Introduction

Le présent Accord de traitement des données (« ATD ») fait partie de l'accord entre ZeroSuite, INC. (« Sous-traitant ») et l'entité accédant aux services API ZeroSuite (« Responsable du traitement »).

Cet ATD est conclu conformément à l'article 28 du Règlement général sur la protection des données (RGPD) et régit le traitement des données personnelles par ZeroSuite pour le compte du Responsable du traitement.

1. Définitions

• « Données personnelles » : toute information se rapportant à une personne physique identifiée ou identifiable, au sens de l'article 4(1) du RGPD.
• « Traitement » : toute opération effectuée sur des données personnelles, au sens de l'article 4(2) du RGPD.
• « Responsable du traitement » : l'entité cliente qui détermine les finalités et les moyens du traitement des données personnelles.
• « Sous-traitant » : ZeroSuite, INC., qui traite les données personnelles pour le compte du Responsable du traitement.
• « Sous-traitant ultérieur » : tout prestataire tiers engagé par ZeroSuite pour traiter des données personnelles pour le compte du Responsable du traitement.
• « Personne concernée » : la personne physique à laquelle se rapportent les données personnelles.
• « Violation de données » : une violation de la sécurité entraînant la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès non autorisé à des données personnelles.

2. Champ d'application et application

Le présent ATD s'applique lorsque ZeroSuite traite des données personnelles pour le compte du Responsable du traitement dans le cadre des services suivants :

• 0fee.dev : données de transaction, informations de paiement des clients finaux.
• otpx.dev : numéros de téléphone, adresses électroniques pour l'authentification.
• 0seat.dev : données des participants aux événements.
• 0cron.dev : données traitées dans le cadre des tâches planifiées.
• 0sh.dev : données stockées et traitées via la plateforme de déploiement.
• 0sql.dev : données stockées dans les bases de données gérées.

3. Obligations du Responsable du traitement

Le Responsable du traitement s'engage à :

• Traiter les données personnelles conformément au RGPD et aux lois applicables en matière de protection des données.
• Fournir des instructions légales et documentées concernant le traitement des données personnelles.
• S'assurer de disposer d'une base juridique valide pour le traitement (consentement, contrat, intérêt légitime, etc.).
• Informer les personnes concernées du traitement de leurs données conformément aux articles 13 et 14 du RGPD.
• Répondre aux demandes d'exercice des droits des personnes concernées, avec l'assistance de ZeroSuite si nécessaire.

4. Obligations du Sous-traitant (ZeroSuite)

ZeroSuite s'engage à :

• Traiter les données personnelles uniquement sur instruction documentée du Responsable du traitement, sauf obligation légale contraire.
• Garantir que les personnes autorisées à traiter les données se sont engagées à respecter la confidentialité.
• Mettre en œuvre les mesures techniques et organisationnelles décrites à la section 7 du présent ATD.
• Aider le Responsable du traitement à répondre aux demandes d'exercice des droits des personnes concernées.
• Aider le Responsable du traitement à respecter ses obligations en matière de sécurité, de notification de violation et d'analyse d'impact.
• Supprimer ou restituer les données personnelles à la fin du contrat, au choix du Responsable du traitement.
• Mettre à disposition du Responsable du traitement toutes les informations nécessaires pour démontrer la conformité au présent ATD.

5. Sous-traitants ultérieurs

ZeroSuite fait appel aux sous-traitants ultérieurs suivants pour la fourniture de ses services :

ZeroSuite s'engage à informer le Responsable du traitement de tout ajout ou remplacement de sous-traitant ultérieur, en lui laissant un délai de 30 jours pour émettre des objections. En cas d'objection légitime, ZeroSuite s'efforcera de proposer une alternative ou permettra au Responsable du traitement de résilier le contrat.

