Retour à l'accueil

ANNEXE RGPD – ACCORD RELATIF AU TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL

La présente Annexe RGPD fait partie intégrante des Conditions Générales d’Utilisation (CGU) et des Conditions Générales de Vente (CGV) du service Smart Tutelles.

Elle encadre les conditions dans lesquelles l’Éditeur traite des données à caractère personnel pour le compte de ses Clients, conformément au Règlement (UE) 2016/679 (RGPD).

1. Définitions et rôles des parties

Dans le cadre de l’utilisation du Service :

  • Le Client agit en qualité de Responsable de traitement.
  • L’Éditeur agit en qualité de Sous-traitant au sens de l’article 4 du RGPD.

Le Client détermine seul les finalités et les moyens du traitement des données qu’il importe dans l’application.

2. Description des traitements confiés

2.1 Nature des traitements

L’Éditeur est autorisé à traiter les données pour les finalités suivantes :

  • Hébergement et sauvegarde des données importées par le Client
  • Mise à disposition et maintenance du logiciel
  • Sécurisation et gestion technique du Service
  • Support technique et assistance aux utilisateurs

2.2 Catégories de données

Les données traitées peuvent inclure notamment :

  • Données d’identification (nom, prénom, email, entreprise)
  • Données professionnelles
  • Données relatives aux dossiers importés (documents, décisions judiciaires, pièces justificatives)
  • Données techniques et journaux d’accès

2.3 Catégories de personnes concernées

  • Utilisateurs du Service
  • Personnes physiques mentionnées dans les dossiers importés par le Client

3. Instructions documentées

L’Éditeur ne traite les données qu’en exécution des instructions documentées du Client, matérialisées par l’utilisation du Service et la configuration effectuée par celui-ci.

Aucune donnée ne sera utilisée à des fins propres de l’Éditeur.

4. Confidentialité

Les personnes autorisées à traiter les données pour le compte de l’Éditeur sont soumises à une obligation de confidentialité et n’accèdent aux données que dans la stricte mesure nécessaire à l’exécution du Service.

5. Sécurité des données

Conformément à l’article 32 du RGPD, l’Éditeur met en œuvre des mesures techniques et organisationnelles appropriées au niveau de l’état de l’art et aux risques identifiés, notamment :

  • Hébergement des données en France (OVH)
  • Authentification sécurisée des utilisateurs, possibilité de MFA
  • Accès restreint aux environnements techniques et aux données
  • Sauvegardes automatiques avec cycle glissant
  • Journalisation des accès et actions techniques

Les données supprimées des bases actives sont progressivement effacées des sauvegardes au fur et à mesure du cycle normal de rotation.

6. Violation de données

En cas de violation de données à caractère personnel, l’Éditeur notifie le Client dans les meilleurs délais, et au plus tard dans les 72 heures après en avoir pris connaissance.

La notification comprendra au minimum :

  • La nature de la violation
  • Les catégories de données concernées
  • Les conséquences probables
  • Les mesures correctrices mises en œuvre

7. Sous-traitants ultérieurs

L’Éditeur peut recourir à des sous-traitants ultérieurs pour l’exécution du Service.
Les sous-traitants actuels sont :

  • OVH pour l’hébergement (France)
  • Stripe pour le traitement des paiements (UE)

L’Éditeur s’assure que ses sous-traitants présentent des garanties suffisantes au regard du RGPD et tient à jour la liste des sous-traitants.

8. Assistance au Client

L’Éditeur fournit une assistance au Client, dans la mesure du raisonnable et compte tenu de la nature du Service, pour :

  • Répondre aux demandes d’exercice des droits des personnes concernées
  • Coopérer avec l’autorité de contrôle compétente
  • Réaliser, si nécessaire, une analyse d’impact minimale

9. Audit

Le Client peut demander, au maximum une fois par an, des informations écrites permettant de vérifier la conformité de l’Éditeur au RGPD.
Tout audit doit être proportionné, justifié, réalisé aux frais du Client et ne doit pas perturber le fonctionnement normal du Service.

10. Sort des données

10.1 Abonnement actif

Les données sont conservées pendant toute la durée du contrat.

10.2 Résiliation

En cas de résiliation, les données sont conservées pendant une durée maximale de trois (3) ans à compter de la fin de l’abonnement, sauf demande expresse de suppression anticipée du Client.

10.3 Comptes gratuits

Les comptes gratuits inactifs pendant trois (3) ans sont automatiquement supprimés avec l’ensemble des données associées, sans notification préalable.

11. Allocation de responsabilité

Chaque partie est responsable du respect de ses propres obligations au titre du RGPD.

Le Client demeure seul responsable :

  • De la licéité des données importées
  • Du choix des finalités et des moyens de traitement
  • Du respect des droits des personnes concernées

12. Limitation de responsabilité

La responsabilité totale de l’Éditeur au titre de la présente Annexe est limitée au montant total des sommes versées par le Client au cours des douze (12) derniers mois précédant le fait générateur.

13. Survie

Les obligations relatives à la protection des données survivent à la fin du contrat pour la durée nécessaire à leur exécution.

14. Hiérarchie des documents

En cas de contradiction entre la présente Annexe RGPD et les CGU/CGV, la présente Annexe prévaut pour toutes les questions relatives à la protection des données.

Smart Tutelles • Annexe RGPD