Accord de sous-traitance RGPD

Article 1 — Objet et définitions

Le présent accord (« DPA ») a pour objet de définir les conditions dans lesquelles Qwease (le « Sous-traitant ») traite, pour le compte du Client (le « Responsable de traitement »), les données à caractère personnel nécessaires à la fourniture du service Qwease (le « Service »).

Les notions utilisées dans le présent DPA — « données à caractère personnel », « traitement », « responsable de traitement », « sous-traitant », « sous-traitant ultérieur », « violation de données », « personne concernée » — ont le sens qui leur est donné par le Règlement (UE) 2016/679 (« RGPD »).

Article 2 — Nature, finalité et durée du traitement

Qwease traite les données à caractère personnel uniquement pour les finalités suivantes :

• fournir et maintenir le Service tel que décrit dans les CGV/CGVU ;
• permettre au Client de gérer ses tickets, son parc, ses utilisateurs finaux et sa base de connaissance via la plateforme ;
• assurer la sécurité, la disponibilité et l'amélioration technique du Service ;
• répondre aux demandes du Client (support, assistance technique, accompagnement).

La durée du traitement correspond à la durée du contrat de Service, augmentée des durées de conservation prévues par la loi (notamment les obligations comptables). À la fin du contrat, les données sont supprimées ou restituées dans les conditions de l'article 12.

Article 3 — Catégories de données et de personnes concernées

Les catégories de données traitées et de personnes concernées dépendent de l'usage que le Client fait du Service. À titre indicatif, elles peuvent inclure :

• Données d'identification et de contact : nom, prénom, fonction, adresse e-mail professionnelle, numéro de téléphone professionnel ;
• Données de parc : noms d'équipements, numéros de série, configuration matérielle ou logicielle ;
• Données de tickets : contenu des tickets, commentaires, pièces jointes saisies par les agents ou utilisateurs finaux ;
• Données techniques : logs d'authentification, adresses IP, identifiants de session.

Les personnes concernées sont typiquement les agents (techniciens, administrateurs) et les utilisateurs finaux (collaborateurs ou clients du Client) interagissant avec le Service.

Le Client s'interdit de saisir dans le Service des catégories particulières de données (article 9 RGPD : santé, opinions politiques, données biométriques…) sauf accord préalable écrit avec Qwease portant sur des mesures additionnelles.

Article 4 — Obligations du Sous-traitant

Qwease s'engage à :

1. ne traiter les données qu'aux seules fins prévues à l'article 2 et sur instructions documentées du Client (le contrat de Service constituant l'instruction principale) ;
2. informer immédiatement le Client si une instruction lui paraît contraire au RGPD ou à toute autre disposition européenne ou nationale relative à la protection des données ;
3. garantir la confidentialité des données traitées en s'assurant que les personnes autorisées à les traiter s'engagent à la confidentialité ;
4. mettre en œuvre les mesures techniques et organisationnelles décrites à l'article 5 ;
5. respecter les conditions de l'article 7 pour le recours à des sous-traitants ultérieurs ;
6. assister le Client dans la mise en œuvre des droits des personnes (article 9), des analyses d'impact (AIPD) et des consultations préalables ;
7. notifier le Client de toute violation de données dans les conditions de l'article 10 ;
8. coopérer avec l'autorité de contrôle (CNIL) sur demande motivée.

Article 5 — Mesures techniques et organisationnelles

Qwease met en œuvre des mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté au risque, conformément à l'article 32 RGPD. Ces mesures incluent notamment :

• Chiffrement : TLS 1.2 minimum en transit, AES-256 au repos via le service de gestion de clés AWS KMS ;
• Cloisonnement : isolation par tenant client en base (un tenant dédié par client Qwease) et cloisonnement logique configurable au sein du tenant (populations, périmètres d'accès, droits granulaires) ;
• Authentification : SSO SAML 2.0 disponible, hash de mot de passe via Argon2id, API keys révocables ;
• Permissions : modèle de droits granulaires par module et par périmètre, principe du moindre privilège pour les accès internes ;
• Sauvegardes : sauvegardes quotidiennes chiffrées, conservées 14 jours minimum, dans la région d'hébergement (Europe — Paris) ;
• Journalisation : journal d'audit applicatif sur les actions sensibles (tickets, utilisateurs, KB), revue régulière des logs d'accès ;
• Sécurité des développeurs : revue de code, séparation des environnements, accès aux environnements de production tracé et limité ;
• Plan de continuité : documentation des procédures de reprise après sinistre, exercices internes périodiques.

Cette liste n'est pas limitative. Une description plus détaillée peut être communiquée sur demande dans le cadre d'un questionnaire sécurité.

Article 6 — Hébergement et transferts hors UE

Les données traitées par Qwease sont hébergées sur l'infrastructure d'Amazon Web Services EMEA SARL, dans la région Europe (Paris) — code eu-west-3. Aucun transfert structurel hors de l'Union européenne n'est mis en œuvre par Qwease pour le stockage primaire ni pour les sauvegardes.

