DÉCLARATION DE CONFIDENTIALITÉ ET RÈGLES ARIBA CONCERNANT LES DONNÉES
(désignées comme « Règles Ariba concernant les données »)
DÉCLARATION DE CONFIDENTIALITÉ ET RÈGLES ARIBA CONCERNANT LES DONNÉES
Ce document décrit les règles Ariba concernant l'exploitation, le traitement et le stockage des données transactionnelles et autres des clients Ariba (« vous » ou « organisations d'achat »), des fournisseurs (« vous » ou « fournisseur »), et des données associées aux utilisateurs individuels et employés de l'acheteur et des organisations d'achat (collectivement et individuellement désignés par les termes « vous » et « votre » dans les présentes) lorsque ces données sont envoyées à Ariba dans le cadre de l'utilisation de la Solution.
CONTENU
Définitions
Traitement des données de transaction
- Utilisation des données par Ariba
- Informations de contact commercial
- Promotion de votre organisation
- Données de transaction et tiers
- Engagement Ariba sur la sécurité des données
Traitement et confidentialité des données personnelles
- Informations personnelles
- Utilisation des informations personnelles par Ariba
- Autres entreprises
- Consentement
- Transfert
- Correction des informations d'un compte (Exercice de vos droits d'accès aux informations personnelles)
- Divulgation par Ariba à des tiers
- Sécurité
- conservation des données
- Modifications
- Programme Safe Harbor
Questions (y compris celles concernant la déclaration TrustE)
Divers
Définitions
Par « Solution », nous entendons les services suivants (s'ils ont effectivement été négociés et réglés par le Client Ariba) :
- 1) Ariba Supplier Network (« ASN ») (y compris l'offre « Connectivité fournisseur ») (https://service.ariba.com),
-
2) les offres OnDemand Basic et OnDemand Professional hébergées par Ariba (également appelées « Ariba Technology Features (Fonctionnalités technologiques Ariba) », « Ariba OnDemand Solutions (Solutions Ariba OnDemand) », ou « Ariba Application Services (Services d'application Ariba) ») (https://s1.ariba.com),
- 3) la gestion des projets, l'exécution des marchés et les services d'approvisionnement stratégiques fournis par l'équipe de sourcing Ariba, « Ariba Sourcing Services (Services de sourcing Ariba) » (https://www.sourcingservice.com), et
- 4) Ariba Hosting Services (Services d'hébergement Ariba), accessibles via des URL spécifiques aux clients.
Le terme « Partenaire commercial » désigne une entité avec laquelle vous (ou votre société) réalisez des transactions par le biais de la Solution.
Dans ce document, les clients Ariba peuvent être désignés par les termes « vous », « acheteur » ou « fournisseur ». Les utilisateurs individuels des Solutions (qu'il s'agisse d'employés de l'organisation de l'acheteur ou du fournisseur) peuvent être désignés collectivement ou individuellement par les termes « vous » ou « votre ».
Lorsque vous utilisez la Solution, Ariba recueille les informations que vous, votre employeur, un partenaire commercial, ou une autre source, envoyez à la Solution (telles que les adresses IP, les données liées aux transactions et les informations du compte utilisateur). Ces données correspondent à deux catégories, les données de transaction (telles que définies ci-dessous) et les données personnelles (données qui peuvent permettre d'identifier une personne ou qui sont associées à l'identité d'une personne).
Traitement des données de transaction
Ariba prend très au sérieux la nature sensible des données de transaction que vous (ou votre organisation) pouvez être amené à fournir dans le cadre de l'utilisation de la Solution. Ces données peuvent inclure les informations que vous fournissez à Ariba ou à vos partenaires commerciaux pendant les processus d'inscription, de catalogage, d'affichage, de sourcing/négociation, de traitement des commande ou par le biais d'e-mails ou de tout autre support envoyé par vous à la Solution, ainsi que celles que vous stockez au sein de la Solution. Elles peuvent également inclure les données de transaction que vous envoyez à ou que vous envoie votre partenaire commercial via la Solution. Les données de transaction peuvent inclure des informations personnelles, telles que décrites plus spécifiquement ci-dessous. Vous vous engagez à ce que vos données de transaction n'incluent aucune information réglementée par les termes de l'International Traffic in Arms Regulations (Dispositions du gouvernement des États-Unis concernant les services et les articles liés à la défense).
