entre
Client conformément aux CGV en tant que contrôleur (ci-après "Contrôleur"),
et
Spreadly GmbH, Forstenrieder Weg 1G, 82065 Baierbrunn, Deutschland en tant que responsable du traitement des données (ci-après "Responsable du traitement des données", le contrôleur et le responsable du traitement des données conjointement les "Parties").
Le contrôleur a mandaté le responsable du traitement des données dans les CGV (ci-après dénommées "contrat principal") pour les services qui y sont spécifiés. Une partie de l'exécution du contrat consiste à traiter des données à caractère personnel. En particulier, l'art. 28 GDPR impose des exigences spécifiques à ce traitement commandé. Pour se conformer à ces exigences, les parties concluent l'accord de traitement des données suivant (ci-après dénommé "accord"), dont l'exécution ne sera pas rémunérée séparément, sauf accord exprès.
(1) Conformément à l'art. 4 (7) GDPR, le contrôleur est l'entité qui, seule ou conjointement avec d'autres contrôleurs, détermine les finalités et les moyens du traitement des données à caractère personnel.
(2) Conformément à l'art. 4 (8) GDPR, un processeur de données est une personne physique ou morale, une autorité, une institution ou un autre organisme qui traite des données personnelles pour le compte du contrôleur.
(3) Conformément à l'art. 4 (1) GDPR, les données à caractère personnel désignent toute information se rapportant à une personne physique identifiée ou identifiable (ci-après " Personne concernée ") ; une personne physique identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs éléments spécifiques propres à l'identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale de cette personne physique.
(4) Les données à caractère personnel nécessitant une protection particulière sont les données à caractère personnel en vertu de l'Art. 9 GDPR révélant l'origine raciale ou ethnique, les opinions politiques, les croyances religieuses ou philosophiques ou l'appartenance syndicale des Personnes concernées, les données personnelles en vertu de l'Art. 10 GDPR sur les condamnations pénales et les infractions pénales ou les mesures de sécurité connexes, ainsi que les données génétiques conformément à l'Art. 4 (13) GDPR, les données biométriques conformément à l'art. 4 (14) GDPR, les données relatives à la santé conformément à l'art. 4 (15) GDPR, et les données sur la vie sexuelle ou l'orientation sexuelle d'une personne physique.
(5) Selon l'article 4 (2) GDPR, le traitement est toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, le classement, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction.
(6) Conformément à l'article 4 (21) RGPD, l'autorité de contrôle est un organisme étatique indépendant établi par un État membre conformément à l'article 51 RGPD.
(1) Le responsable du traitement des données fournit les services spécifiés dans le contrat principal pour le contrôleur. Ce faisant, le Processeur de données obtient l'accès aux données personnelles, qu'il traite pour le Contrôleur exclusivement pour le compte et conformément aux instructions du Contrôleur. La portée et l'objectif du traitement des données par le Responsable du traitement des données sont définis dans le Contrat principal et dans toute description de service associée. Le Contrôleur est responsable de l'évaluation de l'admissibilité du traitement des données.
(2) Les parties concluent le présent accord pour préciser les droits et obligations réciproques en vertu de la loi sur la protection des données. En cas de doute, les dispositions du présent accord prévalent sur celles du contrat principal.
(3) Les dispositions du présent contrat s'appliquent à toutes les activités liées au contrat principal dans lesquelles le responsable du traitement des données et ses employés ou les personnes autorisées par le responsable du traitement des données entrent en contact avec des données personnelles provenant du responsable du traitement ou collectées pour le responsable du traitement.
(4) La durée du présent contrat est régie par la durée du contrat principal, à moins que les dispositions suivantes ne donnent lieu à d'autres obligations ou droits de résiliation.
(1) Le Responsable du traitement des données ne peut collecter, traiter ou utiliser les données que dans le cadre du Contrat principal et conformément aux instructions du Responsable du traitement. Si le Responsable du traitement des données est tenu d'effectuer un traitement ultérieur par le droit de l'Union européenne ou des États membres auquel il est soumis, il notifie au Responsable du traitement ces exigences légales avant le traitement.
