Contrat de sous-traitance (AVV)
Accord relatif au traitement de données à caractère personnel pour le compte d'autrui au sens de l'art. 28 RGPD entre le client en qualité de responsable du traitement et Datargo GmbH en qualité de sous-traitant.
1. Préambule et répartition des rôles
(1) Le présent contrat de sous-traitance (ci-après l’« AVV ») précise les droits et obligations des parties en matière de protection des données dans le cadre du traitement de données à caractère personnel que la Datargo GmbH, Frankfurt am Main (ci-après « Datargo » ou le « sous-traitant »), effectue pour le compte et sur instruction du client (ci-après le « client » ou le « responsable du traitement ») dans le cadre de la mise à disposition des modules Datargo Monitor, Datargo CRM, Datargo ID, Datargo ERP et NextPKI ainsi que de l’offre groupée Datargo One (individuellement et collectivement ci-après les « prestations »).
(2) Le client est, à l’égard des données à caractère personnel qu’il introduit dans les prestations ou qui sont traitées par l’intermédiaire des prestations, responsable du traitement au sens de l’art. 4, point 7, RGPD. Datargo est à cet égard sous-traitant au sens de l’art. 4, point 8, RGPD et traite des données à caractère personnel exclusivement pour le compte et sur instruction documentée du client.
(3) Le présent AVV s’adresse exclusivement aux professionnels au sens du § 14 BGB (Code civil allemand), aux personnes morales de droit public et aux patrimoines spéciaux de droit public.
(4) Le présent AVV s’applique à tous les traitements de données à caractère personnel que Datargo effectue pour le compte du client dans le cadre du contrat principal conclu entre les parties (ci-après le « contrat principal »), composé des conditions générales , des conditions particulières de module respectivement applicables, du Service Level Agreement et d’éventuels contrats individuels. Le présent AVV fait partie intégrante du contrat principal.
(5) Les termes utilisés dans le présent AVV avec la signification du RGPD (notamment « données à caractère personnel », « traitement », « personne concernée », « violation de données à caractère personnel », « autorité de contrôle ») s’entendent au sens de l’art. 4 RGPD. Le terme « RGPD » désigne le règlement (UE) 2016/679. Le terme « droit de la protection des données » désigne le RGPD ainsi que le droit de la protection des données respectivement applicable des États membres, en particulier la loi fédérale allemande sur la protection des données (Bundesdatenschutzgesetz, BDSG).
2. Objet, nature, finalité et durée du traitement
(1) L’objet du traitement est le traitement de données à caractère personnel par Datargo, dans la mesure où il est nécessaire à la fourniture des prestations convenues dans le contrat principal.
(2) La nature et la finalité du traitement résultent du contrat principal et de la description respective des prestations du module utilisé. Datargo traite des données à caractère personnel exclusivement aux fins de mettre à disposition du client les prestations convenues contractuellement, de les exploiter, de les entretenir, de les maintenir, de les sécuriser et d’en assurer le support. Aucun traitement à des fins propres de Datargo, en particulier à des fins publicitaires, d’analyse ou d’entraînement, n’a lieu.
(3) Les activités de traitement typiques par module sont présentées dans le tableau ci-après ; la description respective des prestations fait foi :
| Module | Activité de traitement typique |
|---|---|
| Datargo Monitor | Stockage et exploitation de données de contact et d’escalade en vue de la transmission de notifications ainsi que conservation de l’historique des incidents et des transmissions associé. |
| Datargo CRM | Collecte, structuration, stockage et envoi de données de contacts, de prospects et de clients ainsi que de la communication associée. |
| Datargo ID | Gestion de données d’identité, d’authentification et d’autorisation des utilisateurs du client. |
| Datargo ERP | Traitement de données de base, de mouvement et de pièces justificatives, y compris les données à caractère personnel qu’elles contiennent (par exemple celles d’interlocuteurs, de salariés ou de partenaires commerciaux du client). |
| NextPKI | Traitement de données de certificats, de clés et de demandes, y compris les données à caractère personnel qu’elles contiennent. |
| Datargo One | Traitements des modules groupés selon les modalités du contrat individuel respectif. |
(4) Durée du traitement : le traitement commence avec la mise à disposition des prestations et prend fin avec la résiliation du contrat principal, sous réserve des dispositions relatives à l’effacement et à la restitution prévues à l’article 11. Le présent AVV s’applique pendant toute la durée du contrat principal et au-delà de sa résiliation, tant que Datargo traite des données à caractère personnel du client.
