Accord de traitement des données.

Le présent Accord de traitement des données (« ATD ») fait partie intégrante des Conditions d'utilisation de Smarteaming conclues entre MBP Enterprises LTD, société immatriculée en Angleterre et au Pays de Galles (numéro d'immatriculation 16058795), dont le siège social est situé 128 City Road, Londres, EC1V 2NX, Royaume-Uni (« Smarteaming », agissant en qualité de sous-traitant) et le client souscrivant au service Smarteaming (« Client », agissant en qualité de responsable du traitement). Il s'applique à l'ensemble des traitements de données à caractère personnel effectués par Smarteaming pour le compte du Client via le site vitrine, l'application web, l'application mobile et l'API Smarteaming. En cas de conflit avec les Conditions d'utilisation, le présent ATD prévaut pour les questions relatives à la protection des données.

Les termes non définis dans le présent ATD ont le sens qui leur est donné par le règlement (UE) 2016/679 (le « RGPD ») et, le cas échéant, par le UK Data Protection Act 2018 (le « RGPD UK »). Les termes « Données à caractère personnel », « Personne concernée », « Traitement », « Responsable du traitement », « Sous-traitant », « Sous-traitant ultérieur » et « Violation de données à caractère personnel » ont le sens donné par le RGPD. « Données personnelles du Client » désigne les données à caractère personnel traitées par Smarteaming pour le compte du Client via le service.

Smarteaming traite les Données personnelles du Client uniquement pour fournir les fonctionnalités de planification, de confirmation de shifts, de suivi du temps, d'export paie, de gestion des absences, d'administration de compte et les fonctionnalités associées du service, pour transmettre les notifications transactionnelles aux utilisateurs et pour assurer le support du Client. Le traitement est effectué par des moyens automatisés.

Les catégories de Données personnelles du Client traitées dans le cadre du présent ATD comprennent généralement : (a) données d'identification — prénom, nom, adresse e-mail, numéro de téléphone, photo de profil, préférence linguistique ; (b) données d'emploi — rôles attribués, compétences, plannings, confirmations de shifts, demandes de congés, relevés d'heures, taux salariaux saisis par le Client ; (c) données techniques — adresse IP, type d'appareil, jeton de notification push ; et (d) lorsque le Client active la fonctionnalité paie, des données financières limitées telles que l'IBAN. Les catégories de personnes concernées incluent les salariés, prestataires et administrateurs autorisés du Client.

Smarteaming traite les Données personnelles du Client pendant la durée du contrat d'abonnement conclu entre Smarteaming et le Client et pendant une période maximale de trente (30) jours à l'issue du contrat, aux fins de restitution ou de suppression prévues à la section « Restitution et suppression » ci-dessous, sauf lorsqu'une durée de conservation plus longue est imposée par la loi applicable.

Smarteaming traite les Données personnelles du Client uniquement sur la base des instructions documentées du Client, y compris celles énoncées dans le présent ATD, dans les Conditions d'utilisation et résultant du paramétrage et de l'utilisation des fonctionnalités du service par le Client. Smarteaming informe le Client sans délai si, selon lui, une instruction constitue une violation du RGPD ou de toute autre disposition applicable en matière de protection des données.

Smarteaming veille à ce que le personnel autorisé à traiter les Données personnelles du Client soit tenu à une obligation de confidentialité appropriée, qu'elle soit de nature contractuelle ou statutaire. L'accès aux Données personnelles du Client est accordé selon le principe strict du besoin d'en connaître.

Compte tenu de l'état des connaissances, des coûts de mise en œuvre, de la nature, de la portée, du contexte et des finalités du traitement, ainsi que des risques pour les personnes concernées, Smarteaming met en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque. Ces mesures sont décrites à la section « Annexe II : Mesures techniques et organisationnelles » ci-dessous.

Le Client accorde à Smarteaming une autorisation générale de recourir aux sous-traitants ultérieurs listés dans la section « Annexe III : Sous-traitants ultérieurs approuvés » aux fins décrites ci-dessus. Smarteaming informe le Client au moins trente (30) jours à l'avance de tout ajout ou remplacement envisagé d'un sous-traitant ultérieur, donnant au Client la possibilité de s'y opposer pour des motifs raisonnables liés à la protection des données. Lorsque l'opposition du Client ne peut être résolue, le Client peut résilier la partie du service concernée. Smarteaming impose à chaque sous-traitant ultérieur des obligations de protection des données substantiellement équivalentes à celles du présent ATD.

Les Données personnelles du Client sont principalement stockées sur des serveurs DigitalOcean situés à Francfort, en Allemagne (Union européenne). Certains sous-traitants ultérieurs (Mailgun et Expo Push Service) peuvent traiter des données limitées en dehors de l'Espace économique européen. Lorsque des Données personnelles du Client sont transférées en dehors de l'EEE, Smarteaming s'appuie sur les clauses contractuelles types de la Commission européenne établies par la décision d'exécution (UE) 2021/914, ou sur la certification du destinataire dans le cadre du Cadre de protection des données UE-États-Unis, le cas échéant.

