Accord de traitement des données

2.1 Le Sous-traitant fournit des services logiciels au Responsable du traitement conformément à un contrat de service distinct (“Contrat de service”). Dans le cadre de la fourniture de ces services, le Sous-traitant traite des données à caractère personnel pour le compte du Responsable du traitement.

2.2 Le présent ATD régit le traitement des données à caractère personnel par le Sous-traitant pour le compte du Responsable du traitement et fait partie intégrante du Contrat de service.

4.1 Le Sous-traitant ne traite les Données que sur instruction documentée du Responsable du traitement, y compris en ce qui concerne les transferts des Données vers un pays tiers ou une organisation internationale, à moins que la Législation applicable ne l'exige.

4.2 Le Sous-traitant informe immédiatement le Responsable du traitement si, selon lui, une instruction constitue une violation de la Législation applicable en matière de protection des données.

4.3 Le Sous-traitant traite les Données conformément au présent ATD et à l'annexe A, et ne peut pas traiter les Données à d'autres fins que celles qui y sont indiquées.

6.1 Le Responsable du traitement est tenu de s'assurer que le traitement des Données dispose d'une base légale conformément à la Législation applicable et que les personnes concernées sont informées du traitement.

6.2 Le Responsable du traitement est tenu de donner au Sous-traitant les instructions nécessaires pour que celui-ci puisse respecter ses obligations.

7.1 Le Sous-traitant ne traite les Données qu'au nom du Responsable du traitement et conformément aux instructions documentées, sauf obligation légale contraire.

7.2 Le Sous-traitant assiste le Responsable du traitement dans le respect de ses obligations, notamment en matière de sécurité, de notification des violations, d'analyses d'impact et de consultation préalable.

7.3 Le Sous-traitant met à la disposition du Responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues à l'article 28 du RGPD.

8.1 Le Sous-traitant met en œuvre et maintient des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, notamment :

• Chiffrement des Données en transit avec TLS 1.2 ou supérieur
• Chiffrement des Données au repos avec AES-256
• Isolation des clients : chaque environnement client fonctionne sur une base de données entièrement isolée
• Contrôle d'accès basé sur le principe du moindre privilège
• Surveillance et journalisation continues des événements de sécurité
• Tests et évaluations réguliers de l'efficacité des mesures

8.2 Le Sous-traitant s'assure que les mesures mises en œuvre satisfont à tout moment aux exigences de l'article 32 du RGPD.

9.1 Les Données sont par principe stockées et traitées au sein de l'UE/EEE. Le Sous-traitant ne transfère pas les Données vers des pays tiers sans l'autorisation préalable du Responsable du traitement.

9.2 Si un transfert vers un pays tiers devient nécessaire, le Sous-traitant s'assure que le transfert est licite conformément à la Législation applicable et conclut, si nécessaire, les clauses contractuelles types prévues par la décision d'exécution (UE) 2021/914 de la Commission.

9.3 L'architecture de Securapilot permet la sélection configurable d'un modèle d'IA par client. Le Responsable du traitement peut choisir des services d'IA basés en Suède (p. ex. Berget AI) pour garantir une souveraineté totale des données nordiques. Aucune donnée à caractère personnel n'est transmise aux fournisseurs d'IA sauf si le Responsable du traitement active expressément les fonctionnalités IA.

10.2 Le Sous-traitant s'engage à informer le Responsable du traitement de tout projet de recours à un nouveau sous-traitant ultérieur au moins quarante-cinq (45) jours avant la mise en œuvre de ces projets. Le Responsable du traitement a le droit de s'y opposer. Sans réponse dans les 45 jours, le Responsable du traitement est réputé avoir accepté le projet.

10.3 Si le Responsable du traitement s'oppose à un nouveau sous-traitant ultérieur et qu'aucune solution n'est trouvée, il a le droit de résilier le service concerné.

10.4 Les contrats avec les sous-traitants ultérieurs doivent être écrits et imposer des obligations équivalentes. Le Sous-traitant demeure responsable de l'exécution par les sous-traitants ultérieurs de leurs obligations.

10.5 Si un traitement des Données par un sous-traitant ultérieur dans un pays tiers est prévu, l'article 9 s'applique mutatis mutandis.

11.1 Le Sous-traitant s'assure que le personnel concerné respecte le présent ATD et les instructions du Responsable du traitement, et est informé des dispositions de la Législation applicable en matière de protection des données.

11.2 L'accès aux Données est limité aux personnes qui en ont besoin pour l'accomplissement de leurs tâches et qui sont soumises à une obligation de confidentialité ou au secret professionnel légal.

12.2 Le Responsable du traitement peut exporter et supprimer les données des utilisateurs directement via l'interface d'administration de la plateforme. Pour les demandes nécessitant une assistance supplémentaire, le Sous-traitant répond dans un délai de dix (10) jours ouvrables.

12.3 Si une personne concernée, l'autorité de contrôle ou un tiers contacte le Sous-traitant avec des demandes relatives au traitement, le Sous-traitant renvoie vers le Responsable du traitement.

13.1 En cas de violation de données à caractère personnel, le Sous-traitant notifie le Responsable du traitement dans un délai de vingt-quatre (24) heures après avoir pris connaissance de la violation.

13.2 La notification contient des informations sur :

1. La nature de la violation ainsi que les catégories et le nombre approximatif de personnes concernées et d'enregistrements affectés
2. Les coordonnées du délégué à la protection des données ou d'un autre point de contact chez le Sous-traitant
3. Les conséquences probables de la violation
4. Les mesures prises ou envisagées pour remédier à la violation
5. Toute autre information nécessaire au Responsable du traitement pour respecter son obligation de notification à l'autorité de contrôle (délai de 72 heures prévu à l'art. 33 du RGPD) et aux personnes concernées

13.3 Le Sous-traitant assiste le Responsable du traitement dans le respect de ses obligations de notification à l'autorité de contrôle et aux personnes concernées.

