POLITIQUE DE CONFIDENTIALITE et RGPD / DPA
1. Responsable du traitement
Les données personnelles collectées sur le site sont traitées par :
Office Expert
32, chemin de la Mare
95350 SAINT-BRICE-SOUS-FORET
contact@officexpert.fr
0134380026
Le responsable du traitement détermine les finalités et les moyens du traitement des données.
2. Données collectées
Les données susceptibles d’être collectées sont :
- Titre, poste, nom complet, prénom
- Adresse e-mail
- Numéro de téléphone
- Informations transmises via les formulaires
- En cas d’utilisation de Cookies : 12 mois maximum
3. Finalités des traitements
Les données sont collectées pour :
- répondre aux demandes de contact
- gérer la relation client
- établir des devis ou prestations
- assurer le suivi commercial
- améliorer les services et le site internet
4. Base légale du traitement
Les traitements de données reposent sur les bases légales suivantes :
- le consentement de l’utilisateur, notamment lors de l’envoi de formulaires ou de l’acceptation des cookies ;
- l’exécution de mesures précontractuelles ou contractuelles, notamment pour répondre aux demandes et gérer la relation client ;
- l’intérêt légitime de l’entreprise, notamment pour assurer la sécurité du site internet, prévenir les fraudes et assurer le suivi commercial.
5. Destinataires des données
Les données sont accessibles au personnel habilité et aux prestataires techniques, notamment l’hébergeur du site internet, les outils de gestion et les prestataires informatiques. Elles ne sont jamais vendues.
6. Durée de conservation
- Prospects : quatre vingt dix jour après le dernier contact
- Clients : au plus tard dans un délai de quatre-vingt-dix (90) jours de la résiliation du Contrat ou après la période maximale de conservation des données autorisée par la technologie du Service Cloud concerné. Dans le cas où le Client demande que les Données Personnelles soient retournées au Client ou à un tiers, le Client paiera à OFFICE EXPERT tous les coûts et dépenses supplémentaires découlant de ce retour des Données Personnelles.
- En cas d’utilisation de Cookies : 12 mois maximum
7. Sécurité des données
Des mesures techniques et organisationnelles sont mises en œuvre pour protéger les données, notamment la sécurisation des accès, la limitation des habilitations et la protection des systèmes informatiques.
Les données sont hébergées au sein de l’Union Européenne (UE).
En cas de transfert hors UE, des garanties appropriées seraient mises en place.
Vos données sont traitées et conservées sur notre site Internet hébergé chez Amazon Web Services, sur le territoire de l’Union Européenne ou dans l’un de leurs Data Center (https://aws.amazon.com/fr/about-aws/global-infrastructure/), mais AWS est conforme à la réglementation RGPD comme le précise leur site : https://aws.amazon.com/fr/compliance/gdpr-center/
8. Vos droits
Conformément à la loi 78-17 du 6 janvier 1978, vous disposez d'un droit d'accès, de rectification, d'opposition et de suppression que vous pouvez exercer à tout moment. Pour toute information ou exercice de vos droits Informatique et Libertés sur les traitements de données personnelles gérés par Office Expert, vous pouvez contacter son délégué à la protection des données (DPO), Mr Maurice DAVILA :
• par courriel à contact@officexpert.fr
• par courrier signé, accompagné de la copie d’un titre d’identité à l'adresse suivante :
Office Expert
A l'attention du délégué à la protection des données (DPO)
32 Chemin de la Mare
95350 Saint-Brice-sous-Forêt
• Par téléphone : 01 34 38 00 26
Vous disposez également du droit d’introduire une réclamation auprès de la CNIL à:
Commission Nationale de l'Informatique et des Libertés
3 Place de Fontenoy
TSA 80715
75334 PARIS CEDEX 07
8.1 Droit à l’effacement et à l’oubli
Lorsque vos données ne sont pas indispensables pour un contrat ou un service vous pouvez demander leur effacement. Nous nous efforçons de limiter automatiquement la conservation de vos données en fonction des finalités et des durées de prescriptions applicables.
8.2 Droit à une limitation du traitement
Lorsque les données ne sont pas nécessaires ou ne sont plus nécessaires dans notre relation contractuelle, vous pouvez demander la limitation de leur traitement.
8.3 Droit de retirer votre consentement
Pour tous les traitements pour lesquels votre consentement explicite a été recueilli, vous avez le droit de retirer ce consentement sans que cela n’entraîne de conséquences négatives pour vous. C’est par exemple le cas pour les offres personnalisées que nous vous adressons dans le cadre de la prospection commerciale.
8.4 Portabilité
Vous pouvez demander la communication des données qui vous concernent dans un format informatique ou nous demander de les adresser à une autre personne. Ce droit ne s'applique qu'aux données qui vous concernent et que vous nous avez fournies dans le cadre de vos contrats ou avec votre consentement.
8.5 Droit d’opposition
Dans certains cas, vous pouvez vous opposer au traitement de vos données personnelles en fonction de votre situation particulière sans renoncer au bénéfice de votre contrat.
Ce droit vous est garanti de façon inconditionnelle lorsque vos données sont traitées dans le cadre de la prospection commerciale.
9. Cookies
Si le cas échéant le site était amené à utiliser des cookies pour améliorer l’expérience utilisateur et mesurer l’audience, l’utilisateur peut accepter, refuser ou paramétrer les cookies via le bandeau prévu à cet effet.
10. Mise à jour
La présente politique peut être modifiée à tout moment afin de garantir sa conformité avec la réglementation en vigueur.
ACCORD DE TRAITEMENT DES DONNÉES PERSONNELLES (DPA)
Conforme au Règlement (UE) 2016/679 (RGPD)
Entre : OFFICE EXPERT, SAS au capital de 8000€, SIREN 444937668, dont le siège est 32 CHEMIN DE LA MARE, 95350 SAINT-BRICE-SOUS-FORET,
représentée par DAVILA Maurice ci-après « le Responsable de traitement »
Et :
ci-après « le Sous-traitant »
représentée par Steven BETITO
APPDRAG 66
Fitzwilliam Square,
Dublin 2 D02 AT27
Irlande
ARTICLE 1 — OBJET ET DURÉE
Le présent accord définit les conditions dans lesquelles le Sous-traitant traite des données personnelles pour le compte du Responsable de traitement dans le cadre de la prestation d'hébergement de la plateforme OFFICE EXPERT ONLINE.
Durée : identique au contrat principal, plus 90 jours de période de restitution post-résiliation.
ARTICLE 2 — NATURE DES DONNÉES TRAITÉES
Catégories de données :
• Données d'identité des clients (titre , nom, prénom, adresse, téléphone, email)
• Données techniques des biens immobiliers diagnostiqués
• Données professionnelles des diagnostiqueurs certifiés, des centres de formation en diagnostic immobilier
• Données de connexion et logs d'accès applicatifs
Finalité du traitement : Hébergement, stockage et sauvegarde de la plateforme de gestion de diagnostics immobiliers OFFICE EXPERT ONLINE.
Personnes concernées : Clients des agences immobilières partenaires, diagnostiqueurs certifiés, contacts des agences.
ARTICLE 3 — OBLIGATIONS DU SOUS-TRAITANT
Le Sous-traitant s’engage à traiter les données personnelles uniquement sur instruction documentée du Responsable de traitement, sauf obligation légale contraire.
