Politique de confidentialité MEZZOTEAM

Version 6.1
2023

Mezzoteam – une marque du Groupe Infopro Digital

10 place du Général de Gaulle – BP 20156 – 92186 Antony Cedex – France
+33 1 79 06 76 76 – contact@mezzoteam.fr – www.mezzoteam.fr
 2/7

PREAMBULE
Cette politique de confidentialité décrit comment nous recueillons et traitons les données personnelles vous
concernant dans le cadre de l’utilisation de la Plateforme MEZZOTEAM.
En première approche, sachez que les données personnelles collectées actuellement sont peu nombreuses, sont
dites données classiques (nom, prénom, société...), ce nombre très limité pouvant même être réduit à minima si tel
est votre souhait, qu'aucun cookie autre que technique (pour maintenir votre session active par exemple ou
mémoriser la langue d’affichage du site d’administration.) n’est utilisé, que les données sont stockées sur des
serveurs en France et que ces données ne sont jamais communiquées à des tiers en dehors du « Client » et des autres
utilisateurs de la Plateforme déclarés dans l’annuaire du même espace de travail que vous.
Néanmoins, nous vous demandons de prendre connaissance des règles de confidentialité décrites ci-dessous sous
forme de questions que vous pouvez être amenés à vous poser.
Ensuite, en acceptant les conditions générales d’utilisation de la Plateforme, nous vous demandons d'approuver ces
règles applicables avant de continuer à utiliser nos services.
En cas de conflit entre la présente Politique et le contrat de service signé par un Client, le contrat prime.
Si vous avez des questions concernant la présente Politique de confidentialité, vous pouvez contacter PROSYS en
remplissant ce formulaire de contact.

DEFINITIONS
Les termes débutant par une majuscule, dans le cadre du présent document, qu’ils soient au singulier ou au pluriel,
auront le sens qui leur est donné ci-dessous.

 « La Plateforme » ou « le Service » désigne la Plateforme collaborative BIM « MEZZOTEAM » sur le Cloud

(www.mezzoteam.com) et les sites Web qui lui sont associés (site d’administration, serveurs de traitements…
(les « Sites Web »)).
 « Le Client » désigne la personne physique ou morale ayant signé un contrat de service avec PROSYS pour
la mise à disposition et l'utilisation de MEZZOTEAM. Il est le Responsable de Traitement.
 « Nous » désigne la société PROSYS, éditeur de la Plateforme collaborative MEZZOTEAM. PROSYS est Sous-
traitant.
 « Vous » désigne les utilisateurs ou les contacts déclarés dans l’annuaire d’un espace de travail de la
Plateforme MEZZOTEAM.
 « Les utilisateurs » désignent les personnes physiques invitées dans l’annuaire d’un espace de travail dans
le but de pouvoir parcourir son contenu (documents, avis, commentaires…) après s’être authentifiées.
 « Les contacts » désignent les personnes physiques enregistrées dans l’annuaire d’un espace de travail afin
d’être référencées dans des formulaires ou d’être destinataires de notifications. A la différence d’un
utilisateur, un contact n’a pas la possibilité de parcourir un espace de travail pour accéder à un autre contenu
que celui dont il a été destinataire.
 « Les administrateurs Client » désignent les utilisateurs à qui le Client a confié un rôle de super utilisateur
permettant l’ajustement du paramétrage et notamment l’invitation d’utilisateurs.
 « Les administrateurs de la Plateforme » désignent les collaborateurs de PROSYS qui sont garants de la
disponibilité et du bon état de service de MEZZOTEAM Cloud.
 « Les espaces de travail » sont les conteneurs des projets sur lesquels vous êtes invités. En général un
espace de travail correspond à un projet.
 « L’archivage » est un processus permettant de restituer toutes les données déposées dans un espace de
travail à son propriétaire, le Client (cf. § Qui a accès aux données archivées ?).

Dans le cadre de la protection de la vie privée, la mise en place au niveau européen du RGPD (Règlement Général de
Protection des Données) nous conduit à vous préciser certains points concernant vos données personnelles.

Politique de confidentialité 2023

 3/7

QUELS SONT NOS ENGAGEMENTS ?

