ADDENDUM SUR LE TRAITEMENT DES DONNEES
Dans le cadre des relations contractuelles entre DAVI et le client, les parties s’engagent à respecter la réglementation en vigueur relative aux traitements de données à caractère personnel et à l’accès aux données, notamment :
- le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après « RGPD ») ;
- le règlement (UE) 2022/868 du Parlement européen et du Conseil du 30 mai 2022 relatif aux règles concernant l’accès aux données et leur portabilité dans le cadre de services numériques (ci-après « Data Act »).
Les parties veillent ainsi à assurer la protection, la confidentialité et la portabilité des données conformément à ces textes, dans le respect des droits des personnes concernées.
Cet addendum sur le traitement des données avec ses annexes (ensemble, le présent « DPA ») est incorporé dans le contrat d'abonnement (ou tout autre accord écrit électronique ou mutuellement signé) entre DAVI et le client qui y fait référence (le « Contrat »). Le présent DPA entre en vigueur à la date d'entrée en vigueur du Contrat.
1. Traitement des données
1.1. Portée.
Ce DPA s'applique lorsque DAVI traite les données personnelles ou les données de compte du client dans la fourniture des services en vertu du Contrat au client.
1.2. Rôles des parties.
- (a) Données personnelles du client. Les parties conviennent que DAVI est un sous-traitant en ce qui concerne son traitement des données personnelles des clients dans la fourniture des services. DAVI ne traitera les données personnelles des clients que conformément au Contrat, au présent DPA (y compris l'annexe A) et aux commandes (les « instructions documentées »). DAVI informera rapidement le client s'il prend connaissance que les instructions documentées violent les lois sur la protection des données.
- (b) Données du compte. Les parties conviennent que le client et DAVI sont des contrôleurs indépendants des données de compte, et chaque partie (i) se conformera à ses obligations en tant que responsable du traitement et (ii) s'engage à fournir une assistance raisonnable à l'autre partie lorsque les lois sur la protection des données l'exigent.
1.3. Obligations des clients
Le client est responsable de s'assurer qu'aucune catégorie spéciale de données personnelles (en vertu de l'article 9 du RGPD), de données personnelles relatives aux condamnations pénales et aux infractions (en vertu de l'article 10 du RGPD), ou de données personnelles sensibles similaires (définies dans les lois sur la protection des données) ne soit soumise à DAVI pour traitement.
1.4. Respect des lois
Chaque partie se conformera à toutes les lois sur la protection des données applicables à son exécution en vertu du présent DPA.
2. Durée
Le présent DPA reste en vigueur jusqu'à la fin (a) de l'expiration ou de la résiliation du Contrat, et (b) le retour ou la suppression des données personnelles du client conformément à la section 6.
3. Sécurité et confidentialité
DAVI mettra en œuvre et maintiendra les mesures techniques et organisationnelles pour protéger les données personnelles et les données du compte des clients contre la destruction, la perte, l'altération accidentelle ou illégale, la divulgation ou l'accès non autorisé, comme décrit à l'annexe B (les « mesures techniques et organisationnelles »). DAVI prendra les mesures appropriées pour assurer la conformité avec les mesures techniques et organisationnelles par ses employés, agents, entrepreneurs et sous-traitants dans la mesure applicable à leur champ d'exécution, y compris en veillant à ce que toutes les personnes autorisées à traiter les données personnelles des clients ou les données de compte ont accepté des obligations de confidentialité appropriées.
4. Protection des données dès la conception et par défaut (Privacy by Design)
DAVI s’engage à appliquer les principes de « protection des données dès la conception et par défaut » tels que définis à l’article 25 du RGPD. Cela signifie que les mesures techniques et organisationnelles appropriées sont intégrées aux systèmes et aux processus dès leur conception, afin de garantir un niveau de sécurité adapté aux risques. Par ailleurs, seules les données personnelles strictement nécessaires aux finalités du traitement sont collectées, traitées et conservées. DAVI veille à ce que ces principes soient respectés tout au long du cycle de vie des traitements, depuis la phase de conception jusqu’à la suppression des données.
5. Sous-traitants
5.1. Autorisation du sous-traitant
Le client autorise généralement DAVI à engager des sous-traitants conformément à la présente section 4 et approuve l'utilisation par DAVI des sous-traitants énumérés dans la liste des sous-traitants. DAVI mettra à jour la liste des sous-traitants au moins 30 jours avant de nommer un nouveau sous-traitant et fournira au client un mécanisme pour recevoir les notifications de mises à jour de la liste des sous-traitants (un « avis de modification »), qui est disponible aujourd'hui via la liste des sous-traitants.
