Addendum relatif au traitement des données

LES PARTIES ET LE CONTEXTE

Client (»Contrôleur ») a conclu un accord avec WasteTracker sp. z o.o. (»Système de suivi des déchets») (chacun un »Fête» et collectivement les »Parties») en vertu duquel Wastetracker a accepté de fournir les Services conformément à l'accord SaaS (le »Entente»). Cet addendum relatif au traitement des données (le »DPA») est intégré au Contrat et en fait partie intégrante et entrera en vigueur à la date d'entrée en vigueur du Contrat.

SECTION I

  1. Objectif et champ d'application
  1. L'objectif de la DPA est de garantir le respect de l'article 28, paragraphes 3 et 4, du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.
  2. Les parties ont accepté le DPA afin de garantir le respect de l'article 28, paragraphes 3 et 4, du règlement (UE) 2016/679.
  3. La DPA s'applique au traitement des données personnelles tel que spécifié à l'annexe II.
  4. Les annexes I à III font partie intégrante du DPA.
  5. Les DPA sont sans préjudice des obligations auxquelles le responsable du traitement est soumis en vertu du règlement (UE) 2016/679 et/ou du règlement (UE) 2018/1725.
  6. Les DPA ne garantissent pas à elles seules le respect des obligations liées aux transferts internationaux conformément au chapitre V du règlement (UE) 2016/679.
  1. Invariabilité du DPA
  1. Les parties s'engagent à ne pas modifier le DPA, sauf pour ajouter des informations aux annexes ou mettre à jour les informations qu'elles contiennent.
  2. Cela n'empêche pas les parties de modifier le contenu de la DPA, à condition que ces modifications ne contredisent pas indirectement la décision d'exécution (UE) 2021/915 de la Commission du 4 juin 2021 sur les clauses contractuelles types entre les responsables du traitement et les sous-traitants conformément à l'article 28, paragraphe 7 du règlement (UE) 2016/679 du Parlement européen et du Conseil et à l'article 29, paragraphe 7, du règlement (UE) 2018/1725 du Parlement européen et du Conseil, ni ne portent atteinte à les droits ou libertés fondamentaux des personnes concernées.
  1. Interprétation de la DPA
  1. Lorsque la DPA utilise les termes définis dans le règlement (UE) 2016/679, ces termes ont la même signification que dans ce règlement.
  2. Le DPA doit être lu et interprété à la lumière des dispositions du règlement (UE) 2016/679.
  3. La DPA ne doit pas être interprétée d'une manière qui aille à l'encontre des droits et obligations prévus dans le règlement (UE) 2016/679 ou d'une manière qui porte atteinte aux droits ou libertés fondamentaux des personnes concernées.
  1. Hiérarchie

En cas de contradiction entre le DPA et les dispositions des accords connexes entre les Parties existant au moment où le DPA est convenu ou conclu par la suite, le DPA prévaut.

SECTION II — OBLIGATIONS DES PARTIES

  1. Description du ou des traitements

Les détails des opérations de traitement, en particulier les catégories de données personnelles et les finalités du traitement pour lesquels les données personnelles sont traitées pour le compte du responsable du traitement, sont spécifiés à l'annexe I.

  1. Obligations des parties
    1. Instructions
  1. Wastetracker ne traitera les données personnelles que sur instructions documentées du responsable du traitement, sauf si le droit de l'Union ou des États membres auquel Wastetracker est soumis l'exige. Dans ce cas, Wastetracker informera le responsable du traitement de cette obligation légale avant le traitement, à moins que la loi ne l'interdise pour des raisons importantes d'intérêt public. Des instructions ultérieures peuvent également être données par le responsable du traitement pendant toute la durée du traitement des données personnelles. Ces instructions doivent toujours être documentées.
  2. Wastetracker informera immédiatement le responsable du traitement si, selon Wastetracker, les instructions données par le responsable du traitement enfreignent le règlement (UE) 2016/679 ou les dispositions applicables de l'Union ou des États membres en matière de protection des données.
  1. Limitation de l'objectif

Wastetracker traitera les données personnelles uniquement aux fins spécifiques du traitement, comme indiqué à l'annexe I, à moins qu'il ne reçoive d'autres instructions du responsable du traitement.