(2) Les instructions du contrôleur sont initialement déterminées par le présent accord. Par la suite, elles peuvent être modifiées, complétées ou remplacées par le contrôleur par écrit ou sous forme de texte par des instructions individuelles (instructions individuelles). Le contrôleur a le droit d'émettre de telles instructions à tout moment. Cela comprend les instructions relatives à la correction, à la suppression et au blocage des données.
(3) Toutes les instructions émises doivent être documentées par le contrôleur. Les instructions qui vont au-delà du service convenu dans le contrat principal sont traitées comme une demande de modification du service.
(4) Si le responsable du traitement des données estime qu'une instruction du responsable du traitement viole les dispositions relatives à la protection des données, il en informe le responsable du traitement dans les meilleurs délais. Le Responsable du traitement des données a le droit de suspendre la mise en œuvre de l'instruction concernée jusqu'à ce qu'elle soit confirmée ou modifiée par le Responsable du traitement. Le responsable du traitement des données peut refuser d'exécuter une instruction manifestement illégale.
(1) Dans le cadre de la mise en œuvre du contrat principal, le responsable du traitement des données a accès aux données à caractère personnel spécifiées plus en détail dans l'Annexe 1..
(2) Le groupe de personnes concernées par le traitement des données est énuméré à l'annexe 1..
(3) Un transfert de données personnelles vers un pays tiers peut avoir lieu dans les conditions de l'art. 44 et suiv. GDPR.
(1) Le responsable du traitement des données est tenu de respecter les dispositions légales en matière de protection des données et de ne pas divulguer à des tiers les informations obtenues dans le domaine du responsable du traitement, ni de les exposer à leur accès. Les documents et les données doivent être protégés contre la divulgation à des personnes non autorisées, en tenant compte de l'état de la technique.
(2) Le Responsable du traitement organise l'organisation interne dans son domaine de responsabilité de manière à ce qu'elle réponde aux exigences particulières de la protection des données. Il doit avoir pris les mesures techniques et organisationnelles spécifiées dans l'annexe 2 pour protéger de manière adéquate les données du Responsable du traitement conformément à l'art. 32 GDPR, que le Responsable du traitement reconnaît comme adéquates. Le Responsable du traitement se réserve le droit de modifier les mesures de sécurité prises tout en veillant à ce que le niveau de protection convenu contractuellement ne soit pas amoindri.
(3) Il est interdit aux personnes employées dans le traitement des données par le Responsable du traitement de collecter, de traiter ou d'utiliser des données personnelles sans autorisation. Le responsable du traitement des données oblige toutes les personnes chargées par lui du traitement et de l'exécution du présent contrat (ci-après "employés") en conséquence (obligation de confidentialité, art. 28 (3) lit. b GDPR) et veille au respect de cette obligation avec toute la diligence requise.
(4) Le responsable du traitement des données a désigné un délégué à la protection des données. Le délégué à la protection des données du responsable du traitement des données est heyData GmbH, Schützenstr. 5, 10117 Berlin, datenschutz@heydata.eu, www.heydata.eu.
(1) En cas de perturbations, de violations présumées de la protection des données ou de manquements aux obligations contractuelles du responsable du traitement des données, d'incidents présumés liés à la sécurité ou d'autres irrégularités dans le traitement des données personnelles par le responsable du traitement des données, par des personnes qu'il emploie dans le cadre du contrat ou par des tiers, le responsable du traitement des données en informe le contrôleur sans retard injustifié. Il en va de même pour les audits du Responsable du traitement des données par l'autorité de contrôle de la protection des données. La notification d'une violation de données à caractère personnel contient au moins les informations suivantes :
(a) une description de la nature de la violation de données à caractère personnel, y compris, dans la mesure du possible, les catégories et le nombre de personnes concernées, les catégories concernées et le nombre d'enregistrements de données à caractère personnel concernés ;
(b) une description des mesures prises ou proposées par le responsable du traitement des données pour remédier à la violation et, le cas échéant, des mesures visant à atténuer ses éventuels effets négatifs ;
(c) une description des conséquences probables de la violation des données personnelles.
