Accord de traitement des données
Accord de traitement des données
Selon le règlement général sur la protection des données (RGPD) de l'UE La version 1.4.2 du présent Accord a été créée le 22 juillet 2024.
Le présent Accord de traitement des données (le « DPA », Data Processing Agreement), en vigueur à compter de la Date d'entrée en vigueur du DPA (définie ci-dessous), est conclu par et entre Topsys (« Topsys », « nous » ou « notre », « Sous-traitant ») et le client qui accepte ou accepte autrement le présent DPA (« Client » ou « vous »).
1 Introduction, domaine d'application, définitions
(1) Le présent DPA définit les droits et obligations du Client et de Topsys (ci-après dénommés les « Parties ») dans le cadre du traitement des données à caractère personnel pour le compte du Client.
(2) Le présent contrat s'applique à toutes les activités pour lesquelles les employés de Topsys ou d'éventuels sous-traitants chargés de traiter les données personnelles du Client.
(3) Les termes utilisés dans le présent DPA ont la signification qui leur est donnée dans le Règlement général sur la protection des données (RGPD) de l'UE.
(4) « Le Service » désigne la fourniture d'applications de gestion immobilière et d'hôtellerie et de solutions connexes telles que décrites dans xxx.xxxxxx.xx
(5) « Données client » désigne les données que vous soumettez, stockez ou nous envoyez via le Service.
(6) « Sous-traitant » désigne un tiers que nous utilisons pour traiter les Données du Client afin de fournir des parties du Service ou une assistance technique associée. Les services supplémentaires, tels que le transport, l'entretien et le nettoyage, ainsi que l'utilisation de services de télécommunication ou de services aux utilisateurs, ne s'appliquent pas.
(7) « Violation de données » désigne une violation de la sécurité de Topsys entraînant la destruction, la perte, l'altération, la divulgation ou l'accès non autorisés, accidentels ou illégaux, aux données personnelles.
(8) « par écrit », la forme écrite, ou sous une autre forme à condition qu'une vérification appropriée soit assurée.
(9) « Contrat-cadre » désigne l'abonnement.
(10)« Clauses contractuelles types » ou « CCT » désignent les clauses contractuelles types telles qu'approuvées par la Commission européenne conformément à sa décision 2021/914 du 4 juin 2021.
2 Étendue et durée du traitement des données
2.1 Domaine d'application
Topsys traite les données des clients pour fournir des services de gestion immobilière et d'applications hôtelières, comme décrit dans xxx.xxxxxx.xx.
2.2 Durée
Le traitement sera effectué pendant la durée du Contrat-cadre.
3 Nature et finalité de la collecte, du traitement ou de l'utilisation des données
Topsys stocke et traite les données personnelles pour fournir le service et l'assistance technique associée, comme décrit à l' annexe 1.
4 Obligations de Topsys
Topsys vous informera immédiatement de toute inspection ou mesure effectuée par les autorités de contrôle ou d'autres tiers si elle est liée au traitement des données commandé.
(1) Topsys vous aidera à remplir vos obligations de communication envers les personnes concernées par une violation de données en fournissant toutes les informations pertinentes, conformément à l'article 34 du RGPD.
(2) Topsys aide le client à se conformer aux obligations des articles 32 à 36 du RGPD en matière de sécurité des données personnelles, d'obligations de déclaration en cas de violation de données, d'analyses d'impact relatives à la protection des données et de consultations préalables. Il s'agit notamment de l'obligation de :
a. assurer un niveau de protection approprié par des mesures techniques et organisationnelles qui tiennent compte des circonstances et des finalités du traitement ainsi que de la probabilité et de la gravité prévues d'une éventuelle violation de la loi en raison de failles de sécurité et permettent une détection immédiate des événements de violation pertinents ;
b. signaler immédiatement au client les violations de données à caractère personnel ;
c. Soutenir le Client dans le cadre de son obligation d'information à l'égard de la personne concernée et lui fournir immédiatement toutes les informations pertinentes dans ce cadre
;
d. assister les Clients dans leur analyse d'impact relative à la protection des données ;
e. Soutien du client dans le cadre des consultations préalables avec l'autorité de surveillance.
10 Mode d'emploi
(1) Le Client se réserve le droit d'émettre des instructions concernant le traitement des données en son nom.