(5) Lieu du traitement : les données à caractère personnel traitées pour le compte du client en vertu du présent AVV sont traitées exclusivement au sein de l’Union européenne. L’hébergement est assuré dans un centre de données à Frankfurt am Main. Aucun traitement de ces données dans un pays tiers au sens des art. 44 et suivants RGPD n’a lieu (voir l’article 9).
3. Catégories de personnes concernées et types de données à caractère personnel
(1) Les catégories concrètes de personnes concernées et les types de données à caractère personnel sont déterminés par le client, du fait qu’il utilise les prestations et y introduit des données à caractère personnel. Datargo n’a aucune influence à cet égard. Le tableau ci-après décrit le cadre typique ; l’utilisation effective par le client ainsi que la détermination documentée dans l’annexe 1 font foi.
(2) Catégories de personnes concernées (typiques) :
| Catégorie | Exemples |
|---|---|
| Salariés et utilisateurs du client | Collaborateurs, administrateurs, mandataires désignés. |
| Contacts, prospects et clients du client | Interlocuteurs, clients finaux, leads. |
| Partenaires commerciaux et prestataires du client | Fournisseurs, prestataires externes, interlocuteurs. |
| Destinataires de notifications | Personnes contactées dans le cadre des procédures d’escalade et d’alerte. |
(3) Types de données à caractère personnel (typiques) :
| Type de données | Exemples |
|---|---|
| Données de base | Nom, civilité, fonction, appartenance organisationnelle. |
| Données de contact | Adresse e-mail, numéro de téléphone, adresse postale. |
| Données contractuelles et commerciales | Pièces justificatives, opérations, contenus de communication (dans le cadre de Datargo ERP/CRM). |
| Données d’identification et d’accès | Identifiants utilisateur, éléments d’authentification, autorisations (dans le cadre de Datargo ID/NextPKI). |
| Données d’utilisation et de journalisation | Journaux d’accès, d’activité et de sécurité, dans la mesure où ils sont rattachables à une personne. |
| Données de contenu | Contenus déposés ou envoyés par le client. |
(4) Les catégories particulières de données à caractère personnel (art. 9 RGPD) ne font pas l’objet des prestations. Si le client introduit néanmoins de telles données, cela relève de sa seule responsabilité ; le client doit, dans ce cas, garantir les conditions supplémentaires requises par l’art. 9 RGPD et en informer Datargo au préalable sous forme de texte, afin que des mesures de protection supplémentaires appropriées puissent être examinées.
4. Droit d’instruction et caractère contraignant des instructions
(1) Datargo traite des données à caractère personnel exclusivement dans le cadre du contrat principal et conformément aux instructions documentées du client, y compris en ce qui concerne le transfert vers un pays tiers, à moins que Datargo n’y soit tenue en vertu du droit de l’Union ou du droit des États membres auquel Datargo est soumise. Dans un tel cas, Datargo informe le client de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public (art. 28, paragraphe 3, point a), RGPD).
(2) Les dispositions arrêtées dans le contrat principal et dans le présent AVV valent instruction initiale documentée du client. Les instructions ultérieures doivent être données sous forme de texte ou confirmées sans délai sous forme de texte. Datargo documente les instructions données.
(3) Sont habilitées à donner des instructions du côté du client les personnes désignées à cet effet. Le client communique à Datargo une personne habilitée à donner des instructions ainsi que son suppléant dans l’annexe 2. Datargo peut se fier à l’existence du pouvoir d’instruction.
(4) Signalement en cas d’instruction illicite : si Datargo est d’avis qu’une instruction du client enfreint le droit de la protection des données, Datargo en informe le client sans délai (art. 28, paragraphe 3, dernière phrase, RGPD). Datargo est en droit de suspendre l’exécution de l’instruction concernée jusqu’à sa confirmation ou sa modification par le client. Datargo n’est pas tenue de procéder à un examen exhaustif de la licéité des instructions.
(5) Si une instruction dépasse l’étendue des prestations convenues contractuellement ou si sa mise en œuvre occasionne une charge supplémentaire non négligeable, Datargo peut subordonner la mise en œuvre à une rémunération distincte et appropriée, sauf s’il s’agit d’une obligation légale impérative.
5. Confidentialité et engagement des salariés
(1) Datargo garantit que les personnes autorisées à traiter les données à caractère personnel se sont engagées à la confidentialité ou sont soumises à une obligation légale de confidentialité appropriée (art. 28, paragraphe 3, point b), art. 29 RGPD).