Le Client est le Responsable de Traitement fait sur les données présentes dans ses espaces de travail. Dans le cadre
de l’utilisation du Service, PROSYS est le Sous-traitant du Client, ce qui signifie que nous mettons à disposition du
Client le Service qui permet de recueillir et traiter ces données uniquement pour le compte de son projet.
Nous nous engageons à assurer la protection, la confidentialité et la sécurité de vos données. Pour ce faire, nous
prenons des mesures techniques et organisationnelles pour les protéger contre la destruction accidentelle ou
illégale, la perte accidentelle, l’altération, la divulgation ou l’accès non autorisé (cf. § Quels sont les sécurités de la
Plateforme ?).
Nous demandons à nos Sous-traitants des engagements équivalents sur la sécurisation et la protection des données
personnelles.

POURQUOI COLLECTONS-NOUS DES DONNEES PERSONNELLES ?

L’intérêt d’une Plateforme telle que MEZZOTEAM réside dans la collaboration entre personnes concernées par un
projet commun. Celles-ci sont invitées dans l’annuaire d’un espace de travail par un administrateur Client en tant
qu’utilisateurs. Elles peuvent aussi être ajoutées en tant que simples contacts. La collecte d’informations
personnelles permet d’identifier ou de rendre identifiables des personnes physiques afin qu’elles puissent échanger
entre elles, ce qui est nécessaire à l’exécution des termes du contrat et pour assurer la fourniture du service souscrit.
Le consentement explicite à la collecte de ces données n’est donc pas requis car il répond à l’exécution des obligations
au titre d’un contrat.

QUELLES SONT LES DONNEES QUE NOUS COLLECTONS ?

En conformité avec la législation en vigueur, nous avons adopté le principe de minimisation dans la collecte. Par
conséquence, nous ne collectons donc que les données strictement nécessaires au fonctionnement du Service. Les
données collectées sont fournies par vous-même via la saisie du formulaire d’inscription ou par votre DSI si vous
vous connectez à la Plateforme MEZZOTEAM Cloud via une connexion SSO *.
Données essentielles pour nos traitements :
 Votre nom,
 Votre prénom,
 Votre mot de passe (stocké chiffré dans les bases de données de la Plateforme sauf si vous utilisez une
connexion SSO, le mot de passe est alors géré dans l’annuaire de votre entreprise),
 Identifiant fédéré (dans le cas particulier d’une connexion SSO uniquement)
 Adresse de messagerie,
Données non essentielles pour nos traitements :
 Initiales,
 Nom formaté (composé par défaut du prénom et du nom),
 Coordonnées postales (adresse, code postal, ville, Pays),
 Profession,
 Service / Département,
 Téléphone de bureau,
 Téléphone mobile,
 Fax,
 Photographie.
Vous n’avez pas besoin de renseigner votre adresse de messagerie car elle a été préalablement saisie par
l’administrateur du Client au moment de l’invitation dans l’espace de travail. Vous pouvez néanmoins la changer en
modifiant les caractéristiques de votre compte.
Par défaut, votre identifiant de connexion (le « login ») correspond à votre adresse de messagerie et n’est modifiable
que par les administrateurs de la Plateforme (pour la Plateforme www.mezzoteam.com, les demandes de
changement d’identifiant doivent être adressées au Support via le lien ‘Demande d’assistance’ dans le menu de votre
compte).

Politique de confidentialité 2023

 4/7

Vos données personnelles sont communes à tous les espaces de travail auxquels vous avez accès et sont regroupées
dans un formulaire accessible de 4 manières :
 En cliquant sur ‘Mon compte’, vous pouvez accéder directement à vos données personnelles et les modifier
*.
 Dans l’annuaire d’un espace de travail, un utilisateur peut consulter les données personnelles d’un autre
utilisateur en cliquant sur la ligne correspondant à son nom.
 Dans le site dédié à l’administration et accessibles aux seuls administrateurs, pour chaque Client, un
annuaire Client affiche tous les formulaires des utilisateurs invités sur les espaces qu’il gère. Un
administrateur d’annuaire Client (représentant du Client ayant la possibilité de gérer les annuaires de tous
les espaces de travail associés au compte Client) peut saisir des logins dans le but d’être déployés dans
plusieurs espaces de travail en une fois. L’ajout d’un utilisateur dans un annuaire Client ne l’avertit pas (il
s’agit juste d’une étape intermédiaire pour faciliter l’administration mais qui n’attribue pas de droits
particuliers à l’utilisateur) contrairement à l’ajout dans l’annuaire d’un espace de travail qui peut être
accompagné d’un message d’invitation.
 Pour assurer le support technique, l’annuaire général affiche les formulaires de tous les utilisateurs de la
Plateforme et n’est accessibles qu’aux seuls administrateurs de la Plateforme.
Ensuite, au gré de l’utilisation de la Plateforme, nous enregistrons des cookies purement techniques strictement
nécessaires au bon fonctionnement du service demandé. Nous vous demandons de ne pas les supprimer sans quoi
cela vous portera préjudice dans le cadre de l’utilisation du Service.
Voici les cas d’utilisation des cookies :
 cookie d'authentification (identifiant généré au moment de la connexion à la Plateforme)
 cookie de session (identifiant valable dès que le navigateur web se connecte sur la Plateforme jusqu’à sa
fermeture)
 cookie de personnalisation (cookie persistant permettant la mémorisation de la langue d’affichage sur le
site d’administration)

