Aller au contenu

Accord de traitement des données

Last updated: · Version 1.0

1. Introduction

Cet Accord de traitement des données (« DPA ») fait partie de l’accord entre Godfrey Engineering Ltd (« Prestataire », « nous ») et l’entité ou la personne qui l’accepte (« Responsable de traitement », « vous ») pour la fourniture de services tels que décrits dans nos Conditions d’utilisation (« Accord »).

Cet DPA s’applique uniquement dans la mesure où Godfrey Engineering traite des données personnelles pour le compte du Responsable de traitement dans le cadre de la fourniture des Services, et lorsque ces données personnelles sont soumises au Règlement général sur la protection des données du Royaume-Uni (UK GDPR), au Règlement général sur la protection des données de l’Union européenne (EU GDPR), ou à toute autre législation applicable en matière de protection des données.

Les termes utilisés dans ce DPA ont les sens qui leur sont donnés dans l’UK GDPR, sauf s’ils sont définis différemment aux présentes.

2. Définitions

  • « Loi applicable en matière de protection des données » désigne toutes les lois et réglementations relatives au traitement des données personnelles, notamment l’UK GDPR, la Loi sur la protection des données 2018, l’EU GDPR, et le Règlement sur la vie privée et les communications électroniques 2003 (PECR), selon les cas.
  • « Responsable de traitement » désigne l’entité qui détermine les objectifs et les moyens du traitement des données personnelles.
  • « Personne concernée » désigne la personne physique à laquelle se rapportent les données personnelles.
  • « Données personnelles » désigne toute information se rapportant à une personne physique identifiée ou identifiable.
  • « Traitement » désigne toute opération ou ensemble d’opérations effectuées sur des données personnelles, notamment la collecte, le stockage, l’utilisation, la divulgation et la suppression.
  • « Prestataire » désigne l’entité qui traite les données personnelles pour le compte du Responsable de traitement.
  • « Sous-prestataire » désigne un tiers engagé par le Prestataire pour traiter les données personnelles pour le compte du Responsable de traitement.
  • « Incident de sécurité » désigne une violation de la sécurité entraînant la destruction, la perte, l’altération, la divulgation non autorisée ou l’accès non autorisé accidentels ou illégaux à des données personnelles.

3. Champ d’application et objectif du traitement

3.1 Sujet du traitement

Le Prestataire traite les données personnelles pour le compte du Responsable de traitement dans le but de fournir les Services décrits dans l’Accord, notamment :

  • L’hébergement et la fourniture des données de compte et d’application du Responsable de traitement
  • Le traitement de calculs et d’analyses techniques via ChainSolve
  • L’envoi de communications transactionnelles pour le compte du Responsable de traitement
  • La fourniture du support client

3.2 Catégories de personnes concernées

  • Les employés et représentants du Responsable de traitement
  • Les utilisateurs finaux et clients du Responsable de traitement
  • Toute autre personne physique dont les données personnelles sont soumises aux Services par le Responsable de traitement

3.3 Types de données personnelles

  • Noms et coordonnées (adresses e-mail, numéros de téléphone)
  • Données d’identification (mots de passe hachés)
  • Données d’utilisation (pages visitées, fonctionnalités utilisées, horodatages)
  • Données techniques (entrées et sorties de calculs)
  • Informations de paiement et de facturation (traitées par Stripe)
  • Contenu des communications (messages de support, soumissions de formulaires de contact)

3.4 Durée du traitement

Le Prestataire traite les données personnelles pour la durée de l’Accord, sauf accord contraire écrit. À la résiliation de l’Accord, le Prestataire traite les données personnelles conformément à la Section 10 de ce DPA.

4. Obligations du Prestataire

Le Prestataire :

  • Traite les données personnelles uniquement conformément aux instructions documentées du Responsable de traitement, sauf s’il y est tenu par la loi. Dans ce cas, le Prestataire informe le Responsable de traitement de l’exigence légale avant le traitement, sauf s’il lui est interdit de le faire par la loi.
  • Veille à ce que les personnes autorisées à traiter les données personnelles se soient engagées au respect de la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.
  • Met en œuvre des mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité approprié au risque, comme décrit à la Section 7.
  • Ne confie à un autre prestataire (Sous-prestataire) que si le Responsable de traitement a donné son autorisation écrite préalable, sous réserve de la Section 6.
  • Assiste le Responsable de traitement pour assurer le respect des obligations relatives à la sécurité du traitement, à la notification des incidents de sécurité, aux analyses d’impact relatives à la protection des données et à la consultation préalable des autorités de contrôle.
  • Au choix du Responsable de traitement, supprime ou retourne toutes les données personnelles à la résiliation des Services, et supprime les copies existantes sauf si la loi applicable exige leur conservation.
  • Met à la disposition du Responsable de traitement toutes les informations nécessaires pour démontrer le respect des obligations énoncées dans ce DPA et permet la réalisation d’audits et d’inspections menés par le Responsable de traitement ou son auditeur autorisé.

5. Obligations du Responsable de traitement

Le Responsable de traitement :

  • Assure que le traitement des données personnelles en vertu de ce DPA est légal, équitable et transparent conformément à la Loi applicable en matière de protection des données.
  • Fournit au Prestataire des instructions documentées pour le traitement des données personnelles, et s’assure que ces instructions sont conformes à la Loi applicable en matière de protection des données.
  • S’assure que les Personnes concernées ont été informées et ont donné leur consentement, si nécessaire, au traitement de leurs données personnelles par le Prestataire.