(2) Datargo engage les personnes chargées du traitement, avant le début de l’activité, à la confidentialité et au secret des données et les instruit de manière appropriée sur les obligations découlant du droit de la protection des données ainsi que sur le caractère contraignant des instructions existant. L’engagement de confidentialité subsiste également après la fin de l’activité.
(3) Datargo s’assure que l’accès aux données à caractère personnel est limité aux personnes qui en ont besoin pour l’accomplissement de leurs tâches contractuelles (principe de nécessité, « need to know »).
(4) Aucun délégué à la protection des données n’a été désigné, faute d’obligation légale de désignation au titre de l’article 38 BDSG ; les demandes relatives à la protection des données doivent être adressées à privacy@datargo.com .
6. Mesures techniques et organisationnelles (MTO)
(1) Datargo prend les mesures techniques et organisationnelles requises par l’art. 32 RGPD afin de garantir un niveau de protection adapté au risque (art. 28, paragraphe 3, point c), RGPD). Les mesures tiennent compte de l’état de la technique, des coûts de mise en œuvre ainsi que de la nature, de la portée, du contexte et des finalités du traitement et du risque pour les droits et libertés des personnes concernées.
(2) Les mesures techniques et organisationnelles concrètes sont décrites dans l’annexe 3 (MTO) et font partie intégrante du présent AVV. Elles comprennent en particulier des mesures dans les domaines suivants :
| Domaine de protection | Mesures (aperçu) |
|---|---|
| Confidentialité | Contrôle des accès physiques, des accès et des droits d’accès, séparation stricte des clients (mandants), autorisations basées sur les rôles, authentification multifacteur. |
| Intégrité | Chiffrement lors de la transmission et du stockage, piste d’audit infalsifiable, contrôle des saisies et des modifications. |
| Disponibilité et résilience | Redondance, sauvegarde des données, procédures de restauration, protection contre toute atteinte non autorisée. |
| Pseudonymisation et séparation des données | Séparation par finalité et par client (mandant), pseudonymisation dans la mesure où elle est appropriée. |
| Procédure de vérification régulière | Évaluation, examen et appréciation réguliers de l’efficacité des mesures. |
| Contrôle de la sous-traitance | Garantie d’un traitement conforme aux instructions. |
(3) Les mesures techniques et organisationnelles sont soumises au progrès technique et à l’évolution. Datargo est en droit de prendre des mesures alternatives appropriées, à condition que le niveau de protection des mesures convenues ne soit pas réduit. Datargo documente les modifications substantielles affectant le niveau de protection et les met à la disposition du client sur demande.
(4) Les standards déterminants pour la sécurité du traitement sont, dans la mesure où cela s’applique, attestés par des certifications et des rapports d’audit reconnus (voir l’article 12).
7. Recours à d’autres sous-traitants (sous-traitants ultérieurs)
(1) Le client accorde à Datargo l’autorisation générale de recourir à d’autres sous-traitants (ci-après les « sous-traitants ultérieurs ») au sens de l’art. 28, paragraphe 2, première phrase, et paragraphe 4, RGPD. Les sous-traitants ultérieurs employés au moment de la conclusion du contrat sont consultables sous Sous-traitants ultérieurs et sont réputés autorisés.
(2) Datargo engage contractuellement les sous-traitants ultérieurs à respecter des obligations en matière de protection des données correspondant à celles du présent AVV, en particulier à présenter des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées (art. 28, paragraphe 4, RGPD). Lorsque le sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, Datargo demeure pleinement responsable devant le client de l’exécution par le sous-traitant ultérieur de ses obligations.
(3) Notification de modification et droit d’opposition : Datargo informe le client de tout projet d’ajout ou de remplacement d’un sous-traitant ultérieur dans un délai d’au moins 30 jours avant la mission envisagée. L’information s’effectue par la mise à jour de la liste sous Sous-traitants ultérieurs et, dans la mesure où le client l’a configuré, par notification au contact enregistré. Le client peut s’opposer à la modification dans un délai de 14 jours à compter de l’information, pour un motif important fondé sur le droit de la protection des données, sous forme de texte.
(4) Si le client s’oppose dans les délais et pour un motif important, les parties s’efforcent de parvenir à une solution amiable. Si une telle solution ne peut être atteinte et que Datargo maintient le recours au sous-traitant ultérieur concerné, le client est en droit de résilier de manière extraordinaire, moyennant un préavis approprié, la partie des prestations affectée par la modification. Aucun droit additionnel n’existe à cet égard.
(5) Les sous-traitants ultérieurs sont employés exclusivement au sein de l’Union européenne. Le recours à des sous-traitants ultérieurs assurant un traitement dans un pays tiers n’a lieu que conformément aux modalités de l’article 9.
