Article 2 — Données collectées 

Dans le cadre du fonctionnement de Carbon X, les données suivantes sont collectées auprès des utilisateurs : 

• Nom et prénom : identifiant de l’utilisateur au sein de l’organisation 

• Adresse e-mail professionnelle : utilisée pour l’authentification et les communications liées au service 

• Azure Object ID : identifiant technique unique de l’utilisateur dans le tenant Azure AD de l’organisation, utilisé pour la gestion des accès et des licences 

Aucune autre donnée n’est collectée. Les données sensibles (santé, opinions politiques, etc.) ne sont ni collectées ni traitées. 

Article 3 — Finalités et bases légales des traitements 

Les données collectées sont traitées pour les finalités suivantes : 

3.1 Gestion de l’accès au service 

Finalité : authentification, vérification des droits d’accès et attribution des licences. 

Base légale : exécution d’un contrat (article 6.1.b du RGPD) — le traitement est nécessaire à la fourniture du service souscrit. 

3.2 Facturation et gestion administrative 

Finalité : suivi du nombre d’utilisateurs actifs pour la facturation, gestion comptable. 

Base légale : obligation légale (article 6.1.c du RGPD) et exécution du contrat. 

3.3 Support et assistance technique 

Finalité : résolution des incidents, amélioration du service. 

Base légale : intérêt légitime de l’éditeur (article 6.1.f du RGPD). 

Article 4 — Partage des données 

Darwin X ne partage, ne vend, ni ne loue les données personnelles des utilisateurs à des tiers. 

Les données sont exclusivement traitées en interne, dans le cadre strict du fonctionnement de l’application et de la relation contractuelle avec l’organisation cliente. 

Les données peuvent être transmises à des autorités compétentes uniquement sur injonction légale ou décision judiciaire. 

Article 5 — Hébergement et sécurité des données 

Les données sont hébergées dans l’environnement Microsoft Azure, bénéficiant des garanties de sécurité de la plateforme Microsoft (certifications ISO 27001, SOC 2, conformité RGPD). 

Darwin X met en œuvre les mesures techniques et organisationnelles appropriées pour protéger les données contre tout accès non autorisé, perte, altération ou divulgation, notamment : 

• Authentification via Microsoft Azure Active Directory 

• Chiffrement des données en transit (TLS) et au repos 

• Accès limité aux seuls personnels habilités 

• Journalisation des accès 

Article 5bis — Sous-traitants et accord de traitement des données 

Dans le cadre de la fourniture du service Carbon X, Darwin X fait appel à Microsoft Corporation en qualité de sous-traitant au sens de l’article 28 du RGPD, pour les besoins suivants : 

• Hébergement des données dans l’environnement Microsoft Azure (région Europe) 

• Authentification des utilisateurs via Microsoft Azure Active Directory 

• Fourniture de l’environnement d’exécution Microsoft Teams 

Un accord de traitement des données (Data Processing Agreement, DPA) est en vigueur entre Darwin X et Microsoft Corporation, conformément aux exigences de l’article 28 RGPD. Cet accord impose à Microsoft des obligations équivalentes à celles que Darwin X assume vis-à-vis des personnes concernées, notamment en matière de confidentialité, de sécurité et de limitation des finalités. 

Darwin X s’engage à ne pas autoriser d’autres sous-traitants sans en informer préalablement l’organisation cliente et, le cas échéant, obtenir son accord. La liste des sous-traitants actuellement en vigueur est disponible sur demande à l’adresse :  

Article 5ter — Transferts de données hors Union Européenne 

Les données personnelles des utilisateurs de Carbon X sont hébergées prioritairement dans des datacenters Microsoft Azure situés dans l’Union Européenne. 