5.2. Objections aux sous-traitants
Le client peut s'opposer au nouveau sous-traitant pour des raisons raisonnables liées à la protection des données personnelles du client en envoyant un courriel à davi@davi.ai décrivant son objection légitime de bonne foi dans les 15 jours suivant un avis de modification (un « avis d'objection »), auquel cas DAVI peut satisfaire l'objection en (a) n'utilisant pas le sous-traitant pour traiter les données personnelles du client ; (b) en prenant les mesures correctives demandées par le client dans son avis d'objection ; ou (c) en cessant de fournir les parties des services qui impliquent le sous-traitant traitant les données personnelles du client, sous réserve d'un accord mutuel des parties pour ajuster la rémunération pour les services compte tenu de leur portée réduite. Si aucune des options décrites ci-dessus n'est raisonnablement disponible et que l'objection du client n'a pas été résolue à la satisfaction mutuelle des parties dans les 15 jours suivant la réception de l'avis d'objection par DAVI, l'une ou l'autre partie peut résilier la commande concernée et DAVI remboursera au client une part proportionnelle de tout montant inutilisé prépayé par le client en vertu de la commande applicable pour les services sur la base de la partie restante des conditions actuelles de la commande. Si le client ne fournit pas un avis d'objection en temps opportun à l'égard d'un nouveau sous-traitant, le client sera réputé avoir autorisé l'utilisation du sous-traitant par DAVI et avoir renoncé à son droit d'opposition.
5.3. Exigences relatives au sous-traitant
DAVI conclura un accord écrit avec chaque sous-traitant qui contient des obligations de protection des données équivalentes à celles du présent DPA. DAVI sera responsable des actions et omissions de ses sous-traitants entreprises dans le cadre de l'exécution de DAVI en vertu du présent DPA dans la même mesure que DAVI serait responsable s'il exécutait directement les services.
6. Demandes de la personne concernée
Si DAVI reçoit une demande de la personne concernée, DAVI (a) informera la personne concernée de soumettre la demande directement au client et (b) en informera rapidement la demande. Lorsque les lois sur la protection des données l'exigent, DAVI, à la demande du client et en tenant compte de la nature des données personnelles traitées par du client, fournira une assistance raisonnable au client pour répondre à la demande de la personne concernée dans la mesure où le client n'est pas en mesure, par son utilisation des services, de répondre par lui-même à une demande particulière de la personne concernée. Dans la mesure permise par la loi applicable, le client sera responsable de tous les coûts découlant de l'assistance de DAVI.
7. Suppression des données
Au terme du Contrat, le Client dispose d'un délai de 30 jours pour exporter ses données personnelles via les outils mis à sa disposition ou en sollicitant l'assistance de DAVI. À l'issue de ce délai, et sans action contraire du Client, DAVI engagera automatiquement la suppression des données personnelles du Client.
Les données en production seront supprimées dans un délai maximal de 90 jours, et les données présentes dans les sauvegardes (backups) dans un délai de 180 jours. Durant cette période de rétention dans les sauvegardes, les données seront isolées, protégées et exclues de tout traitement, sauf obligation légale contraire.
Conformément à la réglementation, DAVI conservera uniquement les données dont la conservation est imposée par les lois applicables, lesquelles resteront soumises aux conditions de sécurité du présent DPA jusqu'à leur suppression définitive.
8. Violations de données personnelles
8.1. Notification de violation
DAVI informera le Client sans retard injustifié après avoir pris connaissance d'une violation de données personnelles. La notification de DAVI au client décrira (a (a) la nature de la violation des données personnelles, y compris, si elle est connue, les catégories et le nombre approximatif de personnes concernées et d'enregistrements de données personnelles concernés ; (b) les mesures que DAVI a prises, ou prévoit de prendre, pour répondre et atténuer la violation des données personnelles ; (c) toute mesure que DAVI recommande au client de prendre pour remédier à la violation des données personnelles ; et (d) les informations relatives au point de contact de DAVI en ce qui concerne la violation des données personnelles. Si DAVI ne peut pas fournir toutes les informations ci-dessus dans la notification initiale, DAVI fournira les informations au client dès qu'elles seront disponibles.
8.2. Réponse à la violation.
DAVI prendra rapidement toutes les mesures relatives à ses mesures techniques et organisationnelles qu'elle jugera nécessaires et souhaitables pour identifier et remédier à la cause d'une violation de données personnelles.