(6) Ne sont pas considérées comme des sous-traitants ultérieurs au sens du présent article les prestations accessoires auxquelles Datargo recourt auprès de tiers à titre d’activité annexe (par exemple les services de télécommunication, de maintenance ou de nettoyage), pour autant qu’elles n’aient pas de lien substantiel avec le traitement des données à caractère personnel du client. Datargo prend également à cet égard des mesures appropriées pour préserver la confidentialité.
8. Assistance au responsable du traitement
8.1 Assistance relative aux droits des personnes concernées
(1) Datargo aide le client, dans la mesure du possible, par des mesures techniques et organisationnelles appropriées, à s’acquitter de son obligation de donner suite aux demandes des personnes concernées tendant à exercer leurs droits au titre du chapitre III du RGPD (en particulier le droit d’accès, de rectification, d’effacement, de limitation, de portabilité des données et d’opposition) (art. 28, paragraphe 3, point e), RGPD).
(2) Lorsqu’une personne concernée adresse une telle demande directement à Datargo, Datargo transmet la demande sans délai au client et n’y répond pas elle-même, à moins que le client n’ait donné une instruction différente à cet égard.
8.2 Assistance relative à la sécurité, à l’analyse d’impact relative à la protection des données et aux obligations de notification
(1) Datargo aide le client, compte tenu de la nature du traitement et des informations à la disposition de Datargo, à respecter les obligations énoncées aux art. 32 à 36 RGPD (art. 28, paragraphe 3, point f), RGPD), en particulier la sécurité du traitement (art. 32), la notification des violations de données à caractère personnel (art. 33, 34), l’analyse d’impact relative à la protection des données (art. 35) et la consultation préalable (art. 36).
(2) Notification des violations de données : Datargo informe le client sans délai, en règle générale sans retard fautif, après avoir pris connaissance d’une violation des données à caractère personnel du client (art. 33, paragraphe 2, RGPD). La notification est adressée au contact enregistré par le client et contient, dans la mesure où elles sont disponibles, les informations mentionnées à l’art. 33, paragraphe 3, RGPD (nature de la violation, catégories et nombre approximatif de personnes concernées, conséquences probables, mesures prises ou proposées, point de contact). Si toutes les informations ne sont pas disponibles immédiatement, elles sont fournies de manière échelonnée sans retard supplémentaire indu.
(3) La notification à l’autorité de contrôle compétente et, le cas échéant, la communication aux personnes concernées incombent au seul client en qualité de responsable du traitement ; Datargo ne procède pas elle-même à une telle notification.
(4) Dans la mesure où les prestations d’assistance prévues au présent article 8 dépassent l’étendue des prestations convenues contractuellement ou reposent sur une circonstance imputable au client, Datargo peut exiger à ce titre une rémunération appropriée. Les prestations d’assistance liées à une violation de données imputable à Datargo sont fournies à titre gratuit.
9. Lieu des données, transfert vers un pays tiers et transmission internationale
(1) Les données à caractère personnel traitées pour le compte du client en vertu du présent AVV sont traitées exclusivement au sein de l’Union européenne, avec un hébergement à Frankfurt am Main. Aucune transmission de ces données vers un pays tiers ou à une organisation internationale au sens des art. 44 et suivants RGPD n’a lieu ; à cet égard, il n’existe aucun accès au titre du US-CLOUD Act. Ne fait pas l’objet de la présente relation de sous-traitance le traitement de la relation de paiement et de facturation entre Datargo et le client ; à ce titre, Datargo est responsable du traitement de manière autonome et recourt au prestataire de services de paiement Stripe (Stripe, LLC, États-Unis), dont la transmission de données à caractère personnel vers les États-Unis est encadrée par l’EU-US Data Privacy Framework (art. 45 RGPD) et par des clauses contractuelles types complémentaires conformément à la décision d’exécution (UE) 2021/914 (détails dans la politique de confidentialité ).
(2) Si, à titre exceptionnel et après accord distinct, un traitement dans un pays tiers devait être envisagé, celui-ci n’a lieu que si les conditions des art. 44 à 49 RGPD sont remplies, en particulier s’il existe une décision d’adéquation de la Commission européenne ou si des garanties appropriées, notamment les clauses contractuelles types conformément à la décision d’exécution (UE) 2021/914 de la Commission, ont été convenues et, dans la mesure où cela est nécessaire, si une évaluation des risques du transfert (Transfer Impact Assessment) a été réalisée et encadrée par des mesures complémentaires.