3.1 Localisation des données
Les données sont hébergées et traitées exclusivement sur des infrastructures situées en France ou dans l'UE. Toute sortie hors UE est interdite sans accord écrit préalable et mise en place de garanties appropriées (clauses contractuelles types de la Commission européenne).
3.2 Mesures de sécurité techniques Le Sous-traitant s'engage à maintenir :
• Chiffrement des données au repos (AES-256 minimum)
• Chiffrement des données en transit (TLS 1.2 minimum)
• Contrôle d'accès avec authentification forte (MFA)
• Cloisonnement des environnements clients
• Journalisation des accès administrateurs (12 mois)
• Tests d'intrusion annuels avec rapport communicable
3.3 Notification des violations
En cas de violation de données personnelles (art. 33 RGPD), le Sous-traitant notifie le Responsable de traitement dans un délai maximum de 24 heures après détection, par email à contact@officexpert.fr, en précisant :
• Nature de la violation
• Catégories et volume de données concernées
• Mesures prises ou envisagées
• Coordonnées du point de contact
3.4 Sous-traitants ultérieurs
Le Sous-traitant s’assure que tout sous-traitant ultérieur est soumis aux mêmes obligations que celles prévues au présent accord.
Liste des sous-traitants autorisés à la date de signature :
QUARTIER GÉNÉRAL
APPDRAG 66
Fitzwilliam Square,
Dublin 2 D02 AT27
IRLANDE
Toute modification de cette liste nécessite un préavis écrit de 30 jours et le droit d'opposition du Responsable.
3.5 Droit d'audit
Le Responsable de traitement se réserve le droit de mandater un auditeur tiers pour vérifier la conformité du Sous-traitant, avec préavis de 15 jours ouvrés. Le Sous-traitant peut substituer à cet audit la fourniture d'une certification ISO 27001 à jour ou d'un rapport SOC 2 Type II de moins de 12 mois.
Le Sous-traitant garantit que les personnes autorisées à traiter les données personnelles s’engagent à respecter la confidentialité ou sont soumises à une obligation légale appropriée de confidentialité.
Le Sous-traitant assiste le Responsable de traitement dans la gestion :
* des demandes d’exercice des droits (accès, suppression, etc.)
* des analyses d’impact (DPIA)
* des obligations de sécurité et de notification
Le Sous-traitant coopère pleinement avec le Responsable de traitement afin de permettre le respect des obligations légales, notamment la notification à l’autorité de contrôle.
ARTICLE 4 — RÉVERSIBILITÉ ET FIN DE CONTRAT
À la résiliation du contrat principal, le Sous-traitant :
(a) met à disposition l'intégralité des données personnelles dans un format exploitable, sous 30 jours calendaires
(b) certifie par écrit la destruction complète et définitive de toutes les copies dans les 60 jours suivant la restitution, selon des standards reconnus en matière d’effacement sécurisé des données comme la norme NIST 800-88.
(c) ne facture aucun frais supplémentaire pour la fourniture des exports de données
ARTICLE 5 — LOI APPLICABLE
Le présent accord est soumis au droit français. Tout litige relève de la compétence exclusive du Tribunal de Commerce de PONTOISE 95.
DPA
1. Contexte
Ce Contrat de Traitement des Données (« DPA ») est joint aux Conditions Générales (disponibles sur https:/www.officexpert.fr et forme une partie inséparable du Contrat conclu par OFFICE EXPERT (ci-après « OFFICE EXPERT ») et le Client. Ce DPA doit définir les termes et conditions pour le traitement des données personnelles par OFFICE EXPERT au nom du client dans le cadre de l’accord.
2. Champ d’application et conflit de règles
Dans la mesure où le Client saisit des Données personnelles dans les Services Cloud et qu’OFFICE EXPERT traite ces Données personnelles, les Parties reconnaissent que le Client agit en tant que Responsable du traitement des données et qu’OFFICE EXPERT est un Sous-traitant qui traite des Données à caractère personnel pour le compte du Client dans le but de fournir les Services Cloud. En cas de divergence entre le présent DPA et le contrat signé, le présent DPA prévaut.
Définition RGPD : Règlement général sur la protection des données (UE) 2016/679.
Sauf disposition contraire dans le présent DPA ou dans l’Accord, les termes utilisés dans le présent DPA, tels que « Responsable du traitement », « Sous-traitant », « Personne concernée » et « Données à caractère personnel » ont la signification définie dans le Règlement sur la protection des données. Règlement sur la protection des données désigne toutes les lois applicables relatives à la protection des données, y compris, sans s’y limiter, le RGPD et les lois mettant en œuvre la directive de l’UE 2002/58/CE et toute modification ou remplacement de ces lois et règlements.
Violation de données personnelles désigne une violation de la sécurité entraînant accidentellement ou illégalement la destruction, la perte, l’altération, la divulgation non autorisée ou l’accès aux données personnelles transmises, stockées ou autrement traitées.
Sous-traitant désigne des tiers : i) fournissant des services dorsaux pour OFFICE EXPERT et/ou ii) sélectionnés par le Client pour fournir les services d’hébergement pour les données que le Client entre dans les Services Cloud.
Clauses contractuelles standard désigne les clauses contractuelles émises par la Commission européenne par la décision 2021/914/UE pour les transferts internationaux de données personnelles.
Site Web désigne le site Web d’OFFICE EXPERT disponible sur www.officexpert.fr et la console OFFICE EXPERT via laquelle le client peut utiliser les services cloud.
3.Traitement des données personnelles
Le traitement des données personnelles en vertu du présent DPA a pour but de fournir les services cloud au client. Le traitement des données personnelles dans ce contexte désigne les activités de stockage, de maintenance et autres activités de traitement initiées par le client, en fonction des services cloud que le client a choisi de commander de temps à autre.
Les catégories de Personnes concernées et les types de Données à caractère personnel traitées sont définis dans l’Annexe 1 (Détails du traitement).
Les données personnelles peuvent être traitées tant que les services cloud sont fournis dans le cadre de l’accord et après cela si la loi applicable ou les obligations contractuelles ou les droits de l’une des parties l’exigent.
4. Instructions du client
OFFICE EXPERT traitera les données personnelles conformément aux instructions écrites du client telles qu’établies dans le présent DPA. Les instructions supplémentaires nécessitent un accord écrit préalable entre les parties.
Les Parties conviennent que ce DPA est l’instruction écrite complète du Client à OFFICE EXPERT dans le rôle du Client en tant que Responsable du traitement des données.
5. Les obligations générales d’OFFICE EXPERT
OFFICE EXPERT doit, à la demande écrite du Client et aux seuls frais et dépenses du Client, aider le Client en fournissant les informations facilement disponibles ou en créant des informations que le Client peut raisonnablement exiger et qu’il ne possède pas, en se conformant aux demandes des Personnes concernées ou de l’autorité de surveillance ou de toute autre autorité répressive ou réglementaire.
OFFICE EXPERT informera le Client, dès que raisonnablement possible, s’il reçoit une demande d’une Personne concernée cherchant à exercer ses droits en vertu du Règlement sur la protection des données.
OFFICE EXPERT doit tenir des registres des activités de traitement sous sa responsabilité pour assurer la conformité d’OFFICE EXPERT en tant que Responsable du traitement des données avec le Règlement sur la protection des données, et sur demande écrite du Client. OFFICE EXPERT met à la disposition du Client ces dossiers dans la mesure nécessaire pour démontrer le respect des obligations d’OFFICE EXPERT énoncées dans le présent DPA et dans le Règlement sur la protection des données.