8.3. Général.
La notification ou la réponse de DAVI à une violation de données à caractère personnel ne constituera pas une reconnaissance de faute ou de responsabilité à l'égard de la violation de données à caractère personnel. Les obligations énoncées dans la présente section 7 ne s'appliquent pas aux violations de données personnelles causées par le client, les utilisateurs autorisés ou les fournisseurs de composants du client. Sauf si la loi applicable l'exige (y compris les délais prescrits par les lois sur la protection des données), si le client décide d'informer une autorité de surveillance, les personnes concernées ou le public d'une violation de données personnelles, le client fera des efforts raisonnables pour fournir à DAVI des copies préalables de l'avis(s) et permettre à DAVI d'avoir l'occasion de leur fournir des éclaircissements ou des corrections.
9. Audits
9.1. Rapports d'audit de DAVI
À la demande du client, et sous réserve des dispositions de confidentialité du Contrat, DAVI exposera à la disposition du client des copies ou des extraits des rapports d'audit de DAVI relatifs à la sécurité des services.
9.2. Droits d'audit du client
Le client peut demander (directement ou par l'intermédiaire d'un auditeur tiers soumis à des obligations de confidentialité écrites) un audit de DAVI pour vérifier la conformité de DAVI avec les termes du présent DPA si un tel audit est requis par les lois sur la protection des données et que la conformité de DAVI ne peut pas être démontrée par des moyens moins lourds pour DAVI (y compris en vertu de la section 8.1). Tout audit en vertu de cet article doit répondre aux exigences suivantes : (a) Le client doit fournir à DAVI un préavis écrit d'au moins 30 jours d'un audit proposé, sauf si une autorité de contrôle compétente ou des lois sur la protection des données l'exige autrement ; (b) Le client ne peut pas effectuer plus d'un audit au cours d'une période de 12 mois, sauf si une autorité de surveillance compétente l'exige ; (c) Le client et DAVI doivent se mettre d'accord mutuellement sur le temps, la portée et la durée de l'audit à l'audit à l'avance ; (d) Le client doit rembourser à DAVI le temps qu'il a consacré dans le cadre d'un audit aux tarifs raisonnables de service professionnel raisonnables de DAVI, qui seront mis à la disposition du client sur demande ; (e) le client doit s'assurer que ses représentants effectuant un audit protègent la confidentialité de toutes les informations obtenues par le biais de l'audit conformément au Contrat, exécutent un accord de non-divulgation amélioré mutuellement acceptable si cela est demandé par DAVI, et respectent les politiques de sécurité de DAVI lorsqu'ils sont dans les locaux de DAVI ; et (f) le client doit divulguer rapidement à DAVI tout rapport d'audit écrit créé, et toute constatation de non-conformité découverte, à la suite de l'audit.
10. Propriété des données
Le Client conserve la pleine propriété et le contrôle des Données du Client, y compris des Données personnelles du Client générées dans le cadre de l’utilisation des Services.
11. Accès et portabilité des données
À la demande du Client, DAVI mettra à disposition les Données du Client et les Données personnelles du Client dans un format structuré, couramment utilisé et interopérable, afin de permettre leur exportation, leur copie ou leur transfert vers un autre fournisseur. Cet accès sera fourni sans retard excessif et au plus tard dans un délai de trente (30) jours.
12. Partage des données avec des tiers
Le Client peut demander à DAVI de transmettre ses Données à un tiers de son choix. DAVI exécutera cette transmission dans des conditions de sécurité équivalentes à celles appliquées pour le Client. Seuls des frais raisonnables et proportionnés, correspondant aux coûts directement liés au transfert, pourront être facturés.
13. Interopérabilité
DAVI maintiendra des interfaces techniques et une documentation permettant l’interopérabilité des Services avec d’autres solutions, conformément aux exigences du Data Act.
14. Accès par les autorités publiquess
DAVI pourra être tenu, dans des situations exceptionnelles d’intérêt public définies par le Data Act, de communiquer certaines Données aux autorités publiques compétentes. Dans la mesure autorisée par la loi, DAVI informera le Client préalablement à toute communication de ce type.
15. Usage des données par DAVI
Les Données du Client et les Données personnelles du Client ne seront utilisées par DAVI que dans le cadre de l’exécution du Contrat. Toute utilisation secondaire à des fins commerciales nécessitera l’accord écrit préalable du Client.
