Dernière mise à jour : 09.08.2024

Contrat de traitement des données

1. Préambule, objet et ordre de priorité

1,1 Ce contrat de traitement des données (le « Contrat de traitement des données ») fait partie intégrante du Contrat entre le Client et Cozero relatif à la fourniture des Services Contractuels.

1,2 Le présent contrat de traitement des données décrit la manière dont Cozero traitera les données personnelles que le client fournit à Cozero dans le cadre de l'utilisation des services contractuels par le client, conformément aux exigences des lois sur la protection des données.

1,3 En cas de conflit, les dispositions du présent contrat de traitement des données prévaudront sur les dispositions du contrat.

2. Définitions

Les définitions figurant dans les Conditions s'appliquent également au présent Contrat de traitement des données. En outre, les définitions suivantes s'appliquent :

2.1 « Lois sur la protection des données » désigne toutes les lois et réglementations, y compris les lois et réglementations de l'Union européenne, de l'Espace économique européen et de leurs États membres, applicables au traitement des données personnelles (y compris en relation avec la fourniture de services de télécommunication et le marketing par e-mail), et y compris, sans s'y limiter, le RGPD et le Bundesdatenschutzgesetz allemand (BDSG).

2,2 « Processus » ou « Traitement » désigne toute opération ou ensemble d'opérations effectué par Cozero dans le cadre des Services contractuels sur et/ou des Données personnelles, que ce soit par des moyens automatiques ou non, tels que la collecte, l'enregistrement, l'organisation, le stockage, l'adaptation ou la modification, la récupération, la consultation, l'utilisation, la divulgation par transmission, diffusion ou mise à disposition de toute autre manière, alignement ou combinaison, blocage, effacement ou destruction.‍

2.3 « Sous-processeur » désigne un sous-traitant tiers engagé par Cozero qui, dans le cadre du rôle du sous-traitant dans la fourniture des services contractuels, traitera et/ou traitera des données personnelles.

3. Portée, durée, type de données et catégories de personnes concernées

3.1 Selon les termes de cet accord de traitement des données, Cozero traitera les données personnelles pour le compte du client conformément à l'article 28 du RGPD.

3.2 Le présent accord de traitement des données sera en vigueur pendant la durée des services contractuels de Cozero en vertu du contrat et se terminera automatiquement à l'expiration ou à la résiliation du contrat pour quelque raison que ce soit.

3.3 Le traitement peut inclure les types/catégories de données personnelles suivants : informations personnelles, y compris le nom ou l'adresse e-mail, la description du poste, l'affiliation à l'entreprise, les photos personnelles fournies, l'adresse IP, les données d'utilisation, les données de l'appareil, les données de référence, les informations provenant des cookies et des balises de page.

3,4 Les personnes concernées par le Traitement ci-dessous sont classées dans les catégories suivantes : (i) les employés du Client ; (ii) les fournisseurs du Client et (iii) les contacts commerciaux du Client.

4. Instructions pour le client

4.1 Au cours des services contractuels, le client peut fournir des instructions à Cozero en plus de celles spécifiées dans le présent accord de traitement des données en ce qui concerne le traitement des données personnelles (chacune de ces instructions ci-après, une « instruction de traitement ») en relation avec les services contractuels. Toute instruction de traitement doit être faite par écrit ou sous forme électronique. Cozero traitera les données personnelles des clients conformément aux instructions du client.

4,2 Toute instruction de traitement modifiant ou dérogeant aux termes de cet accord de traitement des données constituera une demande de modification par rapport aux conditions. Cozero négociera de bonne foi avec le client en ce qui concerne toute modification des services contractuels et/ou des frais résultant de toute instruction de traitement.

4.3 Le client est responsable de s'assurer que ses instructions de traitement sont conformes aux lois sur la protection des données.

4,4 Si Cozero estime qu'une instruction de traitement enfreint ou viole les lois sur la protection des données, Cozero en informera immédiatement le client.

5. Obligations et droits du client

5,1 Le client sera le responsable du traitement tel que défini à l'article 4, paragraphe 7, du RGPD. Le client est seul responsable de l'exactitude, de la qualité et de la légalité des données personnelles et des moyens par lesquels le client a acquis les données personnelles.

5,2 Le client tiendra un registre des activités de traitement sous la responsabilité du client conformément à l'article 30 du RGPD.

