DijiSense Politique de Confidentialité

La Plateforme traite les données uniquement dans la mesure nécessaire à l'exécution de son contrat de service avec le Client, et exclusivement pour les finalités spécifiques détaillées ci-après : **1. Acquisition et routage des données des dispositifs IoT** Réception, relais et traitement des signaux de données provenant des capteurs IoT, passerelles et appareils autorisés par le Client, afin d'alimenter les fonctionnalités de surveillance en temps réel, d'alerte et de visualisation. **2. Construction et maintenance de modèles Digital Twin** Traitement des informations sur les installations fournies par le Client — notamment les modèles architecturaux, les données de disposition des équipements et les données historiques des capteurs — en vue de la construction et du maintien de modèles Digital Twin pour l'analyse des installations et l'aide à la décision. **3. Archivage dans le registre d'audit (pour les utilisateurs abonnés uniquement)** Pour les Clients ayant souscrit au service « Mail Ledger Audit Archiving », la Plateforme fournit un environnement d'archivage neutre de tiers, isolé des propres systèmes du Client, afin de conserver les données des capteurs et les journaux opérationnels à des fins d'audit et de vérification ultérieurs. **4. Opérations de sécurité et support technique** Collecte des journaux d'accès système et des enregistrements d'audit opérationnel nécessaires au maintien de la sécurité de la Plateforme, à l'identification des comportements d'accès anormaux et à la fourniture d'un support technique sur demande du Client.

La Plateforme collecte les catégories de données suivantes dans la mesure nécessaire à la prestation de ses services : **A. Informations sur le compte Client** Dénomination sociale, nom du référent, adresse électronique, adresse de facturation et informations de paiement. Les données de paiement sont traitées de manière sécurisée par des prestataires de services de paiement tiers ; la Plateforme ne conserve pas les numéros de carte complets. **B. Informations sur les installations et les dispositifs** Plans architecturaux, configurations des points capteurs, listes des modèles de dispositifs et configurations des clés API téléchargés ou autorisés par le Client. **C. Données opérationnelles des capteurs** Données numériques en temps réel et historiques générées par les capteurs IoT, telles que la température, l'humidité, la consommation électrique, la qualité de l'air et l'état des contrôles d'accès. Ces données ne constituent généralement pas des données à caractère personnel au sens du RGPD ; cependant, le Client est seul responsable de déterminer si les données qu'il connecte à la Plateforme contiennent des informations à caractère personnel. **D. Journaux d'activité des utilisateurs** Horodatages de connexion à la Plateforme, journaux d'opérations comportementales, enregistrements de modifications de la configuration du Dashboard et journaux d'appels API. Utilisés à des fins d'audit de sécurité et de support technique. **E. Informations sur les dispositifs et la connexion** Type de navigateur, adresse IP, version du système d'exploitation et identifiants de session. Utilisés pour l'authentification et la gestion de la sécurité des connexions.

La Plateforme applique strictement le principe de minimisation des données conformément à l'article 5, paragraphe 1, point c), du RGPD, réduisant les risques d'atteinte à la vie privée au minimum praticable. **Interdiction de l'utilisation secondaire** La Plateforme s'engage à ne pas utiliser les données du Client — y compris les informations sur les installations, les données des capteurs, les configurations des dispositifs, les modèles Digital Twin et les journaux opérationnels — à d'autres fins que la prestation du service, le support technique et l'archivage d'audit. L'exploration de données, le profilage publicitaire et la vente ou la cession de données du Client à des tiers sont strictement interdits. **Qualité de sous-traitant** Dans le cadre du présent service, le Client agit en qualité de responsable du traitement au sens de l'article 4, paragraphe 7, du RGPD ; la Plateforme agit exclusivement en qualité de sous-traitant au sens de l'article 4, paragraphe 8, du RGPD et conformément à l'article 28 du même règlement. La Plateforme ne divulguera pas les données du Client à des tiers externes, sauf obligation légale. Sur demande du Client, la Plateforme est disposée à conclure un Accord de Traitement des Données (DPA) conforme à l'article 28 du RGPD. **Traitement des données par les partenaires SI en marque blanche** Les Clients disposant d'un plan SI Partner autorisé qui fournissent les services de la Plateforme à leurs clients finaux sous leur propre marque assument l'entière et exclusive responsabilité de la protection des données à caractère personnel de leurs clients finaux. La Plateforme n'assume pas la qualité de responsable du traitement à l'égard des clients finaux des partenaires SI.

La Plateforme offre les mécanismes de protection des données suivants, graduels par niveau de sécurité : **1. Chiffrement des données au repos (Encryption at Rest)** Toutes les données historiques des capteurs, les modèles Digital Twin et les enregistrements du registre d'audit stockés dans l'environnement cloud de la Plateforme sont chiffrés à l'aide de l'algorithme de chiffrement symétrique AES-256. **2. Chiffrement des données en transit (Encryption in Transit)** Toutes les transmissions de données — y compris MQTT, HTTP API et WebSocket — sont protégées de manière obligatoire par TLS 1.2 ou supérieur, afin de prévenir toute interception ou altération en transit. **3. Principes de gestion des clés** La Plateforme fournit différents niveaux de protection cryptographique selon le plan de service souscrit par le Client. Ceux-ci peuvent inclure la conservation des clés par la Plateforme, ou le recours à des clés fournies par le Client (BYOK) ou détenues par le Client (HYOK). **4. Vérification de l'intégrité** Chaque lot de données de capteurs consigné dans le registre d'audit se voit attribuer une empreinte numérique SHA-256, garantissant l'intégrité des données dès le moment de l'archivage et permettant de vérifier qu'aucune altération n'a eu lieu. **5. Déploiement on-premise** Les Clients qui optent pour le déploiement on-premise conservent l'ensemble de leurs données dans leurs propres centres de données ; les systèmes cloud de la Plateforme n'entrent pas en contact avec ces données. Les clés de licence émises par la Plateforme sont liées au matériel serveur désigné par le Client. La Plateforme fournit exclusivement la licence logicielle et n'assume aucune responsabilité quant au matériel, à l'infrastructure réseau ou à la gestion de la sécurité informatique du Client.

