Informations légales
Politique de confidentialité
Dernière mise à jour : 29 juin 2026 · Version 3.0
La présente politique de confidentialité (ci-après la « Politique ») décrit la manière dont la société MARA LABS traite les données à caractère personnel dans le cadre de l'exploitation du logiciel « nullbot » (ci-après le « Service ») et du site internet accessible à l'adresse https://nullbot-website-production.up.railway.app (ci-après le « Site »).
MARA LABS s'engage à protéger la vie privée des personnes dont elle traite les données et à assurer un niveau élevé de protection conforme au Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après le « RGPD ») ainsi qu'à la loi n° 78-17 du 6 janvier 1978 modifiée, dite « Informatique et Libertés ».
Le Service présente une particularité essentielle : il orchestre des Agents d'intelligence artificielle qui exécutent des actions réelles pour le compte d'entreprises clientes. Cette architecture conduit MARA LABS à intervenir sous deux qualités juridiques distinctes, selon la nature des données concernées.
Deux rôles, deux régimes de responsabilité.
1. MARA LABS, responsable de traitement. Pour les données des visiteurs du Site, des prospects, des Clients et utilisateurs habilités en tant que cocontractants, ainsi que pour les données de gestion de la relation contractuelle et commerciale, MARA LABS détermine seule les finalités et les moyens du traitement. Elle agit en qualité de responsable de traitement au sens de l'article 4, point 7, du RGPD, et c'est à ce titre que s'appliquent les engagements décrits dans la présente Politique.
2. MARA LABS, sous-traitant (article 28 RGPD). Pour le Contenu Client — c'est-à-dire les données soumises au Service par le Client et traitées par les Agents pour produire des Sorties —, MARA LABS agit en qualité de sous-traitant. Le Client demeure le responsable de traitement de ces données : il détermine les finalités, dispose des bases légales et assume les obligations d'information envers les personnes concernées. Les engagements de MARA LABS à ce titre sont régis par un accord de traitement des données (« Data Processing Agreement » ou « DPA »), accessible via la page dpa.html.
La présente Politique a vocation à éclairer ces deux dimensions, étant précisé qu'elle traite principalement des traitements pour lesquels MARA LABS agit en qualité de responsable. Pour les traitements relevant de la sous-traitance, les personnes concernées sont invitées à s'adresser au Client responsable et à se reporter au DPA.
La présente Politique se lit en complément des autres documents contractuels et informatifs publiés par MARA LABS, notamment les mentions légales, la politique relative aux cookies et traceurs, les conditions générales d'utilisation, les conditions générales de vente et l'accord de traitement des données (DPA).
1. Responsable de traitement et contact
Le responsable des traitements de données à caractère personnel décrits dans la présente Politique, lorsque MARA LABS agit en cette qualité, est la société suivante.
Dénomination sociale : MARA LABS
Forme juridique : société par actions simplifiée (SAS)
Capital social : 100 €
Siège social : 41 rue Jacquemars Giélée, 59800 Lille, France
Numéro SIREN : 104 321 104
Immatriculation : RCS Lille Métropole 104 321 104
Hébergeur du Service et du Site : Railway Corporation (États-Unis d'Amérique)
Comment nous contacter
Pour toute question relative à la présente Politique, à l'exercice de vos droits ou, plus généralement, au traitement de vos données à caractère personnel, vous pouvez contacter MARA LABS par courrier postal adressé au siège social :
MARA LABS — Protection des données — 41 rue Jacquemars Giélée, 59800 Lille, France.
Adresse électronique de contact. À la date de publication de la présente Politique, MARA LABS ne dispose pas encore d'adresse électronique de contact dédiée. Une adresse électronique de contact dédiée sera mise en service dès l'ouverture du domaine et publiée ici. Dans l'intervalle, le point de contact unique pour toute demande relative aux données personnelles demeure le courrier postal adressé au siège social.
Délégué à la protection des données
Compte tenu de la nature, de la portée et des finalités de ses traitements, MARA LABS n'a pas désigné de délégué à la protection des données (DPO), cette désignation n'étant pas obligatoire au sens de l'article 37 du RGPD. Le point de contact unique pour toute question relative à la protection des données demeure le courrier postal adressé au siège social, dans les conditions exposées ci-dessus.