Compte tenu de la nature du traitement, Smarteaming aide le Client, par des mesures techniques et organisationnelles appropriées, dans la mesure du possible, à s'acquitter de son obligation de donner suite aux demandes des personnes concernées exerçant leurs droits au titre du chapitre III du RGPD (accès, rectification, effacement, limitation, portabilité, opposition, et droit de ne pas faire l'objet d'une décision individuelle automatisée). Lorsqu'une personne concernée s'adresse directement à Smarteaming concernant des Données personnelles du Client, Smarteaming transmet la demande au Client sans délai et ne répond pas à la personne concernée, sauf pour la renvoyer vers le Client, à moins d'instructions contraires.

Smarteaming notifie le Client sans délai, et en tout état de cause dans un délai de soixante-douze (72) heures après en avoir pris connaissance, de toute Violation de données à caractère personnel affectant les Données personnelles du Client. La notification contient, dans la mesure où cela est connu, la nature de la violation, les catégories et le nombre approximatif de personnes concernées et d'enregistrements affectés, les conséquences probables, ainsi que les mesures prises ou proposées pour y remédier et en atténuer les effets négatifs. La notification est envoyée au contact administratif renseigné par le Client.

Lorsque cela est raisonnablement demandé et aux frais du Client, Smarteaming assiste le Client dans la réalisation d'analyses d'impact relatives à la protection des données et dans les consultations préalables auprès des autorités de contrôle au titre des articles 35 et 36 du RGPD, en tenant compte de la nature du traitement et des informations dont dispose Smarteaming.

Smarteaming met à la disposition du Client, sur demande écrite raisonnable et préalable, les informations nécessaires pour démontrer le respect du présent ATD et de l'article 28 du RGPD, et permet la réalisation d'audits, y compris des inspections, menés par le Client ou un auditeur tiers mandaté et soumis à des obligations de confidentialité. Les audits sont réalisés au maximum une fois par année civile (sauf lorsqu'ils sont requis à la suite d'une violation de données substantielle ou par une autorité de contrôle), pendant les heures normales de bureau, moyennant un préavis raisonnable et d'une manière qui ne perturbe pas déraisonnablement le service. Les frais d'audit sont à la charge de la partie demanderesse.

Au choix du Client, Smarteaming supprime ou restitue l'ensemble des Données personnelles du Client à l'issue de la prestation du service et détruit les copies existantes, sauf lorsque la conservation des Données personnelles du Client est imposée par le droit de l'Union ou le droit d'un État membre. La restitution ou la suppression est effectuée dans un délai de trente (30) jours suivant la demande écrite du Client après la résiliation, sous réserve des obligations légales de conservation (par exemple, les documents comptables devant être conservés pendant six ans en droit fiscal britannique).

La responsabilité de chaque partie découlant ou relative au présent ATD, qu'elle soit contractuelle, délictuelle ou fondée sur tout autre régime de responsabilité, est soumise aux limitations et exclusions de responsabilité prévues par les Conditions d'utilisation.

Objet : fourniture du service Smarteaming tel que décrit à la section « Nature et finalité du traitement ». Durée : durée du contrat d'abonnement, augmentée de la période nécessaire à la restitution ou à la suppression. Nature et finalité du traitement : telles que décrites à la section « Nature et finalité du traitement ». Catégories de données à caractère personnel et de personnes concernées : telles que décrites à la section « Catégories de données et personnes concernées ». Fréquence du traitement : continue.

Contrôle d'accès : accès fondé sur les rôles avec comptes authentifiés uniques et principe du moindre privilège. Chiffrement : TLS 1.2 ou supérieur pour les données en transit ; hachage des mots de passe utilisateurs avec des algorithmes adaptatifs conformes à l'état de l'art. Sécurité applicative : en-têtes Content Security Policy avec nonces par requête, HTTP Strict Transport Security (HSTS) en production. Sécurité réseau et infrastructure : serveurs durcis, règles de pare-feu, revues de sécurité régulières, contrôles de sécurité physique hérités de centres de données UE certifiés opérés par DigitalOcean. Sauvegardes : sauvegardes chiffrées des données de production, conservées selon un calendrier de rétention interne. Journalisation et supervision : journaux applicatifs et journaux d'accès à visibilité restreinte au personnel autorisé. Personnel : obligations de confidentialité pour tous les collaborateurs ayant accès aux Données personnelles du Client, et pratiques de sensibilisation à la sécurité.

DigitalOcean, LLC — hébergement cloud et infrastructure de base de données, Francfort (Allemagne, UE). Stripe Payments Europe, Limited — traitement des paiements d'abonnement ; Stripe traite les données de facturation en tant que responsable de traitement indépendant selon sa propre politique de confidentialité. Mailgun (groupe Sinch) — envoi des e-mails transactionnels, États-Unis. Expo Push Service (opéré par 650 Industries, Inc.) — envoi de notifications push mobiles, États-Unis. Google Ireland Limited — suivi des conversions sur le site vitrine, activé uniquement avec le consentement marketing du visiteur. Une liste à jour est disponible sur demande à contact@smarteaming.com.

Le présent ATD est régi par le droit anglais et gallois. Les litiges découlant du présent ATD ou s'y rapportant relèvent de la compétence exclusive des tribunaux de Londres, Angleterre, sauf lorsqu'une règle impérative en dispose autrement en faveur de la protection des personnes concernées. Pour toute question relative au présent ATD, contactez : MBP Enterprises LTD, 128 City Road, Londres, EC1V 2NX, Royaume-Uni — e-mail : contact@smarteaming.com.