6. Sécurité des données
OFFICE EXPERT mettra en œuvre et maintiendra des mesures techniques et organisationnelles appropriées pour assurer un niveau approprié de sécurité des Données à caractère personnel et pour protéger les Données à caractère personnel contre le traitement non autorisé ou illégal et contre la perte, la destruction, les dommages, l’altération accidentels, ou une divulgation aux fins des services cloud.
En cas de violation des données personnelles, OFFICE EXPERT informera le Client sans retard injustifié et au moins dans les 48 heures après avoir pris connaissance de la violation des données personnelles et prendra des mesures raisonnables pour atténuer tout dommage résultant d’une telle violation. La notification doit contenir des informations qu’OFFICE EXPERT est raisonnablement en mesure de divulguer au Client, y compris les informations suivantes :
* Une description de la nature de la violation des données personnelles, y compris, si possible, les catégories de personnes concernées et les données personnelles concernées ;
* Le nom et les coordonnées du point de contact ou si toutes autres d’informations peuvent être obtenues ;
* Une description des conséquences probables de la violation des données personnelles ;
* Une description des mesures prises ou proposées pour remédier à la violation de données personnelles.
OFFICE EXPERT coopérera avec et assistera le Client, à la demande écrite de celui-ci, en ce qui concerne les notifications de violation des données personnelles faites à l’autorité de surveillance comme requis par le règlement sur la protection des données. OFFICE EXPERT doit documenter les violations de données personnelles et mettre la documentation à la disposition du client sur demande écrite du client
Les informations peuvent être fournies par étapes s’il n’est pas possible de fournir les informations en même temps.
7. Accès au support contrôlé et transferts de données
7.1 Accès contrôlé par le client
OFFICE EXPERT garantit que les données personnelles restent hébergées et traitées au sein de l’UE. L’accès aux données des clients n’est jamais accordé par défaut—ni les employés d’OFFICE EXPERT au sein de l’UE, ni ceux en dehors de l’UE n’y ont accès sauf autorisation explicite du Client. L’accès au support est régi par les conditions suivantes :
Subvention d’accès initiée par le client : aucun employé d’OFFICE EXPERT, qu’il soit à l’intérieur ou à l’extérieur de l’UE, ne peut accéder aux données du client à moins que le client soumette un ticket d’assistance et coche explicitement la case ou sélectionne le bouton intitulés
« Accepter » via le logiciel d’assistance utilisé par OFFICE EXPERT dénommé ANYDESK ou « Accorder à l’équipe d’assistance d’OFFICE EXPERT l’accès à votre projet pendant toute la durée de ce ticket d’assistance ».
L’accès au support est strictement limité à la durée du ticket de support spécifique et est automatiquement révoqué lors de la résolution ou de la fermeture du ticket La portée du support est donc temporaire et limitée.
Seul le personnel requis pour la résolution des problèmes recevra l’accès minimal nécessaire, conformément au principe du moindre privilège.
7.2 Base juridique pour l’accès au soutien et les transferts hors UE
Dans les cas où le client accorde l’accès et le personnel de support d’OFFICE EXPERT—y compris ceux en dehors de l’UE — accéder aux données personnelles, cet accès est considéré comme un transfert restreint en vertu du RGPD. OFFICE EXPERT assure la conformité grâce aux mesures suivantes :
Clauses contractuelles standard (SCCs) : OFFICE EXPERT a mis en œuvre des SCCs entre ses entités ou partenaires de l’UE et non européens, assurant ainsi des sauvegardes conformes au RGPD pour les transferts de données.
Le cas échéant, les données personnelles restent cryptées au repos et en transit pour minimiser les risques lors de l’accès au support afin d’assurer la protection des données.
7.3 Droits de contrôle et de révocation du client
Le client conserve un contrôle total sur l’octroi et la révocation de l’accès au support. Si le Client n’accorde pas explicitement l’accès, aucun employé d’OFFICE EXPERT—qu’il soit à l’intérieur ou à l’extérieur de l’UE — ne peut accéder aux données du client. Le client peut également demander un journal d’audit des événements d’accès liés à ses tickets de support.
8. Sous-processeurs
OFFICE EXPERT a le droit d’utiliser des Sous-traitants aux fins de fournir les Services Cloud en vertu du Contrat. Le client peut choisir un sous-traitant pour fournir l’hébergement des services cloud parmi les options fournies par OFFICE EXPERT.
OFFICE EXPERT doit déployer des efforts commercialement raisonnables pour s’assurer raisonnablement que ses sous-traitants sont soumis à des exigences équivalentes en matière de protection des données, comme indiqué dans le présent DPA. OFFICE EXPERT reste responsable de ses Sous-traitants et de leur respect des obligations du présent DPA.
OFFICE EXPERT informera le Client par écrit de tout changement prévu du fournisseur de services d’hébergement Sous-traitant au moins quatorze (14) jours à l’avance, en donnant au Client suffisamment de temps pour pouvoir s’opposer à un tel changement. Le Client consent par la présente à l’utilisation par OFFICE EXPERT des Sous-traitants décrits dans cette section.
9. Transferts de données personnelles
Le client peut choisir l’endroit où les services cloud seront hébergés. Si le Client a choisi un Sous-traitant pour fournir l’hébergement au sein de l’Espace économique européen (« EEE »), OFFICE EXPERT conservera les Données personnelles dans l’EEE et les transferts en dehors de l’EEE sont soumis à l’approbation préalable, aux instructions ou à la demande du Client.
Si le Client choisit un Sous-traitant pour fournir les services d’hébergement en dehors de l’EEE, le Client accepte qu’OFFICE EXPERT ; (i) effectue le transfert international de données personnelles conformément aux Clauses Contractuelles Types (module processeur à processeur) conclues par OFFICE EXPERT (en tant qu’exportateur de données) et le sous-processeur (en tant qu’importateur de données) ou ; (ii) accepte que le Sous-traitant effectue le transfert conformément aux Clauses contractuelles types (module de processeur à processeur) conclues par les sociétés du groupe Sous-traitant (l’entité de l’EEE de Sous-traitant en tant qu’exportateur de données et l’entité d’un pays tiers en tant qu’importateur de données), le cas échéant, en fonction du sous-traitant choisi par le client.
Le Client garantit avoir fait des efforts raisonnables pour déterminer que le Sous-traitant agissant en tant qu’importateur de données, et choisi par le Client, est capable grâce à la mise en œuvre de mesures techniques et organisationnelles appropriées, pour satisfaire aux obligations de l’importateur de données en vertu des Clauses Contractuelles Types pour que le transfert soit effectué comme convenu dans cet ATD.
En cas de divergences entre les Clauses contractuelles types et le présent DPA, les Clauses contractuelles types prévalent. Nonobstant ce qui précède, les Clauses contractuelles types ne s’appliqueront pas si OFFICE EXPERT a adopté des garanties alternatives conformément au Règlement sur la protection des données pour le transfert légal de Données personnelles en dehors de l’EEE.
10. Audit
À la demande écrite du Client et aux seuls frais et dépenses du Client, le Client a le droit, une fois tous les douze (12) mois, de vérifier la conformité d’OFFICE EXPERT avec ses obligations en vertu du Règlement sur la protection des données et du présent DPA.
