Addendum sur la protection des données

Date d’entrée en vigueur : 16 février 2025

entre

Le Client conformément aux CGV en qualité de Responsable du traitement (ci-après le « Responsable »),

et

Wave Connect Inc., 3 Pl. Ville-Marie, Bureau 400, H3B 2E3, Montréal, Canada en qualité de Sous-traitant (ci-après le « Sous-traitant », le Responsable et le Sous-traitant étant ensemble les « Parties »)

---

Préambule

Le Responsable a mandaté le Sous-traitant dans le cadre des CGV (ci-après le « Contrat principal ») pour les services qui y sont spécifiés. L’exécution du contrat comprend le traitement de données à caractère personnel. L’article 28 du RGPD impose des obligations spécifiques en matière de sous-traitance. Afin de s’y conformer, les Parties concluent le présent Accord de traitement de données (ci-après l’« Accord »), dont l’exécution ne donnera pas lieu à une rémunération distincte sauf convention expresse contraire.

---

1. Définitions

(1) Conformément à l’art. 4 (7) RGPD, le Responsable est l’entité qui détermine seule ou conjointement les finalités et les moyens du traitement de données à caractère personnel.

(2) Conformément à l’art. 4 (8) RGPD, un Sous-traitant est une personne physique ou morale, autorité publique, agence ou autre organisme qui traite des données à caractère personnel pour le compte du Responsable.

(3) Conformément à l’art. 4 (1) RGPD, une donnée à caractère personnel désigne toute information se rapportant à une personne physique identifiée ou identifiable (« Personne concernée »).

(4) Les données personnelles nécessitant une protection particulière sont celles visées aux art. 9 et 10 RGPD (origine raciale/ethnique, opinions politiques, convictions religieuses, données de santé, données biométriques, données relatives aux condamnations pénales, etc.).

(5) Conformément à l’art. 4 (2) RGPD, un traitement désigne toute opération appliquée à des données à caractère personnel (collecte, enregistrement, organisation, conservation, modification, consultation, communication, effacement, etc.).

(6) Conformément à l’art. 4 (21) RGPD, l’autorité de contrôle est une autorité publique indépendante désignée par un État membre (art. 51 RGPD).

(7) « Lois européennes sur la protection des données » désigne l’ensemble des textes applicables dans l’EEE, au Royaume-Uni et en Suisse, dont le RGPD, la Directive ePrivacy 2002/58/CE, le UK Data Protection Act et la Loi fédérale suisse sur la protection des données.

---

2. Objet du contrat

(1) Le Sous-traitant fournit les services définis dans le Contrat principal. Dans ce cadre, il a accès aux données personnelles, qu’il traite exclusivement pour le compte et selon les instructions du Responsable.

(2) Le présent Accord précise les droits et obligations respectifs en matière de protection des données. En cas de conflit, les dispositions du présent Accord prévalent.

(3) L’Accord couvre toutes les activités liées au Contrat principal où le Sous-traitant ou ses agents traitent des données personnelles du Responsable.

(4) La durée du présent Accord suit celle du Contrat principal sauf dispositions contraires.

---

3. Droit d’instruction

Le Sous-traitant ne traite les données que dans le cadre du Contrat principal et sur instruction du Responsable. En cas d’instruction manifestement illégale, il peut suspendre son exécution et en informer immédiatement le Responsable.

---

4. Types de données, personnes concernées, transfert international

(1) Les types de données traitées sont précisés en Annexe 1.
(2) Les catégories de personnes concernées sont également listées en Annexe 1.
(3) Un transfert vers un pays tiers peut avoir lieu conformément aux art. 44 et suivants RGPD.

---

5. Mesures de protection du Sous-traitant

Le Sous-traitant met en œuvre des mesures techniques et organisationnelles conformément à l’art. 32 RGPD, décrites en Annexe 2, pour protéger les données personnelles.

---

6. Obligations d’information

En cas d’incident de sécurité, violation ou suspicion de violation de données, le Sous-traitant informe immédiatement le Responsable et fournit les informations prévues à l’art. 33 RGPD.

---

7. Droits de contrôle du Responsable

Le Responsable peut vérifier les mesures techniques et organisationnelles avant le début du traitement et ensuite au moins une fois par an, y compris par audits, certifications ou inspections sur place.

---

8. Utilisation de sous-traitants ultérieurs

Le Responsable autorise le recours aux sous-traitants ultérieurs listés en Annexe 3. Toute modification sera notifiée au Responsable qui dispose d’un droit d’opposition.

---

9. Droits des personnes concernées

Le Sous-traitant assiste le Responsable dans la gestion des droits (accès, rectification, effacement, etc.) conformément aux articles 12 à 22 RGPD.

