Logo-SQORUS
Parcours - Onboarding SQORUS

Notice d’information relative à la protection des données des clients et prospects

Dernière mise à jour : 08/06/2026

Préambule — pourquoi cette notice ?

Dans le cadre de la relation commerciale qui vous lie au Groupe SQORUS, ou que nous envisageons d’établir avec votre organisation, des données à caractère personnel vous concernant en tant que personne physique sont collectées et traitées par le Groupe : votre nom, vos coordonnées professionnelles, votre fonction, et les éléments associés aux échanges commerciaux et contractuels. Le Règlement Général sur la Protection des Données (RGPD) impose au Groupe de vous informer précisément sur ces traitements.

La présente notice répond à cette obligation. Elle vous est portée à votre connaissance par renvoi explicite dans chaque proposition commerciale et chaque contrat. Elle est également accessible en permanence à l’adresse sqorus.com/protection-donnees-clients.

La notice est rédigée dans un langage clair et accessible. Si une formulation vous paraît néanmoins peu compréhensible, ou si vous avez une question, le Délégué à la Protection des Données du Groupe (DPO) est à votre disposition à l’adresse dpo@sqorus.com.

Distinction importante — quelle notice s’applique à mes données ?

Quand SQORUS est responsable de traitement : c’est le cas pour vos données en tant que contact commercial (nom, fonction, coordonnées professionnelles, échanges commerciaux). La présente notice s’applique.

Quand SQORUS est sous-traitant pour le compte de votre organisation : c’est le cas lorsque SQORUS traite, dans le cadre d’une prestation, des données dont votre organisation est responsable de traitement (par exemple : données de salariés ou de clients de votre organisation traitées dans nos missions de TMA, de conseil ou d’intégration). Dans ce cas, c’est la notice de votre organisation qui s’applique à ces personnes, pas la nôtre. La section 9 détaille ce cas particulier et les engagements de SQORUS.

    1. Qui est responsable de vos données ?

    1.1. Identité du responsable de traitement

    Le responsable du traitement de vos données à caractère personnel est :

    Raison sociale

    SQORUS SAS

    Forme juridique

    Société par actions simplifiée au capital de 1 088 400 euros

    Adresse du siège

    25 rue de Maubeuge, 75009 Paris, France

    SIREN

    353 663 065

    Représenté par

    Amadou NGOM, Président

    Site web

    www.sqorus.com

    Si la relation commerciale est contractuellement portée par SQORUS Côte d’Ivoire ou SQORUS Maroc (et non par SQORUS SAS), l’entité juridique locale agit en qualité de responsable de traitement pour cette relation, en coordination avec le Groupe (cf. addendums A et B en fin de notice).

     

    1.2. Coordonnées du Délégué à la Protection des Données

    Le Groupe SQORUS a désigné un Délégué à la Protection des Données (DPO), interlocuteur unique pour toute question ou demande relative à vos données :

    Nom et fonction

    Olivier PROFIT — Délégué à la Protection des Données Groupe

    Adresse électronique

    dpo@sqorus.com

    Adresse postale

    À l’attention du DPO — SQORUS SAS — 25 rue de Maubeuge, 75009 Paris

     

    1.3. Périmètre et qualité du Groupe SQORUS

    Le Groupe SQORUS intervient à la fois en qualité de responsable de traitement (RT) et en qualité de sous-traitant (ST) selon les situations :

    • En qualité de responsable de traitement, pour la gestion de la relation commerciale avec votre organisation : prospection, conclusion et exécution du contrat, facturation, communication marketing. Vos données traitées dans ce cadre relèvent de la présente notice ;
    • En qualité de sous-traitant, lorsque le Groupe SQORUS conduit une mission de prestation (TMA, intégration, conseil, formation) impliquant le traitement de DCP dont votre organisation est responsable de traitement (par exemple : données de vos salariés sur lesquels SQORUS intervient, données de vos clients dans une base que SQORUS administre). Dans ce cas, c’est la notice de votre organisation qui s’applique aux personnes concernées, et les engagements de SQORUS en sa qualité de ST sont décrits en section 9 et formalisés contractuellement (clauses article 28 RGPD).

     

    2. Quels traitements vous concernent ?

    2.1. Vue d’ensemble

    Cette section présente l’ensemble des traitements de vos données mis en œuvre par SQORUS dans le cadre de la relation commerciale, en sa qualité de responsable de traitement. Chaque traitement est décrit selon une trame standardisée : finalité, base juridique au sens de l’article 6 du RGPD, catégories de données, durée de conservation.