16. Données techniques collectées par DAVI
Dans le cadre de la fourniture des Services, DAVI peut collecter des données techniques, telles que des journaux et des métriques, afin d’assurer le bon fonctionnement, la supervision, la sécurité et l’amélioration continue des Services. Ces données techniques sont classées selon leur nature et leur lien avec les Clients, comme suit :
16.1. Données techniques internes
Les journaux et métriques générés exclusivement à des fins de fonctionnement interne, de supervision ou de sécurité des Services, et ne contenant aucune information permettant d’identifier un Client ou ses utilisateurs, constituent des données internes. Ces données demeurent la propriété exclusive de DAVI, qui peut les utiliser librement pour la maintenance, l’optimisation, la sécurité et l’amélioration de ses Services.
16.3. 2 Données liées au Client.
Lorsque les journaux ou métriques contiennent des informations relatives à un Client spécifique (notamment un identifiant de tenant, d’utilisateur ou toute Donnée du Client), ces données sont considérées comme des Données du Client. Elles sont soumises au régime de propriété, d’accès, de portabilité et de protection des données défini dans le présent DPA, et ne peuvent être utilisées par DAVI qu’aux fins expressément autorisées par ce dernier.
17. Évaluations d'impact et consultation préalable
Compte tenu de la nature du traitement et des informations à la disposition de DAVI, DAVI aidera, lorsque les lois sur la protection des données l'exigent, le client à remplir ses obligations liées aux évaluations d'impact sur la protection des données (lorsqu'elles sont liées aux services, et uniquement dans la mesure où le client n'a pas autrement accès aux informations pertinentes) et à la consultation préalable des autorités de surveillance, y compris en fournissant les informations décrites à la section 8.1 ci-dessus.
18. Transferts de données
Tout transfert de données vers un pays tiers ne peut se faire qu’avec l’accord préalable écrit du responsable du traitement et à condition que les exigences spécifiques des articles 44 et suivants du RGPD soient remplies.
Si le Sous-Traitant est tenu de procéder à un transfert de Données vers un pays tiers ou une organisation internationale, en vertu du droit de l’Union ou du droit de l’État membre auquel il est soumis, il doit informer le Responsable du Traitement de cette obligation juridique avant le Traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public.
19. Limitation de responsabilité
La responsabilité de chaque partie prise dans l'ensemble, découlant de la présente DPA ou liée à celle-ci, que ce soit en contrat, en responsabilité délictuelle ou en vertu de toute autre théorie de responsabilité, est soumise aux dispositions de limitation de responsabilité du Contrat.
20. Modifications
DAVI peut apporter des modifications au présent DPA lorsque (a) le changement est nécessaire pour se conformer à une loi applicable ; ou (b) le changement est commercialement raisonnable, ne réduit pas sensiblement la sécurité des Services, ne change pas la portée du traitement des données personnelles du client par DAVI et n'a pas d'impact négatif important sur les droits du client en vertu du présent DPA.
21. Définitions
Les termes en majuscules qui ne sont pas définis autrement dans le présent DPA ou dans le Contrat ont la signification qui leur est attribuée ci-dessous.
- « Données de compte » désigne les informations sur le client que le client fournit à DAVI dans le cadre de la création ou de l'administration de ses comptes DAVI, telles que le prénom et le nom de famille, le nom d'utilisateur et l'adresse électronique d'un utilisateur autorisé ou du contact de facturation du client.
- « Responsable du traitement » désigne l'entité qui détermine les finalités et les moyens du traitement des données à caractère personnel.
- « Données du client » désigne les données de l'environnement du client qui sont soumises pour traitement par les services. Grâce à la configuration et à l'utilisation des Services par le Client, le Client a le contrôle des types et des quantités de Données du Client.
- « Données personnelles du client » désigne les données du client comprenant des données personnelles.
- « Lois sur la protection des données » désigne les lois et règlements sur la protection des données ou de la vie privée directement applicables au traitement des données à caractère personnel par une Partie en vertu du Contrat, y compris les lois européennes sur la protection des données.
- « Personne concernée » désigne la personne physique identifiée ou identifiable à laquelle les données personnelles se rapportent.
- « Demande de la personne concernée » désigne une demande d'une personne concernée exerçant ses droits en vertu des lois sur la protection des données qui se rapporte aux données personnelles du client et identifie le client.
- « EEE » désigne l'Espace économique européen.
- « Lois européennes sur la protection des données » désigne le RGPD ; le RGPD du Royaume-Uni ; et toute loi nationale sur la protection des données, réglementation de mise en œuvre ou décision contraignante prise en vertu du RGPD ou du RGPD du Royaume-Uni.