Utilisation des données par Ariba
Ariba traitera vos données de transaction comme des informations confidentielles et les utilisera uniquement dans le but de faciliter le fonctionnement de la Solution et des services associés, d'améliorer votre utilisation de la Solution et des pages Web associées, d'assurer un suivi interne et d'améliorer la Solution, d'analyser l'étendue de votre utilisation de la Solution (volume et historique, par ex.), de pouvoir vous contacter et de traiter vos transactions via la Solution.
Ariba peut également utiliser les informations de dépôt d'offre soumises par les fournisseurs dans le cadre des projets liés aux services Ariba Sourcing afin de déterminer les tendances tarifaires générales dans divers secteurs d'approvisionnement. Ceci permet ensuite de créer des analyses prévisionnelles afin d'estimer les prix d'un marché et d'évaluer les fournisseurs à inclure dans de futurs projets de gestion des dépenses concernant des marchés similaires. Ariba peut également utiliser de telles informations lors de la publication de résultats de projets de sourcing de « haut niveau » , étant entendu qu'une telle publication (i) ne permet pas d'identifier directement ou indirectement un fournisseur ni un acheteur par son nom, ni ne fournit suffisamment d'informations pour permettre à un tiers d'identifier un fournisseur, (ii) comporte les données regroupées d'au moins quatre (4) fournisseurs comparables pour un seul projet, (iii) ne permet pas d'identifier spécifiquement les produits et/ou les services d'un fournisseur ni leur prix, et (iv) ne permet pas d'identifier un fournisseur comme participant à un projet spécifique.
Si vous êtes un fournisseur réticent à soumettre des données de transaction à votre partenaire commercial via la Solution, veuillez contacter ce dernier directement pour connaître les autres options possibles (par ex., soumettre les informations en dehors de la Solution Ariba ou utiliser des informations de contact anonymes, etc.).
Informations de contact commercial
Lorsque le représentant d'une organisation d'achat ou d'un fournisseur crée un compte commercial sur la Solution, Ariba demande le nom et les informations de contact de l'administrateur du compte. Ariba utilisera ces informations pour contacter la société par le biais d'avis, d'offres de services, mais aussi à des fins d'administration de la Solution. Votre organisation peut également indiquer des contacts supplémentaires. En fonction de la Solution et des options de visibilité sélectionnées par vous ou votre société, les noms d'utilisateur, numéros de téléphone, adresses e-mails et autres informations de profil peuvent être visibles pour les autres acheteurs et fournisseurs utilisant la Solution. Par exemple, les fournisseurs utilisant Ariba Supplier Network peuvent choisir de mettre leurs informations de contact à la disposition de toutes les organisations d'achat ou seulement à certaines d'entre elles.
Veuillez soumettre uniquement des informations de contact commercial à caractère public. Les informations de contact individuelles envoyées à la Solution ne doivent pas contenir d'informations concernant le domicile privé. Vous vous engagez à ne pas entrer de numéros d'identifiant gouvernementaux confidentiels associés à des personnes individuelles (par ex., les numéros de sécurité sociale) dans la Solution et à ne pas envoyer de documents contenant de tels identifiants via la Solution. Les noms de particuliers, ainsi que les informations personnelles associées à un particulier, sont traités ci-dessous dans la section « Informations personnelles ».
Promotion de votre organisation
Vous avez la possibilité de promouvoir votre organisation auprès des autres utilisateurs. En outre, les autres utilisateurs peuvent trouver votre organisation en effectuant des recherches sur la Solution à l'aide de différents critères (par exemple, les informations du profil de votre organisation ou toute autre information dont vous avez autorisé la divulgation). Dans le but de promouvoir les fournisseurs auprès des acheteurs, Ariba peut compléter les profils des fournisseurs avec des données provenant des systèmes Ariba, ou en permettant à d'autres utilisateurs de fournir un retour d'informations sur votre organisation (comme dans le système de retour d'informations acheteur/vendeur d'eBay™). Si vous le souhaitez, vous pouvez choisir de ne pas divulguer certains types d'informations organisationnelles.
