🛡️vCISO🏢PME & ETI

Accord de sous-traitance

Entre :

La société Articule, société par actions simplifiée, immatriculée au Registre du Commerce et des Sociétés de Paris sous le numéro 843 409 954, ayant son siège social au 231 rue Saint-Honoré, 75001 Paris, opérant sous le nom commercial QONTROL (ci-après le « Sous-traitant »)

Et :

Toute personne morale ou physique ayant souscrit aux Services de QONTROL conformément aux conditions générales de vente et de services (ci-après le « Responsable de traitement » ou le « Client »)

1. Objet

Le présent accord de sous-traitance (ci-après le « DPA ») définit les conditions dans lesquelles QONTROL, en qualité de sous-traitant au sens de l'article 28 du Règlement (UE) 2016/679 (ci-après le « RGPD »), traite des données à caractère personnel pour le compte du Client, en qualité de responsable de traitement, dans le cadre de la fourniture des Services décrits dans les conditions générales de vente et de services (les « CGV »).

Le présent DPA fait partie intégrante de l'ensemble contractuel constitué par les CGV, les CGU et la Charte de Protection des Données à Caractère Personnel.

2. Description du traitement

2.1 Finalités du traitement

QONTROL traite les Données Personnelles uniquement pour le compte du Client et aux seules fins suivantes :

  • Permettre au Client de mesurer et piloter l'efficacité des mesures de cybersécurité dans les pratiques de son organisation et de ses collaborateurs ;
  • Accompagner le Client dans le choix et la mise en œuvre de mesures de cybersécurité adaptées ;
  • Permettre un suivi dynamique de la mise en place des mesures de cybersécurité au sein de l'organisation du Client ;
  • Fournir les Services tels que décrits dans les CGV.

2.2 Catégories de données personnelles traitées

  • Données d'identification : nom, prénom, adresse email professionnelle ;
  • Données de connexion : identifiants, logs de connexion, adresse IP ;
  • Données d'utilisation : données générées par l'interaction des Utilisateurs avec la Plateforme ;
  • Données métier : documents importés par le Client ou ses Utilisateurs dans le cadre des Services.

2.3 Catégories de personnes concernées

  • Collaborateurs, salariés et mandataires sociaux du Client ;
  • Tout Utilisateur désigné par le Client pour accéder à la Plateforme.

2.4 Durée du traitement

Le traitement est effectué pendant toute la durée de la Souscription du Client aux Services. Les dispositions relatives à la restitution et à la suppression des données à l'issue du traitement sont prévues à l'article 10 du présent DPA.

3. Obligations de QONTROL

QONTROL s'engage à :

  1. Traiter les Données Personnelles uniquement sur instruction documentée du Client, y compris en ce qui concerne les transferts vers un pays tiers, sauf obligation légale contraire. Dans ce cas, QONTROL informera le Client de cette obligation avant le traitement, à moins que le droit applicable ne l'interdise ;

  2. Garantir que les personnes autorisées à traiter les Données Personnelles se sont engagées à respecter la confidentialité ou sont soumises à une obligation légale de confidentialité ;

  3. Prendre toutes les mesures de sécurité requises en application de l'article 32 du RGPD, telles que décrites à l'article 5 du présent DPA ;

  4. Respecter les conditions prévues aux articles 6 et 7 du présent DPA pour le recours à un sous-traitant ultérieur ;

  5. Aider le Client, dans la mesure du possible, par des mesures techniques et organisationnelles appropriées, à s'acquitter de son obligation de donner suite aux demandes d'exercice de droits des personnes concernées (accès, rectification, effacement, portabilité, limitation, opposition) ;

  6. Aider le Client à garantir le respect des obligations prévues aux articles 32 à 36 du RGPD (sécurité, notification de violation, analyse d'impact), compte tenu de la nature du traitement et des informations dont QONTROL dispose ;

  7. Au choix du Client, supprimer ou restituer toutes les Données Personnelles au terme de la prestation, conformément à l'article 10 du présent DPA ;

  8. Mettre à la disposition du Client toutes les informations nécessaires pour démontrer le respect des obligations prévues au présent DPA et permettre la réalisation d'audits, conformément à l'article 9 du présent DPA.

4. Obligations du Client

Le Client, en sa qualité de responsable de traitement, s'engage à :

  1. Documenter par écrit toute instruction relative au traitement des Données Personnelles ;

  2. Veiller à ce que le traitement repose sur une base légale appropriée et que les personnes concernées aient été dûment informées du traitement de leurs données ;

  3. S'assurer, préalablement et pendant toute la durée du traitement, du respect des obligations prévues par le RGPD ;

  4. Superviser le traitement, y compris en réalisant des audits et inspections conformément à l'article 9 du présent DPA.

5. Sécurité

QONTROL met en œuvre les mesures techniques et organisationnelles appropriées, conformes à l'état de l'art, pour assurer la sécurité des Données Personnelles traitées pour le compte du Client, et notamment pour :

  • Protéger les données contre toute destruction accidentelle ou illicite, perte, altération, divulgation ou accès non autorisé ;
  • Garantir la confidentialité, l'intégrité et la disponibilité des données ;
  • Assurer la capacité à rétablir la disponibilité des données en temps utile en cas d'incident.

Les Données Personnelles sont hébergées sur les serveurs de la société OVH, situés en France, au sein de l'Union européenne.

QONTROL s'engage à évaluer régulièrement l'efficacité de ces mesures et à les adapter en fonction de l'évolution des risques et de l'état de l'art.

6. Sous-traitants ultérieurs

6.1 Autorisation générale

Le Client autorise QONTROL à recourir à des sous-traitants ultérieurs pour l'exécution des Services, sous réserve du respect des conditions prévues au présent article.