(2) Le responsable du traitement des données prend immédiatement les mesures nécessaires pour sécuriser les données et atténuer les éventuelles conséquences négatives pour les personnes concernées, en informe le responsable du traitement et demande des instructions supplémentaires.
(3) En outre, le responsable du traitement des données est tenu de fournir au contrôleur des informations à tout moment dans la mesure où les données du contrôleur sont affectées par une violation conformément au paragraphe 1.
(4) Le responsable du traitement des données informe le contrôleur de toute modification importante des mesures de sécurité conformément à l'article 5 (2).
(1) Le contrôleur peut s'assurer des mesures techniques et organisationnelles du responsable du traitement des données avant le début du traitement des données et ensuite régulièrement sur une base annuelle. À cette fin, le Contrôleur peut, par exemple, obtenir des informations auprès du Responsable du traitement des données, obtenir des certificats existants auprès d'experts, des certifications ou des audits internes ou, après une coordination opportune, inspecter personnellement les mesures techniques et organisationnelles du Responsable du traitement des données pendant les heures de bureau normales ou les faire inspecter par un tiers compétent, à condition que le tiers ne soit pas dans une relation de concurrence avec le Responsable du traitement des données. Le contrôleur n'effectue des contrôles que dans la mesure nécessaire et ne perturbe pas de manière disproportionnée les opérations du responsable du traitement des données dans le cadre de ce processus.
(2) Le responsable du traitement des données s'engage à fournir au responsable du traitement, sur demande verbale ou écrite de ce dernier et dans un délai raisonnable, toutes les informations et preuves nécessaires pour effectuer un contrôle des mesures techniques et organisationnelles du responsable du traitement des données.
(3) Le contrôleur documente les résultats de l'inspection et en informe le responsable du traitement des données. En cas d'erreurs ou d'irrégularités que le contrôleur découvre, notamment lors de l'inspection des résultats du contrôle, il en informe le responsable du traitement des données sans retard excessif. Si des faits sont découverts au cours du contrôle, dont l'évitement futur nécessite des modifications de la procédure ordonnée, le Contrôleur notifie sans délai au Responsable du traitement des données les modifications de procédure nécessaires.
(1) Les services convenus contractuellement sont exécutés avec l'implication des prestataires de services nommés dans l'Annexe 3 (ci-après " Sous-traitants "). Le contrôleur accorde au processeur de données son autorisation générale au sens de l'article 28 (2) s. 1 GDPR pour engager des sous-traitants supplémentaires dans le cadre de ses obligations contractuelles ou pour remplacer les sous-traitants déjà engagés.
(2) Le responsable du traitement des données informe le contrôleur avant tout changement prévu en ce qui concerne l'implication ou le remplacement d'un sous-traitant secondaire. Le contrôleur peut s'opposer à l'implication ou au remplacement prévu d'un sous-traitant secondaire pour une raison importante en vertu de la loi sur la protection des données.
(3) L'objection à l'implication ou au remplacement prévu d'un sous-traitant doit être soulevée dans les deux semaines suivant la réception de l'information sur le changement. Si aucune objection n'est soulevée, l'implication ou le remplacement est considéré comme approuvé. S'il existe une raison importante en vertu de la loi sur la protection des données et qu'une solution à l'amiable n'est pas possible entre le contrôleur et le sous-traitant, le contrôleur dispose d'un droit spécial de résiliation à la fin du mois suivant l'objection.
(4) Lorsqu'il engage des sous-traitants secondaires, le responsable du traitement des données les oblige à se conformer aux dispositions du présent accord.
(5) Il n'existe pas de relation de Sous-traitant au sens de ces dispositions si le Responsable du traitement des données commande à des tiers des services considérés comme purement accessoires. Il s'agit par exemple des services postaux, de transport et d'expédition, des services de nettoyage, des services de télécommunications sans référence spécifique aux services fournis par le Responsable du traitement des données au Contrôleur et des services de gardiennage. Les services de maintenance et de test constituent des relations de Sous-Traitant nécessitant un consentement dans la mesure où ils sont fournis pour des systèmes informatiques qui sont également utilisés dans le cadre de la prestation de services pour le Contrôleur.