(2) Topsys informera immédiatement le Client si une instruction émise par le Client enfreint, à son avis, les exigences légales. Topsys est en droit de renoncer à exécuter les instructions correspondantes jusqu'à ce qu'elles aient été confirmées ou modifiées par la partie responsable au nom du client.
(3) Topsys doit documenter les instructions émises et leur mise en œuvre.
11 Fin du traitement commandé
(1) Lors de la résiliation de l'DPA ou à tout moment à votre demande, Topsys détruira les données traitées dans le cadre de la commission ou vous soumettra les données à votre discrétion. Toutes les copies des données encore présentes seront également détruites. Les données seront détruites de telle sorte qu'il ne sera plus possible de restaurer ou de recréer les informations restantes, même avec des efforts considérables.
(2) Topsys est tenu d'assurer immédiatement la restitution ou la suppression des données des Sous- traitants.
(3) Topsys doit apporter la preuve de la bonne destruction des données et soumettre immédiatement cette preuve au Client.
(4) Topsys conservera toute documentation ayant pour but de fournir la preuve du bon traitement des données conformément aux périodes de conservation respectives, y compris la période légale après l'expiration de l'DPA. Nous pouvons vous soumettre la documentation correspondante une fois nos obligations contractuelles terminées.
12 Juridiction, loi
(1) Le lieu de juridiction pour tout litige découlant du présent Accord est Paris, France.
(2) Le présent DPA et toutes les annexes qui s'y rapportent sont régis exclusivement par le droit français.
(3) En signant le présent DPA, Topsys et le Client conviennent que tous les DPA précédents cessent d'exister.
Paris........................................
Xxxxxxx Xxxxxx
…………………………….…… …………………………….…… Client Topsys
Annexe 1 – Modalités du traitement des données
Topsys stocke et traite les données des clients en votre nom.
Données :
- Données d'identification/passeport ;
- Nom;
- Adresse courriel;
- Adresse et données de communication ;
- Nationalité;
- Genre;
- Date de naissance;
- Commentaire en texte libre (qui peut techniquement inclure des données personnelles) ;
- Adresse de facturation
Destinataires : Les employés de Topsys travaillant dans le développement de produits et l'assistance peuvent accéder à ces données pour fournir une assistance et une aide. Cet accès est en lecture seule, sauf si vous demandez des modifications ou la suppression de données sous forme écrite.
La liste de tous les Sous-traitants figure en Annexe 3.
Annexe 2 – Mesures techniques et organisationnelles
Voir les sections Notes générales et Données traitées pour le compte (« Données client ») dans le document Topsys – Mesures techniques et organisationnelles.
Annexe 3 – Sous-traitants
Sous-traitants | ||
Outil | But | Politique de confidentialité |
Xxxx.xxx (États-Unis) | Topsys utilise Xxxx.xxx pour connecter les API d'Apaleo entre elles et avec d'autres applications. Ainsi, les données personnelles pourraient être stockées et traitées sur les serveurs AWS de Xxxx.xxx. L'équipe d'assistance a accès aux données personnelles des utilisateurs finaux et des clients. L'accès est sécurisé par un login personnel. | xxxxx://xxx.xxxx.xxx/xx/xxx xxxx-notice |
OVH (FR) | Topsys utilise OVH comme infrastructure. Ainsi, les données personnelles sont stockées et traitées sur les serveurs d'OVH. | xxxxx://xxx.xxxxxxxx.xxx/xx/ personal-data-protection/ |
E-mail Sinch (SE) | Topsys utilise Sinch Email comme outil d'emailing. Pour ce processus, les données personnelles sont traitées à Sinch Email. | /privacy-policy/ |
Magic Online (FR) | Topsys utilise Magic Online comme infrastructure. Ainsi, les données personnelles sont stockées et traitées sur les serveurs d'OVH. | xxxxx://xxx.xxxxx.xx/xxxxxxxxx -de-confidentialite/ |
Zoho (États-Unis) | Topsys utilise Zoho comme infrastructure et analyses. Ainsi, les données personnelles sont stockées et traitées sur les serveurs de Zoho. | xxxxx://xxx.xxxx.xxx/xxxxxxx y.html .html |
Topsys – mesures techniques et organisationnelles
22 juillet 2024
Remarques générales
Conscience
La protection des données personnelles qui nous sont confiées est très importante pour Topsys. Les nouvelles fonctionnalités ainsi que les modifications apportées à l'architecture globale sont discutées avec le responsable de la sécurité et de la protection de la vie privée avant d'être mises en œuvre, afin d'évaluer les risques de sécurité et la conformité. Tous les membres de l'équipe produit et de support de Topsys ont suivi une formation de sensibilisation à la sécurité logicielle et à la confidentialité des données, qui est mise à jour au moins une fois par an.
