1. Fêtes
Responsable du traitement
Vous, le client (l'entité qui détermine les finalités et les moyens du traitement)
Sous-traitant
ClientFlow (traite les données personnelles pour votre compte)
1.1 Champ d'application du traitement
Ce DPA s'applique au traitement des données personnelles lorsque :
- ClientFlow traite des données personnelles pour le compte du Responsable dans le cadre de la fourniture du Service
- Le traitement concerne la gestion des relations clients du Responsable
- Les personnes concernées sont les clients et contacts professionnels du Responsable
Activités de traitement
- Stockage et organisation des informations de contact des clients
- Enregistrement et suivi des transactions de paiement
- Envoi de communications autorisées (rappels, notifications)
- Génération d'analyses et de rapports basés sur des données agrégées
2. Catégories de données
| Catégorie | Exemples | Objectif |
|---|---|---|
| Données de compte | Email, nom, photo de profil | Accès au service |
| Données clients | Noms de clients, téléphones, emails | Fonctionnalité CRM |
| Enregistrements de paiement | Montants, dates, statuts | Suivi des paiements |
| Données d'utilisation | Heures de connexion, utilisation des fonctionnalités | Sécurité, amélioration |
3. Obligations du sous-traitant
Nous nous engageons à :
- Traiter les données uniquement selon vos instructions documentées
- Garantir que le personnel est lié par la confidentialité
- Mettre en œuvre des mesures de sécurité appropriées
- Assister aux demandes des personnes concernées
- Vous notifier des violations de données dans les 72 heures
- Supprimer les données à la résiliation (après la période de conservation)
4. Mesures de sécurité
Techniques
- TLS 1.3 (transit)
- AES-256 (repos)
- Authentification OAuth 2.0
- Contrôle d'accès basé sur les rôles
- Surveillance en temps réel
Organisationnelles
- Politiques de sécurité
- Plan de réponse aux incidents
- Audits réguliers
- Examens de sécurité des fournisseurs
- Formation des employés
5. Sous-traitants ultérieurs
Nous utilisons les sous-traitants ultérieurs autorisés suivants :
| Fournisseur | Service | Localisation | FAP |
|---|---|---|---|
| Google Cloud | Authentification | USA | Oui |
| iyzico | Paiements | Turquie | CTC |
| Meta (WhatsApp) | Messagerie | USA | Oui |
| Renvoyer | USA | CTC | |
| Hetzner | Hébergement & Base de données | Allemagne (UE) | CTC |
| Cloudflare | CDN & Stockage | UE | Oui |
DPF = Cadre de confidentialité des données UE-États-Unis certifié
Modifications des sous-traitants
Nous vous informerons de toute modification prévue concernant les sous-traitants :
- Préavis d'au moins 14 jours avant l'ajout ou le remplacement de sous-traitants
- Notification par email à votre adresse email de compte enregistrée
- Vous pouvez vous opposer aux modifications dans les 14 jours en nous contactant
- Si votre objection ne peut être résolue, vous pouvez résilier les services concernés
5.1 Droits d'audit
Le Responsable a le droit de vérifier la conformité à ce DPA :
- Demander la documentation et les certifications pertinentes
- Effectuer des audits avec un préavis écrit d'au moins 30 jours
- Les audits doivent être effectués pendant les heures normales de bureau
- L'auditeur doit signer un accord de confidentialité
Portée de l'audit
- Mesures de sécurité et garanties techniques
- Conformité des sous-traitants
- Procédures de traitement des données
- Capacités de réponse aux incidents
Les coûts des audits sont à la charge du Responsable, sauf si l'audit révèle un non-respect substantiel.
6. Conservation et suppression des données
Vos données sont préservées pour la récupération de compte et la conformité réglementaire.
| Chronologie | Action |
|---|---|
| Immédiatement | Compte désactivé |
| Indéfinie | Données préservées (archivées) |
| À tout moment | Le compte peut être réactivé |
7. Dispositions CCPA
En vertu du CCPA, nous agissons en tant que « Prestataire de services » et :
- Traitons les données uniquement à des fins commerciales spécifiées
- Ne vendons pas d'informations personnelles
- Aidons aux demandes de droits des consommateurs
- Mettons en œuvre des mesures de sécurité raisonnables
8. Notification de violation de données
En cas de violation de données personnelles, nous nous engageons à :
Calendrier de notification
- Vous notifier dans les 72 heures suivant la découverte d'une violation
- Fournir une évaluation initiale de la portée et de l'impact de la violation
- Délivrer une notification écrite détaillée dans les 5 jours ouvrables
Contenu de la notification
- Nature de la violation incluant les catégories et le nombre approximatif de personnes concernées
- Nom et coordonnées de notre Délégué à la Protection des Données
- Description des conséquences probables de la violation
- Mesures prises ou proposées pour remédier à la violation
- Mesures pour atténuer les effets négatifs possibles
Nous coopérerons pleinement avec votre enquête et toute demande réglementaire, et aiderons aux notifications de violation aux autorités de contrôle et aux personnes concernées comme l'exige la loi applicable.
9. Transferts internationaux de données
Lorsque des données personnelles sont transférées en dehors de l'Espace Économique Européen (EEE), nous assurons des garanties appropriées :
Mécanismes de transfert
Décisions d'adéquation de l'UE
Transferts vers des pays jugés adéquats par la Commission européenne
Cadre de confidentialité des données UE-États-Unis
Pour les sous-traitants basés aux États-Unis certifiés selon le DPF
Clauses Contractuelles Types (CCT)
Clauses approuvées par la Commission UE (version 2021) pour les autres transferts
Nous effectuons des évaluations d'impact des transferts lorsque requis et mettons en œuvre des mesures supplémentaires (techniques, organisationnelles et contractuelles) lorsque nécessaire pour assurer un niveau de protection essentiellement équivalent.
Vous pouvez demander des copies des mécanismes de transfert pertinents sur demande.
10. Responsabilité et indemnisation
Responsabilité du sous-traitant
ClientFlow sera responsable des dommages causés par un traitement qui ne respecte pas ce DPA ou lorsque nous avons agi en dehors ou contrairement aux instructions légales du Responsable.
Responsabilité du Responsable
Le Responsable sera responsable des dommages causés par un traitement qui viole la loi applicable sur la protection des données ou ne respecte pas les obligations du Responsable en vertu de ce DPA.
Limites
- Aucune partie ne sera responsable des dommages indirects, accessoires ou consécutifs
- La responsabilité totale agrégée en vertu de ce DPA est limitée aux frais payés au cours des 12 mois précédant la réclamation
- Ces limitations ne s'appliquent pas aux violations de confidentialité, faute intentionnelle ou négligence grave
Chaque partie s'engage à indemniser l'autre contre les réclamations de tiers découlant de la violation de ce DPA ou des lois applicables sur la protection des données par la partie indemnisatrice.
11. Résiliation et restitution des données
Durée
Ce DPA reste en vigueur pendant la durée du Contrat de Service et tant que nous traitons des données personnelles pour votre compte.
À la résiliation
- À votre choix, nous retournerons ou supprimerons toutes les données personnelles dans les 30 jours
- Vous pouvez demander une exportation de données dans un format couramment utilisé et lisible par machine
- Nous certifierons la suppression sur demande
- Les données peuvent être conservées si la loi applicable l'exige
Les sections relatives à la confidentialité, à la responsabilité et aux droits à la protection des données survivent à la résiliation de ce DPA.