2. Définitions
Pour la bonne compréhension de la présente Politique, les termes ci-dessous, employés avec une majuscule, ont la signification suivante. Les définitions issues du RGPD reprennent celles de son article 4.
Termes issus du RGPD (article 4)
- Donnée à caractère personnel : toute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement, notamment par référence à un identifiant tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments propres à son identité.
- Traitement : toute opération ou ensemble d'opérations effectuées sur des données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la conservation, la consultation, l'utilisation, la communication, l'effacement ou la destruction.
- Responsable du traitement : la personne physique ou morale qui détermine les finalités et les moyens du traitement.
- Sous-traitant : la personne physique ou morale qui traite des données pour le compte du responsable du traitement.
- Personne concernée : la personne physique identifiée ou identifiable dont les données sont traitées.
- Destinataire : la personne physique ou morale qui reçoit communication des données.
- Consentement : toute manifestation de volonté libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte le traitement de ses données.
- Violation de données à caractère personnel : une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données ou l'accès non autorisé à celles-ci.
Termes propres au Service
- Service : le logiciel « nullbot », fourni en mode Software as a Service, qui orchestre des Agents d'intelligence artificielle exécutant des actions pour le compte des Clients.
- Agent : entité logicielle pilotée par un ou plusieurs modèles d'intelligence artificielle, configurée au sein du Service, qui exécute des tâches et des actions réelles selon les instructions et la configuration définies par le Client.
- Sortie : le contenu, le résultat ou l'action générés par un Agent à partir du Contenu Client et des instructions fournies.
- Contenu Client : l'ensemble des données, fichiers, instructions, identifiants et informations soumis par le Client au Service ou auxquels les Agents accèdent dans le cadre de l'exécution de leurs tâches. Le Contenu Client peut contenir des données à caractère personnel dont le Client est responsable.
- Client : la personne morale ou physique agissant à titre professionnel qui souscrit au Service et pour le compte de laquelle les Agents exécutent des tâches.
- Utilisateur habilité : la personne physique autorisée par le Client à accéder au Service et à le configurer.
- Fournisseur de modèle : le prestataire tiers fournissant les modèles d'intelligence artificielle utilisés par les Agents (par exemple Anthropic ou Google).
- BYO key (Bring Your Own Key) : option permettant au Client d'utiliser sa propre clé d'accès auprès d'un Fournisseur de modèle, de sorte que les échanges avec ce Fournisseur s'effectuent sous le compte et la responsabilité du Client.
3. Champ d'application
La présente Politique s'applique à l'ensemble des traitements de données à caractère personnel mis en œuvre par MARA LABS dans le cadre :
- de la consultation et de l'utilisation du Site par ses visiteurs ;
- des relations commerciales et précontractuelles avec les prospects et les Clients potentiels ;
- de la souscription, de l'exécution et du suivi du contrat de fourniture du Service avec les Clients et leurs utilisateurs habilités ;
- de la gestion de la facturation et des paiements ;
- de la sécurité, de la supervision et de l'amélioration du Service et du Site.
Traitements en qualité de sous-traitant. Le traitement du Contenu Client par les Agents relève de la sous-traitance au sens de l'article 28 du RGPD. À cet égard, le Client demeure responsable de traitement et la présente Politique ne se substitue pas à l'information que le Client doit délivrer aux personnes concernées. Les engagements de MARA LABS en tant que sous-traitant sont décrits dans l'article dédié ci-après et détaillés dans le DPA.
Liens vers des tiers. La présente Politique ne s'applique pas aux sites, services ou plateformes tiers accessibles depuis le Site ou le Service par des liens hypertextes. MARA LABS invite les personnes concernées à consulter les politiques de confidentialité propres à ces tiers.
4. Catégories de données collectées
MARA LABS collecte et traite différentes catégories de données à caractère personnel selon la qualité de la personne concernée et le contexte de la collecte. Le principe de minimisation (article 5, paragraphe 1, c, du RGPD) est appliqué : seules les données strictement nécessaires aux finalités poursuivies sont collectées.
Données des visiteurs du Site
Lorsqu'une personne consulte le Site, MARA LABS est susceptible de traiter :
- les données de navigation : pages consultées, date et heure de connexion, durée de consultation, parcours sur le Site ;
- les données techniques : adresse IP, type et version du navigateur, système d'exploitation, type de terminal, langue, résolution d'écran ;
- les identifiants déposés par les cookies et traceurs, dans les conditions décrites dans la politique relative aux cookies.