* Si vous pouvez vous connecter à la Plateforme MEZZOTEAM Cloud via une connexion SSO (Single Sign On), il est
possible que vous ne puissiez pas modifier certaines de vos données personnelles (ex : votre nom, votre prénom,
votre numéro de téléphone…). Cela signifie que ces données sont synchronisées avec un annuaire LDAP de votre
entreprise. Nous vous invitons à prendre contact avec votre DSI (Direction des Systèmes d’Informations) pour faire
modifier les informations que vous souhaitez.

QUELS SONT LES TRAITEMENTS QUE NOUS FAISONS AVEC VOS DONNEES COLLECTEES ?
Nous pouvons être amenés à traiter vos données personnelles pour répondre aux besoins suivants :
 Respecter les obligations contractuelles :
o Les coordonnées des utilisateurs de la Plateforme sont centralisées dans un annuaire général
permettant la désactivation d’un utilisateur, la suppression d’un utilisateur et la modification des
identifiants de connexion d’un utilisateur,
o A partir de l’annuaire général, nous déclarons les interlocuteurs Client en charge d’administrer
leurs espaces de travail en tant que gestionnaires de comptes Client et/ou administrateurs
d’annuaire Client et/ou administrateurs d’un espace de travail afin que ceux-ci soient autonomes
pour réaliser certaines actions de paramétrage sur la Plateforme,
o La sélection d’un contact est nécessaire en fin de projet pour désigner le propriétaire de
l’archivage, ce qui permet d’identifier les données qui seront prises en compte dans l’archive,
o Nous pouvons inviter les administrateurs qui ont suivi une formation dispensée par notre service
Formation :
 Sur l’outil Helpdesk pour leur permettre de saisir des demandes de support,
 Dans la base de connaissance Documentation Mezzoteam pour qu’ils puissent accéder à
des documents relatifs au service,
 Dans l’espace de travail Nouvelles versions des produits Mezzoteam contenant les
fichiers d’installation de logiciels spécifiques liés au service.

 Respecter les obligations légales :

Politique de confidentialité 2023

 5/7

o Dans le cadre de l’organisation et la réalisation de présentations ou de formations de MEZZOTEAM,

nous gérons des feuilles d’émargement sur lesquelles apparaissent les coordonnées des
stagiaires,

 Répondre aux demandes fonctionnelles :

o La saisie d’adresse de messagerie pour l’envoi régulier de rapports basés sur le contenu déposé
dans les espaces de travail,
o A votre demande exclusive, les administrateurs de la Plateforme peuvent modifier votre login qui
est, par défaut, votre adresse de messagerie (ex : Suite à un changement de votre nom ou suite au
changement du nom de domaine de votre entreprise et donc de votre adresse de messagerie),
o Nous informons nos interlocuteurs Client de l’approche de la date de fin de leur abonnement au
service,
o Nous avertissons les utilisateurs des évolutions intervenues sur le service au travers de
newsletters mensuelles,
o Nous générons périodiquement un état des utilisateurs par espace de travail et leur éventuel rôle
d’administration à des fins statistiques (ex : pour connaître le nombre moyen d’utilisateurs par
espace, par société…)

QUELS SONT VOS DROITS SUR VOS DONNEES PERSONNELLES ?

