Addendum sur le traitement des données

Dans le cadre des relations contractuelles entre DAVI et le client, les parties s’engagent à respecter la règlementation en vigueur relative aux traitements de données à caractère personnel, notamment le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après RGPD).

 
Cet addendum sur le traitement des données avec ses annexes (ensemble, le présent « DPA ») est incorporé dans le contrat d’abonnement (ou tout autre accord écrit électronique ou mutuellement signé) entre DAVI et le client qui y fait référence (le « Contrat »). Le présent DPA entre en vigueur à la date d’entrée en vigueur du Contrat

1. Traitement des données

1. Portée. Cette DPA s’applique lorsque DAVI traite les données personnelles ou les données de compte du client dans la fourniture des services en vertu du Contrat au client.
2. Rôles des parties.
      (a) Données personnelles du client. Les parties conviennent que DAVI est un sous-traitant en ce qui concerne son traitement des données personnelles des clients dans la fourniture des services. DAVI ne traitera les données personnelles des clients que conformément au Contrat, au présent DPA (y compris l’annexe A) et aux commandes (les « instructions documentées »). DAVI informera rapidement le client s’il prend connaissance que les instructions documentées violent les lois sur la protection des données.
      (b) Données du compte. Les parties conviennent que le client et DAVI sont des contrôleurs indépendants des données de compte, et chaque partie (i) se conformera à ses obligations en tant que responsable du traitement et (ii) s’engage à fournir une assistance raisonnable à l’autre partie lorsque les lois sur la protection des données l’exigent.
3. Obligations des clients. Le client est responsable de s’assurer qu’aucune catégorie spéciale de données personnelles (en vertu de l’article 9 du RGPD), de données personnelles relatives aux condamnations pénales et aux infractions (en vertu de l’article 10 du RGPD), ou de données personnelles sensibles similaires (définies dans les lois sur la protection des données) ne soit soumise à DAVI pour traitement.
4. Respect des lois. Chaque partie se conformera à toutes les lois sur la protection des données applicables à son exécution en vertu du présent DPA.

2. Durée

Le présent DPA reste en vigueur jusqu’à la fin (a) de l’expiration ou de la résiliation du Contrat, et (b) le retour ou la suppression des données personnelles du client conformément à la section 6.

3. Sécurité et confidentialité

DAVI mettra en œuvre et maintiendra les mesures techniques et organisationnelles pour protéger les données personnelles et les données du compte des clients contre la destruction, la perte, l’altération accidentelle ou illégale, la divulgation ou l’accès non autorisé, comme décrit à l’annexe B (les « mesures techniques et organisationnelles »). DAVI prendra les mesures appropriées pour assurer la conformité avec les mesures techniques et organisationnelles par ses employés, agents, entrepreneurs et sous-traitants dans la mesure applicable à leur champ d’exécution, y compris en veillant à ce que toutes les personnes autorisées à traiter les données personnelles des clients ou les données de compte ont accepté des obligations de confidentialité appropriées.

4. Sous-traitants

1. Autorisation du sous-traitant. Le client autorise généralement DAVI à engager des sous-traitants conformément à la présente section 4 et approuve l’utilisation par DAVI des sous-traitants énumérés dans la liste des sous-traitants. DAVI mettra à jour la liste des sous-traitants au moins 30 jours avant de nommer un nouveau sous-traitant et fournira au client un mécanisme pour recevoir les notifications de mises à jour de la liste des sous-traitants (un « avis de modification »), qui est disponible aujourd’hui via la liste des sous-traitants.
2. Objections aux sous-traitants. Le client peut s’opposer au nouveau sous-traitant pour des raisons raisonnables liées à la protection des données personnelles du client en envoyant un courriel à davi@davi.ai décrivant son objection légitime de bonne foi dans les 15 jours suivant un avis de modification (un « avis d’objection »), auquel cas DAVI peut satisfaire l’objection en (a) n’utilisant pas le sous-traitant pour traiter les données personnelles du client ; (b) en prenant les mesures correctives demandées par le client dans son avis d’objection ; ou (c) en cessant de fournir les parties des services qui impliquent le sous-traitant traitant les données personnelles du client, sous réserve d’un accord mutuel des parties pour ajuster la rémunération pour les services compte tenu de leur portée réduite. Si aucune des options décrites ci-dessus n’est raisonnablement disponible et que l’objection du client n’a pas été résolue à la satisfaction mutuelle des parties dans les 15 jours suivant la réception de l’avis d’objection par DAVI, l’une ou l’autre partie peut résilier la commande concernée et DAVI remboursera au client une part proportionnelle de tout montant inutilisé prépayé par le client en vertu de la commande applicable pour les services sur la
base de la partie restante des conditions actuelles de la commande. Si le client ne fournit pas un avis d’objection en temps opportun à l’égard d’un nouveau sous-traitant, le client sera réputé avoir autorisé l’utilisation du sous-traitant par DAVI et avoir renoncé à son droit d’opposition.
3. Exigences relatives au sous-traitant. DAVI conclura un accord écrit avec chaque sous-traitant qui contient des obligations de protection des données équivalentes à celles du présent DPA. DAVI sera responsable des actions et omissions de ses sous-traitants entreprises dans le cadre de l’exécution de DAVI en vertu du présent DPA dans la même mesure que DAVI serait responsable s’il exécutait directement les services.