    Les bases légales mobilisées sont principalement :

    • L’exécution du contrat commercial (article 6 §1.b RGPD) — pour les traitements directement liés à la conclusion et l’exécution du contrat ;
    • L’intérêt légitime du Groupe (article 6 §1.f RGPD) — pour la prospection commerciale B2B (admise par la doctrine CNIL pour les contacts professionnels), pour le suivi commercial post-contractuel, pour l’amélioration de l’offre. Un test de balance des intérêts a été conduit pour chaque traitement ;
    • Le respect d’obligations légales (article 6 §1.c RGPD) — comptabilité (10 ans), lutte contre le blanchiment d’argent et la corruption (KYC), obligations fiscales et déclaratives ;
    • Votre consentement (article 6 §1.a RGPD) — pour des cas spécifiques tels que l’inscription à une newsletter, la collecte de témoignages ou de cas clients diffusés à l’externe, certains cookies non strictement nécessaires.

    Les données traitées sont exclusivement des données professionnelles : votre identité dans le cadre de votre activité, votre fonction, vos coordonnées professionnelles, les éléments des échanges commerciaux. Aucune donnée sensible au sens de l’article 9 du RGPD n’est sollicitée ni traitée.

     

    2.2. Prospection commerciale et démarches avant-vente

    Fiche de traitement n°1 — Prospection commerciale B2B

    Finalité

    Identifier les prospects potentiels intéressés par les services SQORUS, prendre contact à des fins commerciales B2B, qualifier les opportunités, préparer et présenter des offres de service.

    Base légale

    Intérêt légitime du Groupe à développer son activité commerciale auprès de contacts professionnels (article 6 §1.f RGPD). Conformément à la doctrine CNIL, la prospection commerciale B2B (entreprise vers contact professionnel d’une autre entreprise) repose sur l’intérêt légitime, sans nécessité de consentement préalable, sous réserve d’une information transparente et du respect du droit d’opposition.

    Catégories de données

    Identité (nom, prénom), fonction, organisation, coordonnées professionnelles (email, téléphone professionnel, adresse de l’organisation), domaine d’expertise et de responsabilité, historique des échanges commerciaux, qualifications opportunité, source d’identification du contact.

    Source des données

    Identification directe via salons et événements professionnels, sites web professionnels, plateformes type LinkedIn, fichiers commerciaux conformes (légalement constitués), recommandations et mises en relation, base prospects acquise auprès de prestataires conformes RGPD.

    Durée de conservation

    3 ans à compter du dernier contact ou de la dernière action commerciale (recommandation CNIL pour la prospection B2B). Au-delà, sauf opposition de votre part, vos données sont supprimées ou anonymisées. Vous pouvez vous opposer à tout moment, sans motif, à la prospection commerciale (article 21 §2 RGPD) — votre adresse email est alors conservée 3 ans en liste d’opposition à titre de preuve d’opposition (POL-RGPD-CONSERVATION v2.0).

     

    2.3. Gestion du contrat et de la relation client

    Fiche de traitement n°2 — Gestion du contrat commercial

    Finalité

    Conclusion du contrat (négociation, formalisation des engagements réciproques), exécution du contrat (suivi opérationnel, communication avec les interlocuteurs désignés, points de gouvernance, comités projet), gestion des évolutions contractuelles (avenants, renouvellements, fins de relation).

    Base légale

    Exécution du contrat commercial (article 6 §1.b RGPD) — pour les contacts désignés par votre organisation comme interlocuteurs SQORUS dans le cadre du contrat. Intérêt légitime du Groupe (article 6 §1.f) pour la gestion globale du compte client.

    Catégories de données

    Identité, fonction et coordonnées professionnelles des interlocuteurs désignés (signataires, sponsors, chefs de projet, contacts opérationnels), historique des échanges contractuels, comptes-rendus de réunion, documents contractuels signés, éventuels avenants et lettres officielles.

    Durée de conservation

    Pendant toute la durée du contrat. À l’issue : 5 ans (prescription commerciale et probatoire — article L. 110-4 du Code de commerce). Au-delà, archivage anonymisé à des fins statistiques ou suppression définitive.

     

    2.4. CRM HubSpot — centralisation des données commerciales

    Le Groupe SQORUS utilise HubSpot, plateforme CRM (Customer Relationship Management) qui centralise les données commerciales : prospects, opportunités, clients actifs, historique des échanges, suivi des actions commerciales. Cet outil constitue le référentiel commercial du Groupe.

    Fiche de traitement n°3 — HubSpot CRM

    Finalité

    Centraliser dans un outil unifié l’ensemble des données commerciales pour le suivi des prospects, des opportunités, et des clients en relation avec SQORUS. Permet aux équipes commerciales de disposer d’une vue à jour des échanges et du contexte de chaque interlocuteur.

    Base légale

    Intérêt légitime du Groupe à disposer d’un outil de gestion commerciale performant (article 6 §1.f). Exécution du contrat (article 6 §1.b) pour les données associées à un contrat actif.