Données de transaction et tiers
Lors de l'utilisation de la Solution, vous acceptez le fait que Ariba envoie vos données à vos partenaires commerciaux (ou à d'autres personnes autorisées par vous ou vos partenaires commerciaux) et aux prestataires de services Ariba afin de faciliter vos transactions. Votre partenaire commercial peut avoir accès à des rapports statistiques sur l'historique de vos échanges avec lui et déterminer si votre compte a été activé auprès d'autres organisations commerciales. De plus, les rapports statistiques de haut niveau liés à la Solution peuvent utiliser les données de transaction, à condition que ces rapports puissent être publics et qu'ils contiennent uniquement des formulaires de données regroupées et anonymes ne permettant pas d'identifier votre société ni aucune donnée de transaction spécifique.
Engagement Ariba sur la sécurité des données
L'application Ariba Supplier Network (ASN), les offres de services partagés Ariba Category Management (ACM) et les applications Ariba Enterprise Sourcing (AES), Ariba Analysis, Ariba Spend Visibility, Ariba Procure to Pay (P2P), Ariba Travel and Expense et Electronic Invoice Presentation and Payment (EIPP) ont été audités conformément aux normes WebTrust pour la disponibilité, la confidentialité, l'intégrité de traitement et la sécurité des données. Les informations concernant la participation de Ariba au programme WebTrust sont disponibles sur le site http://www.ariba.com/legal/ariba_webtrust.cfm. Les informations générales concernant le programme WebTrust sont disponibles sur le site http://www.webtrust.org.
Ariba prend les mesures nécessaires pour protéger efficacement la sécurité des cartes de crédit et des informations de règlement en utilisant les méthodes d'encodage recommandées par l'industrie. Ariba a conçu ses services de façon à ce que ces catégories d'informations ne soient visibles qu'au sein de la Solution. L'affectation de rôles permet de limiter l'accès à ces informations aux utilisateurs appropriés. Veuillez consulter nos informations sur la sécurité (disponibles via le lien du même nom situé au bas de la page d'accueil de chaque Solution) pour plus de détails sur les mesures mises en oeuvre par Ariba pour garantir la sécurité de la Solution.
Traitement et confidentialité des informations personnelles
Informations personnelles
Les « informations personnelles » désignent le nom d'une personne et les informations associées à son identité personnelle, par opposition aux informations associées à une entité commerciale. Les informations personnelles, telles que le nom, les adresses professionnelles (postale et e-mail) et le numéro de carte de crédit entreprise, peuvent être requises dans le cadre de certaines fonctionnalités de la Solution, telles que Ariba Travel & Expense. Si vous ne souhaitez pas fournir d'informations personnelles à Ariba, ou si vous souhaitez que Ariba retire vos informations personnelles de la Solution, veuillez contacter l'administrateur du compte Ariba de votre employeur pour déterminer s'il existe d'autres options d'utilisation de la fonctionnalité concernée permettant d'éviter la soumission d'informations personnelles.
Si vous êtes client Ariba, vous avez la possibilité d'utiliser la Solution pour savoir lesquels de vos partenaires commerciaux disposent d'un statut de propriété spécial ou répondent à certains autres critères. Si vous êtes réticent à soumettre ces informations récapitulatives à votre partenaire commercial via la Solution, veuillez contacter ce dernier directement pour connaître les autres options possibles.
Utilisation des informations personnelles par Ariba
Ariba traitera vos informations personnelles comme des informations confidentielles et les utilisera uniquement dans le but de faciliter le fonctionnement de la Solution et des services associés, d'améliorer votre utilisation de la Solution et des pages Web associées, d'assurer un suivi interne et d'améliorer la Solution, de pouvoir vous contacter, de traiter vos transactions via la Solution (y compris l'utilisation de modèles et la création de documents), et d'analyser votre volume et votre historique d'utilisation de la Solution. Certaines de nos pages Web utilisent la technologie des cookies pour les mêmes motifs. Vous pouvez configurer votre navigateur afin de refuser les cookies, mais ce réglage risque de limiter votre utilisation de notre site Web par rapport aux utilisateurs qui les acceptent. Nous n'associons pas les informations que nous stockons dans les cookies aux informations personnelles que vous soumettez lorsque vous utilisez la Solution.