(3) Le « region pinning » ainsi que des options d’exploitation et de souveraineté plus étendues peuvent être convenus via Datargo One.
10. Obligations et droits du responsable du traitement
(1) Le client est, en qualité de responsable du traitement, seul responsable de l’admissibilité et de la licéité du traitement et du respect des droits des personnes concernées (art. 24, art. 28, paragraphe 3, première phrase, RGPD). Il s’assure en particulier qu’il existe une base juridique valable pour le traitement qu’il déclenche et que les obligations d’information requises par les art. 13, 14 RGPD sont remplies.
(2) Le client est responsable de la transmission et de la documentation des instructions ainsi que de la détermination des catégories de personnes concernées et des types de données. Il informe Datargo sans délai lorsque, lors de la vérification des résultats du traitement, il constate des erreurs ou des irrégularités au regard des dispositions relatives à la protection des données.
(3) Le client communique à Datargo les personnes habilitées à donner des instructions et à servir d’interlocuteur pour la sous-traitance ainsi qu’un point de contact pour les notifications visées à l’article 8.2.
(4) Dans la mesure où le client est légalement tenu de fournir des renseignements sur le traitement aux autorités ou aux personnes concernées, Datargo aide le client dans le cadre des articles 8 et 12.
11. Effacement et restitution après la fin
(1) Au terme des activités de traitement, Datargo, selon le choix du client, lui restitue toutes les données à caractère personnel ou les efface et efface les copies existantes, à moins qu’une obligation de conserver les données à caractère personnel n’existe en vertu du droit de l’Union ou du droit des États membres (art. 28, paragraphe 3, point g), RGPD).
(2) Datargo met à la disposition du client les données à caractère personnel, après la résiliation du contrat principal, pendant une période de 30 jours, en vue de leur exportation dans un format courant, structuré et lisible par machine. Ce délai et les modalités de l’exportation se conforment aux dispositions du contrat principal, dans la mesure où des accords distincts y sont prévus.
(3) À l’expiration de la période d’exportation et d’une éventuelle période de transition convenue, les données à caractère personnel, y compris les copies existantes, sont effacées dans un délai de 30 jours selon des procédures reconnues. Les sauvegardes sont effacées dans le cadre des cycles réguliers d’effacement et d’écrasement.
(4) Dans la mesure où des obligations légales de conservation s’opposent à un effacement, les données concernées sont bloquées et ne sont traitées ultérieurement que dans la limite de l’obligation légale ; après la disparition de l’obligation de conservation, elles sont effacées.
(5) Datargo documente l’effacement ou la restitution et en apporte la preuve au client, sur demande, sous une forme appropriée.
12. Droits de preuve, de contrôle et d’audit
(1) Datargo met à la disposition du client toutes les informations nécessaires pour démontrer le respect des obligations énoncées à l’art. 28 RGPD et permet la réalisation d’audits, y compris des inspections, par le client ou un autre auditeur mandaté par lui, et contribue à ces audits (art. 28, paragraphe 3, point h), RGPD).
(2) Priorité des preuves documentaires : la preuve du respect des mesures techniques et organisationnelles peut être apportée en priorité par la production de justificatifs appropriés et actuels, en particulier par des certifications, attestations ou rapports d’audit indépendants reconnus (par exemple ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018, rapports SOC 2 Type II ou une attestation BSI-C5), par des codes de conduite approuvés ou par des auto-déclarations probantes. Le client accepte de tels justificatifs dans la mesure où ils couvrent le domaine examiné et sont à jour.
(3) Audit sur site : dans la mesure où les preuves documentaires ne suffisent pas dans un cas particulier, le client a le droit de réaliser un audit sur site ou de le faire réaliser par un auditeur tenu au secret professionnel et non concurrent des parties. Pour la réalisation, ce qui suit s’applique :
| Aspect | Disposition |
|---|---|
| Annonce | Annonce préalable sous forme de texte avec un préavis approprié, en règle générale d’au moins 14 jours, sauf en cas de péril imminent ou après une violation de données. |
| Fréquence | En règle générale au maximum une fois par année civile ; des audits supplémentaires en cas de motif concret (par exemple après une violation de données ou à la demande d’une autorité de contrôle). |
| Activité de l’entreprise | Réalisation pendant les heures d’ouverture habituelles et sans entrave disproportionnée à l’exploitation de Datargo. |
| Confidentialité | Préservation de la confidentialité, de la séparation des clients (mandants) et des intérêts d’autres clients en matière de protection des données et de sécurité ; aucune consultation des données de tiers. |
| Coûts | Le client supporte les audits de routine ; Datargo supporte les audits déclenchés par un manquement imputable à Datargo. Datargo peut exiger une rémunération appropriée pour toute assistance dépassant la charge habituelle. |
(4) Droits étendus des clients réglementés : pour les clients qui, en qualité d’entité financière au sens du règlement (UE) 2022/2554 (DORA) ou d’entité essentielle ou importante au sens de la directive (UE) 2022/2555 (NIS2) et de sa transposition nationale, sont soumis à des exigences réglementaires étendues, des droits complémentaires d’information, d’accès et d’audit s’appliquent, y compris les droits des autorités de contrôle et de résolution compétentes. Ceux-ci sont régis par l’addendum DORA , qui, pour les clients concernés, prime à cet égard sur le présent article.