    Catégories de données

    Toutes les données décrites aux §§ 2.2 et 2.3, centralisées dans l’outil. Données techniques d’usage (horodatage des actions, traçabilité des accès des collaborateurs SQORUS).

    Durée de conservation

    Identique aux durées des données qu’il centralise (cf. §§ 2.2, 2.3). Les comptes inactifs depuis plus de 3 ans sans contrat actif sont archivés ou supprimés.

    HubSpot est un éditeur américain (Cambridge, MA, USA). Les transferts hors UE associés sont encadrés par les mécanismes décrits en section 4 (DPF + Clauses Contractuelles Types).

     

    2.5. Facturation, paiement et comptabilité

    Fiche de traitement n°4 — Facturation et comptabilité

    Finalité

    Établissement et émission des factures correspondant aux prestations exécutées, suivi des paiements, gestion des relances et contentieux le cas échéant, comptabilisation des opérations, déclarations fiscales associées (TVA, déclarations comptables annuelles).

    Base légale

    Exécution du contrat commercial (article 6 §1.b) et respect d’obligations légales comptables et fiscales (article 6 §1.c) : Code de commerce articles L. 123-22 et L. 110-4, Code général des impôts, normes comptables applicables.

    Catégories de données

    Identité et coordonnées des interlocuteurs désignés pour la facturation (responsable comptable / financier du client), références bancaires de votre organisation lorsque nécessaires au paiement, contenu des factures émises, suivi des paiements et relances.

    Durée de conservation

    10 ans à compter de la clôture de l’exercice comptable concerné (Code de commerce article L. 123-22). Pour les éléments à valeur probante contractuelle : 5 ans (prescription commerciale).

     

    2.6. Communications marketing et événements

    Fiche de traitement n°5 — Communications marketing

    Finalité

    Vous informer des actualités, événements, publications, livres blancs, webinars, et offres du Groupe SQORUS, sur les sujets correspondant à votre périmètre professionnel. Inclut la newsletter, les invitations à des événements, et les communications ciblées sur des thématiques métier.

    Base légale

    Intérêt légitime du Groupe à informer les contacts professionnels en relation commerciale ou ayant manifesté un intérêt (article 6 §1.f), pour la communication contextuelle B2B. Consentement explicite (article 6 §1.a) lorsque vous vous inscrivez à la newsletter via le site web ou un formulaire dédié.

    Catégories de données

    Identité, coordonnées professionnelles, fonction, centres d’intérêt déclarés, historique des emails ouverts ou cliqués (statistiques d’engagement), participation aux événements.

    Durée de conservation

    Aussi longtemps que vous demeurez en relation commerciale avec SQORUS, ou jusqu’à votre désabonnement ou votre opposition. Après désabonnement : conservation 3 ans à des fins de preuve d’opposition (POL-RGPD-CONSERVATION v2.0).

     Tout email marketing intègre un lien de désabonnement clair et fonctionnel. Vous pouvez également exercer votre droit d’opposition à tout moment, sans motif, en écrivant à dpo@sqorus.com.

     

    2.7. Suivi de la satisfaction client

    Fiche de traitement n°6 — Satisfaction client

    Finalité

    Mesurer la satisfaction des clients du Groupe à l’égard des prestations conduites, identifier les axes d’amélioration, valoriser les retours positifs (cas clients, témoignages — toujours avec accord explicite préalable du client).

    Base légale

    Intérêt légitime du Groupe à connaître et améliorer la qualité de ses prestations (article 6 §1.f). Consentement explicite (article 6 §1.a) pour la diffusion publique de témoignages ou cas clients vous citant nommément ou citant votre organisation.

    Catégories de données

    Identité du contact répondant, fonction, organisation, contenu du questionnaire de satisfaction ou de l’entretien, libellé des verbatims éventuels.

    Durée de conservation

    3 ans après recueil. Témoignages diffusés avec consentement : durée du consentement (révocable à tout moment).

     

    3. À qui sont communiquées vos données ?

    3.1. Destinataires internes

    Au sein du Groupe SQORUS, l’accès à vos données est strictement limité aux personnes ayant un rôle dans la relation commerciale :

    • Les équipes commerciales (chargés d’affaires, ingénieurs avant-vente, directeurs commerciaux) — pour la prospection, la négociation et le suivi du compte ;
    • Les équipes opérationnelles affectées à votre projet (chefs de projet, consultants, managers d’équipe) — pour l’exécution des prestations ;
    • Les équipes administratives et financières — pour la facturation, la comptabilité, le suivi des paiements ;
    • Le service marketing — pour les communications, sous réserve du respect de vos préférences ;
    • La Direction Générale — pour les comptes stratégiques et les décisions importantes ;
    • Le Délégué à la Protection des Données (DPO) — pour les questions de protection des données.