6. Droits des personnes concernées

ZeroSuite s'engage à assister le Responsable du traitement dans la gestion des demandes des personnes concernées, y compris :

• Droit d'accès (article 15 du RGPD)
• Droit de rectification (article 16 du RGPD)
• Droit à l'effacement (article 17 du RGPD)
• Droit à la limitation du traitement (article 18 du RGPD)
• Droit à la portabilité des données (article 20 du RGPD)
• Droit d'opposition (article 21 du RGPD)

Si ZeroSuite reçoit directement une demande d'une personne concernée, elle en informera le Responsable du traitement dans les meilleurs délais et ne répondra pas directement à la personne concernée sans instruction du Responsable du traitement, sauf obligation légale.

7. Mesures de sécurité

ZeroSuite met en œuvre les mesures techniques et organisationnelles suivantes pour protéger les données personnelles :

• Chiffrement en transit : TLS 1.3 pour toutes les communications.
• Chiffrement au repos : AES-256 pour toutes les données stockées.
• Gestion des accès : contrôle d'accès basé sur les rôles (RBAC), principe du moindre privilège.
• Hachage des mots de passe : bcrypt avec facteur de coût adapté.
• Surveillance : surveillance continue des systèmes et détection d'anomalies.
• Sauvegardes : sauvegardes régulières et chiffrées.
• Tests de sécurité : tests de pénétration réguliers et analyse de vulnérabilités.
• Formation : sensibilisation du personnel aux bonnes pratiques de protection des données.

8. Transferts de données

Lorsque le traitement implique un transfert de données personnelles en dehors de l'Espace économique européen (EEE), ZeroSuite s'assure qu'un mécanisme de transfert adéquat est en place :

• Clauses contractuelles types (CCT) approuvées par la Commission européenne (Décision 2021/914).
• Décisions d'adéquation, le cas échéant.
• Évaluation d'impact sur les transferts (Transfer Impact Assessment) pour chaque pays tiers.
• Mesures supplémentaires conformément aux recommandations du CEPD (Comité européen de la protection des données).

9. Conservation et suppression des données

À la fin de la relation contractuelle, et sur instruction du Responsable du traitement, ZeroSuite :

• Restitue toutes les données personnelles au Responsable du traitement dans un format structuré et lisible par machine (JSON, CSV) ; ou
• Supprime de manière irréversible toutes les données personnelles dans un délai de 30 jours, sauf obligation légale de conservation.
• Fournit un certificat de suppression sur demande.

10. Droits d'audit

Le Responsable du traitement dispose du droit de vérifier la conformité de ZeroSuite au présent ATD :

• ZeroSuite met à disposition les rapports d'audit et certifications existants (SOC 2 Type II en cours de préparation, prévu T4 2026).
• Le Responsable du traitement peut mandater un auditeur indépendant, sous réserve d'un préavis de 30 jours et d'un accord de confidentialité.
• ZeroSuite coopère pleinement avec les audits et fournit toute information raisonnablement nécessaire.
• Les audits sont limités à une fois par an, sauf incident justifiant un audit supplémentaire.

11. Responsabilité

La responsabilité de chaque partie au titre du présent ATD est soumise aux limitations de responsabilité prévues dans les Conditions générales d'utilisation.

Chaque partie est responsable des dommages causés par un traitement non conforme au RGPD, dans les conditions prévues à l'article 82 du RGPD.

12. Pour signer un ATD

Si votre entreprise souhaite conclure un ATD individuel avec ZeroSuite, veuillez envoyer un courrier électronique à :

[email protected]
Objet : « Demande ATD — [Nom de l'entreprise] »

Veuillez inclure le nom de votre entreprise, le ou les services ZeroSuite utilisés et les coordonnées de votre délégué à la protection des données (DPO). Nous nous engageons à répondre dans un délai de 5 jours ouvrables.

13. Contact

Pour toute question relative au présent Accord de traitement des données, veuillez nous contacter :

ZeroSuite, INC.
Délégué à la protection des données
Courriel : [email protected]
Confidentialité : [email protected]
Delaware, États-Unis • Abidjan, Côte d'Ivoire