Logo-SQORUS
Parcours - Onboarding SQORUS

Notice d’information relative à la protection des données des fournisseurs et partenaires

Dernière mise à jour : 08/06/2026

Préambule — pourquoi cette notice ?

Dans le cadre de la relation contractuelle qui vous lie au Groupe SQORUS en tant que fournisseur, partenaire, prestataire technique ou freelance, des données à caractère personnel vous concernant en tant que personne physique sont collectées et traitées par le Groupe : votre nom, vos coordonnées professionnelles, votre fonction au sein de l’organisation fournisseur, vos données contractuelles, vos données de paiement, et les éléments associés aux échanges. Le Règlement Général sur la Protection des Données (RGPD) impose au Groupe de vous informer précisément sur ces traitements.

La présente notice répond à cette obligation. Elle vous est portée à votre connaissance en étant annexée à votre contrat principal au moment de sa signature. Elle est également accessible en permanence à l’adresse sqorus.com/protection-donnees-partenaires.

La notice est rédigée dans un langage clair et accessible. Si une formulation vous paraît néanmoins peu compréhensible, ou si vous avez une question, le Délégué à la Protection des Données du Groupe (DPO) est à votre disposition à l’adresse dpo@sqorus.com

Lecture rapide

Vos données sont traitées par le Groupe SQORUS en sa qualité de responsable de traitement, pour les besoins de la gestion de la chaîne d’approvisionnement et des partenariats : référencement, contrat, facturation, évaluation, conformité légale.

Les bases juridiques sont l’exécution du contrat fournisseur, les obligations légales (comptables, fiscales, anti-corruption Sapin II), et l’intérêt légitime du Groupe à gérer son panel de fournisseurs.

Vous disposez de droits étendus : accès, rectification, effacement, limitation, portabilité, opposition. Pour les exercer : dpo@sqorus.com.

Aucune décision exclusivement automatisée n’est prise à votre égard ; les évaluations et notations fournisseurs reposent sur une analyse humaine.

    1. Qui est responsable de vos données ?

    1.1. Identité du responsable de traitement

    Le responsable du traitement de vos données à caractère personnel est :

    Raison sociale

    SQORUS SAS

    Forme juridique

    Société par actions simplifiée au capital de 1 088 400 euros

    Adresse du siège

    25 rue de Maubeuge, 75009 Paris, France

    SIREN

    353 663 065

    Représenté par

    Amadou NGOM, Président

    Site web

    www.sqorus.com

    Si la relation contractuelle est portée par SQORUS Côte d’Ivoire ou SQORUS Maroc, l’entité juridique locale agit en qualité de responsable de traitement (cf. addendums A et B en fin de notice).

     

    1.2. Coordonnées du Délégué à la Protection des Données

    Le Groupe SQORUS a désigné un Délégué à la Protection des Données (DPO), interlocuteur unique pour toute question ou demande relative à vos données :

    Nom et fonction

    Olivier PROFIT — Délégué à la Protection des Données Groupe

    Adresse électronique

    dpo@sqorus.com

    Adresse postale

    À l’attention du DPO — SQORUS SAS — 25 rue de Maubeuge, 75009 Paris

     

    1.3. Périmètre de la notice

    La présente notice s’applique à tous les contacts personnes physiques de la chaîne fournisseur et partenaire du Groupe SQORUS :

    • Représentants légaux et signataires des fournisseurs et partenaires personnes morales ;
    • Interlocuteurs commerciaux et opérationnels désignés par les fournisseurs et partenaires ;
    • Contacts comptables et financiers en charge de la facturation ;
    • Freelances et consultants externes contractant directement avec SQORUS en tant que personnes physiques (statut autoentrepreneur, entreprise individuelle, indépendants) ;
    • Sous-traitants techniques externes en relation avec SQORUS ;
    • Partenaires commerciaux des alliances et consortiums du Groupe.

    La notice ne couvre pas les collaborateurs des fournisseurs traités dans le cadre d’une mission spécifique sous responsabilité du client final (cas où SQORUS est sous-traitant et le fournisseur est sous-traitant ultérieur) — ce cas relève de la section 9 et des clauses contractuelles dédiées (article 28 RGPD).