Autres entreprises
Ariba peut partager les informations personnelles avec ses sociétés parentes, sociétés affiliées, filiales, agents et prestataires de services (« Affiliés ») qui coopèrent pour vous permettre d'utiliser la Solution et les services associés dans le monde entier. Nos affiliés suivent des procédures qui garantissent à tous les utilisateurs de la Solution un niveau de protection des données au moins équivalent à celui décrit dans les présentes, et ce dans le cadre autorisé par la loi en vigueur. Si Ariba et/ou ses affiliés font un jour l'objet d'une fusion avec ou d'une acquisition par une autre entité commerciale, vous acceptez que Ariba partage vos informations personnelles afin de continuer à fournir la Solution. Si une telle situation se présente, vous en serez averti et Ariba exigera que la nouvelle entité suive les procédures décrites dans les présentes.
Consentement
En soumettant des informations personnelles à la Solution, vous acceptez que Ariba recueille, traite, stocke et utilise ces informations en conformité avec les présentes règles concernant les données. Avant de fournir, ou de permettre à un employé de fournir des informations personnelles à la Solution, vous devez obtenir le consentement de la personne en question pour la collecte, le transfert, le traitement et l'utilisation de ces données, en conformité avec les présentes règles (et avec les Conditions d'utilisation de Ariba Supplier Network, si vous utilisez ASN).
Transfert
La Solution est située aux États-Unis et fonctionne principalement depuis cet emplacement géographique. Le contrôleur du traitement des données personnelles via la Solution est Ariba, Inc., dont le siège social est situé à l'adresse suivante : 807 11th Avenue, Sunnyvale, CA 94089, États-Unis. En soumettant des données à la Solution, vous consentez donc au transfert de ces données aux États-Unis ou en tout autre endroit de fonctionnement de la Solution, choisi par Ariba et ses prestataires de services autorisés. Les affiliés Ariba contrôlés par Ariba, Inc. sont situés à l'intérieur et à l'extérieur de la zone économique européenne. Tous les transferts d'informations personnelles, de la zone économique européenne vers les affiliés Ariba situés dans des pays extérieurs à la zone économique européenne, qui risquent de ne pas fournir un niveau approprié de protection des données selon la directive européenne de protection des données feront l'objet (A) d'une confirmation par Ariba qu'une protection adéquate est mise en place, et (B) d'un accord de transfert des données basé sur des clauses contractuelles standard, approuvées par la commission européenne.
Correction des informations de compte (Exercice de vos droits d'accès aux informations personnelles)
Vous avez le droit d'accéder à vos informations personnelles, de les modifier et de les supprimer, en respectant les contraintes définies ci-dessous. Pour ce faire, Ariba a mis en place des procédures permettant de mettre à jour rapidement les informations personnelles. Dans la plupart des Solutions, le contact administratif au sein de votre société peut modifier directement la plupart des informations de contact en se connectant à la Solution et en gérant directement le profil du compte. Pour certaines Solutions, les modifications peuvent être demandées auprès du service d'assistance client Ariba.
La suppression de vos informations personnelles peut requérir l'approbation de votre employeur (par ex. pour les données relatives aux notes de frais) et nécessiter l'aide de Ariba. Certaines demandes de suppression de données doivent être effectuées auprès de Ariba par le biais du contact administratif au sein de votre société.
Ariba peut refuser l'accès à la Solution pour des raisons légitimes, telles que des paiements non acquittés sur le compte, des litiges ou des problèmes liés à la sécurité. Si vous n'êtes pas en mesure de corriger, de mettre à jour ou de supprimer vos informations personnelles parce que vous n'êtes plus employé par la société titulaire du compte ou parce que votre compte a été résilié, vous pouvez contacter le coordinateur confidentialité Ariba à l'adresse fournie ci-dessous. Pour chaque cas, Ariba prendra toute mesure raisonnable pour accéder à votre demande ou, en cas de refus, vous en fournira la justification légale par écrit dans un délai de trente (30) jours.