5. Demandes de la personne concernée

Si DAVI reçoit une demande de la personne concernée, DAVI (a) informera la personne concernée de soumettre la demande directement au client et (b) en informera rapidement la
demande. Lorsque les lois sur la protection des données l’exigent, DAVI, à la demande du client et en tenant compte de la nature des données personnelles traitées par du client,
fournira une assistance raisonnable au client pour répondre à la demande de la personne concernée dans la mesure où le client n’est pas en mesure, par son utilisation des services,
de répondre par lui-même à une demande particulière de la personne concernée. Dans la mesure permise par la loi applicable, le client sera responsable de tous les coûts découlant de l’assistance de DAVI.

6. Suppression des données

À compter de 30 jours après la date d’entrée en vigueur de la résiliation du Contrat, DAVI lancera un processus sur demande écrite du client qui supprime les données personnelles du
client conservées en production dans les 90 jours et dans les sauvegardes dans les 180 jours. Toutes les données personnelles du client archivées dans des sauvegardes seront isolées et protégées contre tout traitement ultérieur, sauf disposition contraire des lois applicables. Nonobstant ce qui précède, dans la mesure où DAVI est tenu par les lois applicables de conserver tout ou partie des données personnelles du client, DAVI ne sera pas obligé de supprimer les données personnelles du client conservées, et le présent DPA continuera de s’appliquer aux données personnelles du client conservés. Le client reconnaît qu’il est responsable de l’exportation de toutes les données personnelles du client que le client souhaite conserver avant l’expiration de la période de 30 jours mentionnée conformément au Contrat.

7. Violations de données personnelles

1. Notification de violation. DAVI informera le Client sans retard injustifié après avoir pris connaissance d’une violation de données personnelles. La notification de DAVI au client décrira (a (a) la nature de la violation des données personnelles, y compris, si elle est connue, les catégories et le nombre approximatif de personnes concernées et d’enregistrements de données personnelles concernés ; (b) les mesures que DAVI a prises, ou prévoit de prendre, pour répondre et atténuer la violation des données personnelles ; (c) toute mesure que DAVI recommande au client de prendre pour remédier à la violation des données personnelles ; et (d) les informations relatives au point de contact de DAVI en ce qui concerne la violation des données personnelles. Si DAVI ne peut pas fournir toutes les informations ci-dessus dans la notification initiale, DAVI fournira les informations au client dès qu’elles seront disponibles.
2. Réponse à la violation. DAVI prendra rapidement toutes les mesures relatives à ses mesures techniques et organisationnelles qu’elle jugera nécessaires et souhaitables pour identifier et remédier à la cause d’une violation de données personnelles.
3. Général. La notification ou la réponse de DAVI à une violation de données à caractère personnel ne constituera pas une reconnaissance de faute ou de responsabilité à l’égard de la violation de données à caractère personnel. Les obligations énoncées dans la présente section 7 ne s’appliquent pas aux violations de données personnelles causées par le client, les utilisateurs autorisés ou les fournisseurs de composants du client. Sauf si la loi applicable l’exige (y compris les délais prescrits par les lois sur la protection des données), si le client décide d’informer une autorité de surveillance, les personnes concernées ou le public d’une violation de données personnelles, le client fera des efforts raisonnables pour fournir
à DAVI des copies préalables de l’avis(s) et permettre à DAVI d’avoir l’occasion de leur fournir des éclaircissements ou des corrections.