    2. Quels traitements vous concernent ?

    2.1. Vue d’ensemble

    Cette section présente l’ensemble des traitements de vos données mis en œuvre par SQORUS dans le cadre de la relation fournisseur ou partenaire, en sa qualité de responsable de traitement. Chaque traitement est décrit selon une trame standardisée : finalité, base juridique au sens de l’article 6 du RGPD, catégories de données, durée de conservation.

    Les bases légales mobilisées sont principalement :

    • L’exécution du contrat fournisseur ou partenaire (article 6 §1.b RGPD) — pour les traitements directement liés à la conclusion et à l’exécution du contrat, y compris les mesures précontractuelles ;
    • Le respect d’obligations légales (article 6 §1.c RGPD) — pour les traitements imposés par le Code de commerce (comptabilité), le Code général des impôts (fiscalité), la loi n° 2016-1691 du 9 décembre 2016 dite « Sapin II » (lutte contre la corruption et cartographie des risques tiers), le Code monétaire et financier (KYC) ;
    • L’intérêt légitime du Groupe (article 6 §1.f RGPD) — pour la gestion globale du panel fournisseurs, l’évaluation qualité, la prospection partenariale, l’amélioration continue de la chaîne d’approvisionnement. Un test de balance des intérêts a été conduit pour chaque traitement de ce type.

    Aucune donnée sensible au sens de l’article 9 du RGPD n’est sollicitée ni traitée. Si vous communiquez spontanément de telles informations (par exemple : extrait de casier judiciaire — KBis comporte rarement cette mention en France standard), elles sont conservées uniquement le temps nécessaire à la vérification puis supprimées.

     

    2.2. Onboarding et référencement fournisseur (VSA)

    Fiche de traitement n°1 — Onboarding et VSA

    Finalité

    Référencer un nouveau fournisseur ou partenaire dans le panel du Groupe SQORUS : analyse de capacités, vérification d’identité et de solvabilité de l’organisation, évaluation des mesures de sécurité (Vendor Security Assessment — VSA), évaluation des engagements RGPD, validation interne pour entrée en relation contractuelle.

    Base légale

    Mesures précontractuelles à la demande de la personne (article 6 §1.b RGPD) — vous avez initié ou accepté une démarche de référencement. Intérêt légitime du Groupe à sélectionner ses fournisseurs selon des critères sécurité, qualité et conformité (article 6 §1.f). Obligation légale au titre de la loi Sapin II et du Code monétaire et financier pour les vérifications minimales (article 6 §1.c) — cf. § 2.6.

    Catégories de données

    Identité du représentant légal (nom, prénom, fonction), identité des interlocuteurs commerciaux et opérationnels désignés, coordonnées professionnelles, données de l’organisation (KBis, SIREN, capital, statuts), réponses au questionnaire VSA (organisation sécurité, mesures techniques, conformité RGPD, certifications), pièces justificatives transmises (attestations, certificats, polices d’assurance).

    Durée de conservation

    Pendant toute la durée de la relation contractuelle. À l’issue du contrat : 5 ans pour la traçabilité des décisions de référencement (intérêt légitime à démontrer la diligence dans la sélection des fournisseurs). En cas de non-référencement (échec à l’issue du processus) : 1 an à compter de la décision, pour justifier le motif de non-sélection en cas de réclamation.

     

    2.3. Gestion contractuelle et opérationnelle

    Fiche de traitement n°2 — Gestion du contrat fournisseur

    Finalité

    Conclusion du contrat fournisseur ou partenaire (négociation, formalisation), exécution du contrat (commandes, suivi des prestations, communication avec les interlocuteurs désignés, comités de pilotage, points opérationnels), gestion des évolutions contractuelles (avenants, prolongations, fins de relation).

    Base légale

    Exécution du contrat (article 6 §1.b RGPD) pour les contacts désignés comme interlocuteurs au titre du contrat. Intérêt légitime du Groupe (article 6 §1.f) pour la gestion globale du compte fournisseur.

    Catégories de données

    Identité, fonction et coordonnées professionnelles des interlocuteurs désignés (signataires, contacts commerciaux, contacts opérationnels), historique des échanges contractuels, comptes-rendus de réunions, documents contractuels signés, avenants.

    Durée de conservation

    Pendant toute la durée du contrat. À l’issue : 5 ans (prescription commerciale — article L. 110-4 du Code de commerce). Au-delà : archivage anonymisé à des fins statistiques ou suppression définitive.