6. Obligations de Cozero

6.1 Cozero traitera les données personnelles uniquement sur les instructions documentées du client et uniquement pour la fourniture du contrat et ne traitera ni n'utilisera les données personnelles à des fins autres que celles énoncées dans le contrat ou le présent accord de traitement des données ou (ii) ne divulguera les données personnelles à des tiers autres que les sous-traitants aux fins susmentionnées ou conformément à la législation de l'Union ou des États membres à laquelle Cozero est soumise. Dans ce cas, Cozero informera le Client de cette obligation légale avant le Traitement, à moins que cette loi n'interdise ces informations pour des raisons importantes d'intérêt public.

6.2 Cozero traitera généralement les données personnelles sur le territoire de la République fédérale d'Allemagne, d'un État membre de l'Union européenne ou d'un autre signataire de l'Accord sur l'Espace économique européen. Dans certains cas, Cozero peut également transférer des données personnelles à des fournisseurs de services tiers de Cozero situés aux États-Unis d'Amérique ; veuillez consulter la liste des sous-traitants de Cozero (disponible sur https://cozero.io/subprocessors) pour plus de détails sur les fournisseurs de services tiers auxquels Cozero fait appel. Si, du point de vue du client, la réalisation d'une évaluation de l'impact du transfert s'avère nécessaire en cas de traitement de données personnelles dans un pays tiers, Cozero aidera le client à cet égard dans une mesure raisonnable et au meilleur de ses connaissances.

6,3 Cozero veillera à ce que son personnel impliqué et autorisé à traiter les données personnelles soit informé de la nature confidentielle des données personnelles et se soit engagé à respecter la confidentialité ou soit soumis à une obligation légale de confidentialité appropriée.

6,4 Cozero a désigné une déléguée à la protection des données : Anja Ruisinger, Cozero GmbH, Zionskirchstraße 73a, 10119 Berlin. La personne peut être contactée par e-mail via dpo@cozero.io.

7. Mesures techniques et organisationnelles

7.1 Lorsque Cozero traite des données personnelles pour le compte du client, Cozero prendra toutes les mesures requises conformément à l'article 32 du RGPD, et aura mis en œuvre et maintiendra certaines mesures de sécurité techniques et organisationnelles pour le traitement de ces données, telles que spécifiées à l'Annexe 1. Ces mesures visent à protéger les données personnelles contre la perte, la destruction, l'altération, la divulgation ou l'accès accidentels ou non autorisés, et contre toute autre forme illégale de traitement.

7,2 Toutes les mesures de sécurité techniques et organisationnelles sont soumises au progrès et au développement techniques. En conséquence, Cozero peut modifier ses mesures de sécurité et/ou mettre en œuvre d'autres mesures de sécurité, à condition toutefois que celles-ci ne soient pas inférieures au niveau de sécurité convenu contractuellement à l'annexe 1.

8. Droits d'audit des clients

8,1 Le Client peut, avant le début des Services Contractuels et jusqu'à une fois par an pendant l'exécution des Services Contractuels, auditer les mesures techniques et organisationnelles mises en œuvre par Cozero. Le client peut effectuer des audits plus fréquents dans la mesure requise par les lois sur la protection des données.

8,2 Au cours de cet audit, le Client peut notamment prendre les mesures suivantes : (i) le Client peut obtenir de Cozero toutes les informations nécessaires pour démontrer le respect des obligations énoncées dans le présent Contrat de traitement des données ; (ii) le Client peut demander à Cozero de lui soumettre un certificat existant établi par un auditeur tiers qualifié et (iii) le Client peut, sur accord préalable raisonnable, pendant les heures normales de bureau et sans interférer avec Cozero Opérations commerciales de Zero, effectuer une inspection sur place des parties des installations commerciales de Cozero où les données personnelles sont traitées, sous réserve des politiques de sécurité alors applicables de Cozero.

8,3 Pour demander une inspection sur place, le client doit soumettre un plan d'inspection à Cozero au moins deux semaines avant la date d'inspection proposée, décrivant l'étendue, la durée et la date de début de l'inspection proposées. Cozero examinera le plan d'inspection et fera part au Client de toute préoccupation ou question (par exemple, toute demande d'informations susceptible de compromettre la sécurité, la confidentialité, l'emploi ou d'autres politiques pertinentes de Cozero).

8,4 Si la portée de l'audit demandée est traitée dans un rapport d'audit SSAE 16/ISAE 3402 Type 2, ISO, NIST ou similaire réalisé par un auditeur tiers qualifié au cours des douze mois précédents, le client accepte d'accepter ces conclusions au lieu de demander un audit des systèmes couverts par le rapport.

