Accord de sous-traitance de données (DPA)

1. Parties

Responsable de traitement (Client) : le client professionnel qui souscrit et utilise Fire-Ops pour ses besoins professionnels.

Sous-traitant (Konity) : EURL Konity, SIREN 908779259 / 908 779 259 R.C.S. Lyon éditrice du service Fire-Ops.

Chacune des parties peut être désignée individuellement une « Partie » et collectivement les « Parties ».

2. Définitions

Les termes « données à caractère personnel », « traitement », « responsable de traitement », « sous-traitant », « personne concernée », « violation de données », « autorité de contrôle » ont le sens qui leur est donné par le RGPD.

Données Client : toutes données (y compris des données à caractère personnel) transmises, saisies, importées, générées ou stockées dans Fire-Ops par le Client et ses Utilisateurs.

Service : la solution Fire-Ops fournie en mode SaaS.

Sous-traitant ultérieur : tout sous-traitant engagé par Konity pour réaliser tout ou partie des traitements pour le compte du Client.

3. Objet et portée du DPA

Le présent DPA a pour objet de définir les conditions dans lesquelles Konity, en sa qualité de sous-traitant, s'engage à effectuer pour le compte du Client les opérations de traitement de données personnelles nécessaires à la fourniture du Service.

Le Client demeure responsable de traitement des données confiées à Konity via le Service, sauf cas particuliers expressément définis où Konity agit comme responsable de traitement (par exemple, gestion de sa relation commerciale, facturation, sécurité de sa plateforme, prospection, obligations légales propres).

La description des traitements confiés (objet, durée, finalités, catégories de données et de personnes concernées) figure en Annexe 1.

4. Instructions documentées du Client

Konity traite les données personnelles uniquement sur instructions documentées du Client, y compris en ce qui concerne les transferts de données vers un pays tiers ou à une organisation internationale, sauf si Konity y est tenue en vertu du droit de l'Union européenne ou du droit français applicable ; dans ce cas, Konity informe le Client de cette obligation légale avant le traitement, sauf interdiction légale.

Les instructions du Client sont constituées :

• du présent DPA ;
• des CGA/CGV et de la documentation du Service ;
• des paramétrages réalisés par le Client dans le Service ;
• des demandes écrites complémentaires du Client.

Si Konity estime qu'une instruction constitue une violation de la réglementation applicable, elle en informe le Client sans délai excessif.

5. Obligations du Client

Le Client s'engage notamment à :

• traiter les données à caractère personnel de manière licite, loyale et transparente ;
• disposer des bases légales nécessaires pour les traitements effectués via le Service ;
• informer les personnes concernées conformément aux articles 12 à 14 du RGPD ;
• s'assurer que les données transmises à Konity sont adéquates, pertinentes et limitées à ce qui est nécessaire ;
• ne pas utiliser le Service pour traiter des données sensibles ou catégories particulières de données (art. 9 RGPD) sauf paramétrage et accord écrit spécifique ;
• répondre aux demandes des personnes concernées, avec l'assistance de Konity lorsque nécessaire selon le présent DPA ;
• s'assurer que ses Utilisateurs sont autorisés et formés à l'usage du Service.

6. Confidentialité

Konity veille à ce que les personnes autorisées à traiter les données personnelles (salariés, prestataires, administrateurs techniques) soient soumises à une obligation de confidentialité appropriée (contractuelle ou légale) et n'accèdent aux données que dans la mesure nécessaire à l'exécution du Service.

7. Mesures de sécurité (techniques et organisationnelles)

Konity met en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, compte tenu de l'état des connaissances, des coûts de mise en œuvre, de la nature, de la portée, du contexte et des finalités du traitement, ainsi que des risques pour les droits et libertés des personnes concernées.

Ces mesures comprennent, selon les cas, notamment :

• contrôle d'accès logique et gestion des habilitations ;
• authentification des utilisateurs et politiques de mots de passe ;
• journalisation des accès et actions sensibles ;
• chiffrement en transit (TLS) ;
• mesures de sauvegarde et restauration ;
• segmentation logique des données / isolation entre clients ;
• mesures de sécurité des environnements d'hébergement ;
• gestion des vulnérabilités et mises à jour ;
• procédures de gestion des incidents ;
• limitation des accès administrateurs et traçabilité.

Une description plus détaillée des mesures de sécurité peut figurer en Annexe 2 (mesures de sécurité), susceptible d'évoluer pour maintenir un niveau de sécurité au moins équivalent.

8. Sous-traitants ultérieurs

Le Client autorise Konity à recourir à des sous-traitants ultérieurs pour fournir le Service (hébergement, base de données, e-mail, paiement, monitoring, etc.), sous réserve que Konity impose à ces sous-traitants des obligations de protection des données au moins équivalentes à celles prévues au présent DPA, en particulier en matière de sécurité et de confidentialité.

La liste des sous-traitants ultérieurs habituels figure en Annexe 3 et/ou dans la documentation du Service.

En cas d'ajout ou de remplacement d'un sous-traitant ultérieur susceptible d'affecter substantiellement le traitement, Konity en informera le Client par un moyen raisonnable (ex. e-mail, notification in-app, documentation) et lui laissera un délai raisonnable pour formuler une objection motivée.

En cas d'objection raisonnable et documentée, les Parties rechercheront une solution de bonne foi. À défaut d'accord, le Client pourra résilier le Service pour le périmètre concerné selon les modalités contractuelles applicables.