     

    2.4. Facturation, paiement et comptabilité

    Fiche de traitement n°3 — Facturation fournisseur et comptabilité

    Finalité

    Réception et traitement des factures émises par le fournisseur, contrôle de conformité aux engagements contractuels, validation et ordonnancement des paiements, comptabilisation des opérations, déclarations fiscales associées (TVA déductible, déclarations comptables annuelles).

    Base légale

    Exécution du contrat fournisseur (article 6 §1.b) et respect d’obligations légales comptables et fiscales (article 6 §1.c) : Code de commerce articles L. 123-22 et L. 110-4, Code général des impôts, normes comptables applicables.

    Catégories de données

    Identité et coordonnées des interlocuteurs désignés pour la facturation (responsable comptable / commercial du fournisseur), références bancaires de l’organisation fournisseur, contenu des factures reçues, suivi des paiements, échanges associés (relances éventuelles, contestations, avoirs).

    Durée de conservation

    10 ans à compter de la clôture de l’exercice comptable concerné (Code de commerce article L. 123-22). Pour les éléments à valeur probante contractuelle : 5 ans (prescription commerciale).

     Pour les freelances et autoentrepreneurs facturant directement en personne physique, les coordonnées bancaires et l’identité personnelle font partie des données traitées et sont conservées dans les mêmes conditions que ci-dessus.

     

    2.5. Évaluation et notation des fournisseurs

    Fiche de traitement n°4 — Évaluation des fournisseurs

    Finalité

    Évaluer périodiquement la qualité des prestations, le respect des engagements, la fiabilité commerciale et opérationnelle des fournisseurs, identifier les risques (qualité, dépendance, performance, conformité), alimenter une notation interne servant à la décision de renouvellement ou de réduction de la collaboration.

    Base légale

    Intérêt légitime du Groupe à évaluer ses fournisseurs et à gérer son panel selon des critères de qualité et de performance (article 6 §1.f RGPD). Un test de balance des intérêts a été conduit : l’évaluation porte sur la performance de l’organisation fournisseur et n’a pas vocation à évaluer les personnes physiques individuelles, sauf cas exceptionnel justifié.

    Catégories de données

    Identité du fournisseur (organisation), évaluations qualitatives formalisées par les équipes SQORUS, événements significatifs (incidents, non-conformités, échecs ou réussites de prestations), score interne, recommandations d’orientation. Le cas échéant, identité du chef de projet ou interlocuteur principal côté fournisseur lorsque l’évaluation porte directement sur ce périmètre.

    Durée de conservation

    5 ans à compter de la dernière évaluation ou de la fin du contrat, à des fins de capitalisation et de continuité de l’historique fournisseur.

     L’évaluation est conduite par les équipes SQORUS (chefs de projet, achats, équipes opérationnelles) selon un cadre formalisé. Vous pouvez demander à connaître les éléments d’évaluation vous concernant directement (en tant qu’interlocuteur identifié) en exerçant votre droit d’accès auprès du DPO.

     

    2.6. Lutte anti-corruption (loi Sapin II) et KYC

    Fiche de traitement n°5 — Cartographie des risques tiers et KYC

    Finalité

    Conformément à la loi n° 2016-1691 du 9 décembre 2016 dite « Sapin II » et aux dispositions du Code monétaire et financier en matière de lutte contre le blanchiment et le financement du terrorisme (LCB-FT), le Groupe SQORUS conduit une cartographie des risques de corruption sur ses tiers (fournisseurs, intermédiaires, partenaires) et des vérifications d’identité minimales (Know Your Customer / Know Your Vendor).

    Base légale

    Respect d’obligations légales (article 6 §1.c RGPD) : loi Sapin II articles 3 et 17 pour la cartographie des risques tiers et les procédures d’évaluation. Code monétaire et financier articles L. 561-2 et suivants pour les vérifications KYC le cas échéant. Intérêt légitime du Groupe à se prémunir des risques de corruption, fraude et atteinte à la réputation (article 6 §1.f).

    Catégories de données

    Identité du représentant légal et des bénéficiaires effectifs de l’organisation fournisseur (nom, prénom, date et lieu de naissance, nationalité, fonction), pièces d’identification éventuelles (copie de pièce d’identité dans les cas où cela est requis légalement), résultats des vérifications sur listes de sanctions internationales et listes de personnes politiquement exposées (PPE), exposition aux risques pays, secteurs d’activité, scoring de risque interne.