Certains traitements opérés par Microsoft Corporation, notamment les services de support technique, de diagnostic et de télémétrie de la plateforme Azure et Teams, peuvent impliquer un accès ou un transfert de données vers des entités situées en dehors de l’Union Européenne, en particulier vers les États-Unis. Ces transferts sont encadrés par les garanties suivantes : 

• Les Clauses Contractuelles Types (CCT) adoptées par la Commission Européenne (décision 2021/914 du 4 juin 2021), incorporées dans le DPA conclu entre Darwin X et Microsoft 

• L’adhésion de Microsoft au Data Privacy Framework UE-États-Unis (DPF), reconnu par la Commission Européenne comme garantissant un niveau de protection adéquat 

Darwin X s’engage à actualiser cette clause en cas de modification du cadre juridique applicable aux transferts internationaux. Pour toute question relative aux transferts, contactez :  

Article 5quater — Gestion des violations de données personnelles 

Darwin X a mis en place des procédures internes permettant de détecter, analyser et gérer les violations de données personnelles au sens de l’article 4 §12 du RGPD (destruction, perte, altération, divulgation non autorisée ou accès non autorisé à des données personnelles). 

En cas de violation susceptible d’engendrer un risque pour les droits et libertés des personnes concernées, Darwin X s’engage à : 

• Notifier la Commission Nationale de l’Informatique et des Libertés (CNIL) dans un délai de 72 heures à compter de la prise de connaissance de la violation, conformément à l’article 33 du RGPD 

• Informer sans délai indu l’organisation cliente afin qu’elle puisse prendre les mesures nécessaires 

• Communiquer directement aux personnes concernées les informations requises (nature de la violation, données affectées, conséquences probables, mesures prises) lorsque la violation est susceptible d’engendrer un risque élevé, conformément à l’article 34 du RGPD 

• Documenter toute violation dans le registre interne des violations, qu’une notification soit ou non requise 

Toute suspicion de violation de données peut être signalée à : . L’organisation cliente s’engage également à notifier Darwin X sans délai de tout incident de sécurité susceptible d’avoir compromis des données personnelles traitées via Carbon X. 

Article 6 — Durées de conservation 

Les données personnelles sont conservées pour les durées suivantes : 

• Données d’accès (nom, e-mail, Azure Object ID) : pendant toute la durée de la relation contractuelle, puis 3 ans à compter de la fin du contrat à des fins probatoires 

• Données comptables et de facturation : 10 ans conformément aux obligations légales (article L.123-22 du Code de commerce) 

Passé ces délais, les données sont supprimées ou anonymisées de manière sécurisée. 

Article 7 — Droits des personnes concernées 

Conformément au RGPD (articles 15 à 22), toute personne dont les données sont traitées dispose des droits suivants : 

• Droit d’accès : obtenir une copie des données vous concernant 

• Droit de rectification : corriger des données inexactes ou incomplètes 

• Droit à l’effacement (« droit à l’oubli ») : demander la suppression de vos données 

• Droit à la limitation du traitement : restreindre l’utilisation de vos données 

• Droit à la portabilité : recevoir vos données dans un format structuré et lisible 

• Droit d’opposition : s’opposer au traitement de vos données dans certains cas 

Pour exercer ces droits, adressez votre demande à :  

Darwin X s’engage à répondre à toute demande dans un délai d’un (1) mois à compter de sa réception (délai pouvant être prolongé de deux mois en cas de complexité). 

Article 8 — Cookies 

Carbon X fonctionne exclusivement au sein de Microsoft Teams et n’utilise pas de cookies de traçage ou publicitaires. 

Des tokens d’authentification techniques nécessaires au fonctionnement de l’application peuvent être utilisés par la plateforme Microsoft. Ces tokens relèvent de la politique de confidentialité de Microsoft. 

Article 9 — Modifications de la politique de confidentialité 

Darwin X se réserve le droit de modifier la présente politique de confidentialité à tout moment, notamment pour se conformer à de nouvelles exigences légales ou à des évolutions du service. 

En cas de modifications substantielles, les utilisateurs seront informés par e-mail ou par notification dans l’application au moins 15 jours avant leur entrée en vigueur. 

Article 10 — Recours et autorité de contrôle 

Si vous estimez que le traitement de vos données personnelles ne respecte pas la réglementation applicable, vous avez le droit d’introduire une réclamation auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL) : 

• Site web : www.cnil.fr 

• Adresse : 3 Place de Fontenoy — TSA 80715 — 75334 Paris Cedex 07 

• Téléphone : 01 53 73 22 22 

Contact Référent Protection des Données 

Pour toute question relative à la protection de vos données :  

Darwin X — 25 rue du Quatre Septembre, 75002 Paris