Données des prospects
Lorsqu'une personne manifeste un intérêt pour le Service (formulaire de contact, demande de démonstration, prise de contact commerciale, inscription à une communication), MARA LABS est susceptible de traiter :
- les données d'identification professionnelle : nom, prénom, fonction, société, secteur d'activité ;
- les coordonnées professionnelles : adresse électronique professionnelle, numéro de téléphone professionnel ;
- le contenu des échanges : nature de la demande, besoins exprimés, historique des contacts.
Données des Clients et des utilisateurs habilités
Dans le cadre de la souscription et de l'exécution du contrat, MARA LABS traite :
- les données d'identification du compte : nom, prénom, fonction, adresse électronique, identifiant de connexion ;
- les données d'identification de l'entreprise cliente : raison sociale, adresse, numéro d'identification (SIREN/SIRET ou équivalent), numéro de TVA intracommunautaire ;
- les données de gestion du compte : préférences, paramétrage des Agents, droits d'accès attribués, historique de configuration ;
- les données de la relation contractuelle : contrats, commandes, correspondances, demandes de support.
Données de paiement
Pour le traitement des paiements et de la facturation, sont traitées :
- les données de facturation : raison sociale, adresse de facturation, numéro de TVA, montant et historique des transactions ;
- les données relatives au moyen de paiement, collectées et traitées directement par le prestataire de paiement Stripe. MARA LABS ne stocke pas les numéros complets de cartes bancaires ; ces données sensibles sont traitées par le prestataire dans un environnement certifié PCI-DSS.
Contenu Client soumis aux Agents
Dans le cadre de l'exécution des tâches par les Agents, le Client soumet du Contenu Client susceptible de contenir des données à caractère personnel (par exemple des données relatives à des salariés, clients, fournisseurs ou contacts du Client). À l'égard de ces données :
- le Client est responsable de traitement ;
- MARA LABS agit en qualité de sous-traitant et traite ces données uniquement sur instruction documentée du Client et pour les seules finalités d'exécution du Service.
MARA LABS n'a pas la maîtrise du contenu, de la nature ni de la sensibilité des données figurant dans le Contenu Client. Il appartient au Client de s'assurer qu'il dispose d'une base légale, qu'il a délivré l'information requise aux personnes concernées et qu'il ne soumet pas, sauf garanties appropriées, de données relevant de catégories particulières au sens de l'article 9 du RGPD.
Données techniques et journaux (logs)
Pour assurer le fonctionnement, la sécurité et la traçabilité du Service, MARA LABS traite :
- les journaux d'accès et d'activité : horodatage des connexions et des actions, adresse IP, identifiant de session, actions exécutées par les Agents ;
- les journaux techniques et de diagnostic : événements système, erreurs, mesures de performance ;
- les journaux de sécurité : tentatives d'accès, événements d'authentification, alertes de sécurité.
5. Finalités et bases légales
Chaque traitement mis en œuvre par MARA LABS en qualité de responsable poursuit une ou plusieurs finalités déterminées, reposant sur l'une des bases légales énumérées à l'article 6 du RGPD. Le tableau ci-dessous récapitule ces traitements.
| Finalité | Catégories de données | Base légale (art. 6 RGPD) |
|---|---|---|
| Mise à disposition et bon fonctionnement du Site | Données de navigation, données techniques | Intérêt légitime (art. 6.1.f) — assurer un Site fonctionnel et sécurisé |
| Mesure d'audience et amélioration du Site | Données de navigation, identifiants de cookies | Consentement (art. 6.1.a) pour les traceurs non strictement nécessaires |
| Gestion des demandes de contact et des prospects | Données d'identification et coordonnées professionnelles, contenu des échanges | Mesures précontractuelles (art. 6.1.b) ou intérêt légitime (art. 6.1.f) — développer l'activité commerciale |
| Prospection commerciale B2B | Coordonnées professionnelles, historique des échanges | Intérêt légitime (art. 6.1.f), sous réserve du droit d'opposition ; consentement (art. 6.1.a) lorsque la loi l'exige |
| Souscription et exécution du contrat de Service | Données du compte, données de l'entreprise cliente, données de configuration | Exécution du contrat (art. 6.1.b) |
| Gestion de la facturation et des paiements | Données de facturation, données relatives au moyen de paiement | Exécution du contrat (art. 6.1.b) et obligation légale (art. 6.1.c) — comptabilité |
| Fourniture du support et assistance aux Clients | Données du compte, contenu des demandes | Exécution du contrat (art. 6.1.b) |
| Sécurité, prévention de la fraude et des abus | Journaux d'accès, journaux de sécurité, données techniques | Intérêt légitime (art. 6.1.f) et obligation légale (art. 6.1.c) |
| Respect des obligations légales et réglementaires | Données comptables, contractuelles, de sécurité | Obligation légale (art. 6.1.c) |
| Constatation, exercice ou défense de droits en justice | Données contractuelles, journaux, correspondances | Intérêt légitime (art. 6.1.f) — protéger ses droits |
Explicitation des intérêts légitimes et mise en balance
Lorsque MARA LABS fonde un traitement sur son intérêt légitime (article 6, paragraphe 1, f, du RGPD), elle procède à une mise en balance entre cet intérêt et les droits et libertés fondamentaux des personnes concernées.