9. Transferts hors EEE / garanties appropriées

Lorsque des données personnelles sont transférées hors de l'Espace économique européen (EEE) dans le cadre de l'exécution du Service, Konity veille à ce que ces transferts soient encadrés par un mécanisme de transfert valide au sens de la réglementation applicable (ex. décision d'adéquation, clauses contractuelles types de la Commission européenne, ou autre mécanisme approprié).

Sur demande raisonnable du Client, Konity peut fournir des informations sur le mécanisme de transfert applicable au sous-traitant concerné, sous réserve des obligations de confidentialité.

10. Assistance au Client (droits des personnes, conformité, sécurité)

Compte tenu de la nature du traitement et dans la mesure du possible, Konity assiste le Client par des mesures techniques et organisationnelles appropriées afin de lui permettre de répondre à ses obligations relatives :

• à l'exercice des droits des personnes concernées (accès, rectification, effacement, limitation, opposition, portabilité, etc.) ;
• à la sécurité des traitements ;
• à la notification des violations de données ;
• aux analyses d'impact (AIPD/DPIA) et, le cas échéant, aux consultations préalables de l'autorité de contrôle.

Sauf si l'obligation d'assistance résulte d'un manquement de Konity, le temps passé et les coûts raisonnables d'assistance peuvent être facturés selon les tarifs en vigueur ou sur devis.

11. Demandes des personnes concernées

Si Konity reçoit directement une demande d'une personne concernée portant sur des données traitées pour le compte du Client (ex. demande d'accès, effacement), Konity la transmet au Client dans les meilleurs délais, sauf interdiction légale ou impossibilité manifeste d'identifier le Client concerné.

Konity ne répond pas directement à la demande au fond, sauf instruction documentée du Client ou obligation légale.

12. Notification des violations de données

Konity notifie au Client, dans les meilleurs délais après en avoir pris connaissance, toute violation de données personnelles affectant les données traitées pour le compte du Client, et lui communique les informations disponibles et raisonnablement utiles pour permettre au Client de satisfaire à ses obligations légales.

La notification initiale peut être progressive si toutes les informations ne sont pas immédiatement disponibles.

La notification adressée au Client ne vaut pas reconnaissance de faute de Konity.

13. Documentation, audits et démonstration de conformité

Konity met à disposition du Client les informations nécessaires pour démontrer le respect de ses obligations de sous-traitant au titre du présent DPA, notamment via la documentation du Service, des descriptions de mesures de sécurité, des politiques internes ou attestations disponibles.

Sous réserve d'un préavis raisonnable d'au moins 15 jours, le Client peut, au maximum une fois par période de douze (12) mois (sauf incident de sécurité majeur ou obligation légale), demander un audit ou une revue de conformité portant uniquement sur les traitements le concernant.

Cet audit sera :

• effectué pendant les heures ouvrées ;
• encadré pour ne pas perturber excessivement l'activité de Konity ;
• soumis à des obligations de confidentialité appropriées ; et
• limité aux informations raisonnablement nécessaires à la vérification de la conformité au présent DPA.

Konity peut proposer, en lieu et place d'un audit sur site, des preuves alternatives raisonnables (questionnaire de sécurité, rapport d'audit tiers, attestations, visio de revue, documentation) si elles permettent de répondre de façon adéquate à la demande du Client.

Sauf audit justifié par un manquement avéré imputable à Konity, les frais d'audit (y compris le temps mobilisé par Konity) sont à la charge du Client.

14. Sort des données en fin de contrat (restitution / suppression)

À l'expiration ou à la résiliation du contrat principal, Konity restitue au Client ou met à sa disposition un export des données selon les fonctionnalités de réversibilité prévues au Service et/ou les CGA/CGV, puis supprime les données personnelles traitées pour le compte du Client dans un délai raisonnable, sauf obligation légale de conservation ou nécessité de conservation temporaire au titre des sauvegardes de sécurité.

Les modalités pratiques (formats, délais, périmètre, coûts éventuels) sont celles prévues dans les CGA/CGV, les conditions particulières ou la documentation du Service.

15. Coopération avec l'autorité de contrôle

Konity coopère, dans la mesure requise par la réglementation applicable, avec l'autorité de contrôle compétente pour les traitements relevant de son rôle de sous-traitant.

Sauf interdiction légale, Konity informe le Client de toute demande d'une autorité portant spécifiquement sur les données traitées pour son compte.

16. Responsabilité et articulation avec les CGA/CGV

La responsabilité de chaque Partie au titre du présent DPA est régie par les stipulations de responsabilité prévues dans les CGA/CGV et/ou les Conditions Particulières, sous réserve des dispositions impératives de la réglementation applicable en matière de protection des données.

Aucune stipulation du présent DPA ne saurait être interprétée comme limitant les droits des personnes concernées ni les obligations impératives mises à la charge des Parties par la réglementation applicable.

17. Durée du DPA

Le présent DPA entre en vigueur à la date d'acceptation par le Client et demeure applicable pendant toute la durée des traitements de données personnelles effectués par Konity pour le compte du Client dans le cadre du Service.

18. Droit applicable et juridiction compétente

Le présent DPA est régi par le droit français. Tout litige relatif à sa validité, son interprétation, son exécution ou sa cessation relève des juridictions désignées dans les CGA/CGV, sauf dispositions impératives contraires.