    Durée de conservation

    5 ans après la fin de la relation contractuelle (Code monétaire et financier article L. 561-12). Les copies de pièces d’identité sont supprimées à la fin de la vérification, sauf obligation légale spécifique justifiant leur conservation.

     

    Note importante sur le KYC et les listes de sanctions

    Les vérifications sur listes de sanctions internationales et listes de personnes politiquement exposées (PPE) sont conduites à l’entrée en relation et périodiquement, conformément au cadre Sapin II et LCB-FT. Elles portent sur l’identité publique des dirigeants et bénéficiaires effectifs de l’organisation.

    Un résultat positif (alerte sur une liste) déclenche une instruction approfondie en interne ; la décision finale est toujours prise par un comité interne, jamais de manière automatisée.

    Si vous estimez que vos données ont été mal qualifiées dans ce contexte, vous pouvez contester via dpo@sqorus.com — la PRO-RGPD-DROITS v1.0 du Groupe encadre cette procédure.

      3. À qui sont communiquées vos données ?

      3.1. Destinataires internes

      Au sein du Groupe SQORUS, l’accès à vos données est limité aux personnes ayant un rôle dans la chaîne d’approvisionnement et la gestion des fournisseurs :

      • Les équipes Achats — pour le sourcing, la sélection, le référencement et la gestion du panel fournisseurs ;
      • Les équipes opérationnelles utilisatrices de la prestation (chefs de projet, managers d’équipe) — pour la gestion contractuelle et l’évaluation ;
      • Les équipes administratives et financières — pour la facturation, le suivi des paiements, la comptabilité ;
      • La Direction Générale — pour les fournisseurs stratégiques et les décisions d’engagement importantes ;
      • Le Délégué à la Protection des Données (DPO) — pour les questions de protection des données ;
      • Le Responsable Conformité — pour les vérifications Sapin II et KYC.

      Des transferts intra-groupe peuvent intervenir avec les filiales SQORUS Côte d’Ivoire et SQORUS Maroc lorsque la relation fournisseur les concerne (par exemple : prestataire mutualisé Groupe, ou achats Groupe coordonnés).

       

      3.2. Sous-traitants techniques

      Le Groupe s’appuie sur des sous-traitants techniques pour la gestion des achats et de la chaîne fournisseur. Ces sous-traitants sont sélectionnés selon une procédure rigoureuse et encadrés contractuellement par des clauses article 28 RGPD :

      Catégorie de service

      Sous-traitant principal

      Périmètre

      Suite collaborative et échanges contractuels

      Microsoft (M365 : Outlook, Teams, OneDrive, SharePoint)

      Échanges email, partage de documents, visioconférences

      Signature électronique

      Selon prestataire mobilisé

      Signature contractuelle dématérialisée

      Comptabilité et facturation

      Selon ERP en place — détail disponible sur demande

      Traitement des factures fournisseurs, suivi comptable

      Outils Sapin II / KYC (listes de sanctions, PPE)

      Selon prestataire spécialisé — détail disponible sur demande

      Vérifications de conformité tiers, dépistage sanctions

      Hébergement et services techniques

      Selon contrats — détail disponible sur demande au DPO

      Hébergement de certains outils internes

       La liste complète et à jour des sous-traitants intervenant sur des données à caractère personnel est tenue par le DPO et accessible sur demande à dpo@sqorus.com.

       

      3.3. Tiers externes destinataires

      Vos données peuvent être communiquées à des tiers externes uniquement dans les cas suivants :

      • Les autorités publiques et judiciaires sur demande légale formalisée (notamment dans le cadre des obligations Sapin II et LCB-FT) ;
      • Les conseils du Groupe (avocats, experts-comptables, commissaires aux comptes) dans le cadre strict de leur mission ;
      • Les organismes de financement et établissements bancaires pour les opérations de paiement fournisseurs ;
      • Le cas échéant, le client final lorsque vous intervenez en sous-traitance ultérieure pour un de nos clients RT (cf. section 9).