(1) Le responsable du traitement des données soutient le responsable du traitement avec des mesures techniques et organisationnelles appropriées dans l'exécution des obligations du responsable du traitement en vertu des articles 12-22 et 32 à 36 du GDPR.
(2) Si une personne concernée fait valoir des droits, tels que le droit d'accès, de rectification ou de suppression concernant ses données, directement contre le responsable du traitement des données, ce dernier ne réagit pas de manière indépendante mais renvoie la personne concernée au responsable du traitement et attend les instructions de ce dernier.
(1) Dans la relation interne avec le responsable du traitement des données, le contrôleur est seul responsable envers la personne concernée de la réparation des dommages subis par une personne concernée en raison d'un traitement inadmissible ou incorrect des données en vertu des lois sur la protection des données ou d'une utilisation dans le cadre du traitement commandé.
(2) Le responsable du traitement des données a une responsabilité illimitée pour les dommages dans la mesure où la cause du dommage repose sur un manquement intentionnel ou par négligence grave aux obligations du responsable du traitement des données, de son représentant légal ou de son agent d'exécution.
(3) Le responsable du traitement des données n'est responsable d'un comportement négligent qu'en cas de violation d'une obligation dont l'exécution est une condition préalable à la bonne exécution du contrat et dont le respect est régulièrement invoqué par le responsable du traitement et peut être invoqué, mais dans la limite du dommage moyen typique pour le contrat. Dans tous les autres cas, la responsabilité du responsable du traitement - y compris pour ses auxiliaires d'exécution - est exclue.
(4) La limitation de la responsabilité conformément au § 10.3 ne s'applique pas aux demandes de dommages-intérêts résultant d'une atteinte à la vie, au corps, à la santé ou de la prise en charge d'une garantie.
(1) Après la résiliation du contrat principal, le responsable du traitement des données restitue au responsable du traitement tous les documents, données et supports de données qui lui ont été fournis ou - à la demande du responsable du traitement, sauf s'il existe une obligation de conserver les données personnelles en vertu du droit de l'Union ou du droit de la République fédérale d'Allemagne - les supprime. Cela s'applique également à toutes les sauvegardes de données chez le responsable du traitement des données. Le responsable du traitement des données doit, sur demande, fournir une preuve documentée de la suppression en bonne et due forme de toute donnée.
(2) Le responsable du traitement a le droit de contrôler de manière appropriée la restitution ou la suppression complète et contractuelle des données chez le responsable du traitement.
(3) Le Responsable du traitement est tenu de garder confidentielles les données dont il a pris connaissance dans le cadre du Contrat principal, même au-delà de la fin du Contrat principal. Le présent Accord reste valable au-delà de la fin du Contrat principal tant que le Responsable du traitement dispose de données personnelles qui lui ont été transmises par le Responsable du traitement ou qu'il a collectées pour le Responsable du traitement.
(1) Dans la mesure où le responsable du traitement des données n'effectue pas expressément des actions de soutien en vertu du présent accord gratuitement, il peut facturer au contrôleur des frais raisonnables à cet effet, à moins que les propres actions ou omissions du responsable du traitement des données n'aient rendu ce soutien directement nécessaire.
(2) Les modifications et compléments au présent accord doivent être effectués par écrit. Cette disposition s'applique également à toute renonciation à cette exigence formelle. La priorité des accords contractuels individuels n'est pas affectée.
(3) Si certaines dispositions du présent accord sont ou deviennent totalement ou partiellement invalides ou inapplicables, cela n'affecte pas la validité des autres dispositions.
(4) Le présent accord est soumis au droit allemand.