8. Audits

1. Rapports d’audit de DAVI. À la demande du client, et sous réserve des dispositions de confidentialité du Contrat, DAVI exposera à la disposition du client des copies ou des extraits des rapports d’audit de DAVI relatifs à la sécurité des services.
2. Droits d’audit du client. Le client peut demander (directement ou par l’intermédiaire d’un auditeur tiers soumis à des obligations de confidentialité écrites) un audit de DAVI pour vérifier la conformité de DAVI avec les termes du présent DPA si un tel audit est requis par les lois sur la protection des données et que la conformité de DAVI ne peut pas être démontrée par des moyens moins lourds pour DAVI (y compris en vertu de la section 8.1). Tout audit en vertu de cet article doit répondre aux exigences suivantes : (a) Le client doit fournir à DAVI un préavis écrit d’au moins 30 jours d’un audit proposé, sauf si une autorité de contrôle compétente ou des lois sur la protection des données l’exige autrement ; (b) Le client ne peut pas effectuer plus d’un audit au cours d’une période de 12 mois, sauf si une autorité de surveillance compétente l’exige ; (c) Le client et DAVI doivent se mettre d’accord mutuellement sur le temps, la portée et la durée de l’audit à l’audit à l’avance ; (d) Le client doit rembourser à DAVI le temps qu’il a consacré dans le cadre d’un audit aux tarifs
raisonnables de service professionnel raisonnables de DAVI, qui seront mis à la disposition du client sur demande ; (e) le client doit s’assurer que ses représentants effectuant un audit protègent la confidentialité de toutes les informations obtenues par le biais de l’audit conformément au Contrat, exécutent un accord de non-divulgation amélioré mutuellement acceptable si cela est demandé par DAVI, et respectent les politiques de sécurité de DAVI lorsqu’ils sont dans les locaux de DAVI ; et (f) le client doit divulguer rapidement à DAVI tout rapport d’audit écrit créé, et toute constatation de non-conformité découverte, à la suite de l’audit.

9. Évaluations d'impact et consultation préalable

Compte tenu de la nature du traitement et des informations à la disposition de DAVI, DAVI aidera, lorsque les lois sur la protection des données l’exigent, le client à remplir ses obligations liées aux évaluations d’impact sur la protection des données (lorsqu’elles sont liées aux services, et uniquement dans la mesure où le client n’a pas autrement accès aux
informations pertinentes) et à la consultation préalable des autorités de surveillance, y compris en fournissant les informations décrites à la section 8.1 ci-dessus.

10. Transferts de données

Tout transfert de données vers un pays tiers ne peut se faire qu’avec l’accord préalable écrit du responsable du traitement et à condition que les exigences spécifiques des articles 44 et suivants du RGPD soient remplies. Si le Sous-Traitant est tenu de procéder à un transfert de Données vers un pays tiers ou une organisation internationale, en vertu du droit de l’Union ou du droit de l’État membre auquel il est soumis, il doit informer le Responsable du Traitement de cette obligation juridique avant le Traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public.

 

11. Limitation de responsabilité

La responsabilité de chaque partie prise dans l’ensemble, découlant de la présente DPA ou liée à celle-ci, que ce soit en contrat, en responsabilité délictuelle ou en vertu de toute autre théorie de responsabilité, est soumise aux dispositions de limitation de responsabilité du Contrat.

12. Modifications

DAVI peut apporter des modifications au présent DPA lorsque (a) le changement est nécessaire pour se conformer à une loi applicable ; ou (b) le changement est commercialement raisonnable, ne réduit pas sensiblement la sécurité des Services, ne change pas la portée du traitement des données personnelles du client par DAVI et n’a pas d’impact négatif important sur les droits du client en vertu du présent DPA.

13. Définitions

Les termes en majuscules qui ne sont pas définis autrement dans le présent DPA ou dans le Contrat ont la signification qui leur est attribuée ci-dessous.