       

      4. Vos données sont-elles transférées hors de l’Union Européenne ?

      Certains traitements impliquent des transferts vers des pays situés hors de l’Espace Économique Européen. Ces transferts sont encadrés conformément à la politique de transferts du Groupe (POL-RGPD-TRANSFERTS v1.0) :

      Pays / Zone

      Cas d’usage

      Mécanisme d’encadrement

      États-Unis

      Microsoft (M365), certains outils SaaS

      Décision d’adéquation européenne « Data Privacy Framework » du 10 juillet 2023 (Décision UE 2023/1795). En complément (« ceinture et bretelles ») : Clauses Contractuelles Types (Décision UE 2021/914).

      Côte d’Ivoire

      Coordination Groupe avec SQORUS Côte d’Ivoire ; fournisseurs locaux

      Clauses Contractuelles Types (article 46 §2.c RGPD) + Transfer Impact Assessment (TIA) documenté.

      Maroc

      Coordination Groupe avec SQORUS Maroc ; fournisseurs locaux

      Clauses Contractuelles Types (article 46 §2.c RGPD) + Transfer Impact Assessment (TIA) documenté.

      Autres pays tiers

      Cas exceptionnels, fournisseurs internationaux ponctuels

      Mécanismes de l’article 46 RGPD ou dérogations limitatives de l’article 49 RGPD.

       

      5. Combien de temps vos données sont-elles conservées ?

      La durée de conservation de vos données varie selon la nature du traitement et les obligations légales applicables. Récapitulatif :

      Catégorie de données

      Durée principale

      Fondement

      Dossier de référencement / VSA d’un fournisseur référencé

      Durée du contrat + 5 ans

      Intérêt légitime à démontrer la diligence dans la sélection

      Dossier de référencement d’un fournisseur non-référencé

      1 an après décision

      Preuve de la motivation de non-sélection

      Données de gestion du contrat actif

      Durée du contrat

      Exécution du contrat

      Données contractuelles post-contrat

      5 ans après la fin du contrat

      Prescription commerciale — Code de commerce article L. 110-4

      Données comptables et de facturation

      10 ans

      Code de commerce article L. 123-22

      Évaluation fournisseur

      5 ans après dernière évaluation

      Capitalisation et historique fournisseur

      Données Sapin II / KYC

      5 ans après la fin de la relation

      Code monétaire et financier article L. 561-12

      Copies de pièces d’identité (cas KYC)

      Supprimées dès la fin de vérification

      Minimisation

       

      6. Quels sont vos droits ?

      Vous disposez sur vos données à caractère personnel des droits suivants, prévus par les articles 15 à 22 du RGPD :

      Droit

      Description

      Droit d’accès (article 15)

      Obtenir confirmation que vos données sont traitées et, le cas échéant, en recevoir une copie ainsi que les informations associées.

      Droit de rectification (article 16)

      Faire corriger les données inexactes (changement de fonction, d’organisation, de coordonnées, mise à jour des éléments KYC).

      Droit à l’effacement (article 17)

      Demander l’effacement de vos données. Ce droit peut être limité par les obligations légales (Sapin II, comptabilité) ou contractuelles (contrat actif).

      Droit à la limitation (article 18)

      Demander la « mise en pause » du traitement dans certains cas.

      Droit à la portabilité (article 20)

      Recevoir vos données dans un format structuré et lisible par machine, pour les traitements fondés sur le contrat ou sur votre consentement.

      Droit d’opposition (article 21)

      Vous opposer à un traitement fondé sur l’intérêt légitime, pour des raisons tenant à votre situation particulière.

      Droits spécifiques Sapin II / KYC

      Vous pouvez contester l’exactitude d’une qualification dans le cadre des vérifications de conformité tiers. Une instruction interne sera conduite, et la rectification opérée si la contestation est fondée.

      7. Comment exercer vos droits ?

      7.1. Canal d’exercice

      Pour exercer l’un de vos droits, adressez une demande au Délégué à la Protection des Données du Groupe :

      dpo@sqorus.com

      7.2. Identification

      Pour les contacts en relation établie avec SQORUS, l’utilisation de l’adresse email professionnelle constitue en principe une identification suffisante. Pour les demandes portant sur des éléments KYC ou Sapin II, ou en cas de doute sur l’identité, le DPO pourra solliciter une copie d’une pièce d’identité ; cette copie sera supprimée dans les 30 jours suivant la clôture de votre demande.