La liste des sous-traitants ultérieurs est celle publiée dans la Charte de Protection des Données à Caractère Personnel, consultable sur la page Charte de Protection des Données Personnelles.

6.2 Information et droit d'opposition

La liste des sous-traitants ultérieurs est tenue à jour dans la Charte de Protection des Données à Caractère Personnel. Il appartient au Client de consulter régulièrement cette liste. En cas de désaccord avec un sous-traitant ultérieur, le Client pourra résilier la Souscription concernée conformément aux CGV.

6.3 Obligations des sous-traitants ultérieurs

QONTROL s'engage à imposer à ses sous-traitants ultérieurs, par voie contractuelle, les mêmes obligations en matière de protection des données que celles prévues au présent DPA. QONTROL demeure pleinement responsable devant le Client de l'exécution des obligations par ses sous-traitants ultérieurs.

7. Transferts hors de l'Union Européenne

Certains sous-traitants ultérieurs peuvent être établis en dehors de l'Union Européenne. Les transferts de Données Personnelles vers ces sous-traitants sont encadrés par les mécanismes suivants :

  • Le Data Privacy Framework (DPF) UE-États-Unis, lorsque le sous-traitant est certifié, conformément à la décision d'adéquation de la Commission Européenne du 10 juillet 2023 ;
  • Les clauses contractuelles types approuvées par la Commission Européenne, mises en place par le sous-traitant concerné ;
  • Toute décision d'adéquation applicable de la Commission Européenne.

QONTROL n'effectuera aucun transfert de Données Personnelles vers un pays tiers en dehors de ces mécanismes, sauf instruction documentée du Client ou obligation légale.

8. Notification des violations de données

En cas de violation de Données Personnelles au sens de l'article 33 du RGPD, QONTROL s'engage à :

  1. Notifier le Client dans un délai de soixante-douze (72) heures après en avoir pris connaissance ;

  2. Fournir au Client, dans la mesure du possible, les informations suivantes :

    • la nature de la violation, y compris les catégories et le nombre approximatif de personnes concernées et d'enregistrements de données affectés ;
    • le nom et les coordonnées du point de contact chez QONTROL ;
    • les conséquences probables de la violation ;
    • les mesures prises ou proposées pour remédier à la violation et atténuer ses effets ;

  3. Documenter toute violation de données et mettre cette documentation à la disposition du Client ;

  4. Coopérer avec le Client et l'assister dans la notification à l'autorité de contrôle et, le cas échéant, aux personnes concernées.

9. Audits

Le Client, ou un auditeur tiers mandaté par lui, peut réaliser des audits afin de vérifier le respect par QONTROL des obligations prévues au présent DPA, sous réserve des conditions suivantes :

  • Le Client adressera à QONTROL une demande d'audit avec un préavis raisonnable d'au moins trente (30) jours ;
  • L'audit sera réalisé pendant les heures ouvrées et ne devra pas perturber de manière disproportionnée les activités de QONTROL ;
  • L'auditeur tiers devra être soumis à des obligations de confidentialité appropriées ;
  • Le Client prendra en charge les coûts de l'audit ;
  • Les audits seront limités à un (1) par année civile, sauf en cas de violation avérée ou d'exigence d'une autorité de contrôle.

QONTROL mettra à la disposition du Client toutes les informations nécessaires pour démontrer le respect de ses obligations et contribuera de bonne foi à la réalisation de l'audit.

10. Sort des données en fin de contrat

À l'issue de la Souscription, pour quelque raison que ce soit, QONTROL s'engage à :

  1. Restitution : sur demande du Client formulée dans un délai de quatre-vingt-dix (90) jours suivant la fin de la Souscription, QONTROL restituera l'ensemble des Données Personnelles dans un format structuré, couramment utilisé et lisible par machine ;

  2. Suppression : à l'expiration du délai de quatre-vingt-dix (90) jours mentionné ci-dessus, ou sur instruction du Client, QONTROL supprimera l'ensemble des Données Personnelles et leurs copies existantes, sauf obligation légale de conservation. QONTROL fournira au Client une attestation de suppression sur demande ;

  3. Données anonymisées : les données ayant fait l'objet d'une anonymisation irréversible ne sont plus considérées comme des Données Personnelles et ne sont pas soumises aux obligations de restitution ou de suppression.

11. Fonctionnalités d'intelligence artificielle

Lorsque le Client active les Fonctionnalités IA de la Plateforme (telles que définies dans les CGV), les conditions suivantes s'appliquent :

  • L'activation constitue une instruction documentée du Client au sens du présent DPA ;
  • Les Données Personnelles contenues dans les données métier peuvent être transmises à Anthropic, en qualité de sous-traitant ultérieur, pour le traitement nécessaire au fonctionnement des Fonctionnalités IA ;
  • Lorsque les Fonctionnalités IA sont désactivées par le Client, aucune donnée n'est transmise aux fournisseurs d'intelligence artificielle ;
  • QONTROL applique un principe de minimisation des Données Personnelles transmises aux fournisseurs d'intelligence artificielle.

12. Dispositions générales

Le présent DPA entre en vigueur à la date de souscription du Client aux Services et reste en vigueur pendant toute la durée du traitement des Données Personnelles par QONTROL.

En cas de contradiction entre le présent DPA et les CGV, les dispositions du présent DPA prévalent pour les questions relatives à la protection des Données Personnelles.

Le présent DPA est soumis à la loi française. Tout litige relatif à son interprétation ou à son exécution sera soumis au tribunal matériellement compétent de Paris.

Point de contact : privacy@qontrol.io