(5) Datargo informe le client sans délai lorsqu’elle est d’avis qu’une instruction enfreint le droit de la protection des données (voir l’article 4, paragraphe 4), et informe le client, dans la mesure où cela est juridiquement admissible, des demandes d’autorités de contrôle ou d’autres organismes publics se rapportant au traitement des données à caractère personnel du client.
13. Responsabilité
(1) Pour la responsabilité des parties, le régime de responsabilité du contrat principal s’applique, en particulier l’article 9 des conditions générales , qui constitue le régime de base unifié pour l’ensemble de la relation contractuelle. Le présent AVV n’établit aucune responsabilité contractuelle autonome ou étendue.
(2) La responsabilité dans les rapports externes à l’égard des personnes concernées ainsi que la répartition de la responsabilité entre le responsable du traitement et le sous-traitant au titre de l’art. 82 RGPD ne sont pas affectées par le paragraphe 1. La responsabilité légale impérative, en particulier pour faute intentionnelle et négligence grave, pour les dommages résultant d’une atteinte à la vie, au corps ou à la santé, au titre de la loi sur la responsabilité du fait des produits (Produkthaftungsgesetz, ProdHaftG) et résultant d’une garantie assumée, demeure dans tous les cas inchangée.
(3) Dans les rapports internes, les parties supportent les éventuelles indemnisations versées au titre de l’art. 82 RGPD proportionnellement à leur part respective de responsabilité dans le dommage survenu ; pour le reste, le régime de responsabilité du contrat principal s’applique.
14. Dispositions finales
(1) Rapport avec le contrat principal et ordre de priorité : le présent AVV complète le contrat principal. En cas de contradictions entre le présent AVV et les autres composantes du contrat principal, le présent AVV prime pour les questions de traitement de données à caractère personnel. Pour le reste, l’ordre de priorité suivant s’applique : accord individuel avant le présent AVV, avant le Service Level Agreement et les conditions particulières de module, avant les conditions générales . Le régime de responsabilité prévu à l’article 13 n’en est pas affecté.
(2) Annexes : font partie intégrante du présent AVV les annexes suivantes : annexe 1, annexe 2 et annexe 3 (MTO) ainsi que la liste à jour des Sous-traitants ultérieurs .
(3) Forme de texte et modifications : les modifications et compléments du présent AVV requièrent la forme de texte. Cela vaut également pour la suppression de cette exigence de forme de texte. Les accords contractuels individuels priment dans tous les cas (§ 305b BGB).
(4) Droit applicable et for : le droit de la République fédérale d’Allemagne s’applique, à l’exclusion de la Convention des Nations Unies sur les contrats de vente internationale de marchandises. Le for exclusif pour tous les litiges nés du présent AVV ou en lien avec celui-ci est, dans la mesure où le client est un commerçant, une personne morale de droit public ou un patrimoine spécial de droit public, Frankfurt am Main. Les fors légaux impératifs demeurent inchangés.
(5) Clause de sauvegarde : si certaines dispositions du présent AVV sont ou deviennent, en tout ou en partie, nulles ou inapplicables, la validité des autres dispositions n’en est pas affectée. La disposition légale se substitue à la disposition nulle ou inapplicable.
(6) Obtention de l’AVV prêt à signer : les clients professionnels obtiennent l’AVV prêt à signer, y compris les annexes, via hello@datargo.com ou dans le Trust Center .
Annexe 1 : catégories de personnes concernées et types de données à caractère personnel
La présente annexe précise les catégories de personnes concernées et les types de données à caractère personnel décrits à l’article 3 du présent AVV. La manifestation effective dépend des modules utilisés par le client et de sa configuration ; l’utilisation effective par le client fait foi.