6. Sous-prestataires

6.1 Sous-prestataires autorisés

Le Responsable de traitement donne une autorisation écrite générale au Prestataire pour faire appel aux Sous-prestataires suivants :

Sous-prestataireObjectifLocalisation des données
Cloudflare, Inc.Hébergement, CDN, sécuritéGlobal (EU/US)
Supabase, Inc.Base de données, authentificationEU (Francfort)
Stripe, Inc.Traitement des paiementsEU
Resend, Inc.Email transactionnelUS (with SCCs)
PostHog, Inc.Analyse des produitsEU (Francfort)

6.2 Modifications des Sous-prestataires

Le Prestataire informe le Responsable de traitement au moins 14 jours à l’avance de tout changement prévu de ses Sous-prestataires (ajouts ou remplacements). Le Responsable de traitement peut s’opposer à ces modifications dans les 14 jours suivant la notification. Si le Responsable de traitement s’oppose et que les parties ne peuvent pas résoudre l’opposition, le Responsable de traitement peut résilier l’Accord.

6.3 Obligations des Sous-prestataires

Le Prestataire veille à ce que chaque Sous-prestataire soit lié par des obligations en matière de protection des données au moins aussi protectrices que celles énoncées dans ce DPA.

7. Mesures de sécurité

Le Prestataire met en œuvre et maintient les mesures techniques et organisationnelles suivantes :

  • Chiffrement en transit : TLS 1.3 pour toutes les données en transit
  • Chiffrement au repos : Chiffrement AES-256 pour les données stockées
  • Contrôle d’accès : Contrôle d’accès basé sur les rôles avec principe du privilège minimum
  • Authentification : Authentification multifacteurs pour tous les accès administratifs
  • Hachage des mots de passe : bcrypt avec un facteur de travail de 12
  • Surveillance : Surveillance continue via Cloudflare pour la sécurité de l’infrastructure et l’observabilité au niveau des requêtes
  • Sauvegarde : Sauvegardes automatiques régulières des données d’application avec chiffrement
  • Réponse aux incidents : Procédures documentées de réponse aux incidents avec rôles définis et voies d’escalade

8. Incidents de sécurité

8.1 Notification

Le Prestataire informe le Responsable de traitement sans délai injustifié, et en tout état de cause dans un délai de 48 heures, après avoir connaissance d’un Incident de sécurité affectant les données personnelles du Responsable de traitement.

8.2 Contenu de la notification

La notification inclut :

  • Une description de la nature de l’Incident de sécurité, y compris les catégories et le nombre approximatif de Personnes concernées et d’enregistrements de données personnelles affectés
  • Le nom et les coordonnées du point de contact du Prestataire
  • Une description des conséquences probables de l’Incident de sécurité
  • Une description des mesures prises ou proposées pour remédier à l’Incident de sécurité

8.3 Coopération

Le Prestataire coopère avec le Responsable de traitement et prend des mesures raisonnables pour assister à l’enquête, l’atténuation et la résolution de l’Incident de sécurité.

9. Transferts internationaux de données

Lorsque le Prestataire transfère des données personnelles à un Sous-prestataire situé en dehors du Royaume-Uni ou de l’EEE, le Prestataire veille à ce que l’une des garanties suivantes soit en place :

  • Une décision d’adéquation du Secrétaire d’État du Royaume-Uni ou de la Commission européenne
  • L’Accord international de transfert de données du Royaume-Uni (IDTA) ou les Clauses contractuelles types de l’UE (SCCs)
  • La certification selon un mécanisme de transfert approuvé (par exemple, le Cadre de confidentialité des données UE-US)

Les détails des garanties de transfert pour chaque Sous-prestataire sont disponibles sur demande.

10. Retour et suppression des données

10.1 À la résiliation

À la résiliation de l’Accord, le Prestataire, au choix du Responsable de traitement :

  • Retourne toutes les données personnelles au Responsable de traitement dans un format structuré, couramment utilisé et lisible par machine (JSON ou CSV) ; ou
  • Supprime toutes les données personnelles de manière sécurisée et le certifie par écrit

10.2 Exceptions de conservation

Le Prestataire peut conserver les données personnelles dans la mesure requise par la Loi applicable en matière de protection des données, sous réserve que le Prestataire assure la confidentialité de ces données et les traite uniquement pour se conformer à l’obligation légale.

11. Audits

11.1 Droit d’audit

Le Responsable de traitement a le droit d’auditer le respect par le Prestataire de ce DPA, sous réserve d’un préavis raisonnable (au moins 30 jours) et pendant les heures normales de travail.

11.2 Étendue de l’audit

Les audits peuvent inclure l’inspection des installations, des systèmes et des registres du Prestataire relatifs au traitement des données personnelles, ainsi que des entretiens avec le personnel du Prestataire.

11.3 Frais

Le Responsable de traitement supporte les frais de tout audit, sauf si l’audit révèle un manquement matériel de ce DPA par le Prestataire.

12. Responsabilité

La responsabilité de chaque partie en vertu de ce DPA est soumise aux limitations et exclusions de responsabilité énoncées dans l’Accord.

13. Droit applicable

Ce DPA est régi par et interprété conformément aux lois d’Angleterre et du Pays de Galles. Tout différend découlant de ou en relation avec ce DPA est soumis à la juridiction exclusive des tribunaux d’Angleterre et du Pays de Galles.

14. Contact

Pour toute question concernant ce DPA ou pour demander une copie signée, veuillez contacter :

Godfrey Engineering Ltd
Royaume-Uni

Tous les documents juridiques legal@godfreyengineering.com