---

10. Responsabilité

Le Responsable est seul responsable vis-à-vis des personnes concernées.
Le Sous-traitant est responsable uniquement en cas de faute intentionnelle ou de négligence grave.

---

11. Fin du Contrat principal

À la fin du Contrat, le Sous-traitant restitue ou supprime toutes les données selon les instructions du Responsable, sauf obligation légale de conservation.

---

12. Dispositions finales

(1) Toute modification du présent Accord doit être faite par écrit.
(2) Si une disposition est invalide, les autres restent en vigueur.
(3) Le présent Accord est régi par le droit allemand.

---

Annexe 1 – Description des données / catégories de données et personnes concernées

Type de client

• Comptes d’entreprise

  • Personnes concernées : Employés

  • Catégories de données : Nom, coordonnées, poste, département, photo, informations sur l’entreprise, liens vers les réseaux sociaux

• Comptes d’entreprise et utilisateurs individuels

  • Personnes concernées : Parties intéressées (prospects)

  • Catégories de données : Coordonnées, nom, entreprise

---

Annexe 2 – Mesures techniques et organisationnelles du Sous-traitant

1. Introduction
Ce document résume les mesures techniques et organisationnelles mises en œuvre par le Sous-traitant conformément à l’art. 32 (1) RGPD pour protéger les données personnelles.

2. Confidentialité (art. 32 (1)(b) RGPD)

2.1 Contrôle d’entrée

• Télétravail : les personnes non autorisées n’ont pas accès aux domiciles des employés

• Instructions : travailler dans un bureau séparé si possible lors du travail à domicile

2.2 Contrôle d’admission

• Authentification par identifiant et mot de passe

• Utilisation de pare-feu

• Gestion des appareils mobiles (MDM)

• Chiffrement des supports de données

• Verrouillage automatique des postes de travail

• Gestion des autorisations utilisateurs

• Création de profils utilisateurs

• Règles centralisées de mot de passe

• Authentification à deux facteurs

• Politique interne sur les mots de passe sécurisés

• Instruction de verrouillage manuel du poste lors de toute absence

2.3 Contrôle d’accès

• Journalisation des accès aux applications (saisie, modification, suppression)

• Nombre d’administrateurs limité au strict minimum

• Gestion des droits utilisateurs par administrateurs systèmes

• Suppression de données uniquement après validation interne

2.4 Contrôle de séparation

• Stockage physique séparé sur systèmes/supports distincts

• Séparation des environnements de production et de test

• Séparation logique des clients (au niveau logiciel)

• Définition des droits en base de données

• Anonymisation/pseudonymisation des données si possible après la période légale de conservation

3. Intégrité (art. 32 (1)(b) RGPD)

3.1 Contrôle de transfert

• Journalisation des accès et téléchargements

• Transmission via connexions chiffrées (SFTP, HTTPS)

• Interdiction de téléverser des données d’entreprise sur des serveurs externes

3.2 Contrôle des saisies

• Journalisation des saisies, modifications et suppressions

• Vérification manuelle/automatisée des journaux

• Attribution individuelle des actions (identifiants personnels, pas de comptes partagés)

• Responsabilités claires pour la suppression des données

4. Disponibilité et résilience (art. 32 (1)(b) RGPD)

• Services hébergés sur Google Cloud Platform (GCP), protégés par les contrôles de sécurité Google

• Sauvegardes régulières des données clients, répliquées globalement pour résilience

• Tests périodiques des sauvegardes par l’équipe technique

• Formation annuelle obligatoire des employés (confidentialité, protection des données, sécurité de l’information, ingénierie sociale, politiques de mot de passe)

5. Procédures de contrôle et évaluation régulières (art. 32 (1)(d) RGPD ; art. 25 (1) RGPD)

5.1 Gestion de la protection des données

• Délégué à la protection des données désigné : Rickert Rechtsanwaltsgesellschaft

• Obligation de confidentialité pour les employés

• Formations régulières à la protection des données

• Tenue du registre des activités de traitement (art. 30 RGPD)

5.2 Gestion des incidents

• Procédure de notification aux autorités de contrôle (art. 33 RGPD)

• Procédure de notification aux personnes concernées (art. 34 RGPD)

• Implication du DPO en cas d’incident de sécurité

• Utilisation de pare-feu

5.3 Paramètres respectueux de la vie privée par défaut (art. 25 (2) RGPD)

• Paramètres par défaut configurés pour minimiser la collecte et l’utilisation de données personnelles

5.4 Contrôle des sous-traitants

• Instructions écrites au prestataire

• Destruction garantie des données après fin de mission

• Engagement des employés du sous-traitant à la confidentialité

• Sélection rigoureuse des prestataires

• Contrôle continu des prestataires

---

Annexe 3 – Sous-traitants actuels