Données des clients et de leurs employés, des visiteurs du site web, des prospects et des fournisseurs d'applications
Accès contrôlé
Seuls les employés de Topsys travaillant dans les domaines de l'assistance, du marketing et des ventes sont autorisés à accéder aux données personnelles des clients, des visiteurs du site Web, des prospects et des fournisseurs d'applications. La copie maîtresse de toutes les données personnelles est stockée et traitée à l'aide d'un logiciel cloud sélectionné. L'accès est restreint par un nom d'utilisateur et un mot de passe, et le cas échéant, par une authentification multifacteur.
Seules des copies de courte durée (généralement des heures, maximum 7 jours) pour l'exécution de tâches spécifiques qui ne peuvent pas être effectuées à l'aide de l'un des logiciels cloud sélectionnés peuvent exister sur les appareils électroniques des membres de l'équipe d'assistance, de vente et de marketing de Topsys. L'accès à ces appareils est restreint au minimum avec un nom d'utilisateur et un mot de passe, dans certains cas via une identification biométrique.
Les mots de passe doivent respecter une politique stricte, qui est régulièrement adoptée selon les dernières normes de sécurité.
Audit
La modification des données personnelles est :
- enregistré par Xxxx (au niveau du terrain) et Zoho Workdrive (au niveau du document)
- impossible dans Microsoft Office 365. Toutes les informations saisies par l'utilisateur sont immuables.
- Ce n'est pas possible dans Zoho desk, mais les données peuvent être supprimées. Les employés ont été informés de ne pas supprimer les données sans vérifier auprès du responsable de la protection de la vie privée.
- Non audité et possible pour tous les administrateurs dans WP-Engine. Les administrateurs ont été informés de ne pas modifier les données personnelles fournies par d'autres.
Données traitées pour le compte (« Données client »)
Accès contrôlé
Seuls les employés de Topsys travaillant dans le développement et le support produit en France peuvent accéder aux données personnelles. La copie maîtresse de toutes les données personnelles est stockée et traitée à l'aide d'un logiciel cloud sélectionné.
Les composants protégés du système sont les suivants :
1) Le réseau et les centres de données de Magic Online sont protégés par un système anti- DDOS Wanguard pour prévenir les attaques par déni de service. À cela s'ajoute une infrastructure de gestion hors bande permettant d'accéder à l'ensemble des équipements du réseau en cas de défaillance du réseau principal. Accès strictement contrôlé avec du personnel de sécurité sur place 24 heures sur 24, 365 jours par an. Couverture de supervision du centre vers le périmètre extérieur du site. Points d'accès multi-sécurités : cartes RFID, scanners biométriques de la paume de la main, vidéosurveillance couleur. Appel automatique à la police en cas d'intrusion. Tous les centres de données utilisés par Magic OnLine ont obtenu les certifications ISO27007, ISO9001 et PCI-DSS.
2) Référentiel de code sur Xxxxxx.xxx.
3) Zoho Creator assure une séparation logique entre les données client. Le stockage et la sauvegarde des données sont effectués en toute sécurité. Toutes les données des clients sont stockées dans des centres de données répartis sur plusieurs zones géographiques pour garantir la sécurité et la haute disponibilité. De plus, Zoho est certifié ISO 27001/27017/27018 et est conforme à la norme SOC 2.
L'accès aux composants du système protégés est limité par un nom d'utilisateur et un mot de passe individuels et, le cas échéant, l'authentification multifactorielle est appliquée. Le groupe de personnes ayant accès à certains composants du système est limité au minimum et, grâce à une configuration appropriée des stratégies d'accès, les droits d'accès sont également limités aux droits requis pour effectuer le travail. Le groupe d'administrateurs et les politiques d'accès sont régulièrement révisés. Chaque fois qu'un employé quitte l'entreprise, tous ses comptes sont immédiatement supprimés.