15.1 Le Sous-traitant ne conserve pas les Données plus longtemps que nécessaire pour accomplir la finalité ou que ce qui découle de la Législation applicable, du présent ATD ou des instructions du Responsable du traitement.

15.2 À la résiliation du contrat, les dispositions suivantes s'appliquent :

• Le Responsable du traitement peut exporter toutes les données via la fonction d'export de la plateforme pendant une période de transition de trente (30) jours
• Après la période de transition, toutes les données du Responsable du traitement — y compris le contenu de la base de données, les fichiers téléchargés et les vectorisations — sont définitivement supprimées de tous les systèmes, y compris les sauvegardes, dans un délai de trente (30) jours
• Le Sous-traitant fournit sur demande une confirmation écrite de la suppression

15.3 Si la suppression n'est pas techniquement possible, le Sous-traitant garantit l'anonymisation des Données de manière à rendre toute réidentification impossible.

16.1 Le Responsable du traitement a le droit, directement ou via un cabinet d'audit tiers indépendant, de vérifier la conformité du Sous-traitant au présent ATD et à la Législation applicable. Les audits sont réalisés avec un préavis raisonnable et dans le respect des obligations de confidentialité.

16.2 Le Sous-traitant coopère lors des audits et donne accès à la documentation, aux systèmes et au personnel pertinents. Le Sous-traitant peut satisfaire aux demandes d'audit en fournissant des rapports d'audit ou certifications de tiers indépendants.

16.3 Les inspections doivent être organisées de manière à perturber le moins possible les activités ordinaires des Parties.

16.4 Si le Responsable du traitement constate lors d'un audit que le Sous-traitant traite les Données en violation du présent ATD, le Sous-traitant est tenu d'y remédier immédiatement. À défaut de correction en temps utile, le Responsable du traitement a le droit de résilier l'ATD et le Contrat de service avec effet immédiat.

16.5 Sauf accord écrit contraire, chaque Partie supporte ses propres frais d'audit.

17.1 Le Sous-traitant ne divulgue pas les Données ou d'autres informations relatives au traitement à des tiers sans instruction expresse ou autorisation préalable du Responsable du traitement, sauf obligation légale.

17.2 Chaque Partie s'engage à ne pas divulguer à des tiers les informations confidentielles dont elle a eu connaissance dans le cadre de la collaboration.

17.3 Les Parties respectent les règles applicables en matière de secrets d'affaires.

17.4 Le Sous-traitant s'assure que les personnes ayant accès aux Données sont soumises à une obligation de confidentialité ou au secret professionnel légal. Les sous-traitants ultérieurs doivent avoir des obligations de confidentialité équivalentes.

17.5 Les obligations de confidentialité du présent article survivent à la résiliation de l'ATD.

19.1 Si une Partie agit en violation du présent ATD ou de la Législation applicable, cette Partie indemnise l'autre Partie pour tout dommage causé par une telle action, sauf si la Partie responsable du dommage peut prouver qu'elle n'en est pas responsable.

19.2 En aucun cas une Partie ne sera responsable des dommages indirects tels que la perte de bénéfices, la perte de revenus, la perte de données ou tout autre dommage consécutif. Cette limitation ne s'applique pas en cas de faute lourde ou de dol.

19.3 La responsabilité des Parties à l'égard des tiers est régie conformément à l'article 82 du RGPD. La Partie ayant versé l'intégralité des dommages-intérêts a le droit de récupérer auprès de l'autre Partie la part correspondant à la responsabilité de cette dernière.

19.4 La responsabilité pour les violations du présent ATD est par ailleurs régie par les conditions du Contrat de service.

20.1 Le Responsable du traitement peut modifier le contenu du présent ATD dans la mesure nécessaire pour répondre aux exigences découlant de la Législation applicable. Une telle modification prend effet trente (30) jours après réception de la notification par le Sous-traitant. Si le Sous-traitant n'accepte pas la modification, le Responsable du traitement a le droit de résilier le Contrat de service avec effet immédiat.

20.2 Toute autre modification ou tout ajout au présent ATD doit, pour être contraignant, être établi par écrit et approuvé par les deux Parties.

21.1 L'ATD est valable à compter de sa conclusion et aussi longtemps que le Sous-traitant traite des Données pour le compte du Responsable du traitement.

21.2 À l'expiration de l'ATD, le Sous-traitant et les sous-traitants ultérieurs doivent, selon les instructions du Responsable du traitement, soit restituer toutes les Données au Responsable du traitement, soit supprimer toutes les Données et en attester, conformément à l'article 15.

21.3 Les dispositions de confidentialité de l'article 17 survivent à l'expiration de l'ATD.

23.1 Toute notification et autre communication dans le cadre du présent ATD doit être établie par écrit et envoyée par e-mail, coursier ou lettre recommandée aux contacts des Parties.

23.2 Une notification est réputée reçue : par e-mail au moment de l'envoi (à condition qu'aucun message d'erreur ne soit reçu), par coursier au moment de la remise, et par lettre recommandée le troisième (3e) jour ouvrable suivant son dépôt à la poste.

24.1 Le droit suédois s'applique au présent ATD, y compris à tout traitement des Données effectué dans son cadre.

24.2 Les litiges découlant du présent ATD sont résolus conformément au mécanisme de résolution des litiges prévu dans le Contrat de service.