Le rapport d’audit et les informations connexes doivent à tout moment être considérés comme des informations confidentielles d’OFFICE EXPERT.
11. Confidentialité des données
OFFICE EXPERT n’accédera ni n’utilisera, n’aura de visibilité ou ne divulguera à aucun tiers, aucune donnée que le Client aura saisie dans les Services Cloud, sauf, si spécifiquement demandé par écrit par le Client afin de fournir au client-services de support spécifiques tels que demandés et instruits par le Client.
Si un organisme gouvernemental envoie à OFFICE EXPERT une demande pour l’entrée des données dans les services cloud, OFFICE EXPERT fera de son mieux pour rediriger l’organisme gouvernemental afin qu’il demande ces données directement au client. Si vous êtes contraint de divulguer des données client à un organisme gouvernemental, alors OFFICE EXPERT ne divulguera les Données personnelles que dans la stricte mesure où il est légalement tenu de le faire et donnera au Client un préavis raisonnable de la demande pour permettre au Client de demander une ordonnance de protection ou un autre recours approprié, sauf si OFFICE EXPERT est légalement interdit de le faire.
12. Durée et résiliation
Le présent DPA prendra effet parallèlement au Contrat et restera en vigueur jusqu’à la résiliation du Contrat ou aussi longtemps qu’OFFICE EXPERT traitera les Données Personnelles pour le compte du Client.
Si le Client n’en a pas donné l’instruction par écrit et à moins qu’il ne soit légalement tenu de conserver les Données Personnelles, OFFICE EXPERT supprimera et détruira les Données Personnelles traitées ci-après au plus tard dans un délai de quatre-vingt-dix (90) jours de la résiliation du Contrat ou après la période maximale de conservation des données autorisée par la technologie du Service Cloud concerné. Dans le cas où le Client demande que les Données Personnelles soient retournées au Client ou à un tiers, le Client paiera à OFFICE EXPERT tous les coûts et dépenses supplémentaires découlant de ce retour des Données Personnelles.
Annexe 1 - Détails du traitement
Cette annexe 1 fait partie de ce DPA décrivant les détails des données personnelles à traiter par OFFICE EXPERT. Le client a un contrôle total sur les données personnelles qui seront traitées en téléchargeant ces données personnelles dans les services cloud. OFFICE EXPERT n’a aucune visibilité sur ces données personnelles fournies et téléchargées par le Client.
Personnes concernées
Clients, prospects, fournisseurs du Client (qui sont des personnes physiques) et
partenaires commerciaux
Employés ou personnes de contact des prospects, clients, partenaires commerciaux et fournisseurs du Client
Les employés, agents, conseillers et freelances du Client (qui sont des personnes physiques) Personnes mandatées par le client en vertu de l’accord
Catégories de données personnelles
Nom complet
Titre, poste
Adresse e-mail,
adresse
Numéro de téléphone
Catégories spéciales de données à caractère personnel - Aucune catégorie spéciale de données à caractère personnel n’est traitée.
Objet du traitement - Hébergement, stockage et maintenance des données que le client a saisies dans les services cloud.
Pour plus de clarté, le Client est le Responsable du traitement des données, et ce DPA s’applique uniquement à l’entrée des Données personnelles dans les Services Cloud par le Client.
Annexe 2 - Mesures de sécurité techniques et organisationnelles d’OFFICE EXPERT
Cette annexe 2 forme une partie de ce DPA décrivant les mesures de sécurité techniques et organisationnelles d’OFFICE EXPERT. Description des mesures de sécurité techniques et organisationnelles mises en œuvre par OFFICE EXPERT. OFFICE EXPERT maintiendra des garanties administratives, physiques et techniques pour la protection de la sécurité, de la confidentialité et de l’intégrité des données personnelles traitées sur les services cloud ...
OFFICE EXPERT doit signaler, dans un document interne, pour être tenu à jour et disponible sur demande du Responsable du traitement ou de l’Autorité garante, les données d’identification des personnes physiques auxquelles a été attribué le rôle d’Administrateur du système, avec la liste des fonctions qui leur sont attribuées.
Notre prestataire sous-traitant maintient les certifications ISO 27001 et SOC 2, démontrant notre engagement commun envers les normes de sécurité leaders du secteur. Ces certifications valident la mise en œuvre de contrôles de sécurité robustes, garantissant la confidentialité, l’intégrité et la disponibilité des données personnelles.
Conformément à l’article 32 du RGPD, le sous-traitant d’OFFICE EXPERT met en œuvre les mesures de sécurité suivantes pour assurer la protection des données personnelles traitées via ses services cloud.
1. Mesures de sécurité organisationnelles
Politique de protection des données : Une politique de protection des données documentée est maintenue et régulièrement révisée.
Sensibilisation et formation à la sécurité : Tous les membres du personnel ayant accès aux données personnelles suivent une formation obligatoire sur la protection des données lors de leur intégration et chaque année par la suite.
Contrôle d’accès et autorisation basée sur le rôle :
* L’accès aux données personnelles est limité au personnel autorisé selon le principe du moindre privilège (PoLP).
* Toutes les autorisations d’accès sont examinées périodiquement.
* L’accès administratif est soumis à une authentification multi-facteurs (MFA).
Gestion des risques par des tiers : les sous-traitants subissent des évaluations des risques pour la sécurité et des garanties contractuelles sont mises en œuvre, y compris des accords de traitement des données.
Plan de réponse aux incidents : Un plan de réponse aux incidents formalisé est en place, détaillant les responsabilités, la détection, le confinement, l’éradication et les étapes de récupération pour les violations de données.
2. Mesures de sécurité physique Sécurité du centre de données :
* Les services cloud sont hébergés dans des centres de données sécurisés certifiés ISO 27001, SOC 2 et/ou normes équivalentes.
* L’accès physique aux serveurs est limité au personnel autorisé uniquement, avec des contrôles d’accès biométriques et par carte-clé.
* Des systèmes de surveillance continue (CCTV) et de détection d’intrusion sont mis en place.
3.Mesures de sécurité techniques Cryptage :
* Les données personnelles sont cryptées au repos en utilisant AES-256.
* Les données personnelles sont cryptées en transit à l’aide de TLS 1.2/1.3.
Journalisation et surveillance :
* L’accès aux données personnelles est enregistré, surveillé et audité pour détecter les anomalies.
* Les journaux du système sont conservés pendant 12 mois.
Minimisation des données et anonymisation :
Le cas échéant, les données personnelles sont pseudonymisées ou anonymisées pour réduire les risques. Développement sécurisé et gestion des vulnérabilités :
Des audits de sécurité réguliers et des tests de pénétration sont effectués.
* Les mises à jour logicielles et les correctifs sont appliqués en temps opportun.
4. Continuité et sauvegarde des activités Sauvegarde des données et reprise après sinistre :
* Les sauvegardes sont effectuées quotidiennement et conservées pendant 180 jours.
* Les procédures de reprise après sinistre sont testées au moins une fois par an.
5. Droits des personnes concernées et mesures de conformité Traitement des demandes de personnes concernées :
* Des procédures sont en place pour répondre aux demandes d’accès, de rectification, d’effacement et de portabilité des données.
Le prestataire sous-traitant APPDRAG 66 Fitzwilliam Square, Dublin 2 D02 AT27
Irlande partenaire d’OFFICE EXPERT subit des audits externes périodiques pour assurer la conformité avec le RGPD et les réglementations applicables.