  1. Durée du traitement des données personnelles

Le traitement par Wastetracker n'a lieu que pendant la durée spécifiée à l'annexe I.

  1. Sécurité du traitement
  1. Wastetracker doit au moins mettre en œuvre les mesures techniques et organisationnelles spécifiées à l'annexe II pour garantir la sécurité des données personnelles. Cela inclut la protection des données contre toute violation de sécurité entraînant la destruction accidentelle ou illégale, la perte, l'altération, la divulgation ou l'accès non autorisés aux données (violation de données personnelles). Lors de l'évaluation du niveau de sécurité approprié, les parties tiennent dûment compte de l'état de la technique, des coûts de mise en œuvre, de la nature, de la portée, du contexte et des finalités du traitement, ainsi que des risques encourus par les personnes concernées.
  2. Wastetracker ne donne accès aux données personnelles en cours de traitement aux membres de son personnel que dans la mesure strictement nécessaire à la mise en œuvre, à la gestion et au suivi du contrat. Wastetracker veille à ce que les personnes autorisées à traiter les données personnelles reçues se soient engagées à respecter la confidentialité ou soient soumises à une obligation légale de confidentialité appropriée.
  1. Données sensibles

Si le traitement implique des données personnelles révélant l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, ou l'appartenance syndicale, des données génétiques ou biométriques dans le but d'identifier de manière unique une personne physique, des données concernant la santé ou la vie sexuelle ou l'orientation sexuelle d'une personne, ou des données relatives à des condamnations pénales et à des infractions (« données sensibles »), Wastetracker appliquera des restrictions spécifiques et/ou des garanties supplémentaires.