    Des transferts intra-groupe peuvent intervenir avec les filiales SQORUS Côte d’Ivoire et SQORUS Maroc lorsque le contrat ou le projet l’impose (coordination des équipes mixtes, intervention de consultants des filiales). Ces transferts intra-groupe sont encadrés par un accord intra-groupe RGPD (ACC-RGPD-INTRAGROUPE) incorporant les clauses contractuelles types de la Commission européenne (décision (UE) 2021/914), garantissant un niveau de protection homogène.

     

    3.2. Sous-traitants

    Le Groupe s’appuie sur des sous-traitants pour la mise à disposition d’outils ou la réalisation de certaines prestations. Ces sous-traitants sont sélectionnés selon une procédure rigoureuse (Vendor Security Assessment) et encadrés contractuellement par des clauses article 28 RGPD imposant des mesures de sécurité et de confidentialité appropriées.

    Catégorie de service

    Sous-traitant principal

    Périmètre

    CRM commercial

    HubSpot (États-Unis)

    Centralisation des données de prospection et de relation client

    Suite collaborative

    Microsoft (M365 : Outlook, Teams, OneDrive, SharePoint)

    Échanges email, partage de documents, visioconférences

    Signature électronique

    Selon prestataire mobilisé

    Signature contractuelle dématérialisée

    Facturation et comptabilité

    Selon ERP en place — détail disponible sur demande

    Émission de factures, suivi comptable

    Outils marketing et événements

    Selon prestataires mobilisés (emailing, plateformes événementielles)

    Diffusion de newsletters, gestion d’inscriptions à événements

    Hébergement et services techniques

    Selon contrats — détail disponible sur demande au DPO

    Hébergement de certains outils internes

     La liste complète et à jour des sous-traitants intervenant sur des données à caractère personnel est tenue par le DPO et accessible sur simple demande à dpo@sqorus.com.

     

    3.3. Tiers externes destinataires

    Vos données peuvent être communiquées à des tiers externes uniquement dans les cas suivants :

    • Les autorités publiques et judiciaires sur demande légale formalisée ;
    • Les conseils du Groupe (avocats, experts-comptables, commissaires aux comptes) dans le cadre strict de leur mission ;
    • Les organismes de financement et établissements bancaires pour les opérations de paiement ;
    • En cas de cession partielle ou totale d’activité ou de restructuration du Groupe, sous réserve de la garantie d’un niveau de protection équivalent et d’une information préalable des personnes concernées.

    Vos données ne sont jamais communiquées à des tiers externes à des fins commerciales, publicitaires ou de prospection.

     

    4. Vos données sont-elles transférées hors de l’Union Européenne ?

    Certains traitements impliquent des transferts vers des pays situés hors de l’Espace Économique Européen. Ces transferts sont encadrés conformément à la politique de transferts du Groupe (POL-RGPD-TRANSFERTS v1.0) :

    Pays / Zone

    Cas d’usage

    Mécanisme d’encadrement

    États-Unis

    HubSpot (CRM), Microsoft (M365), certains outils SaaS

    Décision d’adéquation européenne « Data Privacy Framework » du 10 juillet 2023 (Décision UE 2023/1795). En complément (« ceinture et bretelles ») : Clauses Contractuelles Types (Décision UE 2021/914).

    Royaume-Uni, Suisse, Canada, Japon, Israël

    Sous-traitants ponctuels

    Décisions d’adéquation européennes — niveau de protection reconnu équivalent.

    Côte d’Ivoire

    Coordination Groupe avec SQORUS Côte d’Ivoire ; consultants mixtes sur certaines missions

    Clauses Contractuelles Types (article 46 §2.c RGPD) + Transfer Impact Assessment (TIA) documenté.

    Maroc

    Coordination Groupe avec SQORUS Maroc ; consultants mixtes sur certaines missions

    Clauses Contractuelles Types (article 46 §2.c RGPD) + Transfer Impact Assessment (TIA) documenté.

    Autres pays tiers

    Cas exceptionnels, ponctuels

    Mécanismes de l’article 46 RGPD ou dérogations limitatives de l’article 49 RGPD. Information préalable du DPO et documentation.

     

    Toutes les mesures techniques et organisationnelles complémentaires recommandées par le CEPD sont mises en œuvre : chiffrement à l’état de l’art au repos et en transit, pseudonymisation lorsque la finalité le permet, gestion stricte des accès.

    5. Combien de temps vos données sont-elles conservées ?

    La durée de conservation de vos données varie selon la nature du traitement et les obligations légales applicables.