8,5 Le client fournira à Cozero tous les rapports d'audit générés dans le cadre de cette section, sauf interdiction légale. Le client peut utiliser les rapports d'audit uniquement dans le but de confirmer que les mesures techniques et organisationnelles de Cozero sont conformes aux exigences du présent accord de traitement des données. Les rapports d'audit constituent des informations confidentielles des parties aux termes du Contrat.

8,6 Tous les audits sont à la charge du client. Toute demande d'assistance à Cozero pour un audit est considérée comme un service distinct.

8,7 Si un tiers doit effectuer l'audit, le tiers doit être accepté d'un commun accord par le client et Cozero et doit signer un accord de confidentialité écrit acceptable pour Cozero avant de réaliser l'audit.

9. Sous-processeurs

9.1 Cozero peut engager des sous-traitants pour l'aider à traiter les données personnelles des clients. Le Client donne son autorisation générale préalable à l'utilisation de Sous-processeurs par Cozero. Une liste des sous-processeurs est fournie sous https://cozero.io/subprocessors. Lorsque Cozero a l'intention d'ajouter ou de remplacer un sous-traitant, Cozero informera le Client de cette modification prévue, lui donnant ainsi la possibilité de s'y opposer. Si le client ne s'oppose pas dans un délai de deux semaines à compter de la notification par Cozero concernant le changement d'un sous-traitant, cela a le même effet qu'un consentement.

9,2 Cozero veillera à ce que tous ses sous-traitants soient tenus de respecter essentiellement les mêmes obligations que Cozero en vertu du présent accord de traitement des données, applicables à l'exécution des services contractuels. Cozero reste responsable à tout moment du respect des termes du présent accord de traitement des données par tous les sous-traitants engagés dans l'exécution des services contractuels au client.

9,3 Dans la mesure où Cozero travaille avec des indépendants qui ont accès aux données personnelles des clients, Cozero veille à ce que Cozero ne collabore qu'avec des indépendants fournissant des garanties suffisantes pour mettre en œuvre des mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD et garantisse la protection des droits de la personne concernée. Le traitement effectué par un travailleur indépendant est régi par un accord de traitement des données qui garantit les mêmes normes de protection des données que celles convenues entre le client et Cozero. Cozero fournira une liste des freelances sur demande.

10. Droits des personnes concernées

10.1 Lorsqu'une personne concernée demande à Cozero de corriger, supprimer ou bloquer des données personnelles, Cozero transmettra cette demande au client. Cozero ne répondra à aucune demande des personnes concernées sans le consentement écrit préalable du Client.

10,2 Lorsqu'une personne concernée demande au client de corriger, supprimer ou bloquer ses données personnelles ou de fournir des informations sur la collecte, le traitement ou l'utilisation des données personnelles dans le cadre des services contractuels et que le client n'est pas en mesure de répondre lui-même à la demande via le site Web de Cozero, Cozero aidera le client à répondre à la demande et à y répondre par des mesures techniques et organisationnelles appropriées, dans la mesure du possible, à condition que (i) le client demande à Cozero de le faire par écrit ou sous forme de texte et (ii) le Le client rembourse à Cozero les coûts et dépenses engagés pour fournir une telle assistance.

11. Suppression et renvoi des données

11,1 Cozero ne créera pas de copies ou de doublons des données personnelles des clients sans l'approbation préalable des clients. Nonobstant la phrase précédente, Cozero peut (i) créer des copies de sauvegarde, dans la mesure où ces copies de sauvegarde sont nécessaires pour garantir le traitement approprié des données personnelles, et (ii) préparer et conserver des copies des données personnelles lorsque Cozero l'exige pour se conformer à toute obligation légale de conservation et de stockage.

11,2 À la résiliation du Contrat ou à tout moment antérieur à la demande écrite du Client, Cozero supprimera, au choix du Client, les Données personnelles des systèmes de Cozero ou les renverra au Client et supprimera toutes les copies. Cozero n'est pas responsable des pertes ou dommages consécutifs à une telle suppression ou à un tel retour, et il est de la responsabilité du client de s'assurer que toutes les données personnelles dont le client a besoin sont sauvegardées ou répliquées avant la suppression ou le retour.

11,3 Si, dans le cadre des services contractuels, Cozero a reçu du client des supports de données contenant des données personnelles, Cozero retournera au client tous les supports de données encore en possession de Cozero au moment de la résiliation du contrat ou sur demande écrite du client.