  1. Documentation et conformité
  1. Les parties doivent être en mesure de démontrer le respect du DPA.
  2. Wastetracker traitera rapidement et de manière adéquate les demandes du responsable du traitement des données concernant le traitement des données conformément à la DPA.
  3. Wastetracker met à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations énoncées dans la DPA et découlant directement du règlement (UE) 2016/679 et/ou du règlement (UE) 2018/1725. À la demande du responsable du traitement, Wastetracker doit également autoriser et contribuer aux audits des activités de traitement couvertes par la DPA, à des intervalles raisonnables ou en cas d'indications de non-conformité. Pour décider d'un examen ou d'un audit, le contrôleur peut prendre en compte les certifications pertinentes détenues par Wastetracker.
  4. Le contrôleur peut choisir de réaliser lui-même l'audit ou de mandater un auditeur indépendant. Les audits peuvent également inclure des inspections dans les locaux ou les installations physiques de Wastetracker et doivent, le cas échéant, être effectués avec un préavis raisonnable.
  5. Les parties mettent les informations visées dans la présente clause, y compris les résultats de tout audit, à la disposition des autorités de surveillance compétentes sur demande.
  1. Utilisation de sous-traitants
  1. Wastetracker dispose de l'autorisation générale du responsable du traitement pour engager des sous-traitants à partir d'une liste convenue spécifiée à l'annexe III. Wastetracker informera spécifiquement par écrit le responsable du traitement de toute modification prévue de cette liste en ajoutant ou en remplaçant des sous-traitants au moins 3 jours ouvrables à l'avance, laissant ainsi au responsable du traitement suffisamment de temps pour pouvoir s'opposer à de telles modifications avant l'engagement du ou des sous-processeurs concernés. Wastetracker fournira au responsable du traitement les informations nécessaires pour lui permettre d'exercer son droit d'opposition.
  2. Lorsque Wastetracker engage un sous-traitant pour effectuer des activités de traitement spécifiques (pour le compte du responsable du traitement), il le fait par le biais d'un contrat qui impose au sous-traitant, en substance, les mêmes obligations de protection des données que celles imposées au sous-traitant conformément à la DPA. Wastetracker veille à ce que le sous-traitant respecte les obligations auxquelles Wastetracker est soumis conformément à la DPA et au règlement (UE) 2016/679.
  3. À la demande du Contrôleur, Wastetracker fournira une copie de ce contrat de sous-traitant et de toute modification ultérieure au Contrôleur. Dans la mesure nécessaire pour protéger les secrets commerciaux ou autres informations confidentielles, y compris les données personnelles, Wastetracker peut rédiger le texte de l'accord avant de partager la copie.
  4. Wastetracker reste entièrement responsable envers le contrôleur de l'exécution des obligations du sous-traitant conformément à son contrat avec Wastetracker. Wastetracker informera le responsable du traitement de tout manquement du sous-traitant à ses obligations contractuelles.
  5. Wastetracker doit conclure avec le sous-traitant une clause de tiers bénéficiaire selon laquelle, dans le cas où Wastetracker a effectivement disparu, a cessé d'exister légalement ou est devenu insolvable, le responsable du traitement a le droit de résilier le contrat de sous-traitant et de demander au sous-traitant d'effacer ou de renvoyer les données personnelles.
  1. Transferts internationaux
  1. Tout transfert de données vers un pays tiers ou une organisation internationale par Wastetracker doit être effectué uniquement sur la base d'instructions documentées du responsable du traitement ou afin de répondre à une exigence spécifique en vertu du droit de l'Union ou de l'État membre auquel Wastetracker est soumis et doit être effectué conformément au chapitre V du règlement (UE) 2016/679.
  2. Le responsable du traitement accepte que lorsque Wastetracker engage un sous-traitant conformément à la clause 6.7. pour effectuer des activités de traitement spécifiques (pour le compte du contrôleur) et que ces activités de traitement impliquent un transfert de données personnelles au sens du chapitre V du règlement (UE) 2016/679, Wastetracker et le sous-traitant peuvent garantir la conformité au chapitre V du règlement (UE) 2016/679 en utilisant le DPA.
  1. Assistance au responsable du traitement
  1. Wastetracker informera rapidement le responsable du traitement de toute demande reçue de la part de la personne concernée. Il ne répondra pas à la demande elle-même, sauf autorisation du responsable du traitement.
  2. Wastetracker aidera le responsable du traitement à remplir ses obligations de répondre aux demandes des personnes concernées visant à exercer leurs droits, en tenant compte de la nature du traitement. Dans le cadre de l'exécution de ses obligations conformément aux points a) et b), Wastetracker doit se conformer aux instructions du contrôleur
  3. Outre l'obligation de Wastetracker d'assister le Contrôleur conformément à la Clause 7 (b), Wastetracker doit également aider le Contrôleur à garantir le respect des obligations suivantes, en tenant compte de la nature du traitement des données et des informations dont Wastetracker dispose :
    1. l'obligation de réaliser une évaluation de l'impact des opérations de traitement envisagées sur la protection des données personnelles (une « analyse d'impact sur la protection des données ») lorsqu'un type de traitement est susceptible d'entraîner un risque élevé pour les droits et libertés des personnes physiques ;
    2. l'obligation de consulter l'autorité ou les autorités de contrôle compétentes avant le traitement lorsqu'une analyse d'impact relative à la protection des données indique que le traitement présenterait un risque élevé en l'absence de mesures prises par le responsable du traitement pour atténuer le risque ;
    3. l'obligation de s'assurer que les données personnelles sont exactes et à jour, en informant sans délai le responsable du traitement si Wastetracker découvre que les données personnelles qu'il traite sont inexactes ou sont devenues obsolètes ;
    4. les obligations énoncées à l'article 32 du règlement (UE) 2016/679.
  4. Les parties définissent à l'annexe II les mesures techniques et organisationnelles appropriées par lesquelles Wastetracker est tenu d'aider le responsable du traitement à appliquer la présente clause, ainsi que la portée et l'étendue de l'assistance requise.
  1. Notification d'une violation de données personnelles

En cas de violation de données personnelles, Wastetracker coopérera avec le responsable du traitement et l'aidera à se conformer à ses obligations en vertu des articles 33 et 34 du règlement (UE) 2016/679, le cas échéant, en tenant compte de la nature du traitement et des informations dont dispose Wastetracker.