  • « Données de compte » désigne les informations sur le client que le client fournit à DAVI dans le cadre de la création ou de l’administration de ses comptes DAVI, telles que le prénom et le nom de famille, le nom d’utilisateur et l’adresse électronique d’un utilisateur autorisé ou du contact de facturation du client.
  • « Responsable du traitement » désigne l’entité qui détermine les finalités et les moyens du traitement des données à caractère personnel.
  • « Données du client » désigne les données de l’environnement du client qui sont soumises pour traitement par les services. Grâce à la configuration et à l’utilisation des Services par le Client, le Client a le contrôle des types et des quantités de Données du Client.
  • « Données personnelles du client » désigne les données du client comprenant des données personnelles.
  • « Lois sur la protection des données » désigne les lois et règlements sur la protection des données ou de la vie privée directement applicables au traitement des données à caractère personnel par une Partie en vertu du Contrat, y compris les lois européennes sur la protection des données.
  • « Personne concernée » désigne la personne physique identifiée ou identifiable à laquelle les données personnelles se rapportent.
  • « Demande de la personne concernée » désigne une demande d’une personne concernée exerçant ses droits en vertu des lois sur la protection des données qui se rapporte aux données personnelles du client et identifie le client.
  • « EEE » désigne l’Espace économique européen.
  • « Lois européennes sur la protection des données » désigne le RGPD ; le RGPD du Royaume-Uni ; et toute loi nationale sur la protection des données, réglementation de mise en œuvre ou décision contraignante prise en vertu du RGPD ou du RGPD du Royaume-Uni.
  • « RGPD » désigne le règlement général 2016/679 du Parlement européen et du Conseil sur la protection des données du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE.
  • « Données personnelles » désigne toute information relative à une personne physique identifiée ou identifiable.
  • « Violation des données personnelles » désigne une violation de la sécurité de DAVI conduisant à la destruction accidentelle ou illégale, à la perte, à l’altération, à la 
  • divulgation non autorisée ou à l’accès aux données personnelles du client.
  • « Processus » et « Traitement » désigne toute opération ou tout ensemble d’opérations effectuées sur des données personnelles, telles que la collecte, l’enregistrement, l’organisation, la structuration, le stockage, l’adaptation ou la modification, la récupération, la consultation, l’utilisation, la divulgation par transmission, la diffusion ou autrement mise à disposition, l’alignement ou la combinaison, la restriction, l’effacement ou la destruction.
  • « Processeur » désigne l’entité qui traite les données à caractère personnel pour le compte d’un responsable du traitement.
  • « Sous-traitant » désigne tout sous-traitant engagé par DAVI ou un affilié de DAVI pour traiter les données personnelles des clients au nom de DAVI ou de son affiliée tout en fournissant les services.
  • « Liste des sous-traitants » désigne la liste des sous-traitants disponible dans l’Annexe B

Annexe A - détails des transferts de données

A. LISTE DES PARTIES

Exportateur(s) de données :
Nom : Client.
Adresse : L’adresse du client associée à son compte DAVI ou comme indiqué dans le Contrat.

Nom, poste et coordonnées de la personne-ressource : Les coordonnées du client associé à son compte DAVI ou comme indiqué dans le Contrat.

Activités relatives aux données transférées en vertu des présentes clauses : Traitement des données personnelles des clients et des données de compte dans le but de fournir, de soutenir et d’améliorer les services 

Signature et date : Les parties conviennent que l’exécution du Contrat constitue l’exécution de la présente annexe A par les deux parties.

Rôle (contrôleur/processeur) : Processeur ou contrôleur en ce qui concerne les données personnelles du client ; contrôleur en ce qui concerne les données du compte.


Importateur(s) de données :
Nom : DAVI.

Adresse : 19, rue Godefroy, 92800 PUTEAUX

Nom, poste et coordonnées de la personne-ressource : Les coordonnées de DAVI telles qu’elles sont énoncées dans le Contrat. L’équipe de confidentialité de DAVI peut être contactée à l’adresse davi@davi.ai .

Activités relatives aux données transférées en vertu des présentes clauses : Traitement des données personnelles des clients et des données de compte dans le but de fournir, de soutenir et d’améliorer les services.

Signature et date : Les parties conviennent que l’exécution du Contrat constitue l’exécution de la présente annexe A par les deux parties.

Rôle (contrôleur/traitant) : Processeur en ce qui concerne les données personnelles du client ; contrôleur en ce qui concerne les données du compte.

B. DESCRIPTION DU TRANSFERT

Catégories de personnes concernées dont les données à caractère personnel sont transférées

En ce qui concerne les données du compte : les personnes concernées peuvent inclure les employés du client. En ce qui concerne les données personnelles du client, les personnes concernées peuvent inclure les employés, les clients, les fournisseurs et les utilisateurs finaux du client.

Catégories de données personnelles transférées

En ce qui concerne les données du compte : les données personnelles qui sont envoyées à DAVI par le client dans le but d’utiliser les services. En ce qui concerne les données personnelles du client : les données personnelles qui sont envoyées à DAVI par le client dans le but d’utiliser les services. Aucune donnée personnelle sensible (Article 9 du RGPD) n’est collectée, stockée ou traitée par DAVI. La fréquence du transfert (par exemple, si les données sont transférées sur une base unique ou continue). Les données personnelles sont transférées sur une base continue.

Nature du traitement

DAVI traitera uniquement les Données client pour les Finalités autorisées, qui comprendront : (i) le traitement nécessaire pour fournir le Service conformément au Contrat ; (ii) le traitement initié par le Client dans son utilisation du Service ; et (iii) le traitement pour se conformer à toutes les autres instructions raisonnables fournies par le Client (par exemple, par e-mail ou par des tickets d’assistance) qui sont conformes aux conditions du Contrat.