Conformément à la règlementation sur la protection des données personnelles, vous pouvez exercer vos droits
d’accès, de rectification, de suppression et d’effacement (droit à l’oubli), le cas échéant, par email en contactant les
administrateurs de votre espace de travail.
En tant qu’utilisateur, l’accès et la rectification de vos données personnelles sont possibles – par vous-même – en
cliquant sur le lien ‘Mon compte’ une fois connecté.
La désactivation de votre compte utilisateur dans un espace de travail permet de ne plus être visible des autres
utilisateurs (hors administrateurs) tout en vous maintenant dans l’annuaire. La désactivation peut être réalisée par
un administrateur Client à qui vous auriez fait part de votre demande via le lien ‘Demande de désinscription’. Le
destinataire de la demande de désinscription est responsable de la réponse qui sera apportée.
La suppression de votre compte dans un espace de travail permet de ne plus apparaître du tout de l’annuaire (y
compris des administrateurs). La suppression peut être réalisée par un administrateur Client ayant les droits de
gestion de l’annuaire de l’espace de travail.
Pour un compte qui n’a pas été supprimé de l’annuaire du seul espace de travail sur lequel il était invité, le compte
sera définitivement supprimé de la Plateforme lors de la suppression de l’espace de travail effectuée par un
administrateur de la Plateforme à la fin du projet.
Pour un compte qui a été supprimé de l’annuaire de l’espace de travail sur lequel il était invité, et qui n’est donc plus
dans l’annuaire lors de la suppression de l’espace de travail, la suppression définitive du compte depuis l’annuaire
général de la Plateforme est la seule manière de supprimer définitivement ces données personnelles. Cette action
peut être réalisée par un administrateur de la Plateforme suite à une demande expresse dûment motivée ou dans le
cadre des suppressions périodiques de comptes inactifs (cf. § Combien de temps vos données personnelles sont-
elles conservées sur la Plateforme ?).

COMBIEN DE TEMPS VOS DONNEES PERSONNELLES SONT-ELLES CONSERVEES SUR LA PLATEFORME ?

Vos données personnelles essentielles sont nécessaires au bon fonctionnement du service et ne peuvent être
définitivement supprimées tant que vous avez besoin d’utiliser le service.
Vos données personnelles non essentielles peuvent être supprimées par vous-même à n’importe quel moment en
modifiant votre compte sur la Plateforme.
Les données personnelles essentielles ne peuvent être supprimées des bases de données que par l’action manuelle
d’un administrateur de la Plateforme (soit lors de la suppression de l’espace de travail si le compte est toujours dans
l’annuaire de cet espace, soit via l’annuaire général si le compte a été supprimé de l’espace de travail). Sauf demande
expresse à étudier, celui-ci ne procèdera à la suppression définitive de comptes utilisateurs que s’ils ne sont plus
référencés dans aucun espace de travail et qu’ils n’ont plus d’activité sur la Plateforme depuis au moins un an et au
maximum deux ans.
Vos données personnelles seront donc conservées au maximum deux ans après que vous ayez été retiré de tous les
annuaires d’espaces de travail ou un an après que les espaces de travail dans lesquels votre compte était toujours
référencé ont été supprimés (ce délai d’un an est celui de la rétention des sauvegardes de la Plateforme).

Politique de confidentialité 2023

 6/7

QUI A ACCES AUX DONNEES ARCHIVEES ?

En règle générale, le processus d’archivage est exécuté au terme de l’utilisation du Service. Les données extraites
sont livrées sur un disque dur chiffré au représentant du Client et contiennent l’intégralité du contenu d’un espace de
travail (fichiers, description des formulaires, avis, commentaires, journaux, annuaire…) via des fichiers au format XML
lisibles sans recours à des logiciels imposés. Un ordinateur disposant de logiciels de base (dont un logiciel de
décompression de fichiers archives, un tableur et les logiciels permettant la lecture des fichiers échangés dans
MEZZOTEAM par les utilisateurs) sera suffisant pour consulter les archives issues de MEZZOTEAM.
Une fois que nous avons reçu le bon de livraison attestant que les archives ont été réceptionnées par le représentant
du Client et qu’il a confirmé leur intégrité, nous procédons à la suppression définitive de l’espace de travail et de son
contenu. Seul le Client dispose alors des données archivées et il est responsable de leur conservation.

QUELS SONT LES SECURITES DE LA PLATEFORME ?

La connexion est-elle sécurisée ?

L'accès à la Plateforme n'est autorisé que lorsque l'utilisateur a renseigné son login (adresse de messagerie sauf
connexion SSO) et son mot de passe dans la page de connexion.
Les contacts ont quant à eux la possibilité d’accéder à un document à partir d’un lien sécurisé dans un message sans
nécessité de s’authentifier.
Toute connexion à MEZZOTEAM s’effectue systématiquement en mode sécurisé (https). Cela garantit qu'aucun fichier
ne pourra être piraté lors de son transfert entre MEZZOTEAM et le poste de travail d'un utilisateur.

