-traitant(article 28 RGPD) pour le compte des entreprises clientes, lesquelles sont responsables de traitement des données qu'elles introduisent sur la plateforme.

Codbip met à disposition des entreprises clientes un modèle d'accord de sous-traitance (Data Processing Agreement) couvrant :

• l'objet et la durée du traitement ;
• la nature et la finalité du traitement ;
• les catégories de données et de personnes concernées ;
• les obligations de Codbip en tant que sous-traitant ;
• les sous-traitants ultérieurs autorisés ;
• les mesures techniques et organisationnelles de sécurité ;
• l'assistance aux droits des personnes et à la notification de violation ;
• le sort des données à la fin du contrat.

Le DPA peut être signé par échange d'emails, par signature électronique ou par avenant papier. Demande à [email protégé].

Dans le cadre de l'exploitation de BTPBip, Codbip fait appel aux sous-traitants suivants. Cette liste est tenue à jour ; toute modification substantielle est notifiée aux entreprises clientes avec un préavis raisonnable leur permettant, le cas échéant, d'exprimer une objection.

• données métier pendant l'abonnement + 1 an après résiliation, sauf obligation légale ;
• comptes inactifs : anonymisation automatique à 12 mois sans connexion — cron mensuel, préavis email à 11 mois ;
• journaux de sécurité : 12 mois ;
• sauvegardes techniques : purge sous 90 jours après suppression.

Les personnes dont les données sont traitées dans BTPBip bénéficient des droits RGPD (accès, rectification, effacement, limitation, opposition, portabilité).

• Pour les données saisies par une entreprise cliente (salariés, clients BTP, fournisseurs, chantiers) : contacter l'entreprise cliente concernée. Codbip l'assiste dans le traitement des demandes.
• Pour les données collectées directement par Codbip (compte, facturation) :[email protégé]. Délai de réponse : 30 jours maximum.

Outils disponibles en libre-service dans BTPBip :

• Suppression de compte en 1 clic : cascade d'anonymisation immédiate depuis les paramètres du compte (email, nom, données de session effacés ; identifiant conservé pour l'intégrité référentielle).
• Export DSAR : export de toutes vos données personnelles au format structuré, sur demande adressée à [email protégé].
• Double authentification (MFA TOTP) : disponible dans les paramètres de sécurité de votre compte.

Recours auprès de la CNIL en cas de désaccord.

En cas de violation de données susceptibles d'engendrer un risque pour les droits et libertés des personnes, Codbip notifie l'entreprise cliente concernée sans délaiet au plus tard dans les 72 heures suivant la prise de connaissance, conformément à l'article 33, paragraphe 2, du RGPD (obligation du sous-traitant d'informer le responsable de traitement). La notification précise la nature de la violation, les catégories et volumes de données concernées, les conséquences probables et les mesures correctrices.

Codbip n'est pas soumise à l'obligation de désigner un DPO au sens de l'article 37 RGPD. Un point de contact dédié à la protection des données est toutefois joignable à [email protégé]. Ce point de contact assure l'interface avec les entreprises clientes, les personnes concernées et la CNIL.