       

      7.3. Délai de réponse

      Le DPO vous répond dans un délai d’un mois à compter de la réception de votre demande complète. Ce délai peut être prorogé de deux mois si votre demande est complexe (typiquement : demande portant sur les vérifications Sapin II/KYC), avec information préalable dans le délai d’un mois.

       

      7.4. Droit d’introduire une réclamation

      Si vous estimez que vos droits n’ont pas été respectés, vous pouvez introduire une réclamation auprès de l’autorité de contrôle compétente :

      • Pour la France : Commission Nationale de l’Informatique et des Libertés (CNIL), 3 place de Fontenoy, 75007 Paris — www.cnil.fr ;
      • Pour la Côte d’Ivoire : Autorité de Régulation des Télécommunications de Côte d’Ivoire (ARTCI) ;
      • Pour le Maroc : Commission Nationale de contrôle de la protection des Données à caractère Personnel (CNDP).

      Vous disposez également du droit de former un recours juridictionnel devant la juridiction compétente, conformément à l’article 79 du RGPD.

      8. Décisions automatisées et intelligence artificielle

      L’article 22 du RGPD prévoit le droit, pour la personne concernée, de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques significatifs.

      Le Groupe SQORUS ne met en œuvre aucun traitement répondant à cette qualification dans le cadre de la gestion des fournisseurs et partenaires :

      • Les décisions de référencement, de renouvellement ou de fin de relation sont prises par les équipes Achats du Groupe, le cas échéant en comité interne, sur la base d’une instruction complète ;
      • Les outils d’aide à la décision (notation, scoring, dépistage de listes de sanctions) produisent des indicateurs consultatifs ; les décisions associées font systématiquement l’objet d’une analyse humaine ;
      • Aucun rejet de candidature fournisseur ni aucune décision de fin de relation contractuelle n’est prononcé sur la seule base d’un outil automatisé.

      9. Cas particulier — sous-traitance ultérieure pour le compte d’un client

      Une situation contractuelle particulière mérite une attention spécifique : lorsque le Groupe SQORUS, en qualité de sous-traitant pour le compte d’un client (responsable de traitement), recourt à un fournisseur ou prestataire (vous-même) pour exécuter tout ou partie d’une prestation impliquant le traitement de DCP du client. Vous devenez alors sous-traitant ultérieur au sens de l’article 28 §2 et §4 du RGPD.

       

      9.1. Conditions de la sous-traitance ultérieure

      Conformément à l’article 28 §2 RGPD, la sous-traitance ultérieure est soumise à autorisation préalable du client responsable de traitement. Cette autorisation peut être :

      • Spécifique — l’autorisation porte sur votre intervention nominative ;
      • Générale — l’autorisation porte sur la catégorie de sous-traitance dont vous relevez, avec information préalable obligatoire du client en cas d’ajout ou de remplacement, et droit de s’y opposer.

      Le Groupe SQORUS s’engage à respecter scrupuleusement ces obligations vis-à-vis de ses clients RT et à ne mobiliser un sous-traitant ultérieur que dans les conditions autorisées.

       

      9.2. Engagements imposés en cascade

      Conformément à l’article 28 §4 RGPD, lorsque vous intervenez en sous-traitance ultérieure pour un client de SQORUS, vous êtes soumis aux mêmes obligations en matière de protection des données que celles imposées contractuellement à SQORUS par ce client. Ces obligations sont notamment :

      • Traiter les données uniquement sur instruction documentée (instructions transitant par SQORUS) ;
      • Garantir la confidentialité des données ;
      • Mettre en œuvre les mesures techniques et organisationnelles appropriées (article 32 RGPD) ;
      • Vous obliger à l’autorisation préalable pour toute sous-traitance ultérieure de second rang ;
      • Notifier toute violation de données à SQORUS dans des délais permettant à SQORUS de respecter ses propres obligations (24 heures vers le client RT) ;
      • Coopérer aux exercices de droits, aux AIPD, et aux audits ;
      • Restituer ou supprimer les données au terme de la prestation.

       

      9.3. Documentation contractuelle

      Ces engagements sont formalisés contractuellement par signature d’une annexe RGPD au contrat de prestation, conforme au modèle SQORUS aligné sur les exigences article 28 RGPD. La présente notice ne se substitue pas à cette annexe contractuelle ; elle vise uniquement à informer la personne physique signataire ou interlocutrice de l’existence et de la portée de ces engagements en cascade.