(a) Catégories de personnes concernées
| Catégorie de personnes concernées | Description |
|---|---|
| Utilisateurs et salariés du client | Collaborateurs, administrateurs et autres personnes qui travaillent avec les prestations pour le compte du client ou qui sont gérées par leur intermédiaire. |
| Interlocuteurs du client | Contacts et mandataires désignés du client, par exemple pour les questions contractuelles, de protection des données ou techniques. |
| Contacts, prospects et clients finaux du client | Personnes physiques dont le client traite les données via Datargo CRM, par exemple les leads, interlocuteurs et clients finaux du client. |
| Personnes concernées issues des systèmes surveillés par le client | Personnes physiques dont les données, dans la mesure où elles sont à caractère personnel, sont traitées via Datargo Monitor dans le cadre des procédures de surveillance, d’escalade et d’alerte. |
| Partenaires commerciaux et prestataires du client | Fournisseurs, prestataires externes et leurs interlocuteurs, dans la mesure où le client traite leurs données via les prestations. |
(b) Types de données à caractère personnel par module
| Module | Types typiques de données à caractère personnel |
|---|---|
| Datargo Monitor | Données de contact, données d’utilisation et de journalisation, données techniques de connexion ainsi que données à caractère personnel issues de l’historique des incidents et des transmissions, dans la mesure où elles sont rattachables à une personne. |
| Datargo CRM | Données de base, données de contact ainsi que données de communication et de contenu (par exemple les contenus d’opérations, de tickets et de communication par chat). |
| Datargo ID | Données d’authentification et d’identité, identifiants utilisateur et autorisations ainsi que les données d’utilisation et de journalisation associées. |
| Datargo ERP | Données de base, données de contact ainsi que données contractuelles et de facturation, y compris les données à caractère personnel qu’elles contiennent (par exemple celles d’interlocuteurs, de salariés ou de partenaires commerciaux du client). |
| NextPKI | Données d’identification et de demande en lien avec les certificats et les clés ainsi que les données de journalisation associées, dans la mesure où elles sont rattachables à une personne. |
| Datargo One | Types de données à caractère personnel des modules groupés selon les modalités du contrat individuel respectif. |
Tous modules confondus, des données générales d’utilisation et de journalisation ainsi que des données techniques de connexion peuvent en outre être générées, dans la mesure où elles sont rattachables à une personne.
(c) Précision concernant les catégories particulières
Les catégories particulières de données à caractère personnel au sens de l’art. 9 RGPD ainsi que les données relatives aux condamnations pénales et aux infractions au sens de l’art. 10 RGPD ne font pas l’objet des prestations. Si le client introduit néanmoins de telles données, cela relève de sa seule responsabilité (voir l’article 3, paragraphe 4). La manifestation concrète des catégories et types de données ci-dessus dépend des modules utilisés par le client et de sa configuration.
Annexe 2 : personnes de contact et habilitées à donner des instructions
La présente annexe désigne les personnes des parties habilitées à servir d’interlocuteur et à donner des instructions (voir l’article 4, paragraphe 3, ainsi que l’article 10, paragraphe 3). Les tableaux ci-dessous doivent être complétés par les parties.
(a) Du côté du client
| Fonction | Indications |
|---|---|
| Personne(s) habilitée(s) à donner des instructions et suppléance | Andreas Mallek, gérant, privacy@datargo.com |
| Point de contact technique | Andreas Mallek, gérant, privacy@datargo.com |
| Contact pour la protection des données (point de contact pour les notifications visées à l’article 8.2) | Andreas Mallek, gérant, privacy@datargo.com |
(b) Du côté de la Datargo GmbH
| Fonction | Indications |
|---|---|
| Point de contact pour les demandes au titre du présent AVV | hello@datargo.com |
| Délégué à la protection des données (dans la mesure où il est désigné) | Aucun désigné ; pas d’obligation de désignation au titre de l’article 38 BDSG. Demandes relatives à la protection des données : privacy@datargo.com |
Les modifications des indications ci-dessus doivent être communiquées aux parties sous forme de texte. Elles prennent effet à la réception de la communication et n’exigent aucune modification du présent AVV.
Annexe 3 : mesures techniques et organisationnelles (MTO)
La présente annexe décrit les mesures techniques et organisationnelles prises par Datargo au titre de l’art. 32 RGPD (voir l’article 6). Elle fait partie intégrante du présent AVV.