Intérêts poursuivis. Les intérêts légitimes invoqués sont notamment : assurer la sécurité et l'intégrité du Service et du Site ; prévenir la fraude et les usages abusifs ; développer et promouvoir l'activité commerciale dans un cadre professionnel (B2B) ; améliorer la qualité du Service ; protéger les droits de MARA LABS en cas de litige.
Caractère raisonnable. Ces traitements sont limités à ce qui est nécessaire, portent essentiellement sur des données professionnelles, et n'engendrent pas d'atteinte disproportionnée à la vie privée. Les personnes concernées peuvent raisonnablement s'attendre à ces traitements dans le contexte d'une relation professionnelle.
Garanties. Les personnes concernées disposent à tout moment d'un droit d'opposition pour motif tenant à leur situation particulière (article 21 du RGPD) et, en matière de prospection, d'un droit d'opposition inconditionnel. Les modalités d'exercice sont décrites dans l'article relatif aux droits.
6. Le Service et l'intelligence artificielle
Le Service repose sur des Agents pilotés par des modèles d'intelligence artificielle fournis par des Fournisseurs de modèles tiers. MARA LABS attache une importance particulière à la transparence sur le fonctionnement de cette technologie.
Transmission du contenu aux Fournisseurs de modèles
Pour générer les Sorties, les contenus et instructions traités par les Agents (incluant, le cas échéant, du Contenu Client) sont transmis aux Fournisseurs de modèles. Cette transmission s'effectue uniquement aux fins de générer les Sorties demandées et dans le cadre de l'exécution du Service.
Interfaces professionnelles et absence d'entraînement
Les échanges avec les Fournisseurs de modèles s'effectuent via des interfaces professionnelles (API) régies par des conditions d'usage entreprise. Aux termes de ces conditions, les contenus transmis ne sont pas utilisés pour entraîner ou réentraîner les modèles des Fournisseurs. Les données ne servent qu'à produire la Sortie correspondant à la requête.
Option « BYO key »
Le Service propose une option « BYO key » (Bring Your Own Key) permettant au Client d'utiliser sa propre clé d'accès auprès d'un Fournisseur de modèle. Dans ce cas, les échanges avec ce Fournisseur s'effectuent directement sous le compte et la responsabilité du Client, conformément aux conditions du Fournisseur acceptées par le Client.
Nature probabiliste des Sorties
Les Sorties produites par les Agents reposent sur des modèles probabilistes. À ce titre, elles peuvent comporter des inexactitudes, des approximations ou des erreurs. Les Sorties ne constituent ni un conseil professionnel ni une garantie d'exactitude. Le Client demeure responsable de la vérification, de la validation et de l'usage des Sorties, en particulier lorsque celles-ci déclenchent des actions réelles.
7. Décisions individuelles automatisées
Conformément à l'article 22 du RGPD, toute personne concernée a le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l'affectant de manière significative de façon similaire.
Traitements de MARA LABS en tant que responsable. Dans le cadre des traitements pour lesquels MARA LABS agit en qualité de responsable (gestion du Site, des prospects, des Clients, de la facturation), MARA LABS ne met pas en œuvre de décision produisant des effets juridiques ou significatifs fondée exclusivement sur un traitement automatisé au sens de l'article 22.