Les données personnelles collectées sur le site sont traitées par :
Office Expert
32, chemin de la Mare
95350 SAINT-BRICE-SOUS-FORET
contact@officexpert.fr
0134380026
Le responsable du traitement détermine les finalités et les moyens du traitement des données.
2. Données collectées
Les données susceptibles d’être collectées sont :
- Titre, poste, nom complet, prénom
- Adresse e-mail
- Numéro de téléphone
- Informations transmises via les formulaires
- En cas d’utilisation de Cookies : 12 mois maximum
3. Finalités des traitements
Les données sont collectées pour :
- répondre aux demandes de contact
- gérer la relation client
- établir des devis ou prestations
- assurer le suivi commercial
- améliorer les services et le site internet
4. Base légale du traitement
Les traitements de données reposent sur les bases légales suivantes :
- le consentement de l’utilisateur, notamment lors de l’envoi de formulaires ou de l’acceptation des cookies ;
- l’exécution de mesures précontractuelles ou contractuelles, notamment pour répondre aux demandes et gérer la relation client ;
- l’intérêt légitime de l’entreprise, notamment pour assurer la sécurité du site internet, prévenir les fraudes et assurer le suivi commercial.
5. Destinataires des données
Les données sont accessibles au personnel habilité et aux prestataires techniques, notamment l’hébergeur du site internet, les outils de gestion et les prestataires informatiques. Elles ne sont jamais vendues.
6. Durée de conservation
- Prospects : quatre vingt dix jour après le dernier contact
- Clients : au plus tard dans un délai de quatre-vingt-dix (90) jours de la résiliation du Contrat ou après la période maximale de conservation des données autorisée par la technologie du Service Cloud concerné. Dans le cas où le Client demande que les Données Personnelles soient retournées au Client ou à un tiers, le Client paiera à OFFICE EXPERT tous les coûts et dépenses supplémentaires découlant de ce retour des Données Personnelles.
- En cas d’utilisation de Cookies : 12 mois maximum
7. Sécurité des données
Des mesures techniques et organisationnelles sont mises en œuvre pour protéger les données, notamment la sécurisation des accès, la limitation des habilitations et la protection des systèmes informatiques.
Les données sont hébergées au sein de l’Union Européenne (UE).
En cas de transfert hors UE, des garanties appropriées seraient mises en place.
Vos données sont traitées et conservées sur notre site Internet hébergé chez Amazon Web Services, sur le territoire de l’Union Européenne ou dans l’un de leurs Data Center (https://aws.amazon.com/fr/about-aws/global-infrastructure/), mais AWS est conforme à la réglementation RGPD comme le précise leur site : https://aws.amazon.com/fr/compliance/gdpr-center/
8. Vos droits
Conformément à la loi 78-17 du 6 janvier 1978, vous disposez d'un droit d'accès, de rectification, d'opposition et de suppression que vous pouvez exercer à tout moment. Pour toute information ou exercice de vos droits Informatique et Libertés sur les traitements de données personnelles gérés par Office Expert, vous pouvez contacter son délégué à la protection des données (DPO), Mr Maurice DAVILA :
• par courriel à contact@officexpert.fr
• par courrier signé, accompagné de la copie d’un titre d’identité à l'adresse suivante :
Office Expert
A l'attention du délégué à la protection des données (DPO)
32 Chemin de la Mare
95350 Saint-Brice-sous-Forêt
• Par téléphone : 01 34 38 00 26
Vous disposez également du droit d’introduire une réclamation auprès de la CNIL à:
Commission Nationale de l'Informatique et des Libertés
3 Place de Fontenoy
TSA 80715
75334 PARIS CEDEX 07
8.1 Droit à l’effacement et à l’oubli
Lorsque vos données ne sont pas indispensables pour un contrat ou un service vous pouvez demander leur effacement. Nous nous efforçons de limiter automatiquement la conservation de vos données en fonction des finalités et des durées de prescriptions applicables.
8.2 Droit à une limitation du traitement
Lorsque les données ne sont pas nécessaires ou ne sont plus nécessaires dans notre relation contractuelle, vous pouvez demander la limitation de leur traitement.
8.3 Droit de retirer votre consentement
Pour tous les traitements pour lesquels votre consentement explicite a été recueilli, vous avez le droit de retirer ce consentement sans que cela n’entraîne de conséquences négatives pour vous. C’est par exemple le cas pour les offres personnalisées que nous vous adressons dans le cadre de la prospection commerciale.
8.4 Portabilité
Vous pouvez demander la communication des données qui vous concernent dans un format informatique ou nous demander de les adresser à une autre personne. Ce droit ne s'applique qu'aux données qui vous concernent et que vous nous avez fournies dans le cadre de vos contrats ou avec votre consentement.
8.5 Droit d’opposition
Dans certains cas, vous pouvez vous opposer au traitement de vos données personnelles en fonction de votre situation particulière sans renoncer au bénéfice de votre contrat.
Ce droit vous est garanti de façon inconditionnelle lorsque vos données sont traitées dans le cadre de la prospection commerciale.
9. Cookies
Si le cas échéant le site était amené à utiliser des cookies pour améliorer l’expérience utilisateur et mesurer l’audience, l’utilisateur peut accepter, refuser ou paramétrer les cookies via le bandeau prévu à cet effet.
10. Mise à jour
La présente politique peut être modifiée à tout moment afin de garantir sa conformité avec la réglementation en vigueur.
ACCORD DE TRAITEMENT DES DONNÉES PERSONNELLES (DPA)
Conforme au Règlement (UE) 2016/679 (RGPD)
Entre : OFFICE EXPERT, SAS au capital de 8000€, SIREN 444937668, dont le siège est 32 CHEMIN DE LA MARE, 95350 SAINT-BRICE-SOUS-FORET,
représentée par DAVILA Maurice ci-après « le Responsable de traitement »
Et :
ci-après « le Sous-traitant »
représentée par Steven BETITO
APPDRAG 66
Fitzwilliam Square,
Dublin 2 D02 AT27
Irlande
ARTICLE 1 — OBJET ET DURÉE
Le présent accord définit les conditions dans lesquelles le Sous-traitant traite des données personnelles pour le compte du Responsable de traitement dans le cadre de la prestation d'hébergement de la plateforme OFFICE EXPERT ONLINE.
Durée : identique au contrat principal, plus 90 jours de période de restitution post-résiliation.
ARTICLE 2 — NATURE DES DONNÉES TRAITÉES
Catégories de données :
• Données d'identité des clients (titre , nom, prénom, adresse, téléphone, email)
• Données techniques des biens immobiliers diagnostiqués
• Données professionnelles des diagnostiqueurs certifiés, des centres de formation en diagnostic immobilier
• Données de connexion et logs d'accès applicatifs
Finalité du traitement : Hébergement, stockage et sauvegarde de la plateforme de gestion de diagnostics immobiliers OFFICE EXPERT ONLINE.
Personnes concernées : Clients des agences immobilières partenaires, diagnostiqueurs certifiés, contacts des agences.
ARTICLE 3 — OBLIGATIONS DU SOUS-TRAITANT
Le Sous-traitant s’engage à traiter les données personnelles uniquement sur instruction documentée du Responsable de traitement, sauf obligation légale contraire.
3.1 Localisation des données
Les données sont hébergées et traitées exclusivement sur des infrastructures situées en France ou dans l'UE. Toute sortie hors UE est interdite sans accord écrit préalable et mise en place de garanties appropriées (clauses contractuelles types de la Commission européenne).