Quelle sécurité est exigée pour le mot de passe ?

Par défaut, les mots de passe doivent contenir au minimum 12 caractères avec une combinaison obligatoire d’au
moins 3 types de caractères parmi les minuscules, les majuscules, les chiffres et les caractères spéciaux.
Votre compte utilisateur sera automatiquement verrouillé pour une durée de 15 minutes au-delà de 6 échecs de
connexion.
Il vous sera également demandé de le renouveler tous les 90 jours avec l’interdiction de choisir le même mot de
passe que les 4 précédents.

Quelles sont les modalités de sécurité des infrastructures ?

La Plateforme est hébergée dans un Datacenter à Saint Denis en France, certifié ISO/CEI 27001.
Le service est infogéré par les équipes techniques Prosys et, pour assurer une couverture horaire complète, par
celles de notre infogéreur également certifié ISO/CEI 27001. Le choix d’un hébergement externalisé est régi par la
volonté d’offrir un service de qualité et de haute disponibilité dont les différents éléments sont décrits ci-après.
La robustesse et la pérennité des choix de notre infrastructure sont confirmés par une qualité de service constante
malgré une demande croissante de nos Clients en volume et en nombre d’utilisateurs (plusieurs To de données gérées,
pour plusieurs dizaines de milliers d’utilisateurs invités).

Qu’en est-il de la sécurité des données personnelles dans les environnements internes de PROSYS ?
Au-delà de la Plateforme MEZZOTEAM sur le Cloud, les équipes techniques de PROSYS gèrent aussi d’autres
environnements à usage exclusivement interne :
 Des environnements de développement : Pour partager les développements et procéder aux tests unitaires
 Des environnements d’intégration : Pour tester les nouvelles versions dans un environnement technique
stable proche de celui de production
 Des environnements de support technique : Plateforme « miroir » (à J-1) de la Plateforme de production pour
que le service Support puisse reproduire les problèmes survenus dans les mêmes conditions que la
production mais sans risque d’impacter les données de production.
 Des environnements de recette : Pour valider la configuration d’une Plateforme avant installation ou mise à
jour d’une Plateforme d’un Client en intranet.
L’accès à ces environnements est limité aux seules personnes travaillant pour le compte de PROSYS et font l’objet de
la même exigence de sécurité que l’environnement de production.
Les Plateformes internes peuvent contenir des données issues des bases de données de production mais toutes les
données à caractères personnelles de l’annuaire sont pseudonymisées de sorte qu’on l’on ne puisse pas attribuer les

Politique de confidentialité 2023

 7/7

données à une personne physique sans avoir recours à des informations supplémentaires (hors environnement de
support technique).

MODIFICATION DE LA PRESENTE POLITIQUE

Nous nous réservons le droit de modifier cette politique à tout moment pour tenir compte des changements apportés
à la loi, des pratiques de collecte et d’utilisation des données, des caractéristiques du Service ou des progrès
technologiques. La Politique modifiée sera accessible par l’intermédiaire du Service, de sorte que vous puissiez la
consulter périodiquement. Si nous apportons un changement important en matière de protection de la vie privée, nous
nous conformerons aux exigences légales applicables en matière de préavis et/ou de consentement.
Si nécessaire, les précédentes versions de la présente politique peuvent être fournies sur simple demande formulée
en nous contactant.

LANGUE DE REFERENCE DE LA PRESENTE POLITIQUE

La traduction anglaise de la présente Politique est fournie par souci de commodité uniquement. En cas d'ambiguïté
ou de conflit entre les traductions, la version française fait autorité et prévaut.

Politique de confidentialité 2023

 MEZZOTEAM Privacy Policy
Version 6.1
2023

Mezzoteam – a brand of the Infopro Digital Group

10 place du Général de Gaulle – BP 20156 – 92186 Antony Cedex – France
+33 1 79 06 76 76 – contact@mezzoteam.fr – www.mezzoteam.fr
 2/6

RECITALS
This privacy policy describes how we collect and process your personal data when you use the MEZZOTEAM Platform.
To begin with, you should know that the personal data we currently collect, referred to as “standard data” (surname,
first name, company, etc.), is minimal. This very limited amount of data can be further reduced if you refuse all but
technical cookies (such as those that keep your session active or memorise the language you wish the administration
website to display). The data is stored on servers located in France and is never communicated to third parties other
than the “Client” and the other Platform users listed in the same workspace directory as you.
We would still like you to take note of the confidentiality rules, which are outlined below in the form of questions you
may ask yourself.
After this, please approve these rules by accepting the Platform’s general terms and conditions of use before
continuing to use our services.
In the event of a conflict between this Policy and the service contract signed by a Client, the contract takes priority.
If you have any questions about this Privacy Policy, please contact PROSYS by filling in this contact form.