(1) Confidentialité
| Domaine de mesures | Description |
|---|---|
| Contrôle des accès physiques | Traitement sur une infrastructure propre dans un centre de données à Frankfurt am Main avec sécurisation physique des accès (par exemple restriction des accès aux personnes autorisées, sas d’individualisation, surveillance et journalisation des accès). |
| Contrôle des accès | Protection contre l’utilisation non autorisée des systèmes par authentification personnelle, authentification multifacteur pour les accès administratifs et dignes de protection ainsi que paramétrages par défaut restrictifs selon le principe du refus en cas de doute (deny by default). |
| Contrôle des droits d’accès | Attribution des autorisations basée sur les rôles selon les principes de nécessité (need to know) et du moindre privilège (least privilege) ainsi que journalisation des accès aux données à caractère personnel. |
| Contrôle de la séparation | Séparation stricte des données de différents clients (séparation des mandants) en profondeur dans la plateforme ainsi que séparation des environnements de production et de test. |
| Pseudonymisation et chiffrement | Chiffrement lors de la transmission selon l’état de la technique ainsi que chiffrement des données au repos ; pseudonymisation dans la mesure où elle est appropriée. En particulier : chiffrement du transport (TLS) pour toutes les connexions, chiffrement des données au repos (at-rest) ainsi que stockage des mots de passe exclusivement sous forme de hachage. |
(2) Intégrité
| Domaine de mesures | Description |
|---|---|
| Contrôle de la transmission | Traitement exclusivement au sein de l’Union européenne ainsi que transmission chiffrée des données à caractère personnel. |
| Contrôle des saisies | Traçabilité des saisies, modifications et effacements au moyen d’une piste de journalisation et de preuve infalsifiable et uniquement complétable (piste d’audit append-only) offrant une traçabilité intégrale. |
(3) Disponibilité et résilience
| Domaine de mesures | Description |
|---|---|
| Contrôle de la disponibilité | Surveillance continue (monitoring), conception redondante, protection contre la surcharge et contre les attaques par surcharge (DDoS) ainsi que sauvegardes régulières des données, en particulier des sauvegardes quotidiennes ainsi que des journaux de transactions continus. |
| Restauration rapide | Concept de reprise et de continuité d’activité visant à rétablir rapidement la disponibilité des données à caractère personnel après un incident physique ou technique, avec des valeurs cibles de délai de reprise (RTO) pouvant aller jusqu’à 4 heures et de perte de données maximale (RPO) pouvant aller jusqu’à 24 heures. |
(4) Procédure de vérification, d’appréciation et d’évaluation régulières
| Domaine de mesures | Description |
|---|---|
| Gestion de la protection des données | Responsabilités, politiques et processus définis visant à garantir et à vérifier le respect du droit de la protection des données. |
| Gestion des incidents et réponse aux incidents | Processus défini de détection, d’appréciation et de traitement des incidents de sécurité et de protection des données, y compris le processus de notification au client (voir l’article 8.2). |
| Contrôle de la sous-traitance et des sous-traitants ultérieurs | Garantie d’un traitement conforme aux instructions ainsi que report contractuel des mesures de protection correspondantes sur les sous-traitants ultérieurs (voir l’article 7). |
| Vérifications régulières | Vérification et appréciation régulières de l’efficacité des mesures, y compris des tests d’intrusion externes annuels ainsi qu’une gestion régulière des correctifs (patch management). |
| Formation et engagement des salariés | Engagement des personnes chargées du traitement à la confidentialité et au secret des données ainsi que sensibilisation et formation régulières (voir l’article 5). |
| Protection des données dès la conception et par défaut | Prise en compte de la protection des données dès la conception (privacy by design) et par des paramétrages par défaut respectueux de la protection des données (privacy by default) conformément à l’art. 25 RGPD. |
Précision relative aux nœuds de vérification dans le monde entier : les vérifications techniques d’accessibilité et de disponibilité (régions de vérification/nœuds de vérification) sont en partie effectuées via une infrastructure de prestataires tiers dans le monde entier. Sur ces nœuds de vérification, seules des données brutes non personnelles des vérifications techniques (système cible, temps de réponse, statut) sont traitées ; les données à caractère personnel des clients n’y sont ni stockées ni traitées et demeurent au sein de l’Union européenne.
Les mesures ci-dessus sont adaptées en continu à l’état de la technique. Les modifications ne doivent pas réduire le niveau de protection convenu (voir l’article 6, paragraphe 3).
Version linguistique faisant foi
Le présent document est fourni en allemand, en anglais et en français. Les versions anglaise et française sont des traductions fournies uniquement à des fins de commodité. La version allemande fait foi et est seule contraignante en cas de litige ou de divergence d’interprétation ou de traduction.