3.2 Mesures de sécurité techniques Le Sous-traitant s'engage à maintenir :
• Chiffrement des données au repos (AES-256 minimum)
• Chiffrement des données en transit (TLS 1.2 minimum)
• Contrôle d'accès avec authentification forte (MFA)
• Cloisonnement des environnements clients
• Journalisation des accès administrateurs (12 mois)
• Tests d'intrusion annuels avec rapport communicable
3.3 Notification des violations
En cas de violation de données personnelles (art. 33 RGPD), le Sous-traitant notifie le Responsable de traitement dans un délai maximum de 24 heures après détection, par email à contact@officexpert.fr, en précisant :
• Nature de la violation
• Catégories et volume de données concernées
• Mesures prises ou envisagées
• Coordonnées du point de contact
3.4 Sous-traitants ultérieurs
Le Sous-traitant s’assure que tout sous-traitant ultérieur est soumis aux mêmes obligations que celles prévues au présent accord.
Liste des sous-traitants autorisés à la date de signature :
QUARTIER GÉNÉRAL
APPDRAG 66
Fitzwilliam Square,
Dublin 2 D02 AT27
IRLANDE
Toute modification de cette liste nécessite un préavis écrit de 30 jours et le droit d'opposition du Responsable.
3.5 Droit d'audit
Le Responsable de traitement se réserve le droit de mandater un auditeur tiers pour vérifier la conformité du Sous-traitant, avec préavis de 15 jours ouvrés. Le Sous-traitant peut substituer à cet audit la fourniture d'une certification ISO 27001 à jour ou d'un rapport SOC 2 Type II de moins de 12 mois.
Le Sous-traitant garantit que les personnes autorisées à traiter les données personnelles s’engagent à respecter la confidentialité ou sont soumises à une obligation légale appropriée de confidentialité.
Le Sous-traitant assiste le Responsable de traitement dans la gestion :
* des demandes d’exercice des droits (accès, suppression, etc.)
* des analyses d’impact (DPIA)
* des obligations de sécurité et de notification
Le Sous-traitant coopère pleinement avec le Responsable de traitement afin de permettre le respect des obligations légales, notamment la notification à l’autorité de contrôle.
ARTICLE 4 — RÉVERSIBILITÉ ET FIN DE CONTRAT
À la résiliation du contrat principal, le Sous-traitant :
(a) met à disposition l'intégralité des données personnelles dans un format exploitable, sous 30 jours calendaires
(b) certifie par écrit la destruction complète et définitive de toutes les copies dans les 60 jours suivant la restitution, selon des standards reconnus en matière d’effacement sécurisé des données comme la norme NIST 800-88.
(c) ne facture aucun frais supplémentaire pour la fourniture des exports de données
ARTICLE 5 — LOI APPLICABLE
Le présent accord est soumis au droit français. Tout litige relève de la compétence exclusive du Tribunal de Commerce de PONTOISE 95.
DPA
1. Contexte
Ce Contrat de Traitement des Données (« DPA ») est joint aux Conditions Générales (disponibles sur https:/www.officexpert.fr et forme une partie inséparable du Contrat conclu par OFFICE EXPERT (ci-après « OFFICE EXPERT ») et le Client. Ce DPA doit définir les termes et conditions pour le traitement des données personnelles par OFFICE EXPERT au nom du client dans le cadre de l’accord.
2. Champ d’application et conflit de règles
Dans la mesure où le Client saisit des Données personnelles dans les Services Cloud et qu’OFFICE EXPERT traite ces Données personnelles, les Parties reconnaissent que le Client agit en tant que Responsable du traitement des données et qu’OFFICE EXPERT est un Sous-traitant qui traite des Données à caractère personnel pour le compte du Client dans le but de fournir les Services Cloud. En cas de divergence entre le présent DPA et le contrat signé, le présent DPA prévaut.
Définition RGPD : Règlement général sur la protection des données (UE) 2016/679.
Sauf disposition contraire dans le présent DPA ou dans l’Accord, les termes utilisés dans le présent DPA, tels que « Responsable du traitement », « Sous-traitant », « Personne concernée » et « Données à caractère personnel » ont la signification définie dans le Règlement sur la protection des données. Règlement sur la protection des données désigne toutes les lois applicables relatives à la protection des données, y compris, sans s’y limiter, le RGPD et les lois mettant en œuvre la directive de l’UE 2002/58/CE et toute modification ou remplacement de ces lois et règlements.
Violation de données personnelles désigne une violation de la sécurité entraînant accidentellement ou illégalement la destruction, la perte, l’altération, la divulgation non autorisée ou l’accès aux données personnelles transmises, stockées ou autrement traitées.
Sous-traitant désigne des tiers : i) fournissant des services dorsaux pour OFFICE EXPERT et/ou ii) sélectionnés par le Client pour fournir les services d’hébergement pour les données que le Client entre dans les Services Cloud.
Clauses contractuelles standard désigne les clauses contractuelles émises par la Commission européenne par la décision 2021/914/UE pour les transferts internationaux de données personnelles.
Site Web désigne le site Web d’OFFICE EXPERT disponible sur www.officexpert.fr et la console OFFICE EXPERT via laquelle le client peut utiliser les services cloud.
3.Traitement des données personnelles
Le traitement des données personnelles en vertu du présent DPA a pour but de fournir les services cloud au client. Le traitement des données personnelles dans ce contexte désigne les activités de stockage, de maintenance et autres activités de traitement initiées par le client, en fonction des services cloud que le client a choisi de commander de temps à autre.
Les catégories de Personnes concernées et les types de Données à caractère personnel traitées sont définis dans l’Annexe 1 (Détails du traitement).
Les données personnelles peuvent être traitées tant que les services cloud sont fournis dans le cadre de l’accord et après cela si la loi applicable ou les obligations contractuelles ou les droits de l’une des parties l’exigent.
4. Instructions du client
OFFICE EXPERT traitera les données personnelles conformément aux instructions écrites du client telles qu’établies dans le présent DPA. Les instructions supplémentaires nécessitent un accord écrit préalable entre les parties.
Les Parties conviennent que ce DPA est l’instruction écrite complète du Client à OFFICE EXPERT dans le rôle du Client en tant que Responsable du traitement des données.
5. Les obligations générales d’OFFICE EXPERT
OFFICE EXPERT doit, à la demande écrite du Client et aux seuls frais et dépenses du Client, aider le Client en fournissant les informations facilement disponibles ou en créant des informations que le Client peut raisonnablement exiger et qu’il ne possède pas, en se conformant aux demandes des Personnes concernées ou de l’autorité de surveillance ou de toute autre autorité répressive ou réglementaire.
OFFICE EXPERT informera le Client, dès que raisonnablement possible, s’il reçoit une demande d’une Personne concernée cherchant à exercer ses droits en vertu du Règlement sur la protection des données.
OFFICE EXPERT doit tenir des registres des activités de traitement sous sa responsabilité pour assurer la conformité d’OFFICE EXPERT en tant que Responsable du traitement des données avec le Règlement sur la protection des données, et sur demande écrite du Client. OFFICE EXPERT met à la disposition du Client ces dossiers dans la mesure nécessaire pour démontrer le respect des obligations d’OFFICE EXPERT énoncées dans le présent DPA et dans le Règlement sur la protection des données.
