Accord de traitement des données
Dernière mise à jour : 4 mars 2026
1. Parties
Le présent accord de traitement des données ("Accord") s'applique entre :
- Sous-traitant : Waypointer Digital BV, établi aux Pays-Bas, numéro de registre du commerce 99948710, opérant sous le nom Kanbino ("Sous-traitant")
- Responsable du traitement : l'organisation ou la personne physique qui crée et gère un espace de travail Kanbino ("Responsable du traitement")
Cet accord de traitement des données fait partie des Conditions Générales et de la Politique de Confidentialité.
2. Définitions
Les termes de cet accord ont la même signification que dans le Règlement Général sur la Protection des Données (RGPD, Règlement (UE) 2016/679), sauf définition différente ci-dessous :
- Données personnelles — toute donnée relative à une personne physique identifiée ou identifiable, traitée dans le cadre de l'utilisation de Kanbino
- Processing — any operation or set of operations performed on personal data, including collection, stockage, modification, consultation, disclosure and deletion
- Sous-traitant ultérieur — un tiers engagé par le Sous-traitant pour une partie du traitement
- Violation de données — une violation de la sécurité entraînant accidentellement ou illicitement la destruction, la perte, l'altération ou la divulgation non autorisée de données personnelles ou l'accès non autorisé à celles-ci
3. Objet et durée
Le Sous-traitant traite les données personnelles exclusivement dans le but de fournir le service Kanbino au Responsable du traitement. Le présent accord est en vigueur tant que le Responsable du traitement utilise Kanbino.
4. Catégories de personnes concernées et de données personnelles
Catégories de personnes concernées :
- Employés et membres de l'équipe du Responsable du traitement
- External utilisateurs (guests) invited by the Controller
- Contacts et clients gérés dans l'espace de travail
Catégories de données personnelles :
- Nom, adresse e-mail et informations de profil
- Content data: tasks, comments, time registrations, files and other content entered by utilisateurs
- Données techniques : adresse IP, informations du navigateur et activité de connexion
5. Obligations du Sous-traitant
Le Sous-traitant s'engage à :
- Traiter les données personnelles exclusivement sur la base des instructions écrites du Responsable du traitement, sauf si une obligation légale l'exige autrement
- Veiller à ce que les personnes ayant accès aux données personnelles soient soumises à une obligation de confidentialité
- Mettre en œuvre des mesures techniques et organisationnelles de sécurité appropriées (voir article 8)
- Assister le Responsable du traitement dans l'exécution de ses obligations au titre des articles 32 à 36 du RGPD (sécurité, violations de données, AIPD)
- After completion of processing services, at the Controller's choice, delete or return all personal data, unless stockage is legally required
- Mettre à disposition toutes les informations nécessaires pour démontrer la conformité avec le présent accord, et permettre les audits et inspections par ou pour le compte du Responsable du traitement
6. Sous-traitants ultérieurs
Le Sous-traitant fait appel aux sous-traitants ultérieurs suivants :
| Sous-traitant ultérieur | Finalité | Localisation |
|---|---|---|
| Hetzner Online GmbH | Server hosting and data stockage | Falkenstein, Allemagne (UE) |
| Scaleway SAS | File stockage (S3 object stockage) | Amsterdam, Pays-Bas (UE) |
| BunnyWay d.o.o. (Bunny.net) | Réseau de diffusion de contenu (CDN) | Ljubljana, Slovénie (UE) |
| Stripe Inc. | Traitement des paiements | États-Unis (clauses contractuelles types de l'UE) |
Le Responsable du traitement donne par la présente son consentement écrit général pour le recours à des sous-traitants ultérieurs. Le Sous-traitant informera le Responsable du traitement à l'avance de tout changement prévu concernant les sous-traitants ultérieurs, permettant au Responsable du traitement de s'y opposer. Des accords de traitement des données ont été conclus avec tous les sous-traitants ultérieurs.
7. Transferts hors de l'UE/EEE
Le traitement principal a lieu au sein de l'Union européenne (Hetzner, Allemagne). Pour les sous-traitants ultérieurs situés hors de l'UE/EEE, des garanties appropriées ont été mises en place au moyen de clauses contractuelles types de l'UE (CCT) conformément à l'article 46, paragraphe 2, point c) du RGPD.
8. Mesures de sécurité
Le Sous-traitant met en œuvre notamment les mesures techniques et organisationnelles suivantes :
- Chiffrement — toutes les connexions via TLS/HTTPS ; les mots de passe sont stockés hachés (bcrypt)
- Contrôle d'accès — contrôle d'accès basé sur les rôles ; les employés n'ont accès qu'aux données nécessaires à leur fonction
- Sauvegardes — sauvegardes automatiques quotidiennes, stockées au sein de l'UE
- Surveillance — surveillance continue de la disponibilité et des incidents de sécurité
- Mises à jour — mises à jour de sécurité régulières du système d'exploitation et de l'application
- Isolation — séparation stricte des données des locataires au niveau applicatif
9. Violations de données
En cas de violation de données, le Sous-traitant :
- Informera le Responsable du traitement sans délai et dans les 48 heures suivant la découverte
- Décrira la nature de la violation de données, y compris les catégories et le nombre estimé de personnes concernées
- Décrira les conséquences probables
- Communiquera les mesures prises et proposées pour remédier à la violation de données et en atténuer les effets négatifs
- Apportera toute la coopération nécessaire au Responsable du traitement pour remplir ses obligations de notification (articles 33 et 34 du RGPD)
10. Assistance au Responsable du traitement
Le Sous-traitant assiste le Responsable du traitement pour :
- Répondre aux demandes des personnes concernées (accès, rectification, effacement, portabilité, opposition)
- Réaliser une analyse d'impact relative à la protection des données (AIPD), le cas échéant
- Satisfaire à l'obligation de notification auprès de l'Autorité de protection des données
11. Audit
Le Responsable du traitement a le droit, à ses frais et moyennant un préavis raisonnable, de réaliser ou de faire réaliser des audits pour vérifier le respect du présent accord. Le Sous-traitant apporte toute coopération raisonnable. Les audits ont lieu au maximum une fois par an, sauf en cas de motif justifiant un audit supplémentaire (par ex. après une violation de données).
12. Conservation et suppression
Après la fin de l'accord, le Sous-traitant supprime toutes les données personnelles dans un délai de 30 jours, sauf si :
- Le Responsable du traitement demande la restitution des données (dans un format courant et lisible par machine)
- La conservation est légalement requise (par ex. obligation de conservation fiscale)
Le Sous-traitant confirme la suppression par écrit sur demande.
13. Responsabilité
Les Conditions Générales s'appliquent à cet accord. En cas de contradiction, cet accord prévaut.
14. Droit applicable et litiges
Le présent accord est régi par le droit néerlandais. Les litiges seront soumis au tribunal compétent aux Pays-Bas.
15. Contact
Pour toute question concernant cet accord de traitement des données :
Waypointer Digital BV
E-mail : privacy@kanbino.com