Divulgation par Ariba à des tiers
Ariba ne divulgue pas vos informations personnelles à des tiers, excepté dans le cadre décrit dans les présentes et dans les contrats passés avec ses clients, et excepté si (1) vous en formulez la demande ou autorisez la divulgation ; (2) cette divulgation est requise pour traiter des transactions ou fournir des services que vous avez demandés (par ex., dans le cadre du traitement d'une carte d'achat avec des sociétés émettrices de cartes de crédit, de services de règlement avec des banques ou de réservations de voyage avec un prestataire de services de voyage intégré) ; (3) Ariba y est contrainte par une autorité gouvernementale ou un organisme de réglementation, en cas de citation à comparaître ou de toute autre exigence gouvernementale similaire, pour établir ou défendre une revendication légale ; ou (4) le tiers agit en tant que notre agent ou sous-traitant dans l'exécution des services (par exemple, Ariba utilise les services d'une entreprise de télécommunications).
Sécurité
Ariba met en oeuvre les mesures de sécurité standard de l'industrie pour protéger les informations personnelles d'une divulgation non autorisée. Veuillez consulter les informations sur la sécurité pour obtenir plus de détails sur les mesures mises en oeuvre par Ariba pour garantir la sécurité de la Solution et la protection de vos informations personnelles. Les informations concernant la participation de Ariba au programme WebTrust sont disponibles sur le site http://www.ariba.com/legal/ariba_webtrust.cfm. Les informations générales concernant le programme WebTrust sont disponibles sur le site http://www.webtrust.org/.
Conservation des données
Ariba conserve les informations personnelles dans des bases de données actives, pour une durée variable selon la Solution spécifique, le type de données et la législation en vigueur. Les règles concernant la conservation des données pour chaque Solution sont définies dans la documentation ou dans les conditions d'utilisation correspondantes. Pour garantir la cohérences des procédures de sauvegarde et de stockage Ariba, et compte tenu de l'intégration rapprochée des données avec la Solution, il est possible que les informations personnelles soient stockées par Ariba dans des journaux et des fichiers de sauvegarde pour la durée nécessaire correspondant aux exigences légales ou aux fins décrites dans les présentes règles. Néanmoins, Ariba ne s'engage aucunement à stocker indéfiniment ces données. Dans le cadre de votre abonnement à la Solution, vous serez en mesure d'accéder à vos informations personnelles pendant une période donnée, basée sur la Solution spécifique que vous avez acquise et les règles correspondantes. Nous vous recommandons d'envoyer toute demande de renseignement au contact administratif au sein de votre société, qui les transmettra au coordinateur confidentialité à l'adresse indiquée ci-dessous.
Modification des présentes règles
De temps à autre, Ariba doit apporter des modifications aux présentes règles. Certaines modifications sont effectuées en application des changements apportés aux lois et règlements en vigueur. De plus, au fur et à mesure des ajouts de nouvelles fonctionnalités et de nouveaux services, Ariba continuera de traiter les informations personnelles en respectant les présentes règles, mais certaines modifications ou éclaircissements pourront être requis.
Si Ariba décide d'effectuer une modification matérielle aux présentes règles afin permettre l'utilisation des informations personnelles dans un nouveau but commercial légitime, Ariba documentera la modification des présentes règles, indiquera la date de la dernière mise à jour au bas du présent document et enverra un avis aux contacts administratifs enregistrés auprès de Ariba pour chaque acheteur et fournisseur. Nous vous recommandons de vérifier ces règles de temps en temps pour rester informé de nos procédures et règles concernant les informations personnelles. Pour toute modification matérielle et importante des règles concernant les données, Ariba prendra les mesures nécessaires suffisantes pour informer les utilisateurs concernés et leur suggérer de prendre connaissance des règles mises à jour.