6. Sécurité des données
OFFICE EXPERT mettra en œuvre et maintiendra des mesures techniques et organisationnelles appropriées pour assurer un niveau approprié de sécurité des Données à caractère personnel et pour protéger les Données à caractère personnel contre le traitement non autorisé ou illégal et contre la perte, la destruction, les dommages, l’altération accidentels, ou une divulgation aux fins des services cloud.
En cas de violation des données personnelles, OFFICE EXPERT informera le Client sans retard injustifié et au moins dans les 48 heures après avoir pris connaissance de la violation des données personnelles et prendra des mesures raisonnables pour atténuer tout dommage résultant d’une telle violation. La notification doit contenir des informations qu’OFFICE EXPERT est raisonnablement en mesure de divulguer au Client, y compris les informations suivantes :
* Une description de la nature de la violation des données personnelles, y compris, si possible, les catégories de personnes concernées et les données personnelles concernées ;
* Le nom et les coordonnées du point de contact ou si toutes autres d’informations peuvent être obtenues ;
* Une description des conséquences probables de la violation des données personnelles ;
* Une description des mesures prises ou proposées pour remédier à la violation de données personnelles.
OFFICE EXPERT coopérera avec et assistera le Client, à la demande écrite de celui-ci, en ce qui concerne les notifications de violation des données personnelles faites à l’autorité de surveillance comme requis par le règlement sur la protection des données. OFFICE EXPERT doit documenter les violations de données personnelles et mettre la documentation à la disposition du client sur demande écrite du client
Les informations peuvent être fournies par étapes s’il n’est pas possible de fournir les informations en même temps.
7. Accès au support contrôlé et transferts de données
7.1 Accès contrôlé par le client
OFFICE EXPERT garantit que les données personnelles restent hébergées et traitées au sein de l’UE. L’accès aux données des clients n’est jamais accordé par défaut—ni les employés d’OFFICE EXPERT au sein de l’UE, ni ceux en dehors de l’UE n’y ont accès sauf autorisation explicite du Client. L’accès au support est régi par les conditions suivantes :
Subvention d’accès initiée par le client : aucun employé d’OFFICE EXPERT, qu’il soit à l’intérieur ou à l’extérieur de l’UE, ne peut accéder aux données du client à moins que le client soumette un ticket d’assistance et coche explicitement la case ou sélectionne le bouton intitulés
« Accepter » via le logiciel d’assistance utilisé par OFFICE EXPERT dénommé ANYDESK ou « Accorder à l’équipe d’assistance d’OFFICE EXPERT l’accès à votre projet pendant toute la durée de ce ticket d’assistance ».
L’accès au support est strictement limité à la durée du ticket de support spécifique et est automatiquement révoqué lors de la résolution ou de la fermeture du ticket La portée du support est donc temporaire et limitée.
Seul le personnel requis pour la résolution des problèmes recevra l’accès minimal nécessaire, conformément au principe du moindre privilège.
7.2 Base juridique pour l’accès au soutien et les transferts hors UE
Dans les cas où le client accorde l’accès et le personnel de support d’OFFICE EXPERT—y compris ceux en dehors de l’UE — accéder aux données personnelles, cet accès est considéré comme un transfert restreint en vertu du RGPD. OFFICE EXPERT assure la conformité grâce aux mesures suivantes :
Clauses contractuelles standard (SCCs) : OFFICE EXPERT a mis en œuvre des SCCs entre ses entités ou partenaires de l’UE et non européens, assurant ainsi des sauvegardes conformes au RGPD pour les transferts de données.
Le cas échéant, les données personnelles restent cryptées au repos et en transit pour minimiser les risques lors de l’accès au support afin d’assurer la protection des données.
7.3 Droits de contrôle et de révocation du client
Le client conserve un contrôle total sur l’octroi et la révocation de l’accès au support. Si le Client n’accorde pas explicitement l’accès, aucun employé d’OFFICE EXPERT—qu’il soit à l’intérieur ou à l’extérieur de l’UE — ne peut accéder aux données du client. Le client peut également demander un journal d’audit des événements d’accès liés à ses tickets de support.
8. Sous-processeurs
OFFICE EXPERT a le droit d’utiliser des Sous-traitants aux fins de fournir les Services Cloud en vertu du Contrat. Le client peut choisir un sous-traitant pour fournir l’hébergement des services cloud parmi les options fournies par OFFICE EXPERT.
OFFICE EXPERT doit déployer des efforts commercialement raisonnables pour s’assurer raisonnablement que ses sous-traitants sont soumis à des exigences équivalentes en matière de protection des données, comme indiqué dans le présent DPA. OFFICE EXPERT reste responsable de ses Sous-traitants et de leur respect des obligations du présent DPA.
OFFICE EXPERT informera le Client par écrit de tout changement prévu du fournisseur de services d’hébergement Sous-traitant au moins quatorze (14) jours à l’avance, en donnant au Client suffisamment de temps pour pouvoir s’opposer à un tel changement. Le Client consent par la présente à l’utilisation par OFFICE EXPERT des Sous-traitants décrits dans cette section.
9. Transferts de données personnelles
Le client peut choisir l’endroit où les services cloud seront hébergés. Si le Client a choisi un Sous-traitant pour fournir l’hébergement au sein de l’Espace économique européen (« EEE »), OFFICE EXPERT conservera les Données personnelles dans l’EEE et les transferts en dehors de l’EEE sont soumis à l’approbation préalable, aux instructions ou à la demande du Client.
Si le Client choisit un Sous-traitant pour fournir les services d’hébergement en dehors de l’EEE, le Client accepte qu’OFFICE EXPERT ; (i) effectue le transfert international de données personnelles conformément aux Clauses Contractuelles Types (module processeur à processeur) conclues par OFFICE EXPERT (en tant qu’exportateur de données) et le sous-processeur (en tant qu’importateur de données) ou ; (ii) accepte que le Sous-traitant effectue le transfert conformément aux Clauses contractuelles types (module de processeur à processeur) conclues par les sociétés du groupe Sous-traitant (l’entité de l’EEE de Sous-traitant en tant qu’exportateur de données et l’entité d’un pays tiers en tant qu’importateur de données), le cas échéant, en fonction du sous-traitant choisi par le client.
Le Client garantit avoir fait des efforts raisonnables pour déterminer que le Sous-traitant agissant en tant qu’importateur de données, et choisi par le Client, est capable grâce à la mise en œuvre de mesures techniques et organisationnelles appropriées, pour satisfaire aux obligations de l’importateur de données en vertu des Clauses Contractuelles Types pour que le transfert soit effectué comme convenu dans cet ATD.
En cas de divergences entre les Clauses contractuelles types et le présent DPA, les Clauses contractuelles types prévalent. Nonobstant ce qui précède, les Clauses contractuelles types ne s’appliqueront pas si OFFICE EXPERT a adopté des garanties alternatives conformément au Règlement sur la protection des données pour le transfert légal de Données personnelles en dehors de l’EEE.
10. Audit
À la demande écrite du Client et aux seuls frais et dépenses du Client, le Client a le droit, une fois tous les douze (12) mois, de vérifier la conformité d’OFFICE EXPERT avec ses obligations en vertu du Règlement sur la protection des données et du présent DPA.
Le rapport d’audit et les informations connexes doivent à tout moment être considérés comme des informations confidentielles d’OFFICE EXPERT.