    Récapitulatif :

    Catégorie de données

    Durée principale

    Fondement

    Données de prospection commerciale

    3 ans à compter du dernier contact

    Doctrine CNIL — prospection B2B

    Données de gestion du contrat actif

    Durée du contrat

    Exécution du contrat commercial

    Données contractuelles post-contrat

    5 ans après la fin du contrat

    Prescription commerciale — Code de commerce article L. 110-4

    Données comptables et fiscales (factures, justificatifs)

    10 ans

    Code de commerce article L. 123-22

    Données de communication marketing (abonnés newsletter)

    Tant que vous êtes abonné(e)

    Consentement / intérêt légitime

    Preuve d’opposition / de désabonnement

    3 ans après l’opposition

    POL-RGPD-CONSERVATION v2.0 — preuve d’opposition

    Témoignages et cas clients diffusés

    Durée du consentement (révocable)

    Consentement (article 6 §1.a)

    Données KYC (lutte anti-blanchiment / corruption)

    5 ans après la fin de la relation contractuelle

    Code monétaire et financier

     La politique de conservation complète du Groupe (POL-RGPD-CONSERVATION v2.0) précise les durées applicables à chaque catégorie de données et les mécanismes d’archivage et d’effacement. Elle est consultable sur demande au DPO.

    6. Quels sont vos droits ?

    Vous disposez sur vos données à caractère personnel des droits suivants, prévus par les articles 15 à 22 du RGPD :

    Droit

    Description

    Droit d’accès (article 15)

    Obtenir confirmation que vos données sont traitées et, le cas échéant, en recevoir une copie ainsi que les informations associées.

    Droit de rectification (article 16)

    Faire corriger les données inexactes vous concernant ou compléter les données incomplètes (par exemple : changement de fonction, d’organisation, de coordonnées).

    Droit à l’effacement (article 17)

    Demander l’effacement de vos données. Ce droit peut être limité par les obligations légales (comptabilité, KYC) ou contractuelles (durée d’un contrat actif).

    Droit à la limitation (article 18)

    Demander la « mise en pause » du traitement dans certains cas (par exemple : contestation d’exactitude pendant la vérification).

    Droit à la portabilité (article 20)

    Recevoir vos données dans un format structuré et lisible par machine, pour les traitements fondés sur l’exécution du contrat ou sur votre consentement.

    Droit d’opposition (article 21)

    Vous opposer à un traitement fondé sur l’intérêt légitime, pour des raisons tenant à votre situation particulière. Concernant la prospection commerciale, vous pouvez vous y opposer à tout moment et sans motif (article 21 §2 RGPD) — c’est un droit absolu.

    Retrait du consentement

    Lorsque le traitement repose sur votre consentement (newsletter, témoignages), vous pouvez le retirer à tout moment, sans que cela n’affecte la licéité du traitement antérieur.

     

    7. Comment exercer vos droits ?

    7.1. Canal d’exercice

    Pour exercer l’un de vos droits, adressez une demande au Délégué à la Protection des Données du Groupe :

    dpo@sqorus.com 

    Pour le désabonnement à la newsletter, vous pouvez également utiliser le lien de désabonnement présent dans chaque email marketing. Cette action est traitée comme une opposition formelle au sens de l’article 21 §2 RGPD.

     

    7.2. Identification

    Pour les contacts commerciaux ayant une relation établie avec SQORUS, l’utilisation de votre adresse email professionnelle constitue en principe une identification suffisante. En cas de doute, ou pour les demandes portant sur des données particulièrement sensibles, le DPO pourra solliciter une copie d’une pièce d’identité ; cette copie sera supprimée dans les 30 jours suivant la clôture de votre demande.

     

    7.3. Délai de réponse

    Le DPO vous répond dans un délai d’un mois à compter de la réception de votre demande complète. Ce délai peut être prorogé de deux mois si votre demande est complexe ou si le DPO traite simultanément un nombre élevé de demandes. Vous serez informé(e) de cette prorogation et de sa motivation dans le délai initial d’un mois.

     

    7.4. Droit d’introduire une réclamation

    Si vous estimez que vos droits n’ont pas été respectés, vous pouvez introduire une réclamation auprès de l’autorité de contrôle compétente :

    • Pour la France : Commission Nationale de l’Informatique et des Libertés (CNIL), 3 place de Fontenoy, 75007 Paris — www.cnil.fr ;
    • Pour la Côte d’Ivoire : Autorité de Régulation des Télécommunications de Côte d’Ivoire (ARTCI) ;
    • Pour le Maroc : Commission Nationale de contrôle de la protection des Données à caractère Personnel (CNDP).

    Vous disposez également du droit de former un recours juridictionnel devant la juridiction compétente, conformément à l’article 79 du RGPD.

    8. Décisions automatisées et intelligence artificielle

    L’article 22 du RGPD prévoit le droit, pour la personne concernée, de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques significatifs à son égard.