DEFINITIONS
Terms that are capitalised in this document, whether in the singular or plural, shall have the meanings provided
below.

 “The Platform” or “the Service” refers to the “MEZZOTEAM” collaborative BIM Platform on the Cloud
(www.mezzoteam.com) and the associated websites (administration website, processing servers, etc. (the
“Websites”)).
 “The Client” means the natural or legal person who signed a service contract with PROSYS for the provision
and use of MEZZOTEAM. This is the Data Controller.
 “We” or “Us” refers to PROSYS, publisher of the MEZZOTEAM Collaborative Platform. PROSYS is a Processor.
 “You” refers to the users or contacts listed in the directory of a workspace on the MEZZOTEAM Platform.
 “Users” are natural persons who are invited to browse the contents of a workspace directory (documents,
notices, comments, etc.) after logging in.
 “Contacts” are natural persons registered on a workspace directory so as to be referenced on forms or
receive notifications. Unlike a user, a contact cannot browse a workspace to access content other than that
to which they have been assigned.
 “Client administrators” are users who have been given a super-user role by the Client, enabling them to
adjust the settings and invite users.
 “Platform Administrators” are PROSYS employees who are responsible for the availability and serviceability
of MEZZOTEAM Cloud.
 “Workspaces” are the containers for the projects you are invited to work on. In broad terms, a workspace
corresponds to a project.
 “Archiving” is a process whereby all the data deposited in a workspace is returned to its owner, the Client
(see § Who can access the archived data?).

As part of the protection of privacy, the introduction of the European GDPR (General Data Protection Regulation) has
led us to clarify certain points concerning your personal data.

WHAT ARE OUR COMMITMENTS?

The Client is the Data Controller for the data present in its workspaces. As part of the use of the Service, PROSYS is
the Client’s Processor, meaning that we provide the Client with the Service that facilitates the collection and
processing of this data solely for the purposes of the Client’s project.
We are committed to ensuring the protection, confidentiality, and security of your data. For this purpose, we take
technical and organisational measures to protect it against accidental or unlawful destruction, accidental loss,
alteration, disclosure, or unauthorised access (see § How is the Platform secured?).

2023 Privacy policy

 3/6

We ask our subcontractors to make equivalent commitments regarding the security and protection of personal data.

WHY DO WE COLLECT PERSONAL DATA?

The value of a platform such as MEZZOTEAM lies in the collaboration between people involved in a common project.
They are invited as users into a workspace directory by a Client administrator. They can also be added as simple
contacts. The collection of personal information allows natural persons to be identified or made identifiable so that
they can communicate with each other, which is necessary for the performance of the terms of the contract and to
provide the subscribed service.
Explicit consent to the collection of this data is therefore not required, as it is collected in order to fulfil the obligations
of a contract.

WHAT DATA DO WE COLLECT?

Pursuant to current legislation, we have adopted the principle of data minimisation. This means that we only collect
the data that is strictly necessary for the operation of the Service. The data collected is provided by you via the
registration form or by your IT department if you connect to the MEZZOTEAM Cloud Platform via an SSO* connection.
Essential processing data:
 Your surname,
 Your first name,
 Your password (stored in encrypted form in the Platform’s databases unless you use an SSO connection, in
which case the password is managed in your company’s directory),
 Federated identifier (for SSO connections only)
 E-mail address,
Non-essential processing data:
 Initials,
 Formatted name (default: first name and surname),
 Postal details (address, postcode, town, country),
 Profession,
 Service / Department,
 Office phone,
 Mobile phone,
 Fax,
 Photograph.
You do not need to enter your email address, as it has already been entered by the Client’s administrator when you
were invited to the workspace. However, you can change this by modifying your account details.
By default, your “login” corresponds to your e-mail address and can only be changed by the Platform administrators
(for the www.mezzoteam.com Platform, requests for a change of login should be sent to Support via the ‘Support
request’ link in your account menu).
Your personal data is the same for all the workspaces to which you have access and is grouped together in a form
that can be accessed in 4 ways:
 By clicking on ‘My account’, you can access your personal details directly and change them *.
 In the workspace directory, a user can view the personal details of another user by clicking on the line
corresponding to their name.
 A Client directory on the website dedicated to administration and accessible only to administrators displays
for each Client the forms of all the users invited to the areas it manages. A Client directory administrator
(Client representative with the ability to manage the directories of all workspaces associated with the Client
account) can enter logins to be deployed to several workspaces at once. Users are not notified when they
are added to a Client directory (this is just an intermediary step to make administration easier, but does not
assign any particular rights to the user), however, adding a workspace to the directory may be accompanied
by an invitation message.