Actions exécutées par les Agents. Les Agents peuvent exécuter des actions de manière automatisée pour le compte du Client. Lorsque ces actions sont susceptibles de constituer des décisions automatisées produisant des effets juridiques ou significatifs à l'égard de personnes concernées, c'est le Client, en sa qualité de responsable de traitement du Contenu Client, qui doit en apprécier la licéité, mettre en place les garanties exigées par l'article 22 (notamment l'intervention humaine, la possibilité d'exprimer son point de vue et de contester la décision) et délivrer l'information requise. MARA LABS, sous-traitant, met à disposition les fonctionnalités de configuration et de supervision permettant au Client d'assurer ce contrôle humain.
8. MARA LABS en tant que sous-traitant (article 28 RGPD)
Pour le traitement du Contenu Client, MARA LABS agit en qualité de sous-traitant au sens de l'article 28 du RGPD, le Client conservant la qualité de responsable de traitement. Cette relation est encadrée par un accord de traitement des données (DPA) accessible via la page dpa.html, qui prévaut pour ces traitements.
Engagements de MARA LABS en tant que sous-traitant
En application de l'article 28, paragraphe 3, du RGPD, MARA LABS s'engage notamment à :
- Traiter les données uniquement sur instruction documentée du Client, y compris pour les transferts hors de l'Union européenne, sauf obligation légale contraire ;
- Garantir la confidentialité des données en veillant à ce que les personnes autorisées à les traiter soient soumises à une obligation de confidentialité ;
- Mettre en œuvre les mesures techniques et organisationnelles appropriées conformément à l'article 32 du RGPD ;
- Respecter les conditions de recours à des sous-traitants ultérieurs (autorisation préalable, information sur les changements, obligations équivalentes répercutées par contrat) ;
- Aider le Client, par des mesures appropriées, à répondre aux demandes d'exercice des droits des personnes concernées ;
- Assister le Client dans le respect de ses obligations en matière de sécurité, de notification des violations, d'analyse d'impact et de consultation préalable de l'autorité de contrôle ;
- Supprimer ou restituer les données au terme de la prestation, selon le choix du Client, et détruire les copies existantes sauf obligation légale de conservation ;
- Mettre à la disposition du Client toutes les informations nécessaires pour démontrer le respect de ses obligations et permettre la réalisation d'audits.
Notification des violations au Client. En tant que sous-traitant, MARA LABS notifie au Client toute violation de données affectant le Contenu Client sans délai injustifié après en avoir pris connaissance, afin de permettre au Client de remplir ses propres obligations de notification.
9. Destinataires des données
Les données à caractère personnel sont destinées aux services internes habilités de MARA LABS, dans la limite de leurs attributions, ainsi qu'aux catégories de destinataires suivantes :
- les personnels habilités de MARA LABS intervenant dans la gestion commerciale, l'exploitation du Service, le support, la facturation et la sécurité ;
- les sous-traitants ultérieurs agissant pour le compte de MARA LABS, énumérés dans l'article dédié (hébergement, Fournisseurs de modèles, paiement, distribution de contenu) ;
- le prestataire de paiement, pour le traitement des transactions ;
- les conseils et prestataires de MARA LABS (experts-comptables, avocats, auditeurs) soumis à une obligation de confidentialité ;
- les autorités administratives ou judiciaires compétentes, lorsque la loi l'exige ou pour la défense des droits de MARA LABS.
MARA LABS ne procède à aucune vente de données à caractère personnel. Aucune communication n'est réalisée à des tiers à des fins de prospection sans le respect des bases légales applicables.
10. Sous-traitants ultérieurs
Pour fournir le Service, MARA LABS recourt à des prestataires tiers agissant en qualité de sous-traitants ultérieurs. Chacun est sélectionné pour ses garanties en matière de protection des données et est lié par un contrat imposant des obligations conformes à l'article 28 du RGPD. Le tableau ci-dessous présente les principaux sous-traitants ultérieurs.