  1. Violation de données concernant les données traitées par le responsable

En cas de violation de données personnelles concernant les données traitées par le responsable du traitement, Wastetracker aidera le contrôleur à :

  1. en notifiant la violation de données personnelles à l'autorité ou aux autorités de contrôle compétentes, sans retard injustifié après que le responsable du traitement en a eu connaissance, le cas échéant/ (sauf si la violation de données personnelles est peu susceptible d'entraîner un risque pour les droits et libertés des personnes physiques) ;
  2. en obtenant les informations suivantes qui, conformément à l'article 33, paragraphe 3, du règlement (UE) 2016/679, doivent figurer dans la notification du responsable du traitement et doivent au moins inclure :
    1. la nature des données personnelles, y compris, dans la mesure du possible, les catégories et le nombre approximatif de personnes concernées ainsi que les catégories et le nombre approximatif d'enregistrements de données personnelles concernés ;
    2. les conséquences probables de la violation de données personnelles ;
    3. les mesures prises ou proposées par le responsable du traitement pour remédier à la violation de données personnelles, y compris, le cas échéant, des mesures visant à atténuer ses éventuels effets négatifs.

Lorsque et dans la mesure où il n'est pas possible de fournir toutes ces informations en même temps, la notification initiale doit contenir les informations alors disponibles et des informations supplémentaires doivent être fournies ultérieurement, dès qu'elles seront disponibles, sans retard indu.

  1. en se conformant, conformément à l'article 34 du règlement (UE) 2016/679, à l'obligation de communiquer sans retard injustifié la violation de données personnelles à la personne concernée, lorsque la violation de données personnelles est susceptible d'entraîner un risque élevé pour les droits et libertés des personnes physiques.
  1. Violation de données concernant les données traitées par Wastetracker

En cas de violation de données personnelles concernant les données traitées par Wastetracker, Wastetracker en informera le responsable du traitement dans les meilleurs délais après que Wastetracker aura pris connaissance de la violation. Cette notification doit contenir au moins :

  1. une description de la nature de la violation (y compris, si possible, les catégories et le nombre approximatif de personnes concernées et d'enregistrements de données concernés) ;
  2. les coordonnées d'un point de contact auprès duquel de plus amples informations concernant la violation de données personnelles peuvent être obtenues ;
  3. ses conséquences probables et les mesures prises ou proposées pour remédier à la violation, y compris pour atténuer ses éventuels effets négatifs.

Lorsque et dans la mesure où il n'est pas possible de fournir toutes ces informations en même temps, la notification initiale doit contenir les informations alors disponibles et des informations supplémentaires doivent être fournies ultérieurement, dès qu'elles seront disponibles, sans retard indu.

Les parties présentent à l'annexe II tous les autres éléments que Wastetracker doit fournir pour aider le responsable du traitement à s'acquitter des obligations qui lui incombent en vertu des articles 33 et 34 du règlement (UE) 2016/679.

SECTION III — DISPOSITIONS FINALES

  1. Non-respect de la DPA et résiliation
  1. Sans préjudice des dispositions du règlement (UE) 2016/679, si Wastetracker ne respecte pas ses obligations en vertu de la DPA, le responsable du traitement peut demander à Wastetracker de suspendre le traitement des données personnelles jusqu'à ce que ce dernier se conforme à la DPA ou que le contrat soit résilié. Wastetracker informera rapidement le responsable du traitement s'il n'est pas en mesure de se conformer à la DPA, pour quelque raison que ce soit.
  2. Le responsable du traitement a le droit de résilier le contrat dans la mesure où il concerne le traitement de données personnelles conformément à la DPA si :
    1. le traitement des données personnelles par Wastetracker a été suspendu par le responsable du traitement conformément au point (a) et si la conformité à la DPA n'est pas rétablie dans un délai raisonnable et en tout état de cause dans le mois suivant la suspension ;
    2. Wastetracker est en violation substantielle ou persistante de la DPA ou de ses obligations en vertu du règlement (UE) 2016/679 ;
    3. Wastetracker ne se conforme pas à une décision contraignante d'un tribunal compétent ou de l'autorité ou des autorités de surveillance compétentes concernant ses obligations en vertu de la DPA ou du règlement (UE) 2016/679.
  3. Wastetracker est en droit de résilier le contrat dans la mesure où il concerne le traitement de données personnelles dans le cadre de la DPA lorsque, après avoir informé le responsable du traitement que ses instructions enfreignent les exigences légales applicables conformément à la clause 6.1 (b), le responsable du traitement insiste pour que ces instructions soient respectées.
  4. Après la résiliation du contrat, Wastetracker doit, au choix du responsable du traitement, supprimer toutes les données personnelles traitées pour le compte du contrôleur et certifier au contrôleur qu'il l'a fait, ou renvoyer toutes les données personnelles au responsable du traitement et supprimer les copies existantes, sauf si le droit de l'Union ou des États membres exige le stockage des données personnelles. Jusqu'à ce que les données soient supprimées ou renvoyées, Wastetracker continuera à garantir la conformité à la DPA.