       

      10. Mises à jour de la notice

      La présente notice est susceptible d’évoluer pour tenir compte des modifications réglementaires, des évolutions des outils utilisés, ou de l’ajout ou suppression de sous-traitants. Les modalités d’information sont les suivantes :

      • Versioning systématique : chaque modification donne lieu à une nouvelle version numérotée (v1.0 → v1.1 → v2.0) avec date d’application ;
      • La version en vigueur est en permanence accessible à l’adresse sqorus.com/protection-donnees-partenaires ;
      • Toute modification substantielle (nouveau traitement, nouvelle finalité, nouveau destinataire majeur, évolution des bases légales, changement de durée de conservation significatif) fait l’objet d’une information préalable, par email, à l’ensemble des fournisseurs et partenaires en relation contractuelle active ;
      • Une modification purement formelle (correction typographique) est tracée à l’historique des versions sans information individuelle.

      La version applicable à une relation contractuelle est celle en vigueur à la date de signature du contrat, sauf modification substantielle ultérieure pour laquelle vous serez informé(e).

      Addendum A — SQORUS Côte d’Ivoire

      Le présent addendum complète la notice principale pour les fournisseurs et partenaires en relation contractuelle directe avec SQORUS Côte d’Ivoire.

       

      A.1. Identité de l’entité contractante

      Lorsque la relation contractuelle est portée par SQORUS Côte d’Ivoire, c’est cette entité juridique qui est responsable de traitement local. Le DPO Groupe reste votre interlocuteur de référence à l’adresse dpo@sqorus.com.

       

      A.2. Cadre juridique applicable

      Les traitements de vos données sont encadrés simultanément par :

      • La loi ivoirienne n° 2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel ;
      • La législation ivoirienne en matière de lutte contre le blanchiment, le financement du terrorisme et la corruption ;
      • Le RGPD, lorsque les traitements impliquent la coordination avec le Groupe en France (transferts intra-groupe).

      L’autorité de contrôle compétente pour la Côte d’Ivoire est l’Autorité de Régulation des Télécommunications de Côte d’Ivoire (ARTCI). Vous pouvez introduire une réclamation auprès de cette autorité si vous estimez que vos droits n’ont pas été respectés.

       

      A.3. Spécificités pratiques

      • Le canal d’exercice des droits reste dpo@sqorus.com (DPO Groupe). Un référent local de SQORUS Côte d’Ivoire peut être désigné pour le relais ;
      • Les transferts vers la France (Groupe) sont encadrés par les mécanismes prévus par la loi ivoirienne et par les Clauses Contractuelles Types européennes accompagnées d’un Transfer Impact Assessment ;
      • Les durées et modalités décrites dans le corps de la notice s’appliquent, à l’exception des durées légales locales le cas échéant divergentes.

       

      Addendum B — SQORUS Maroc

      Le présent addendum complète la notice principale pour les fournisseurs et partenaires en relation contractuelle directe avec SQORUS Maroc.

       

      B.1. Identité de l’entité contractante

      Lorsque la relation contractuelle est portée par SQORUS Maroc, c’est cette entité juridique qui est responsable de traitement local. Le DPO Groupe reste votre interlocuteur de référence à l’adresse dpo@sqorus.com.

       

      B.2. Cadre juridique applicable

      Les traitements de vos données sont encadrés simultanément par :

      • La loi marocaine n° 09-08 du 18 février 2009 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel ;
      • La législation marocaine en matière de lutte contre le blanchiment, le financement du terrorisme et la corruption (loi n° 43-05 modifiée) ;
      • Le RGPD, lorsque les traitements impliquent la coordination avec le Groupe en France.

      L’autorité de contrôle compétente pour le Maroc est la Commission Nationale de contrôle de la protection des Données à caractère Personnel (CNDP). Vous pouvez introduire une réclamation auprès de cette autorité si vous estimez que vos droits n’ont pas été respectés.

       

      B.3. Spécificités pratiques

      • Le canal d’exercice des droits reste dpo@sqorus.com (DPO Groupe). Un référent local de SQORUS Maroc peut être désigné pour le relais ;
      • Les transferts vers la France (Groupe) sont encadrés par les mécanismes prévus par la loi 09-08 (autorisation préalable ou notification CNDP selon les cas) et par les Clauses Contractuelles Types européennes accompagnées d’un Transfer Impact Assessment ;
      • Les durées et modalités décrites dans le corps de la notice s’appliquent, à l’exception des durées légales locales le cas échéant divergentes.