    Le Groupe SQORUS ne met en œuvre aucun traitement répondant à cette qualification dans le cadre de la relation commerciale :

    • Aucune décision commerciale (qualification de prospect, accord de remise, suspension de relation, etc.) n’est prise exclusivement de manière automatisée ;
    • Certains outils internes peuvent intégrer des fonctions d’aide à la priorisation ou d’enrichissement de données (par exemple : HubSpot peut proposer un scoring de prospect) — ces aides sont consultatives et la décision relève toujours d’un commercial humain ;
    • Les outils d’intelligence artificielle internes au Groupe (notamment Microsoft 365 Copilot pour la productivité interne) peuvent intervenir dans la préparation de propositions commerciales ou de communications, mais ne se substituent pas à la décision humaine.

    Cette configuration est vérifiée à chaque déploiement d’un outil commercial et fait l’objet d’une Analyse d’Impact relative à la Protection des Données (AIPD) lorsque l’outil mobilise un système d’IA significatif.

    9. Cas particulier — missions de prestation (SQORUS sous-traitant)

    Dans le cadre de nombreuses prestations (Tierce Maintenance Applicative, intégration, conseil, formation, run), le Groupe SQORUS traite, pour le compte de votre organisation, des données à caractère personnel dont votre organisation est responsable de traitement. Il s’agit typiquement :

    • De données relatives à vos collaborateurs (lorsque SQORUS intervient sur un SIRH, un outil RH, un poste de travail collaborateur) ;
    • De données relatives à vos clients (lorsque SQORUS intervient sur un CRM, une base commerciale, une plateforme de relation client) ;
    • De données métier traitées par les applications administrées par SQORUS.

     

    9.1. Distinction des responsabilités

    Dans ce cas, les responsabilités sont les suivantes :

    • Votre organisation est responsable de traitement de ces données — elle détermine les finalités et les moyens du traitement ;
    • Le Groupe SQORUS est sous-traitant au sens de l’article 28 du RGPD — il traite les données pour le compte de votre organisation, dans le cadre des instructions documentées ;
    • Les personnes concernées (vos collaborateurs, vos clients, etc.) sont informées par votre organisation au moyen de sa propre notice RGPD — pas par la présente notice SQORUS.

     

    9.2. Engagements contractuels de SQORUS en qualité de sous-traitant

    Conformément à l’article 28 RGPD, le Groupe SQORUS s’engage contractuellement à respecter les obligations suivantes (clauses formalisées dans nos contrats clients ou dans les annexes contractuelles dédiées) :

    • Traiter les données uniquement sur instruction documentée de votre organisation ;
    • Garantir la confidentialité des données via des engagements de confidentialité signés par tous les collaborateurs SQORUS habilités ;
    • Mettre en œuvre les mesures techniques et organisationnelles appropriées (article 32 RGPD) — référentiel sécurité aligné sur ISO 27001 ;
    • Obtenir votre autorisation préalable, générale ou spécifique, avant tout recours à une sous-traitance ultérieure (notamment : recours aux filiales SQORUS Côte d’Ivoire et SQORUS Maroc) ;
    • Vous assister dans le respect des obligations envers les personnes concernées (notamment : exercice des droits, notification des violations dans les 24 heures, contribution aux AIPD) ;
    • Vous communiquer, à votre demande, les informations nécessaires pour démontrer le respect de l’article 28 et permettre la conduite d’audits ;
    • Au terme du contrat, restituer ou supprimer les données, selon vos instructions.

     

    9.3. Cadre documentaire applicable côté SQORUS

    Le cadre interne du Groupe garantissant ces engagements comprend notamment :

    • POL-SEC-PSSI v2.0 — Politique de Sécurité du Système d’Information ;
    • POL-RGPD-PRESTATAIRES v1.0 — Politique RGPD prestataires (encadre la chaîne de sous-traitance) ;
    • PRO-RGPD-VIOLATIONS v1.0 — Procédure de notification des violations (délai SQORUS ST → client RT : 24 heures) ;
    • PRO-RGPD-DROITS v1.0 — Procédure d’exercice des droits, incluant le mécanisme de transfert au client RT lorsqu’une demande lui est destinée.

    Pour toute question relative aux engagements de SQORUS en qualité de sous-traitant, votre interlocuteur reste le DPO Groupe : dpo@sqorus.com

    10. Mises à jour de la notice

    La présente notice est susceptible d’évoluer pour tenir compte des modifications réglementaires, des évolutions des outils utilisés, ou de l’ajout ou suppression de sous-traitants. Les modalités d’information sont les suivantes :

    • Versioning systématique : chaque modification donne lieu à une nouvelle version numérotée (v1.0 → v1.1 → v2.0 selon l’ampleur des modifications) avec date d’application ;
    • La version en vigueur est en permanence accessible à l’adresse sqorus.com/protection-donnees-clients ;
    • Toute modification substantielle (nouveau traitement, nouvelle finalité, nouveau destinataire majeur, évolution des bases légales, changement de durée de conservation significatif, changement de localisation d’hébergement) fait l’objet d’une information préalable, par email, à l’ensemble des contacts commerciaux actifs en CRM ;
    • Une modification purement formelle (correction typographique, mise à jour d’une référence externe sans impact sur vos droits) est tracée à l’historique des versions sans information individuelle.