- « RGPD » désigne le règlement général 2016/679 du Parlement européen et du Conseil sur la protection des données du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE.
- « Data Act » désigne le règlement (UE) 2022/868 du Parlement européen et du Conseil du 30 mai 2022 relatif aux règles concernant l’accès aux données et leur portabilité dans le cadre de services numériques, et visant à garantir un usage équitable, sécurisé et transparent des données entre fournisseurs de services et utilisateurs.
- « Données personnelles » désigne toute information relative à une personne physique identifiée ou identifiable.
- « Violation des données personnelles » désigne une violation de la sécurité de DAVI conduisant à la destruction accidentelle ou illégale, à la perte, à l'altération, à la divulgation non autorisée ou à l'accès aux données personnelles du client.
- « Processus » et « Traitement » désigne toute opération ou tout ensemble d'opérations effectuées sur des données personnelles, telles que la collecte, l'enregistrement, l'organisation, la structuration, le stockage, l'adaptation ou la modification, la récupération, la consultation, l'utilisation, la divulgation par transmission, la diffusion ou autrement mise à disposition, l'alignement ou la combinaison, la restriction, l'effacement ou la destruction.
- « Processeur » désigne l'entité qui traite les données à caractère personnel pour le compte d'un responsable du traitement.
- « Sous-traitant » désigne tout sous-traitant engagé par DAVI ou un affilié de DAVI pour traiter les données personnelles des clients au nom de DAVI ou de son affiliée tout en fournissant les services. « Liste des sous-traitants » désigne la liste des sous-traitants disponible dans l'Annexe B
Annexe A - Détails des transferts de données
1. LISTE DES PARTIES
Exportateur(s) de données :
Nom : Client.
Adresse : L'adresse du client associée à son compte DAVI ou comme indiqué dans le Contrat.
Nom, poste et coordonnées de la personne-ressource : Les coordonnées du client associé à son compte DAVI ou comme indiqué dans le Contrat.
Activités relatives aux données transférées en vertu des présentes clauses : Traitement des données personnelles des clients et des données de compte dans le but de fournir, de soutenir et d'améliorer les services.
Signature et date : Les parties conviennent que l'exécution du Contrat constitue l'exécution de la présente annexe A par les deux parties.
Rôle (contrôleur/processeur) : Processeur ou contrôleur en ce qui concerne les données personnelles du client ; contrôleur en ce qui concerne les données du compte.
Importateur(s) de données :
Nom : DAVI.
Adresse : 19, rue Godefroy, 92800 PUTEAUX
Nom, poste et coordonnées de la personne-ressource : Les coordonnées de DAVI telles qu'elles sont énoncées dans le Contrat. L'équipe de confidentialité de DAVI peut être contactée à l'adresse davi@davi.ai .
Activités relatives aux données transférées en vertu des présentes clauses : Traitement des données personnelles des clients et des données de compte dans le but de fournir, de soutenir et d'améliorer les services.
Signature et date : Les parties conviennent que l'exécution du Contrat constitue l'exécution de la présente annexe A par les deux parties.
Rôle (contrôleur/traitant) : Processeur en ce qui concerne les données personnelles du client ; contrôleur en ce qui concerne les données du compte.
2. DESCRIPTION DU TRANSFERT
Catégories de personnes concernées dont les données à caractère personnel sont transférées
En ce qui concerne les données du compte : les personnes concernées peuvent inclure les employés du client. En ce qui concerne les données personnelles du client, les personnes concernées peuvent inclure les employés, les clients, les fournisseurs et les utilisateurs finaux du client.
Catégories de données personnelles transférées
En ce qui concerne les données du compte : les données personnelles qui sont envoyées à DAVI par le client dans le but d'utiliser les services. En ce qui concerne les données personnelles du client : les données personnelles qui sont envoyées à DAVI par le client dans le but d'utiliser les services.
Aucune donnée personnelle sensible (Article 9 du RGPD) n’est collectée, stockée ou traitée par DAVI.
La fréquence du transfert (par exemple, si les données sont transférées sur une base unique ou continue).
Les données personnelles sont transférées sur une base continue.
Nature du traitement
DAVI traitera uniquement les Données client pour les Finalités autorisées, qui comprendront : (i) le traitement nécessaire pour fournir le Service conformément au Contrat ; (ii) le traitement initié par le Client dans son utilisation du Service ; et (iii) le traitement pour se conformer à toutes les autres instructions raisonnables fournies par le Client (par exemple, par e-mail ou par des tickets d’assistance) qui sont conformes aux conditions du Contrat.