ANNEXE I : DESCRIPTION DU TRAITEMENT

Catégories de personnes dont les données personnelles sont traitées

Personnel des clients, locataires ou autres utilisateurs du bâtiment

Catégories de données personnelles traitées

Adresses e-mail

Nature du traitement

les données personnelles sont utilisées comme identifiant dans le système

Finalité (s) pour laquelle les données personnelles sont traitées pour le compte du responsable du traitement

exécution du contrat pour le lancement et l'utilisation du logiciel WasteTracker dans le modèle SaaS

Durée du traitement

Période de coopération entre les parties

____________________________________________________________________________

ANNEXE II : MESURES TECHNIQUES ET ORGANISATIONNELLES

Nous prenons toutes les mesures possibles pour garantir la sécurité des données personnelles au sein de notre plateforme :

  1. Mesures organisationnelles
    1. Politique de protection des données — Procédures claires pour le traitement et la sécurisation des données.
    2. Formation d'intégration des employés sur la protection des données et la cybersécurité.
    3. Accès sur la base du « besoin de savoir » — Seul le personnel autorisé a accès à des données spécifiques.
    4. Contrats de traitement des données — Exiger des sous-traitants qu'ils respectent les normes de sécurité appropriées.
    5. Audits réguliers : examens de conformité internes et externes pour garantir le respect du RGPD.
    6. Procédure de gestion des incidents — Un plan de réponse en cas de violation de la protection des données.
  2. Mesures techniques
    1. Chiffrement des données : nous utilisons les méthodes de cryptage les plus strictes possibles proposées par nos fournisseurs.
    2. Contrôle d'accès basé sur les rôles (RBAC) : les utilisateurs disposent de différents niveaux d'accès en fonction de rôles prédéfinis afin de minimiser les accès non autorisés.
    3. Authentification par lien e-mail : la connexion de l'utilisateur est vérifiée par un lien de confirmation envoyé à la boîte e-mail de l'utilisateur.
    4. Sécurité des applications :
      1. Tests d'intrusion réguliers — Identification proactive des vulnérabilités.
      2. Mécanismes de limitation du débit — Empêcher les tentatives de connexion par force brute.
      3. Surveillance des journaux — Détection des activités inhabituelles.
    5. Sécurité des sauvegardes :
      1. Sauvegardes chiffrées régulières — Stockage sécurisé des données de sauvegarde.
      2. Tests de reprise après sinistre : s'assurer que les données peuvent être restaurées en cas de besoin.
    6. Centres de données sécurisés — Utilisation de fournisseurs de cloud conformes aux normes UE-États-Unis Cadre de confidentialité des données

____________________________________________________________________________

ANNEXE III : LISTE DES SOUS-TRAITANTS

Le responsable du traitement a autorisé l'utilisation des sous-processeurs suivants :

  1. Espace de travail Google - pour les contacts par e-mail avec les clients
  2. Pipedrive - pour la gestion de la relation client
  3. Vercel - services d'hébergement de sites Web
  4. MongoDB - base de données pour les enregistrements des déchets
  5. Clerk, Inc. - pour l'authentification des utilisateurs et la connexion au système,
  6. Resend, Inc. - pour la distribution par courrier électronique concernant les liens de connexion et les notifications du système,
  7. Inngest, Inc. - pour la mise en file d'attente des tâches et l'automatisation des flux de travail,
  8. Neon, Inc. - pour gérer la répartition des tâches liées à l'expédition de colis

Zadbano - pour la livraison de colis.