But(s) du transfert de données et du traitement ultérieur

En ce qui concerne les données de compte : pour que DAVI (a) gère le compte du client, y compris pour calculer les frais ; (b) fournit et améliore les services et l’assistance, y compris pour répondre aux demandes d’assistance et résoudre d’autres problèmes ; et (c) fournit aux clients et aux utilisateurs autorisés des informations, des annonces de services et de fonctionnalités, et d’autres rapports. En ce qui concerne les données personnelles des clients : pour que DAVI fournisse, soutienne et améliore les services.

La période pendant laquelle les données à caractère personnel seront conservées ou, si cela n’est pas possible, les critères utilisés pour déterminer cette période

En ce qui concerne les données du compte : les données personnelles sont conservées pour gérer les comptes du client conformément à la politique de confidentialité de DAVI. En ce qui concerne les données personnelles du client : les données personnelles sont conservées conformément à la configuration des services par le client ou aux calendriers de conservation décrits dans la documentation.

Pour les transferts à des (sous-)traitants, précisez également l’objet, la nature et la durée du traitement.

En ce qui concerne les données de compte : l’objet des données personnelles transférées aux sous-traitants est les données de compte, qui sont transférées aux sous-traitants pour gérer les comptes du client avec DAVI, conformément à la politique de confidentialité de DAVI. En ce qui concerne les données personnelles du client : l’objet des données personnelles transférées aux sous-traitants sont les données personnelles du client, qui sont transférées aux sous-traitants pour fournir, soutenir et améliorer les services, comme indiqué dans le Contrat entre le client et DAVI.

C. AUTORITÉ DE SURVEILLANCE COMPÉTENTE

Identifier la ou les autorités de surveillance compétentes conformément à la clause 13

L’autorité de contrôle compétente déterminée conformément aux lois sur la protection des données.

Annexe B - Mesures techniques et organisationnelles

À la date du présent DPA, les mesures techniques et organisationnelles de DAVI comprennent ce qui suit.

1. Contrôle d'accès

  • DAVI restreint l’accès aux données personnelles des clients aux employés ayant un besoin défini de savoir ou un rôle nécessitant un tel accès.
  • DAVI maintient des contrôles d’accès des utilisateurs qui traitent du provisionnement et du déprovisionnement en temps opportun des comptes d’utilisateurs

2. Continuité des activités

  • • DAVI maintient les plans de continuité des activités, de sauvegarde et de reprise après sinistre (« plans BC/DR ») afin de minimiser la perte de service et de se conformer aux lois
    applicables. 
  • Les plans BC/DR traitent des menaces qui pèsent sur les Services et sur toute dépendance, et disposent d’une procédure établie pour reprendre l’accès et l’utilisation des Services.
  • Les plans BC/DR sont testés à intervalles réguliers.

3. Contrôle des changements

  • • DAVI maintient des politiques et des procédures pour appliquer les changements aux Services, y compris l’infrastructure sous-jacente et les composants du système, afin de
    s’assurer que les normes de qualité sont satisfaites.
  • Les correctifs de sécurité sont appliqués conformément au calendrier de correctifs de DAVI.
  • DAVI maintient un environnement de test et de développement distinct de l’environnement de production.

5. Sécurité des données

  • DAVI maintient des garanties techniques et d’autres mesures de sécurité pour assurer la sécurité et la confidentialité des données personnelles des clients. 
  • DAVI sépare logiquement les données personnelles des clients dans l’environnement de production.

Annexe B - Liste des sous-traitants

1. Qu'est-ce qu'un sous-traitant ?

Afin de fournir ses services, DAVI peut engager des tiers ou d’autres membres du groupe DAVI (affiliés) pour effectuer des activités de traitement des données qui impliquent l’accès aux données des clients. Ces organisations, appelées « sous-traitants », sont identifiées ci-dessous avec leur localisation et les types de services qu’elles fournissent à DAVI.

2. Sous-traitants

  • Hubspot (Allemagne) : Gestion des tickets de support et service à la clientèle
  • MailJet (Allemagne / Belgique) : Services de notification par courrier électronique
  • Microsoft Corporation (Azure) (France) : Fournisseur d’infrastructure
  • Microsoft Corporation (Office 365) (France) : Courrier électronique et applications bureautiques
  • SAGE (Allemagne) : Devis et facturation
  • Scaleway (France) : Fournisseur d’infrastructure
  • Scaleway (France) : Services de notification par courrier électronique