But(s) du transfert de données et du traitement ultérieur
En ce qui concerne les données de compte : pour que DAVI (a) gère le compte du client, y compris pour calculer les frais ; (b) fournit et améliore les services et l'assistance, y compris pour répondre aux demandes d'assistance et résoudre d'autres problèmes ; et (c) fournit aux clients et aux utilisateurs autorisés des informations, des annonces de services et de fonctionnalités, et d'autres rapports. En ce qui concerne les données personnelles des clients : pour que DAVI fournisse, soutienne et améliore les services.
La période pendant laquelle les données à caractère personnel seront conservées ou, si cela n'est pas possible, les critères utilisés pour déterminer cette période
En ce qui concerne les données du compte : les données personnelles sont conservées pour gérer les comptes du client conformément à la politique de confidentialité de DAVI. En ce qui concerne les données personnelles du client : les données personnelles sont conservées conformément à la configuration des services par le client ou aux calendriers de conservation décrits dans la documentation.
Pour les transferts à des (sous-)traitants, précisez également l'objet, la nature et la durée du traitement.
En ce qui concerne les données de compte : l'objet des données personnelles transférées aux sous-traitants est les données de compte, qui sont transférées aux sous-traitants pour gérer les comptes du client avec DAVI, conformément à la politique de confidentialité de DAVI. En ce qui concerne les données personnelles du client : l'objet des données personnelles transférées aux sous-traitants sont les données personnelles du client, qui sont transférées aux sous-traitants pour fournir, soutenir et améliorer les services, comme indiqué dans le Contrat entre le client et DAVI.
3. AUTORITÉ DE SURVEILLANCE COMPÉTENTE
Identifier la ou les autorités de surveillance compétentes conformément à la clause 13
L'autorité de contrôle compétente déterminée conformément aux lois sur la protection des données.
Annexe B - Mesures techniques et organisationnelles
À la date du présent DPA, les mesures techniques et organisationnelles de DAVI comprennent ce qui suit.
1. Contrôle d'accès
- DAVI restreint l'accès aux données personnelles des clients aux employés ayant un besoin défini de savoir ou un rôle nécessitant un tel accès.
- DAVI maintient des contrôles d'accès des utilisateurs qui traitent du provisionnement et du déprovisionnement en temps opportun des comptes d'utilisateurs.
2. Continuité des activités
- DAVI maintient les plans de continuité des activités, de sauvegarde et de reprise après sinistre (« plans PCA/PRA ») afin de minimiser la perte de service et de se conformer aux lois applicables.
- Les plans PCA/PRA traitent des menaces qui pèsent sur les Services et sur toute dépendance, et disposent d'une procédure établie pour reprendre l'accès et l'utilisation des Services.
- Les plans PCA/PRA sont testés à intervalles réguliers.
3. Contrôle des changements
- DAVI maintien des politiques et des procédures pour appliquer les changements aux Services, y compris l'infrastructure sous-jacente et les composants du système, afin de s'assurer que les normes de qualité sont satisfaites.
- Les correctifs de sécurité sont appliqués conformément au calendrier de correctifs de DAVI.
- DAVI maintient un environnement de test et de développement distinct de l'environnement de production.
4. Sécurité des données
- DAVI maintien des garanties techniques et d'autres mesures de sécurité pour assurer la sécurité et la confidentialité des données personnelles des clients.
- DAVI sépare logiquement les données personnelles des clients dans l'environnement de production.
Annexe C – Liste des sous-traitants
1. Qu'est-ce qu'un sous-traitant ?
Afin de fournir ses services, DAVI peut engager des tiers ou d'autres membres du groupe DAVI (affiliés) pour effectuer des activités de traitement des données qui impliquent l'accès aux données des clients. Ces organisations, appelées "sous-traitants", sont identifiées ci-dessous avec leur localisation et les types de services qu'elles fournissent à DAVI.
2. Sous-traitants
| Société | Pays | Type de Service |
|---|---|---|
| Hubspot | Allemagne | Gestion des tickets de support et service à la clientèle |
| MailJet | Allemagne / Belgique | Services de notification par courrier électronique |
| Microsoft Corporation (Azure) | France | Fournisseur d'infrastructure |
| Microsoft Corporation (Office 365) | France | Courrier électronique et applications bureautiques |
| Scaleway | France | Fournisseur d'infrastructure |