Accord de traitement des données

Objet

SoftApp traite des données personnelles pour et au nom du « client » parce que ce dernier dispose d’un contrat utilisateur avec le service cloud CallerConnect. CallerConnect est un service cloud fourni par SoftApp.

SoftApp et le client sont tenus, en vertu du Règlement général sur la protection des données (RGPD), de conclure un Accord de traitement. SoftApp et le client s’engagent mutuellement à respecter le RGPD. Les définitions sont conformes au RGPD. SoftApp ne traitera les données personnelles que pour le compte du client et pour exécuter le contrat.

Instructions de traitement

Le traitement consiste à mettre les applications SoftApp à disposition avec les données saisies et générées par le client. SoftApp n’ajoutera, ne modifiera ni ne supprimera des données sans instruction spécifique du client — les instructions peuvent être données via une demande ou via le portail self-service.

Diverses catégories de données personnelles peuvent être enregistrées dans les applications, notamment : nom affiché, prénom, nom, nom du bureau, numéro de téléphone, ville, pays, fonction, société, manager, département, nom d’utilisateur. SoftApp est conscient que le client peut saisir ces données et toute autre catégorie de données personnelles créée par lui, et que SoftApp les traitera en conséquence. Le client est responsable de l’évaluation de l’adéquation de la finalité et de la nature du traitement avec le service fourni par SoftApp.

Devoir de confidentialité

SoftApp est conscient que les informations partagées par le client dans CallerConnect sont confidentielles et sensibles. Tous les employés de SoftApp traitent les informations clients de manière responsable pendant et après leur emploi, conformément à leur contrat de travail comportant une clause de confidentialité.

Employés ayant accès aux données clients

Les administrateurs système et le support SoftApp ont un accès complet aux données clients pour :

• créer le client (tenant) sur la plateforme CallerConnect ;
• installer une nouvelle version ;
• déployer correctifs et hot-fixes ;
• effectuer une sauvegarde ;
• déplacer des données au sein du domaine CallerConnect.

Sécurité

SoftApp prend en permanence les mesures techniques et organisationnelles appropriées pour protéger les données personnelles du client contre la perte ou tout traitement illicite. Ces mesures sont considérées comme un niveau de sécurité approprié au sens du RGPD. Le client a le droit, en concertation avec SoftApp pendant la durée du contrat, de faire vérifier la conformité par un expert indépendant — par exemple via un audit. Les coûts de cet audit sont à la charge du client.

SoftApp est responsable des dommages relatifs aux données personnelles dus aux actes ou omissions des sous-traitants, dans la limite de responsabilité prévue dans le chapitre Responsabilité. Cette limitation ne s’applique pas en cas de négligence grossière ou de faute intentionnelle du sous-traitant. SoftApp n’est pas non plus responsable en cas de force majeure de son côté ou du côté du sous-traitant.

Si l’autorité de protection des données émet une instruction contraignante au Sous-traitant, le Client doit en informer immédiatement SoftApp. SoftApp fera tout ce qui peut raisonnablement être attendu de lui pour permettre la conformité.

Sous-traitants

SoftApp traite les données clients dans les datacenters d’Iron Mountain Data Centers (Leaseweb), Whitesky.cloud (Gig.tech) et Microsoft Azure en tant que sous-traitants. Les datacenters de SoftApp sont situés aux Pays-Bas et en Belgique et sont soumis aux lois et règlements néerlandais

belges et respectent la stricte législation néerlandaise

belge et européenne en matière de protection logique et physique de l’accès et de continuité. Les datacenters sont au minimum certifiés ISO 27001. Les données (personnelles) sont traitées par SoftApp et ses sous-traitants exclusivement au sein de l’Espace économique européen.

SoftApp ne permettra pas à de nouveaux sous-traitants de traiter des données sans en informer le client en temps utile. Le client peut s’opposer à un nouveau sous-traitant ; les objections sont traitées au niveau de la direction. Si SoftApp souhaite tout de même utiliser le nouveau sous-traitant, le client peut résilier le contrat.

Droits relatifs à la vie privée

SoftApp n’a aucun contrôle sur les données personnelles fournies par le client. Sans nécessité (compte tenu de la nature de la mission), consentement explicite du client ou obligation légale, SoftApp ne fournira pas les données à des tiers ni ne les traitera à d’autres fins que celles convenues. Le client garantit que les données personnelles peuvent être traitées sur une base prévue par le RGPD.

SoftApp transmettra cependant, en cas de demande de l’Autorité néerlandaise des marchés financiers, de la Banque centrale européenne ou de De Nederlandsche Bank N.V. en application de leurs obligations au titre de la Wft (ou d’autres lois), toutes les informations possibles à l’organisme concerné. SoftApp oblige également ses sous-traitants à se conformer à de telles demandes.

Notification au client

Si SoftApp identifie un incident de sécurité ou une fuite de données, SoftApp en informera le client dès que possible après en avoir pris connaissance. Pour ce faire, SoftApp veille à ce que tous les employés soient et restent capables de détecter une fuite de données. Si une fuite de données survient chez un fournisseur de SoftApp, SoftApp la signalera. SoftApp est le point de contact du client ; le client n’a pas à contacter directement les fournisseurs de SoftApp.

Information du client (administrateur)

Dans un premier temps, SoftApp informe l’interlocuteur (administrateur) du contrat d’une fuite de données.

Fournir l’information

SoftApp s’efforce de fournir immédiatement au client toutes les informations nécessaires pour permettre une éventuelle déclaration à l’Autorité de protection des données et/ou aux personnes concernées.

Délai d’information

Le RGPD impose une notification « sans tarder ». Selon l’AP, cela signifie sans délai injustifié et si possible dans les 72 heures suivant la découverte par le responsable. SoftApp informera le client au plus tard 48 heures après que SoftApp a découvert un incident de sécurité. Le client évalue si l’incident relève d’une « fuite de données » et s’il doit être déclaré à l’AP — il dispose pour cela de 72 heures à compter de l’information.

Suivi et mesures

SoftApp tient le client informé du suivi et des mesures prises. SoftApp consigne tous les incidents de sécurité et les traite selon une procédure définie (workflow).

Suppression des données

À la fin du contrat, SoftApp supprimera toutes les données du client. Si le client souhaite que les données soient supprimées plus tôt, il peut en faire la demande ; SoftApp s’engage à y donner suite.