Type de client | Catégories de personnes concernées | Catégories de données |
---|---|---|
Comptes de l'entreprise | Employés | Nom, coordonnées, poste, département, photo, détails de l'entreprise, liens vers les médias sociaux. |
Comptes d'entreprise et utilisateurs individuels | Parties intéressées | Adresse IP (ville, pays), coordonnées, nom, entreprise, message (facultatif). |
Ce document résume les mesures techniques et organisationnelles prises par le sous-traitant au sens de l'art. 32 al. 1 GDPR. Il s'agit des mesures prises par le Processeur pour protéger les données personnelles. L'objectif de ce document est d'aider le Responsable du traitement à remplir ses obligations de responsabilité en vertu de l'Art. 5 para. 2 GDPR.
Les mesures suivantes mises en œuvre empêchent les personnes non autorisées d'accéder aux systèmes de traitement des données :
Travail à domicile : les personnes non autorisées n'ont pas accès au domicile des employés.
Travail dans le bureau à domicile : instruction aux employés de travailler dans un bureau séparé de leur salle de séjour si possible.
Les mesures suivantes mises en œuvre empêchent les personnes non autorisées d'accéder aux systèmes de traitement des données :
Authentification avec l'utilisateur et le mot de passe
Utilisation de pare-feu
Utilisation de la gestion des appareils mobiles
Cryptage des supports de données
Verrouillage automatique du bureau
Gestion des autorisations des utilisateurs
Créer des profils d'utilisateurs
Règles relatives aux mots de passe centraux
Utilisation de l'authentification à 2 facteurs
Politique de l'entreprise en matière de mots de passe sécurisés
Instruction générale pour verrouiller manuellement le bureau lorsque tu quittes le poste de travail.
Les mesures mises en œuvre suivantes garantissent que les personnes non autorisées n'ont pas accès aux données personnelles :
Enregistrement de l'accès aux applications (notamment lors de la saisie, de la modification et de la suppression de données).
Le nombre d'administrateurs est aussi réduit que possible.
Gestion des droits des utilisateurs par les administrateurs du système
Instruction aux employés que les données ne seront supprimées qu'après consultation.
Les mesures suivantes garantissent que les données personnelles collectées à des fins différentes sont traitées séparément :
Stockage physiquement séparé sur des systèmes ou des supports de données distincts.
Séparation de la production et du système de test
Séparation logique des clients (du côté du logiciel)
Définition des droits sur les bases de données
Instruction interne pour anonymiser/pseudonymiser les données personnelles en cas de divulgation ou après l'expiration du délai légal de suppression, si possible.
Il est garanti que les données personnelles ne peuvent pas être lues, copiées, modifiées ou supprimées sans autorisation lors de la transmission ou de l'enregistrement sur des supports de données et qu'il est possible de vérifier quelles personnes ou quels organes ont reçu des données personnelles. Les mesures suivantes ont été mises en œuvre pour garantir cela :
Cryptage WLAN (WPA2 avec mot de passe fort)
Enregistrement des accès et des retraits
Mise à disposition de données via des connexions cryptées telles que SFTP ou HTTPS.
Interdiction de télécharger les données de l'entreprise sur des serveurs externes
Les mesures suivantes garantissent qu'il est possible de vérifier qui a traité les données personnelles dans les systèmes de traitement des données et à quel moment :
Enregistrement de la saisie, de la modification et de la suppression des données.
Contrôle manuel ou automatique des bûches
Traçabilité de la saisie, de la modification et de la suppression des données par le biais de noms d'utilisateurs individuels (et non de groupes d'utilisateurs).
Des responsabilités claires pour les suppressions
legal.dpa.latest.annexes.2.3.2.text.6
Les mesures suivantes garantissent que les données personnelles sont protégées contre la destruction accidentelle ou la perte et qu'elles sont toujours disponibles pour le client :
Extincteurs dans les salles de serveurs
Dispositifs de surveillance de la température et de l'humidité dans les salles de serveurs.
Climatisation dans les salles de serveurs
Bâtisseurs de prises de protection dans les salles de serveurs
Alimentation sans interruption (UPS)
Surveillance vidéo dans les salles de serveurs
Message d'alarme en cas d'accès non autorisé aux salles de serveurs.
Sauvegardes régulières
Vérifier le processus de sauvegarde
Stockage des sauvegardes de données dans un endroit sécurisé et hors site.