AWS étant une société soumise au droit américain, le risque Cloud Act est documenté dans la politique de confidentialité. Toute réquisition d'autorité non européenne fait l'objet d'une notification au Client dans la limite du légalement possible.

Pour les sous-traitants ultérieurs susceptibles de transférer des données hors UE, les transferts sont encadrés par les Clauses Contractuelles Types (CCT) de la Commission européenne et, le cas échéant, par des mesures supplémentaires (chiffrement, pseudonymisation).

Article 7 — Sous-traitants ultérieurs

Le Client autorise Qwease à recourir aux sous-traitants ultérieurs listés sur la page Sous-traitants. Cette liste est tenue à jour ; toute évolution (ajout, remplacement) est communiquée au moins 30 jours avant sa prise d'effet, sauf en cas d'urgence sécuritaire.

Le Client peut s'opposer à un changement pour motif légitime tenant à la protection des données. À défaut d'accord, il peut résilier le contrat de Service sans frais avant la prise d'effet du changement.

Qwease impose à chaque sous-traitant ultérieur des obligations contractuelles de protection des données équivalentes à celles du présent DPA.

Article 8 — Droits des personnes concernées

Les personnes concernées peuvent exercer leurs droits (accès, rectification, effacement, limitation, portabilité, opposition) directement auprès du Client, en sa qualité de responsable de traitement.

Si une personne concernée s'adresse directement à Qwease, Qwease oriente la demande vers le Client dans les meilleurs délais. Qwease assiste le Client dans la mise en œuvre effective des droits, notamment en mettant à disposition les fonctionnalités d'export, de purge et de correction nécessaires.

Article 9 — Assistance et coopération

Qwease assiste raisonnablement le Client dans le respect de ses propres obligations RGPD :

• réponse aux demandes des personnes concernées ;
• réalisation d'analyses d'impact relatives à la protection des données (AIPD) ;
• consultations préalables auprès de l'autorité de contrôle ;
• fourniture des informations nécessaires pour démontrer la conformité.

Article 10 — Violation de données

En cas de violation de données à caractère personnel, Qwease informe le Client dans un délai maximal de 48 heures à compter de sa connaissance effective de la violation. La notification précise :

• la nature de la violation et les catégories de données concernées ;
• le nombre approximatif de personnes et d'enregistrements affectés ;
• les conséquences probables ;
• les mesures prises ou proposées pour y remédier et en limiter les effets.

Qwease coopère avec le Client pour permettre, le cas échéant, la notification à l'autorité de contrôle (article 33 RGPD) et aux personnes concernées (article 34 RGPD).

Article 11 — Audit

Qwease met à disposition du Client toute information nécessaire pour démontrer le respect du présent DPA et permet la conduite d'audits, y compris des inspections, par le Client ou un auditeur mandaté par lui.

Pour préserver la sécurité des autres clients, ces audits :

• font l'objet d'un préavis raisonnable (30 jours minimum, sauf urgence) ;
• sont limités à un par an, sauf incident grave ;
• respectent un engagement de confidentialité ;
• ne peuvent porter atteinte au fonctionnement du Service.

Qwease peut, à sa convenance, satisfaire à ces obligations en mettant à disposition des rapports d'audit indépendants ou des questionnaires sécurité documentés.

Article 12 — Réversibilité et fin du contrat

À la fin du contrat de Service, Qwease procède, au choix du Client, à :

• la restitution des données dans un format structuré, courant et lisible par machine (CSV, JSON), à télécharger depuis l'interface ;
• la suppression des données dans un délai de 30 jours après la fin du contrat, sauf obligation légale de conservation.

Les sauvegardes contenant des données personnelles sont purgées dans le cycle habituel de rotation (au maximum 90 jours après la fin du contrat).

Article 13 — Durée et résiliation

Le présent DPA prend effet à compter de l'acceptation du contrat de Service par le Client et reste en vigueur tant que Qwease traite des données pour le compte du Client. Sa résiliation s'aligne sur celle du contrat de Service principal, sauf si la loi exige une période plus longue.

Article 14 — Annexes

Les éléments suivants font partie intégrante du DPA et sont publiés sur notre site :

• Annexe 1 — Sous-traitants ultérieurs : /sous-traitants.
• Annexe 2 — Mesures de sécurité détaillées : /securite.
• Annexe 3 — Politique de confidentialité : /confidentialite.

Article 15 — Contact

Toute question relative au présent DPA peut être adressée à :

• Adresse RGPD/DPO : privacy@qwease.fr ;
• Contact général : contact@qwease.fr.

Ce document est une version publique informative. La version contractuelle signée prévaut. Pour obtenir une version PDF nominative, écrivez-nous à privacy@qwease.fr.