    La version applicable à une relation contractuelle est celle en vigueur à la date de signature du contrat, sauf modification substantielle ultérieure pour laquelle vous serez informé(e) selon les modalités ci-dessus.

    Addendum A — SQORUS Côte d’Ivoire

    Le présent addendum complète la notice principale pour les clients et prospects en relation contractuelle directe avec SQORUS Côte d’Ivoire. Il précise les spécificités locales applicables.

     

    A.1. Identité de l’entité contractante

    Lorsque la relation commerciale est contractuellement portée par SQORUS Côte d’Ivoire, c’est cette entité juridique qui est responsable de traitement local. Le DPO Groupe reste votre interlocuteur de référence pour toute question relative à la protection des données, à l’adresse dpo@sqorus.com.

     

    A.2. Cadre juridique applicable

    Les traitements de vos données sont encadrés simultanément par :

    • La loi ivoirienne n° 2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel, et ses textes d’application ;
    • Le RGPD, lorsque les traitements impliquent la coordination avec le Groupe en France (transferts intra-groupe, équipes mixtes, contacts résidant dans l’EEE).

    L’autorité de contrôle compétente pour la Côte d’Ivoire est l’Autorité de Régulation des Télécommunications de Côte d’Ivoire (ARTCI). Vous pouvez introduire une réclamation auprès de cette autorité si vous estimez que vos droits n’ont pas été respectés.

     

    A.3. Spécificités pratiques

    • Le canal d’exercice des droits reste dpo@sqorus.com (DPO Groupe). Un référent local de SQORUS Côte d’Ivoire peut être désigné pour le relais ;
    • Les transferts vers la France (Groupe) ou hors d’Afrique sont encadrés par les mécanismes prévus par la loi ivoirienne et par les Clauses Contractuelles Types européennes accompagnées d’un Transfer Impact Assessment ;
    • Les durées et modalités décrites dans le corps de la notice s’appliquent, à l’exception des durées légales locales le cas échéant divergentes (notamment en matière comptable et fiscale).

    Addendum B — SQORUS Maroc

    Le présent addendum complète la notice principale pour les clients et prospects en relation contractuelle directe avec SQORUS Maroc.

     

    B.1. Identité de l’entité contractante

    Lorsque la relation commerciale est contractuellement portée par SQORUS Maroc, c’est cette entité juridique qui est responsable de traitement local. Le DPO Groupe reste votre interlocuteur de référence à l’adresse dpo@sqorus.com.

     

    B.2. Cadre juridique applicable

    Les traitements de vos données sont encadrés simultanément par :

    • La loi marocaine n° 09-08 du 18 février 2009 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel, et ses textes d’application ;
    • Le RGPD, lorsque les traitements impliquent la coordination avec le Groupe en France.

    L’autorité de contrôle compétente pour le Maroc est la Commission Nationale de contrôle de la protection des Données à caractère Personnel (CNDP). Vous pouvez introduire une réclamation auprès de cette autorité si vous estimez que vos droits n’ont pas été respectés.

     

    B.3. Spécificités pratiques

    • Le canal d’exercice des droits reste dpo@sqorus.com (DPO Groupe). Un référent local de SQORUS Maroc peut être désigné pour le relais ;
    • Les transferts vers la France (Groupe) ou hors d’Afrique sont encadrés par les mécanismes prévus par la loi 09-08 (autorisation préalable ou notification CNDP selon les cas) et par les Clauses Contractuelles Types européennes accompagnées d’un Transfer Impact Assessment ;
    • Les durées et modalités décrites dans le corps de la notice s’appliquent, à l’exception des durées légales locales le cas échéant divergentes.

    Annexe — Mentions courtes pour propositions, contrats et formulaires

    Les mentions courtes ci-dessous sont destinées à être intégrées aux différents points de collecte commerciale (propositions commerciales, contrats, formulaires web). Elles fournissent une information condensée conforme à l’approche en couches recommandée par le CEPD (Lignes directrices 03/2017 sur la transparence).

     

    Version 1 — Clause à intégrer dans le contrat commercial SQORUS

    À intégrer dans tout contrat commercial où SQORUS est l’émetteur du modèle. À placer en clause de fin ou en annexe :

    Protection des données à caractère personnel

    Dans le cadre du présent contrat, le Groupe SQORUS, en sa qualité de responsable de traitement, collecte et traite les données à caractère personnel des interlocuteurs commerciaux et opérationnels désignés par le Client (signataires, sponsors, chefs de projet, contacts facturation, etc.).