La Plateforme délivre ses services en s'appuyant sur une infrastructure cloud mondialement distribuée. **Conformité aux transferts transfrontaliers** Pour les données de Clients soumises aux réglementations de l'UE, du Royaume-Uni ou d'autres juridictions imposant des restrictions aux transferts internationaux, la Plateforme veillera à ce que ces transferts respectent les exigences légales applicables, notamment par l'adoption des Clauses Contractuelles Types de l'UE (CCT/SCCs) au titre de l'article 46 du RGPD, ou d'autres mécanismes de transfert reconnus par l'autorité de contrôle compétente, telle que la Commission Nationale de l'Informatique et des Libertés (CNIL). **Protection substantiellement équivalente** La Plateforme garantit un niveau de protection de la sécurité des données uniforme et substantiellement équivalent dans toutes les régions géographiques de prestation du service, sans réduire le niveau de protection selon la localisation du Client.

Dans le cadre de ses activités opérationnelles, la Plateforme peut faire appel aux catégories de prestataires tiers suivantes : - **Fournisseurs d'infrastructure cloud** : Utilisés pour les services de calcul, de stockage et de réseau. Tous les fournisseurs sont liés par des Accords de Traitement des Données (DPA). - **Prestataires de services de paiement** (ex. Paddle, TapPay) : Traitement des paiements d'abonnements. La Plateforme ne conserve pas les données complètes des cartes de paiement. - **Services de notification par e-mail** : Envoi d'alertes système, de notifications de facturation et de communications de support technique. Seules les informations nécessaires sont transmises. La Plateforme ne partage pas les données des Clients avec des annonceurs, des courtiers en données ou des tiers non directement impliqués dans la prestation du service.

**1. Exercice des droits** La Plateforme respecte les droits reconnus aux personnes concernées par le RGPD et la loi Informatique et Libertés, notamment : - **Droit d'accès (art. 15 RGPD)** : Le droit d'obtenir confirmation du traitement et copie des données à caractère personnel. - **Droit de rectification (art. 16 RGPD)** : Le droit d'obtenir la rectification des données inexactes dans les meilleurs délais. - **Droit à l'effacement (art. 17 RGPD – « droit à l'oubli »)** : Le droit de demander l'effacement des données dans les limites prévues par la loi. - **Droit à la limitation du traitement (art. 18 RGPD)** : Le droit de demander la limitation du traitement dans certaines circonstances. - **Droit à la portabilité des données (art. 20 RGPD)** : Le droit de recevoir les données dans un format structuré et lisible par machine. - **Droit d'introduire une réclamation** : Les personnes concernées ont le droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) ou de toute autre autorité de contrôle compétente conformément à l'article 77 du RGPD. Pour exercer l'un des droits susmentionnés, veuillez contacter : **security@dijisense.com** **2. Durées de conservation** - **Données du compte** : Conservées pendant la durée de la période de service active ; supprimées définitivement dans un délai de trente (30) jours à compter de la résiliation du compte. - **Données historiques des capteurs** : Conservées pour la période correspondant au plan de stockage souscrit ; détruites par des techniques de destruction physique ou numérique irréversible à l'expiration de la période. - **Données du registre d'audit** : Conservées exclusivement pour la durée de la période d'audit souscrite. En cas de résiliation du service ou de demande de suppression, la Plateforme achève la destruction numérique irréversible dans un délai de trente (30) jours. - **Journaux opérationnels du système** : Conservés pour une durée maximale de quatre-vingt-dix (90) jours à des fins d'audit de sécurité, puis purgés automatiquement. **3. Clients avec déploiement on-premise** Les Clients ayant opté pour le déploiement on-premise gèrent leurs données de manière autonome. La Plateforme n'est pas en mesure d'exécuter des opérations de suppression en leur nom. Les Clients peuvent effectuer les procédures de purge des données de manière indépendante conformément à la documentation technique fournie par la Plateforme.

Le site web officiel et le tableau de bord de gestion de la Plateforme utilisent exclusivement les cookies strictement nécessaires au maintien des sessions de connexion et des préférences de l'utilisateur, conformément à la directive ePrivacy et à la loi Informatique et Libertés. La Plateforme n'utilise pas de cookies de traçage publicitaire tiers, ne pratique pas le suivi inter-sites et ne diffuse pas de publicité comportementale.

Les services de la Plateforme sont destinés exclusivement aux entreprises et organisations professionnelles (B2B). La Plateforme ne fournit pas de services directement à des mineurs et ne collecte pas sciemment de données à caractère personnel d'individus dont elle saurait qu'ils ont moins de dix-huit (18) ans.

La présente Politique sera mise à jour périodiquement en réponse aux évolutions législatives ou aux modifications des services de la Plateforme. Les Clients seront informés des modifications substantielles par e-mail ou par annonce sur la Plateforme au moins trente (30) jours avant leur date d'entrée en vigueur. Pour toute question relative à la présente Politique ou aux pratiques de traitement des données, veuillez contacter l'Équipe Sécurité et Conformité de la Plateforme : **Contact : security@dijisense.com** **La présente Politique est régie par le droit de la République de Chine (Taïwan). Tout litige relatif à la présente Politique sera soumis à la compétence exclusive du Tribunal de district de Taipei, Taïwan, statuant en premier ressort.**