11,4 Nonobstant ce qui précède, Cozero ne conservera que les données personnelles nécessaires pour se conformer à la législation européenne de Cozero ou à la législation des États membres.

12. Obligations de notification et d'assistance supplémentaire

12,1 Cozero informera le Client dans les meilleurs délais si les données personnelles font l'objet d'une perquisition et d'une saisie (gouvernementales), d'une ordonnance de saisie, d'une confiscation dans le cadre d'une procédure de faillite ou d'insolvabilité, ou d'événements ou de mesures similaires de la part de tiers sous le contrôle de Cozero.

12,2 Cozero informera le Client dans les meilleurs délais si Cozero détermine que (i) les Données personnelles ont fait l'objet d'un incident de sécurité (y compris de la part d'un employé de Cozero) ou (ii) qu'il y a eu une violation par Cozero (y compris par un employé de Cozero) des lois sur la protection des données applicables à l'exécution des Services contractuels au Client ou de l'une des dispositions énoncées dans le présent Contrat de traitement des données. Dans ce cas, Cozero enquêtera rapidement sur l'incident ou la violation de sécurité et prendra des mesures raisonnables pour identifier sa cause première et empêcher qu'il ne se reproduise.

12,3 Si, en raison d'un incident ou d'une violation de sécurité, le Client est tenu de remplir toute obligation de divulgation conformément à l'article 33 du RGPD, Cozero aidera le Client à remplir ces obligations, à condition que (i) le Client demande à Cozero de le faire sous forme de texte et (ii) le Client rembourse Cozero pour ses coûts raisonnables et documentés et les dépenses engagées pour fournir une telle assistance.

12,4 Outre les obligations d'assistance de Cozero ci-dessus, Cozero aidera le Client à garantir le respect des obligations du Client conformément aux articles 32 à 36 du RGPD, en tenant compte de la nature du Traitement et des informations dont Cozero dispose, à condition que (i) le Client demande à Cozero de le faire sous forme de texte et (ii) le Client rembourse Cozero pour ses coûts et dépenses raisonnables et documentés engagés pour fournir une telle assistance.

13. Changements

13,1 Cozero peut modifier ces conditions à tout moment pour diverses raisons, notamment pour refléter l'évolution de la législation applicable, pour refléter les mises à jour des Services contractuels ou les mesures techniques et/ou organisationnelles employées par Cozero, et pour tenir compte des nouveaux Services ou fonctionnalités.

14. Divers

14,1 Lorsque certaines dispositions du présent contrat de traitement des données sont invalides ou inapplicables, la validité et l'applicabilité des autres dispositions de ce contrat de traitement des données ne seront pas affectées.

14,2 Le présent contrat de traitement des données est soumis au droit allemand. Tout litige découlant de ou en relation avec ce contrat de traitement des données sera soumis exclusivement aux tribunaux de Berlin.

14,3 Le présent DPA est conclu de manière contraignante entre les Parties sans signature séparée comme suit : En cas de conclusion du contrat sous forme papier par une référence explicite aux Conditions d'utilisation ; en cas de conclusion du contrat en ligne par un lien vers les Conditions d'utilisation.

‍

‍

Annexe 1 - Mesures techniques et organisationnelles visant à garantir la sécurité du traitement

1. Mesures visant à garantir la confidentialité

1.1 Contrôle d'accès physique

Mesures qui empêchent physiquement les personnes non autorisées d'accéder aux systèmes informatiques et aux équipements de traitement des données utilisés pour traiter les données personnelles, ainsi qu'aux fichiers confidentiels et aux supports de stockage de données.

Description du contrôle d'accès physique :

• Serrures de sécurité sur les portes
• Sélection rigoureuse du personnel de nettoyage
• Gestion des admissions : le personnel autorisé et l'étendue de l'autorisation sont prédéfinis
• Sélection rigoureuse du personnel de sécurité
• Autres mesures prises par le fournisseur de services

1.2 Contrôle d'accès logique

Mesures visant à empêcher des personnes non autorisées de traiter ou d'utiliser des données protégées par les lois sur la confidentialité des données.