Tests réguliers de récupération des données et enregistrement des résultats.
Pas d'installations sanitaires dans ou au-dessus de la salle des serveurs.
Hébergement (au moins des données les plus importantes) chez un hébergeur professionnel.
Les mesures suivantes visent à garantir que l'organisation répond aux exigences de base de la loi sur la protection des données :
Utilisation de la plateforme heyData pour la gestion de la protection des données.
Nomination du délégué à la protection des données heyData
Obligation des employés de préserver le secret des données
Formation régulière des employés à la protection des données
Maintenir une vue d'ensemble des activités de traitement (art. 30 GDPR)
Les mesures suivantes visent à garantir le déclenchement des processus de signalement en cas de violation de la protection des données :
Processus de signalement des violations de la protection des données conformément à l'art. 4 n° 12 GDPR aux autorités de contrôle (art. 33 GDPR).
Processus de notification des violations de données conformément à l'art. 4 n° 12 du RGPD aux personnes concernées (art. 34 du RGPD).
Implication du délégué à la protection des données dans les incidents de sécurité et les violations de données.
Utilisation de pare-feu
Les mesures suivantes visent à garantir le déclenchement des processus de signalement en cas de violation de la protection des données :
Processus de signalement des violations de la protection des données conformément à l'art. 4 n° 12 GDPR aux autorités de contrôle (art. 33 GDPR).
Processus de notification des violations de données conformément à l'art. 4 n° 12 du RGPD aux personnes concernées (art. 34 du RGPD).
Les mesures suivantes garantissent que les données personnelles ne peuvent être traitées que conformément aux instructions :
Instructions écrites au contractant ou instructions sous forme de texte (par exemple par le biais d'un accord de traitement des données).
Assurer la destruction des données après l'achèvement de la commande, par exemple en demandant les confirmations correspondantes.
Confirmation par les sous-traitants qu'ils engagent leurs propres employés à respecter le secret des données (généralement dans l'accord de traitement des données).
Sélection minutieuse des contractants (notamment en ce qui concerne la sécurité des données).
Examen continu des contractants et de leurs activités
Assurer la destruction des données après l'achèvement de la commande, par exemple en demandant les confirmations correspondantes.
Tous les sous-traitants américains sont certifiés conformément au Data Privacy Framework.
Nom | Adresse | Fonction | Emplacement du serveur |
---|---|---|---|
Hetzner Online GmbH | Industriestr. 25, 91710 Gunzenhausen, Germany | Hébergement et infrastructure | L'UE |
Cloudflare, Inc. | 101 Townsend Street, San Francisco, CA 94107, USA | Réseau de diffusion de contenu et sécurité | Global, en fonction de l'emplacement de l'utilisateur |
ActiveCampaign, LLC | 1 N Dearborn St., 5th Floor, Chicago, Illinois 60602, USA | Livraison par courriel | ÉTATS-UNIS D'AMÉRIQUE |
Functional Software, Inc. | 132 Hawthorne Street San Francisco, CA 94107, USA | Rapport et surveillance des erreurs | L'UE |
Microsoft Ireland Operations, Ltd. | One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, D18 P521, Ireland | Service à la clientèle et communication | L'UE |
HubSpot, Inc. | 25 1st Street Cambridge, MA 0214, USA | Service à la clientèle et communication | L'UE |
Version 1.3, entrée en vigueur le 10 avril 2024.
Nom: | |
Position: | |
Courriel: | |
Date: | |
Signature: |
Nom: | Florian Theimer |
Position: | Founder & CEO |
Courriel: | privacy@spreadly.app |
Date: | |
Signature: |
Imprime ce contrat de traitement des données et envoie une version signée à privacy@spreadly.app en y joignant ton numéro de client. Tu recevras une version signée de notre part dans les prochains jours ouvrables.
Tu veux avoir une copie signée de notre accord sur le traitement des données ?
Imprime ce contrat de traitement des données et envoie une version signée à privacy@spreadly.app en y joignant ton numéro de client.
Tu recevras une version signée de notre part dans les prochains jours ouvrables.