Informations RGPD
1. Établissement et application du RGPD
DickPic Pro est exploité par [YOUR CYPRUS LTD LEGAL NAME], une private company limited by shares constituée selon le droit de the Republic of Cyprus. La Société est établie au sein de l'Union européenne et le RGPD s'applique à l'ensemble de son traitement de données à caractère personnel dans le cadre des activités de cet établissement, quel que soit le lieu où le traitement a lieu ou le lieu de résidence de la personne concernée (art. 3, § 1, du RGPD).
2. Rôles — répartition entre l'exploitation du Service et le traitement du contenu
Notre rôle au titre du RGPD est réparti entre deux périmètres distincts (voir également la Politique de confidentialité § 3 et l'Accord de traitement des données) :
- Exploitation du Service — nous sommes le responsable du traitement des données de compte, des enregistrements de facturation, des journaux d'audit et des données de sécurité.
- Traitement du contenu — nous sommes le sous-traitant pour les images soumises, les rapports PDF générés et les métadonnées d'analyse. L'utilisateur (ou, dans le contexte Agency / API, le Client professionnel) est le responsable du traitement. Les modalités de notre traitement sont définies dans le DPA.
Cette répartition s'applique uniformément à tous les produits. Elle reflète le fait que l'utilisateur détermine ce qu'il soumet, quel prompt appliquer, quel modèle utiliser et pour le compte de qui — et nous suivons ces instructions sans utiliser le contenu à nos propres fins.
3. Bases légales
Pour notre traitement en tant que responsable du traitement, nous nous fondons sur les bases légales suivantes :
- Exécution d'un contrat (art. 6, § 1, point b) — pour le traitement nécessaire à la fourniture du Service demandé par l'utilisateur ou à l'exécution de nos obligations envers un Client professionnel.
- Intérêts légitimes (art. 6, § 1, point f) — pour la sécurité, la prévention de la fraude, l'intégrité du service et l'amélioration du produit, mis en balance avec les droits et libertés des personnes concernées.
- Obligation légale (art. 6, § 1, point c) — pour la conservation des enregistrements requise par le droit fiscal, comptable ou toute autre loi applicable, et pour les déclarations obligatoires le cas échéant.
- Consentement (art. 6, § 1, point a et, le cas échéant, art. 9, § 2, point a) — lorsque nous demandons le consentement pour un traitement facultatif spécifique.
Pour le traitement du contenu où nous agissons en tant que sous-traitant, la base légale est déterminée par le Client (responsable du traitement). Le DPA impose aux Clients de s'assurer qu'ils disposent d'une base légale valable pour le Traitement qu'ils demandent.
4. Données relevant de catégories particulières
Une partie du contenu soumis au Service peut, selon les circonstances, constituer des « données relevant de catégories particulières » au sens de l'art. 9 du RGPD. La soumission d'un tel contenu est régie par nos Conditions générales principales : l'utilisateur (ou le Client) déclare que tous les consentements requis ont été obtenus des personnes représentées et que la soumission est licite dans sa juridiction. Lorsque nous agissons en tant que sous-traitant, il incombe au Client, en sa qualité de responsable du traitement, de veiller à l'existence d'une base légale appropriée au titre de l'art. 9.
5. Droits des personnes concernées
Sous réserve de la vérification de l'identité et des exceptions applicables, les personnes concernées peuvent exercer les droits suivants :
- Droit d'accès (art. 15)
- Droit de rectification (art. 16)
- Droit à l'effacement (art. 17)
- Droit à la limitation du traitement (art. 18)
- Droit à la portabilité des données (art. 20)
- Droit d'opposition (art. 21)
- Droit de retirer le consentement à tout moment, lorsque le consentement constitue la base (art. 7, § 3)
- Droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques ou l'affectant de manière significative de façon similaire (art. 22) — nous ne pratiquons pas actuellement une telle prise de décision
Pour les demandes concernant les données que nous détenons en tant que responsable du traitement (données de compte, facturation, sécurité), adressez votre demande directement à nous via le canal de contact indiqué dans la Politique de confidentialité.
Pour les demandes concernant le traitement du contenu où nous agissons en tant que sous-traitant (images soumises, PDF générés), la demande est traitée le plus efficacement en s'adressant au Client qui a demandé le Traitement pour votre compte (pour les utilisateurs Agency, votre agence ; pour les utilisateurs d'un intégrateur API, cet intégrateur). Nous les assisterons dans leur réponse.
Nous répondrons aux demandes directes dans un délai d'un mois à compter d'une demande vérifiable, prorogeable de deux mois supplémentaires pour les demandes complexes, moyennant une information dans le premier mois (art. 12, § 3, du RGPD).
6. Transferts internationaux
Le Service est exploité depuis the Republic of Cyprus, un État membre de l'UE. La soumission de données à caractère personnel au Service constitue donc un traitement au sein de l'Union européenne et ne constitue pas, en soi, un transfert international au sens du chapitre V du RGPD.
Lorsque des données à caractère personnel sont transférées à des sous-traitants ultérieurs situés en dehors de l'Espace économique européen, ces transferts sont régis par les Clauses contractuelles types de la Commission européenne (Décision (UE) 2021/914) ou par un autre mécanisme de transfert licite au titre du chapitre V du RGPD, nous agissant en qualité d'exportateur de données. La liste actuelle des sous-traitants ultérieurs et de leurs lieux de traitement est publiée à l'adresse /legal/subprocessors.
Le DPA conclu entre nous et les Clients agissant en tant que responsables du traitement est structuré de manière à permettre de tels transferts ultérieurs sans autre action de la part du Client lorsque nous agissons en tant que sous-traitant.
7. Représentant dans l'UE et délégué à la protection des données
La Société étant établie au sein de l'Union européenne (the Republic of Cyprus), l'obligation prévue à l'art. 27 du RGPD de désigner un représentant dans l'UE ne s'applique pas.
La désignation d'un délégué à la protection des données (DPO) au titre de l'art. 37 du RGPD n'est obligatoire que lorsque les activités de base du responsable du traitement exigent un suivi régulier et systématique des personnes concernées à grande échelle, ou consistent en un traitement à grande échelle de données relevant de catégories particulières. Nous évaluons nos obligations en matière de DPO de façon continue et désignerons un DPO si et lorsque nos activités de traitement atteindront les seuils de l'art. 37. Jusque-là, les questions de confidentialité et de protection des données sont traitées en interne et peuvent être adressées via le canal de contact indiqué dans la Politique de confidentialité.
8. Droit d'introduire une réclamation
Les personnes concernées ont le droit d'introduire une réclamation auprès d'une autorité de contrôle, en particulier dans l'État membre de leur résidence habituelle, de leur lieu de travail ou du lieu de la violation présumée, si elles estiment que le traitement de leurs données à caractère personnel enfreint le RGPD (art. 77 du RGPD).
L'autorité de contrôle compétente pour la Société en sa qualité d'entité établie à the Republic of Cyprus est :
Office of the Commissioner for Personal Data Protection of the Republic of Cyprus
Adresse : Iasonos 1, 1082 Nicosia, Cyprus
Site web : https://www.dataprotection.gov.cy
E-mail : [email protected]
Nous encourageons les personnes concernées à nous contacter d'abord via le canal indiqué dans la Politique de confidentialité afin que nous puissions traiter leurs préoccupations directement.