    Les bases juridiques de ces traitements sont l’exécution du présent contrat (article 6 §1.b RGPD), l’intérêt légitime du Groupe à la gestion commerciale et au suivi du compte (article 6 §1.f RGPD), et le respect d’obligations légales (article 6 §1.c RGPD), notamment comptables et fiscales.

    Les personnes concernées disposent de droits étendus sur leurs données : accès, rectification, effacement (sous réserve des durées légales), limitation, portabilité, opposition. Pour les exercer ou pour toute question : dpo@sqorus.com.

    L’information complète figure dans la Notice clients et prospects du Groupe SQORUS (NOT-RGPD-CLIENT v1.0), disponible à l’adresse sqorus.com/protection-donnees-clients. Cette notice constitue l’information détaillée prévue par les articles 13 et 14 du RGPD. Le Client reconnaît en avoir reçu un exemplaire et atteste avoir porté ces informations à la connaissance de ses interlocuteurs désignés au présent contrat.

    Cas particulier — SQORUS sous-traitant :

    Lorsque l’exécution du présent contrat implique le traitement par SQORUS de données à caractère personnel dont le Client est responsable de traitement (par exemple : données de ses salariés, de ses clients, ou de ses prospects), les engagements de SQORUS en sa qualité de sous-traitant au sens de l’article 28 RGPD sont précisés à [REFERENCE ANNEXE ARTICLE 28] du présent contrat. La notice d’information aux personnes concernées dans ce périmètre relève de la responsabilité du Client.

     

    Version 2 — Mention pour proposition commerciale et premier contact

    Vos données sont traitées par SQORUS dans le cadre de la prospection commerciale B2B

    Nous avons identifié votre fonction et vos coordonnées professionnelles à des fins de présentation de nos offres. Les bases juridiques sont l’intérêt légitime du Groupe à la prospection B2B (article 6 §1.f RGPD) et, le cas échéant, les mesures précontractuelles à votre demande (article 6 §1.b RGPD).

    Conservation : 3 ans à compter du dernier contact, conformément à la doctrine CNIL.

    Vous pouvez vous opposer à tout moment, sans motif, à la prospection commerciale en écrivant à dpo@sqorus.com.

    Information détaillée : Notice NOT-RGPD-CLIENT accessible à sqorus.com/protection-donnees-clients

     

    Version 3 — Mention pour formulaire web de contact (sqorus.com)

    Protection de vos données

    Les données que vous renseignez dans ce formulaire sont traitées par SQORUS SAS, responsable de traitement, pour répondre à votre demande de contact ou de devis. La base juridique est l’exécution des mesures précontractuelles prises à votre demande (article 6 §1.b RGPD).

    Pour exercer vos droits (accès, rectification, effacement, limitation, portabilité, opposition) ou pour toute question : dpo@sqorus.com.

    Notice complète : sqorus.com/protection-donnees-clients

    ☐ J’ai pris connaissance de la Notice clients et prospects SQORUS.

     

    Version 4 — Mention de pied de page pour les emails marketing

    À intégrer en pied de tout email de newsletter, invitation à événement ou communication marketing du Groupe :

    Vous recevez cet email parce que vous êtes en relation commerciale avec le Groupe SQORUS ou avez manifesté un intérêt pour nos publications. La base juridique est l’intérêt légitime du Groupe à informer ses contacts professionnels (article 6 §1.f RGPD).

    → Se désabonner [LIEN DE DÉSABONNEMENT]

    → Notice complète : sqorus.com/protection-donnees-clients

    → Pour toute question : dpo@sqorus.com

    SQORUS SAS — 25 rue de Maubeuge, 75009 Paris — SIREN 353 663 065

     

    Version 5 — Mention de consentement explicite pour témoignages et cas clients

    À utiliser pour recueillir le consentement explicite et révocable d’un client à la diffusion d’un témoignage ou cas client le citant nommément :

    Consentement à la diffusion d’un témoignage

    Je soussigné(e) [NOM, PRÉNOM, FONCTION, ORGANISATION] consens expressément à la diffusion publique du témoignage / cas client suivant, dont j’ai pris connaissance et validé le contenu :

    [CONTENU À VALIDER]

    Modalités de diffusion convenues :

    ☐ Site web sqorus.com

    ☐ Supports commerciaux SQORUS (plaquettes, propositions)

    ☐ Réseaux sociaux du Groupe

    ☐ Communications presse ou événements

    Ce consentement est donné sur le fondement de l’article 6 §1.a RGPD. Je peux le retirer à tout moment en écrivant à dpo@sqorus.com, sans que cela n’affecte la licéité des diffusions antérieures au retrait.

    Fait à __________, le __________

    Signature :