L'utilisation d'ID utilisateur partagés ou par défaut est interdite et les ID utilisateur par défaut sont supprimés dans la mesure du possible. Les mots de passe des autres ID utilisateur par défaut sont stockés dans un coffre-fort de mots de passe sécurisé auquel seul un groupe limité de personnes a accès.
Seules des copies de courte durée (généralement des minutes, maximum 24 heures) pour les enquêtes de l'équipe d'assistance peuvent exister sur les appareils électroniques des membres de l'équipe d'assistance Topsys. L'accès à ces appareils est restreint au minimum avec un nom d'utilisateur et un mot de passe, dans certains cas via une identification biométrique.
Les mots de passe doivent respecter une politique stricte, qui est régulièrement adoptée selon les dernières normes de sécurité.
Audit
Pour les bases de données et le magasin d'objets, l'accès est enregistré, y compris l'identificateur de l'utilisateur.
Il n'est pas possible de modifier les données via les services cloud de journalisation utilisés. Seule la personne désignée pour être d'astreinte est censée y accéder pour des raisons de développement et de support, mais l'accès n'est pas enregistré par ces systèmes.
Les applications Topsys n'utilisent que les données récupérées d'autres applications sans donner la possibilité à l'utilisateur de les modifier.
Séparation des données
Les données des différents clients sont séparées dans le magasin d'objets et les bases de données. Les données de test et les données productives d'un client sont séparées. Il n'est pas possible de mélanger les données de différents clients dans une même demande. Les composants centraux, principalement la base de données Topsys, garantissent que les utilisateurs des applications Topsys ne peuvent accéder aux données que pour les projets clients dont ils sont membres.
Disponibilité
Les données de la base de données sont en outre stockées en temps quasi réel sur une réplique de basculement. En cas de panne de la base de données principale, ce réplica prend le relais en quelques minutes.
Les données stockées dans des bases de données ou des magasins d'objets sont sauvegardées au moins une fois par jour, en fonction de la technologie spécifique utilisée. Les sauvegardes sont stockées dans une zone de disponibilité distincte dans les centres de données de Magic Online, ce qui garantit que les problèmes dans la zone d'opérations principale de Topsys n'affectent pas les sauvegardes. Les sauvegardes de bases de données peuvent généralement être restaurées en moins d'une journée, les sauvegardes de données dans le magasin d'objets en une journée.
Mesures techniques et organisationnelles des sous-traitants de Topsys
Nous évaluons les mesures de sécurité prises par chaque sous-traitant, en particulier ceux qui traitent les données des clients, avant de conclure un accord avec eux. Avec tous les sous-traitants ultérieurs situés aux États-Unis, Topsys a signé des accords de traitement des données qui intègrent les clauses contractuelles types approuvées par la Commission européenne conformément à sa décision 2021/914 du 4 juin 2021. Cela certifie leur conformité avec le RGPD de l'UE. Comme les détails changent souvent, veuillez vous référer à leur documentation et à leurs certifications de conformité, disponibles en ligne : Sous-traitant
Outil | But | Politique de confidentialité |
Xxxx.xxx (États-Unis) | Topsys utilise Xxxx.xxx pour connecter les API d'Apaleo entre elles et avec d'autres applications. Ainsi, les données personnelles pourraient être stockées et traitées sur les serveurs AWS de Xxxx.xxx. L'équipe d'assistance a accès aux données personnelles des utilisateurs finaux et des clients. L'accès est sécurisé par un login personnel. | xxxxx://xxx.xxxx.xxx/xx/xxx xxxx-notice |
OVH (FR) | Topsys utilise OVH comme infrastructure. Ainsi, les données personnelles sont stockées et traitées sur les serveurs d'OVH. | xxxxx://xxx.xxxxxxxx.xxx/xx/ personal-data-protection/ |
E-mail Sinch | Topsys utilise Sinch Email comme outil d'emailing. Pour ce processus, les données personnelles sont traitées à Sinch Email. | /privacy-policy/ |
Magic Online (FR) | Topsys utilise Magic Online comme infrastructure. Ainsi, les données personnelles sont stockées et traitées sur les serveurs d'OVH. | xxxxx://xxx.xxxxx.xx/xxxxxxxxx -de-confidentialite/ |
Zoho (États-Unis) | Topsys utilise Zoho comme infrastructure et analyses. Ainsi, les données personnelles sont stockées et traitées sur les serveurs de Zoho. | xxxxx://xxx.xxxx.xxx/xxxxxxx y.html .html |