      Annexe — Mentions courtes pour contrats fournisseurs et VSA

      Version 1 — Clause à intégrer au contrat fournisseur SQORUS

      À intégrer dans tout contrat fournisseur où SQORUS est l’émetteur du modèle :

      Protection des données à caractère personnel

      Dans le cadre du présent contrat, le Groupe SQORUS, en sa qualité de responsable de traitement, collecte et traite les données à caractère personnel des interlocuteurs commerciaux et opérationnels désignés par le Fournisseur (signataires, contacts commerciaux, contacts comptables, etc.).

      Les bases juridiques de ces traitements sont l’exécution du présent contrat (article 6 §1.b RGPD), les obligations légales (article 6 §1.c RGPD) — notamment comptables, fiscales, et au titre de la loi Sapin II et du Code monétaire et financier (LCB-FT) — et l’intérêt légitime du Groupe à la gestion de son panel fournisseur (article 6 §1.f RGPD).

      Les personnes concernées disposent de droits étendus sur leurs données : accès, rectification, effacement (sous réserve des durées légales), limitation, portabilité, opposition. Pour les exercer ou pour toute question : dpo@sqorus.com.

      L’information complète figure dans la Notice fournisseurs et partenaires du Groupe SQORUS (NOT-RGPD-PARTENAIRE v1.0), annexée au présent contrat et disponible à l’adresse sqorus.com/protection-donnees-partenaires.

      Le Fournisseur reconnaît avoir reçu un exemplaire de cette notice et atteste avoir porté ces informations à la connaissance de ses interlocuteurs désignés au présent contrat.

      Cas particulier — Sous-traitance ultérieure :

      Lorsque l’exécution du présent contrat implique le traitement par le Fournisseur de DCP dont SQORUS est lui-même sous-traitant pour un client, le Fournisseur est sous-traitant ultérieur au sens de l’article 28 §2 et §4 du RGPD. Les engagements correspondants sont formalisés en annexe RGPD dédiée.

       

      Version 2 — Mention dans le questionnaire VSA (onboarding)

      Information sur la protection de vos données — VSA SQORUS

      Les données que vous renseignez dans ce questionnaire d’évaluation sécurité (VSA) sont traitées par SQORUS SAS, responsable de traitement, pour les besoins du référencement et de l’évaluation de votre organisation en tant que fournisseur ou partenaire.

      Les bases juridiques sont les mesures précontractuelles à votre demande (article 6 §1.b RGPD) et l’intérêt légitime du Groupe à sélectionner ses fournisseurs selon des critères de sécurité, qualité et conformité (article 6 §1.f RGPD).

      Conservation : durée du contrat + 5 ans en cas de référencement, 1 an en cas de non-référencement.

      Pour exercer vos droits ou pour toute question : dpo@sqorus.com

      Notice complète : sqorus.com/protection-donnees-partenaires

      ☐ J’ai pris connaissance de la Notice fournisseurs et partenaires SQORUS.

       

      Version 3 — Clause spécifique pour les contrats freelance / autoentrepreneur

      Adaptation à utiliser dans les contrats de prestation conclus directement avec une personne physique (freelance, autoentrepreneur, entrepreneur individuel). La personne physique est ici à la fois cocontractante et personne concernée :

      Protection de vos données personnelles

      En tant que prestataire personne physique cocontractante du présent contrat, vos données personnelles (identité, coordonnées, données fiscales et bancaires, suivi des prestations) sont traitées par SQORUS SAS, responsable de traitement.

      Bases juridiques : exécution du présent contrat (article 6 §1.b RGPD), obligations légales comptables et fiscales (article 6 §1.c RGPD).

      Durées principales : durée du contrat + 5 ans pour les données contractuelles ; 10 ans pour les données comptables et fiscales (Code de commerce article L. 123-22).

      Vos droits (accès, rectification, effacement, limitation, portabilité, opposition) s’exercent à : dpo@sqorus.com

      Notice complète : sqorus.com/protection-donnees-partenaires

      ☐ J’ai pris connaissance de la Notice fournisseurs et partenaires SQORUS et de l’usage de mes données dans le cadre du présent contrat.