| Prestataire | Finalité | Localisation | Garantie de transfert |
|---|---|---|---|
| Railway Corporation | Hébergement du Service et du Site, infrastructure | États-Unis | Clauses contractuelles types (CCT) de la décision 2021/914 |
| Anthropic, PBC | Fourniture du modèle d'IA « Claude » pour générer les Sorties | États-Unis | Clauses contractuelles types (CCT) |
| Google Ireland Limited / Google LLC | Fourniture du modèle d'IA « Gemini » (option, le cas échéant) | Union européenne / États-Unis | Clauses contractuelles types (CCT) pour les transferts hors UE |
| Stripe Payments Europe, Limited | Traitement des paiements et de la facturation | Union européenne / États-Unis | Clauses contractuelles types (CCT) pour les transferts hors UE |
| jsDelivr | Réseau de distribution de contenu (CDN) pour la diffusion de ressources du Site | International | Encadrement contractuel et garanties appropriées pour les transferts |
Évolution de la liste et droit d'opposition
MARA LABS peut faire évoluer la liste de ses sous-traitants ultérieurs pour les besoins du Service. Toute modification (ajout ou remplacement) sera reflétée dans la présente Politique et, le cas échéant, communiquée au Client conformément au DPA. Le Client dispose, dans les conditions prévues par le DPA, de la faculté de s'opposer pour des motifs légitimes à l'ajout d'un nouveau sous-traitant ultérieur.
11. Transferts hors Union européenne
Certains sous-traitants ultérieurs de MARA LABS sont situés en dehors de l'Union européenne, en particulier aux États-Unis. Tout transfert de données vers un pays tiers est encadré conformément au chapitre V du RGPD.
Clauses contractuelles types
En l'absence de décision d'adéquation applicable, les transferts reposent sur les clauses contractuelles types (CCT) adoptées par la Commission européenne par la décision d'exécution (UE) 2021/914 du 4 juin 2021. Ces clauses imposent au destinataire des obligations de protection équivalentes à celles du RGPD.
Mesures supplémentaires
Lorsque cela est nécessaire pour garantir un niveau de protection substantiellement équivalent, MARA LABS, en complément des CCT, met en œuvre ou s'assure de la mise en œuvre de mesures supplémentaires appropriées, notamment : le chiffrement des données en transit et au repos, la pseudonymisation lorsqu'elle est possible, des contrôles d'accès stricts, et l'évaluation de la législation du pays de destination ainsi que des recours offerts aux personnes concernées.
Les personnes concernées peuvent obtenir des informations complémentaires sur les transferts et une copie des garanties mises en place en adressant une demande par courrier au siège social de MARA LABS.
12. Durées de conservation
Les données à caractère personnel sont conservées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées, augmentée le cas échéant des durées de prescription et d'archivage légal. Le tableau ci-dessous précise les durées appliquées.
| Catégorie de données | Durée de conservation |
|---|---|
| Données de navigation et cookies | Selon la finalité, dans la limite des durées indiquées dans la politique cookies (au maximum 13 mois pour les traceurs de mesure d'audience soumis au consentement) |
| Données des prospects (sans relation contractuelle) | Jusqu'à 3 ans à compter du dernier contact émanant du prospect |
| Données des Clients et utilisateurs habilités | Pendant toute la durée de la relation contractuelle, puis archivage en base intermédiaire pendant la durée de prescription applicable |
| Données de facturation et pièces comptables | 10 ans à compter de la clôture de l'exercice comptable (obligation légale) |
| Contenu Client traité par les Agents | Conservé pour la durée nécessaire à l'exécution du Service ; supprimé ou restitué au terme de la prestation selon les instructions du Client et le DPA |
| Journaux d'accès, techniques et de sécurité | Jusqu'à 12 mois, sauf besoin de conservation plus longue pour la sécurité ou un contentieux |
| Données liées à la gestion des droits (preuves de demandes) | Le temps nécessaire au traitement de la demande, puis selon la prescription applicable |
Au-delà de ces durées, les données sont supprimées ou anonymisées de manière irréversible. Certaines données peuvent être conservées plus longtemps en archivage lorsque la loi l'impose ou pour la constatation, l'exercice ou la défense de droits en justice.
13. Sécurité des données
Conformément à l'article 32 du RGPD, MARA LABS met en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, en tenant compte de l'état des connaissances, des coûts de mise en œuvre, de la nature, de la portée et des finalités du traitement.
Mesures techniques
- Chiffrement des données en transit (protocoles TLS) et, le cas échéant, au repos ;
- Contrôle d'accès fondé sur le principe du moindre privilège et l'authentification des utilisateurs habilités ;
- Cloisonnement des environnements et des données entre Clients ;
- Journalisation et traçabilité des accès et des actions sensibles ;
- Sauvegardes régulières et procédures de restauration ;
- Supervision et détection des incidents de sécurité.