2023 Privacy policy

 4/6

 To provide technical support, the general directory displays the forms of all Platform users and is only
accessible to Platform administrators.
Secondly, as you use the Platform, we save purely technical cookies that are strictly necessary for the proper
functioning of the requested service. We request you to not delete them, which would negatively affect your use of
the Service.
Cookies are used as follows:
 authentication cookie (identifier generated when connecting to the Platform)
 session cookie (identifier valid from the time the web browser connects to the Platform until it closes)
 personalisation cookie (persistent cookie used to remember the display language on the administration
website)

* If you connect to the MEZZOTEAM Cloud Platform via an SSO (Single Sign On) connection, you may not be able to
modify some of your personal data (e.g. your surname, first name, telephone number, etc.). This is because that data
is synchronised with your company’s LDAP directory. Contact your IT Department if you need to change your personal
information.

WHAT DO WE DO WITH THE DATA WE COLLECT?

We may need to process your personal data for the following purposes:
 To comply with contractual obligations:
o The details of Platform users are centralised in a general directory so that users can be deactivated
or deleted, or so their login details can be changed,
o From the general directory, we declare the Client contacts responsible for administering their
workspaces as Client account managers and/or Client directory administrators and/or workspace
administrators, so that they can independently set up certain Platform parameters,
o At the end of the project, a contact must be chosen and assigned as archive owner, so that the data
contained in the archive can be identified,
o We can invite administrators who have followed a training course provided by our Training
department:
 To the Helpdesk tool to enter support requests,
 To the Documentation Mezzoteam knowledge base to consult documents relating to the
service,
 To the Nouvelles versions des produits Mezzoteam workspace, which contains
installation files for specific software related to the service.

 To comply with legal obligations:

o As part of the organisation and delivery of MEZZOTEAM presentations or training courses, we
manage sign-in sheets on which the trainees’ contact details appear,

 To respond to functional requests:

o Entering an email address to send regular reports based on the content posted in the workspaces,
o Exclusively upon your request, the Platform administrators can change your login, which is, by
default, your email address (for example due to a change in your name or your company’s domain
name (and therefore your email address),
o We inform our Client contacts when the end date of their subscription to the service is approaching,
o We keep users informed of changes to the service via monthly newsletters,
o We periodically generate a list of users for each workspace and their administrative role, if any,
for statistical purposes (e.g. to know the average number of users per workspace, per company,
etc.)

WHAT RIGHTS DO YOU HAVE OVER YOUR PERSONAL DATA?

In accordance with the regulations on the protection of personal data, you may exercise your rights of access,
rectification, deletion, and erasure (right to be forgotten), where applicable, by sending an email to the administrators
of your workspace.

2023 Privacy policy

 5/6

As a user, you can access and correct your personal data yourself by clicking on the ‘My account’ link after logging
in.
If you deactivate your user account in a workspace, you will no longer be visible to other users (except administrators),
but you will still be listed in the directory. This deactivation can be done by a Client administrator to whom you have
sent your request via the ‘Opt-out request’ link. The recipient of the opt-out request is responsible for the response
provided.
If you delete your account from a workspace, you will no longer appear in the directory at all (including to
administrators). This deletion can be done by a Client administrator with workspace directory management rights.
If an account is not deleted from the directory of the only workspace to which it has been invited, it will be permanently
deleted from the Platform when the workspace is deleted by a Platform administrator at the end of the project.
If an account is deleted from the directory of the workspace to which it has been invited, and is therefore no longer
in the directory when the workspace is deleted, permanently deleting the account from the Platform’s general
directory is the only way of permanently deleting this personal data. This may be done by a Platform administrator
following a specific, duly reasoned request or as part of the periodic deletion of inactive accounts (see § How long is
your personal data stored on the Platform).