Description du système de contrôle d'accès logique :

• Limitation du nombre d'employés autorisés
• Procédure de mot de passe, c'est-à-dire informations d'identification personnelles et individuelles de l'utilisateur lors de la connexion au système (par exemple, caractères spéciaux, longueur minimale, changement régulier du mot de passe)
• Les droits des utilisateurs sont accordés de manière restrictive
• Toutes les connexions et déconnexions sont enregistrées
• Utilisation d'une politique de mot de passe centralisée

1.3 Contrôle d'accès aux données

Mesures visant à garantir que les personnes autorisées à utiliser les systèmes de traitement des données ne peuvent accéder aux données personnelles que conformément à leurs droits d'accès, afin que les données ne puissent pas être lues, copiées, modifiées ou supprimées sans autorisation pendant le traitement, l'utilisation et le stockage.

Description du contrôle d'accès aux données :

• Limitation du nombre d'employés autorisés
• Procédure de mot de passe, c'est-à-dire informations d'identification personnelles et individuelles de l'utilisateur lors de la connexion au système (par exemple, caractères spéciaux, longueur minimale, changement régulier du mot de passe)
• Tous les accès aux données sont enregistrés automatiquement
• Petit nombre d'administrateurs système
• Les enregistrements et les fichiers journaux sont analysés régulièrement

1.4 Règle de séparation

Mesures visant à garantir que les données collectées à des fins différentes sont traitées séparément et séparées des autres données et systèmes de manière à empêcher toute utilisation imprévue de ces données à d'autres fins.

Description du processus de contrôle de séparation :

• Les systèmes permettent la séparation des données (multi-tenant), les données sont séparées par un logiciel
• Les systèmes de production et les systèmes de test sont séparés les uns des autres
• Les ensembles de données ne sont accessibles que via les applications qui ont été prédéfinies
• Les droits d'utilisateur de base de données sont émis et gérés de manière centralisée

1.5 Mesures de pseudonymisation

Mesures qui réduisent les références directes à des personnes pendant le traitement, de telle sorte qu'il ne soit possible d'associer des données à une personne spécifique que si des informations supplémentaires sont incluses. Les informations supplémentaires doivent être conservées séparément du pseudonyme par des mesures techniques et organisationnelles appropriées.

Description de la pseudonymisation :

• aucun en raison du fonctionnement sur un système de serveur central

2. Mesures visant à garantir l'intégrité

2.1 Contrôle de la transmission et du transport

Mesures visant à garantir la protection de la confidentialité et de l'intégrité des données lors de la transmission de données personnelles et du transport de supports de données. En outre, des mesures visant à garantir qu'il est possible de vérifier et d'établir à quels organismes des données personnelles peuvent être ou ont été transmises ou mises à disposition à l'aide d'équipements de communication de données.

Description de la commande de transmission et de transport :

• HTTPS
• Les impressions inutiles sont supprimées
• Pas d'utilisation de supports de données physiques
• Procédures de journalisation complètes
• Pas d'utilisation de supports de données privés au travail

2.2 Contrôle des entrées

Mesures permettant de vérifier et de déterminer ultérieurement si et par qui des données personnelles ont été saisies ou modifiées dans les systèmes de traitement des données.

Description du processus de contrôle des entrées :

• Enregistrement de toutes les activités du système et conservation de ces journaux pendant au moins six mois
• Utilisation de la gestion centralisée des droits pour saisir, modifier et supprimer des données

3. Mesures visant à garantir la disponibilité et la résilience

3.1 Contrôle de disponibilité

Mesures visant à garantir la protection des données personnelles contre la destruction ou la perte accidentelles.

Description du système de contrôle de disponibilité :

• Des sauvegardes sont effectuées régulièrement et conservées pendant 120 jours.
• Un plan de sauvegarde et de restauration est en place
• Les fichiers de sauvegarde des données sont stockés dans un endroit sûr et distant, diverses mesures supplémentaires étant prises par les fournisseurs
• Localisation
• En outre, une mesure diversifiée des fournisseurs de services de serveurs

3.2 Récupération rapide

Mesures visant à garantir la capacité de rétablir rapidement la disponibilité et l'accès aux données personnelles et aux systèmes utilisés en cas d'incident physique ou technique.

Description des mesures pour un rétablissement rapide :

• Procédure de sauvegarde des données

4. Mesures visant à tester et à évaluer régulièrement la sécurité du traitement des données

Mesures visant à garantir que les données sont traitées en toute sécurité et conformément à la réglementation sur la protection des données. Mesures visant à garantir que les données personnelles traitées pour le compte du responsable du traitement ne peuvent être traitées que conformément aux instructions du responsable du traitement.

Description des mesures de contrôle des commandes :

• Implication des responsables de la protection des données pour toutes les questions liées à la protection des données
• Processus formalisés pour les incidents liés à la confidentialité des données

‍