Mesures organisationnelles
- Sensibilisation et engagement de confidentialité des personnels habilités ;
- Gestion des habilitations et revue périodique des droits d'accès ;
- Sélection de sous-traitants présentant des garanties suffisantes et encadrement contractuel ;
- Procédures de gestion des incidents et des violations de données.
Aucun système d'information ne pouvant garantir une sécurité absolue, MARA LABS s'engage à mettre en œuvre des mesures proportionnées au risque et à les faire évoluer en fonction de l'état de l'art et des menaces identifiées.
14. Violations de données
MARA LABS a mis en place des procédures de détection, de qualification et de gestion des violations de données à caractère personnel.
Lorsque MARA LABS agit en qualité de responsable
En cas de violation de données susceptible d'engendrer un risque pour les droits et libertés des personnes concernées, MARA LABS notifie cette violation à la CNIL dans les meilleurs délais et, si possible, dans un délai de 72 heures après en avoir pris connaissance, conformément à l'article 33 du RGPD. Lorsque la violation est susceptible d'engendrer un risque élevé, les personnes concernées en sont également informées dans les meilleurs délais, conformément à l'article 34 du RGPD.
Lorsque MARA LABS agit en qualité de sous-traitant
En cas de violation affectant le Contenu Client, MARA LABS informe le Client sans délai injustifié après en avoir pris connaissance, conformément à l'article 33, paragraphe 2, du RGPD, afin de permettre au Client, responsable de traitement, de remplir ses propres obligations de notification à l'autorité de contrôle et, le cas échéant, aux personnes concernées.
Toute violation fait l'objet d'une documentation interne précisant les faits, les effets et les mesures correctives prises, conformément à l'obligation de tenue d'un registre des violations.
15. Vos droits
Conformément au RGPD et à la loi Informatique et Libertés, toute personne concernée dispose des droits suivants à l'égard de ses données traitées par MARA LABS en qualité de responsable.
Droit d'accès (art. 15)
Vous pouvez obtenir la confirmation que des données vous concernant sont ou non traitées et, le cas échéant, en obtenir une copie ainsi que les informations sur les finalités, les catégories de données, les destinataires et la durée de conservation.
Droit de rectification (art. 16)
Vous pouvez demander la correction des données inexactes et le complément des données incomplètes vous concernant.
Droit à l'effacement (art. 17)
Vous pouvez demander l'effacement de vos données dans les cas prévus par le RGPD, sous réserve des obligations légales de conservation et des besoins liés à la défense de droits en justice.
Droit à la limitation du traitement (art. 18)
Vous pouvez demander le gel temporaire de l'utilisation de vos données, notamment en cas de contestation de leur exactitude ou de la licéité du traitement.
Droit d'opposition (art. 21)
Vous pouvez vous opposer à un traitement fondé sur l'intérêt légitime de MARA LABS pour des raisons tenant à votre situation particulière, ainsi que, de manière inconditionnelle, au traitement à des fins de prospection commerciale.
Droit à la portabilité (art. 20)
Pour les traitements fondés sur le consentement ou l'exécution d'un contrat et effectués par des moyens automatisés, vous pouvez recevoir vos données dans un format structuré, couramment utilisé et lisible par machine, et les transmettre à un autre responsable.
Droit de retirer le consentement
Lorsqu'un traitement repose sur votre consentement, vous pouvez le retirer à tout moment, sans que cela n'affecte la licéité du traitement effectué avant le retrait.
Directives post-mortem
Conformément à l'article 85 de la loi Informatique et Libertés, vous pouvez définir des directives relatives au sort de vos données après votre décès (conservation, effacement, communication), générales ou particulières, et désigner une personne chargée de leur exécution.
Droit d'introduire une réclamation
Vous disposez du droit d'introduire une réclamation auprès de la CNIL si vous estimez que le traitement de vos données n'est pas conforme à la réglementation (voir l'article dédié).
Comment exercer vos droits
Vos droits s'exercent par courrier postal adressé à : MARA LABS — Protection des données — 41 rue Jacquemars Giélée, 59800 Lille, France. Une adresse électronique de contact dédiée sera mise en service dès l'ouverture du domaine et publiée ici.