HOW LONG IS YOUR PERSONAL DATA STORED ON THE PLATFORM?

Your essential personal data is necessary for the proper operation of the service and cannot be permanently deleted
until you no longer need to use the service.
You may delete your non-essential personal data at any time by modifying your account on the Platform.
Essential personal data can only be deleted from a database manually by a Platform administrator (either at the time
the workspace is deleted, if the account is still in the workspace directory, or via the general directory if the account
has been deleted from the workspace). Unless expressly requested to do so, the administrator will only permanently
delete user accounts that are no longer referenced in any workspace and have not been active on the Platform for at
least one year and at most two years.
Your personal data will therefore be kept for a maximum of two years after you are removed from all workspace
directories, or one year after the workspaces in which your account was still listed have been deleted (this one-year
period is that of the retention period for Platform backups).

WHO CAN ACCESS THE ARCHIVED DATA?

As a general rule, the archiving process is carried out at the end of the use of the Service. The extracted data is
delivered on an encrypted hard disk to the Client’s representative and contains the entire content of a workspace
(files, form descriptions, notices, comments, logs, directory, etc.) in XML format files that can be read without the need
for any software. A computer with basic software (including software for decompressing archive files, a spreadsheet
program, and software for reading files exchanged in MEZZOTEAM by users) will be sufficient to consult the
MEZZOTEAM archives.
Once we have received the delivery note certifying that the archives have been received by the Client’s representative
and that he/she has confirmed their integrity, we will permanently delete the workspace and its contents. At that
point, only the Client will be able to access the archived data and will be responsible for storing it.

HOW IS THE PLATFORM SECURED?

Is the connection secure?

Access to the Platform is only authorised once a user enters their login (email address except for SSO connection)
and password on the connection page.
Contacts can access a document from a secure link in a message without having to authenticate themselves.
Connections to MEZZOTEAM are always made in secure mode (https). This guarantees that no file can be manipulated
when it is being transferred between MEZZOTEAM and a user’s workstation.

What is the required password security?

By default, passwords must contain a minimum of 12 characters with a combination of at least 3 types of characters
from among lower case, upper case, numbers, and special characters.
After 6 failed logins, your user account will be automatically locked for 15 minutes.

2023 Privacy policy

 6/6

Every 90 days, you will also be asked to choose a new password, which may not be the same as any of your 4 previous
passwords.

What are the infrastructure security methods?

The Platform is hosted in an ISO/CEI 27001-certified data centre in Saint Denis, France.
The service is managed by Prosys technical teams and, in order to ensure 24/7 coverage, by those of our outsourcer,
which is also ISO/CEI 27001 certified. The choice of outsourced hosting is governed by a desire to offer a high-quality,
high-availability service, the various elements of which are described below.
The robustness and longevity of our infrastructure choices are backed up by a consistent quality of service, despite
growing demand from our Clients in terms of volume and numbers of users (several Tb of data managed, for several
tens of thousands of guest users).

What about the security of personal data in PROSYS’ internal environments?

In addition to the MEZZOTEAM Cloud Platform, the PROSYS technical teams also manage other environments for
internal use only:
 Development environments: To share developments and conduct unit tests
 Integration environments: To test new versions in a stable technical environment similar to the production
environment
 Technical support environments: A “mirror” platform of the production platform (as at D-1) so that the
Support department can reproduce problems that have occurred under the same conditions as production
but without the risk of impacting production data.
 Acceptance test environments: To test a Platform configuration before installing or updating a Client
Platform on the intranet.
Access to these environments is restricted to persons working for PROSYS and is subject to the same security
requirements as the production environment.
The internal Platforms may contain data from the production databases, but all personal data in the directory is
pseudonymised so that it cannot be attributed to an individual without additional information (outside the technical
support environment).

CHANGES TO THIS POLICY

We reserve the right to modify this policy at any time to take account of changes in the law, data collection and use
practices, the characteristics of the Service, or technological advances. The amended Policy will be accessible via the
Service so that you can consult it periodically. If we make a material change in privacy, we will comply with the
applicable legal requirements for notice and/or consent.
If necessary, previous versions of this policy can be provided on request by contacting us.

REFERENCE LANGUAGE OF THIS POLICY

The English translation of this Policy is provided for convenience only. In the event of ambiguity or conflict between
the translations, the French version shall prevail.

2023 Privacy policy