Programme Safe Harbor
En ce qui concerne Ariba Supplier Network, les solutions Ariba OnDemand et le service d'hébergement Ariba, Ariba a officiellement rejoint le programme Safe Harbor géré par le Département du commerce des États-Unis et s'est engagé à respecter les principes de confidentialité Safe Harbor pour la collecte, l'utilisation et la conservation des données personnelles provenant de l'Union européenne. Pour plus d'informations sur le programme Safe Harbor ou pour accéder à l'avis de certification de Ariba, accédez à la page http://www.export.gov/safeharbor/.
Questions
Si vous avez des questions concernant les règles décrites dans les présentes, veuillez envoyer un e-mail à l'adresse privacy@ariba.com Attn : Ariba Privacy Coordinator, ou un courrier postal à l'adresse suivante : Ariba Privacy Coordinator, Legal Department, Ariba, Inc., 807 11th Avenue, Sunnyvale, CA 94089, États-Unis.
Ariba, Inc. est titulaire d'une licence du programme de confidentialité TRUSTe. TRUSTe est une organisation indépendante à but non lucratif dont la mission est de consolider la confiance des utilisateurs en Internet par la promotion de pratiques d'information honnêtes. La section « Traitement et confidentialité des informations personnelles » des présentes règles couvre les Solutions et les sites Web identifiés dans la définition du terme « Solution » (https://service.ariba.com, https://s1.ariba.com, https://www.sourcingservice.com, ainsi que les URL spécifiques aux clients). Souhaitant que ces sites Web prouvent son engagement par rapport à la confidentialité de vos données, Ariba a accepté de divulguer ses pratiques d'information et de faire vérifier ses pratiques de confidentialité pour obtenir le certificat de conformité TRUSTe.
Si vous avez des questions concernant la section « Traitement et confidentialité des informations personnelles » des présentes règles, commencez par contacter l'administrateur au sein de votre société ou le coordinateur confidentialité Ariba (privacy@ariba.com). Si vous ne recevez pas de réponse à votre demande ou que votre demande n'est pas traitée de façon satisfaisante, veuillez contacter TRUSTe via la page http://www.truste.org/consumers/watchdog_complaint.php. TRUSTe servira de lien avec Ariba pour résoudre votre problème concernant le traitement de vos informations personnelles.
Divers
La version anglaise de ces règles concernant les données prévaut en cas de conflit ou de modifications substantielles dues à la traduction dans une langue autre que l'anglais.
Ariba propose des produits et des services dans le secteur des marchés interentreprises. À ce titre, les informations collectées par Ariba concernant les personnes sont uniquement liées à leur rôle au sein de la société et non à elles en tant que personne ou consommateur. Ceci étant dit, Ariba recueille effectivement les données telles que le nom de la personne, ses informations de contact commercial (adresse e-mail, numéro de téléphone et de télécopie professionnels) et son rôle au sein de la société.
Ariba a édicté deux autres jeux de règles concernant la confidentialité. Le présent document constitue la Déclaration de confidentialité et les Règles Ariba concernant les données et cible les sociétés qui achètent et utilisent les produits et services Ariba. Ariba a également défini des règles de confidentialité internes ciblant ses employés, ses sous-traitants, etc., ainsi que des règles de confidentialité distinctes s'appliquant à ses sites Web de marketing sur Internet (par ex. www.ariba.com). Ces autres règles sont différentes et distinctes des activités soumises aux présentes règles.
Conditions spécifiques à un pays
Italie : Cette déclaration de confidentialité pour le traitement des données (section intitulée « Traitement et confidentialité des informations personnelles » ci-dessus, plus cette clause) est fournie conformément à la Section 13 du code italien de protection des données, décret législatif no. 196 (30 Juin 2003) consolidé (« Code italien de confidentialité »). Par les présentes, Ariba, Inc. vous informe que le traitement de vos données personnelles via la Solution, tel que défini ci-dessus, sera effectué conformément à cette déclaration de confidentialité et au Code italien de confidentialité. Les contrôleurs du traitement des données sont : Ariba, Inc., 807 11th Avenue, Sunnyvale, CA 94089, États-Unis, ainsi que votre employeur. Si vous avez des questions concernant les présentes règles, veuillez contacter Ariba par e-mail, à l'adresse
******
Règles concernant les données v15.1 5 Septembre 2007 (corrections 19 Mai 2008)