Preuve d'identité. Afin de prévenir tout accès non autorisé, MARA LABS peut vous demander de justifier de votre identité par tout moyen approprié en cas de doute raisonnable sur l'identité du demandeur.
Délais de réponse. MARA LABS répond dans un délai d'un mois à compter de la réception de la demande. Ce délai peut être prolongé de deux mois compte tenu de la complexité et du nombre de demandes ; vous en serez alors informé.
Contenu Client. Pour les données contenues dans le Contenu Client, MARA LABS agissant comme sous-traitant, les demandes doivent être adressées au Client responsable de traitement. MARA LABS assistera le Client dans le traitement de ces demandes conformément au DPA.
16. Données des mineurs
Le Service est un logiciel professionnel (B2B) qui n'est ni destiné ni proposé aux mineurs. MARA LABS ne collecte pas sciemment de données concernant des mineurs dans le cadre de ses traitements en qualité de responsable.
Si MARA LABS apprenait qu'elle a collecté, par erreur, des données relatives à un mineur sans la base légale appropriée, elle procéderait à leur suppression dans les meilleurs délais. Toute personne ayant connaissance d'une telle situation est invitée à le signaler par courrier au siège social.
17. Prospection commerciale et droit d'opposition
MARA LABS est susceptible d'adresser des communications de prospection commerciale à des professionnels, dans le cadre d'une relation B2B, conformément aux règles applicables à la prospection professionnelle.
Lorsque la loi l'exige, la prospection est subordonnée au consentement préalable de la personne ; à défaut, elle repose sur l'intérêt légitime de MARA LABS à développer son activité, sous réserve d'un objet en lien avec la fonction professionnelle du destinataire.
Vous pouvez vous opposer à tout moment et sans frais à la réception de communications de prospection :
- en utilisant le lien de désinscription présent dans chaque communication électronique, lorsqu'il existe ;
- en adressant une demande par courrier au siège social de MARA LABS.
18. Cookies et traceurs
Le Site est susceptible d'utiliser des cookies et autres traceurs. Les traceurs strictement nécessaires au fonctionnement du Site reposent sur l'intérêt légitime de MARA LABS, tandis que les traceurs non essentiels (notamment de mesure d'audience non exemptée) sont soumis à votre consentement préalable.
Les modalités précises (catégories de traceurs, finalités, durées de conservation, modalités de gestion du consentement et de retrait) sont décrites de manière détaillée dans la politique relative aux cookies et traceurs, à laquelle la présente Politique renvoie expressément.
19. Origine et exactitude des données
Origine des données. Les données traitées par MARA LABS sont, dans la très grande majorité des cas, collectées directement auprès des personnes concernées (formulaires, création de compte, échanges commerciaux, utilisation du Service). Certaines données techniques sont générées automatiquement par l'utilisation du Site et du Service. Le cas échéant, des données professionnelles peuvent provenir de sources accessibles au public (registres, sites professionnels) dans un cadre de prospection B2B.
Exactitude des données. MARA LABS s'efforce de maintenir des données exactes et à jour. Vous êtes invité à signaler toute inexactitude afin de permettre la mise à jour de vos données, en exerçant votre droit de rectification.
20. Modifications de la politique
MARA LABS peut être amenée à modifier la présente Politique afin de l'adapter aux évolutions légales, réglementaires, jurisprudentielles, techniques ou organisationnelles, ou en cas d'évolution du Service ou de la liste des sous-traitants ultérieurs.
La version applicable est celle publiée sur le Site à la date de consultation. En cas de modification substantielle, MARA LABS s'efforcera d'en informer les personnes concernées par tout moyen approprié. Il est recommandé de consulter régulièrement cette page.
21. Réclamation auprès de l'autorité de contrôle
Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés ou que le traitement de vos données n'est pas conforme à la réglementation, vous disposez du droit d'introduire une réclamation auprès de la Commission nationale de l'informatique et des libertés (CNIL), autorité de contrôle compétente en France.
Commission nationale de l'informatique et des libertés (CNIL)
3 Place de Fontenoy — TSA 80715 — 75334 Paris Cedex 07, France
Téléphone : 01 53 73 22 22
Site internet : www.cnil.fr
MARA LABS vous invite toutefois, préalablement à toute réclamation, à la contacter par courrier à son siège social afin de rechercher une solution amiable.