11. Confidentialité des données
OFFICE EXPERT n’accédera ni n’utilisera, n’aura de visibilité ou ne divulguera à aucun tiers, aucune donnée que le Client aura saisie dans les Services Cloud, sauf, si spécifiquement demandé par écrit par le Client afin de fournir au client-services de support spécifiques tels que demandés et instruits par le Client.
Si un organisme gouvernemental envoie à OFFICE EXPERT une demande pour l’entrée des données dans les services cloud, OFFICE EXPERT fera de son mieux pour rediriger l’organisme gouvernemental afin qu’il demande ces données directement au client. Si vous êtes contraint de divulguer des données client à un organisme gouvernemental, alors OFFICE EXPERT ne divulguera les Données personnelles que dans la stricte mesure où il est légalement tenu de le faire et donnera au Client un préavis raisonnable de la demande pour permettre au Client de demander une ordonnance de protection ou un autre recours approprié, sauf si OFFICE EXPERT est légalement interdit de le faire.
12. Durée et résiliation
Le présent DPA prendra effet parallèlement au Contrat et restera en vigueur jusqu’à la résiliation du Contrat ou aussi longtemps qu’OFFICE EXPERT traitera les Données Personnelles pour le compte du Client.
Si le Client n’en a pas donné l’instruction par écrit et à moins qu’il ne soit légalement tenu de conserver les Données Personnelles, OFFICE EXPERT supprimera et détruira les Données Personnelles traitées ci-après au plus tard dans un délai de quatre-vingt-dix (90) jours de la résiliation du Contrat ou après la période maximale de conservation des données autorisée par la technologie du Service Cloud concerné. Dans le cas où le Client demande que les Données Personnelles soient retournées au Client ou à un tiers, le Client paiera à OFFICE EXPERT tous les coûts et dépenses supplémentaires découlant de ce retour des Données Personnelles.
Annexe 1 - Détails du traitement
Cette annexe 1 fait partie de ce DPA décrivant les détails des données personnelles à traiter par OFFICE EXPERT. Le client a un contrôle total sur les données personnelles qui seront traitées en téléchargeant ces données personnelles dans les services cloud. OFFICE EXPERT n’a aucune visibilité sur ces données personnelles fournies et téléchargées par le Client.
Personnes concernées
Clients, prospects, fournisseurs du Client (qui sont des personnes physiques) et
partenaires commerciaux
Employés ou personnes de contact des prospects, clients, partenaires commerciaux et fournisseurs du Client
Les employés, agents, conseillers et freelances du Client (qui sont des personnes physiques) Personnes mandatées par le client en vertu de l’accord
Catégories de données personnelles
Nom complet
Titre, poste
Adresse e-mail,
adresse
Numéro de téléphone
Catégories spéciales de données à caractère personnel - Aucune catégorie spéciale de données à caractère personnel n’est traitée.
Objet du traitement - Hébergement, stockage et maintenance des données que le client a saisies dans les services cloud.
Pour plus de clarté, le Client est le Responsable du traitement des données, et ce DPA s’applique uniquement à l’entrée des Données personnelles dans les Services Cloud par le Client.
Annexe 2 - Mesures de sécurité techniques et organisationnelles d’OFFICE EXPERT
Cette annexe 2 forme une partie de ce DPA décrivant les mesures de sécurité techniques et organisationnelles d’OFFICE EXPERT. Description des mesures de sécurité techniques et organisationnelles mises en œuvre par OFFICE EXPERT. OFFICE EXPERT maintiendra des garanties administratives, physiques et techniques pour la protection de la sécurité, de la confidentialité et de l’intégrité des données personnelles traitées sur les services cloud ...
OFFICE EXPERT doit signaler, dans un document interne, pour être tenu à jour et disponible sur demande du Responsable du traitement ou de l’Autorité garante, les données d’identification des personnes physiques auxquelles a été attribué le rôle d’Administrateur du système, avec la liste des fonctions qui leur sont attribuées.
Notre prestataire sous-traitant maintient les certifications ISO 27001 et SOC 2, démontrant notre engagement commun envers les normes de sécurité leaders du secteur. Ces certifications valident la mise en œuvre de contrôles de sécurité robustes, garantissant la confidentialité, l’intégrité et la disponibilité des données personnelles.
Conformément à l’article 32 du RGPD, le sous-traitant d’OFFICE EXPERT met en œuvre les mesures de sécurité suivantes pour assurer la protection des données personnelles traitées via ses services cloud.
1. Mesures de sécurité organisationnelles
Politique de protection des données : Une politique de protection des données documentée est maintenue et régulièrement révisée.
Sensibilisation et formation à la sécurité : Tous les membres du personnel ayant accès aux données personnelles suivent une formation obligatoire sur la protection des données lors de leur intégration et chaque année par la suite.
Contrôle d’accès et autorisation basée sur le rôle :
* L’accès aux données personnelles est limité au personnel autorisé selon le principe du moindre privilège (PoLP).
* Toutes les autorisations d’accès sont examinées périodiquement.
* L’accès administratif est soumis à une authentification multi-facteurs (MFA).
Gestion des risques par des tiers : les sous-traitants subissent des évaluations des risques pour la sécurité et des garanties contractuelles sont mises en œuvre, y compris des accords de traitement des données.
Plan de réponse aux incidents : Un plan de réponse aux incidents formalisé est en place, détaillant les responsabilités, la détection, le confinement, l’éradication et les étapes de récupération pour les violations de données.
2. Mesures de sécurité physique Sécurité du centre de données :
* Les services cloud sont hébergés dans des centres de données sécurisés certifiés ISO 27001, SOC 2 et/ou normes équivalentes.
* L’accès physique aux serveurs est limité au personnel autorisé uniquement, avec des contrôles d’accès biométriques et par carte-clé.
* Des systèmes de surveillance continue (CCTV) et de détection d’intrusion sont mis en place.
3.Mesures de sécurité techniques Cryptage :
* Les données personnelles sont cryptées au repos en utilisant AES-256.
* Les données personnelles sont cryptées en transit à l’aide de TLS 1.2/1.3.
Journalisation et surveillance :
* L’accès aux données personnelles est enregistré, surveillé et audité pour détecter les anomalies.
* Les journaux du système sont conservés pendant 12 mois.
Minimisation des données et anonymisation :
Le cas échéant, les données personnelles sont pseudonymisées ou anonymisées pour réduire les risques. Développement sécurisé et gestion des vulnérabilités :
Des audits de sécurité réguliers et des tests de pénétration sont effectués.
* Les mises à jour logicielles et les correctifs sont appliqués en temps opportun.
4. Continuité et sauvegarde des activités Sauvegarde des données et reprise après sinistre :
* Les sauvegardes sont effectuées quotidiennement et conservées pendant 180 jours.
* Les procédures de reprise après sinistre sont testées au moins une fois par an.
5. Droits des personnes concernées et mesures de conformité Traitement des demandes de personnes concernées :
* Des procédures sont en place pour répondre aux demandes d’accès, de rectification, d’effacement et de portabilité des données.
Le prestataire sous-traitant APPDRAG 66 Fitzwilliam Square, Dublin 2 D02 AT27
Irlande partenaire d’OFFICE EXPERT subit des audits externes périodiques pour assurer la conformité avec le RGPD et les réglementations applicables.
SIEGE SOCIAL
32 Chemin de la Mare
95350 Saint-Brice-sous-Forêt
HORAIRES
Matin : de 9h30 à 12h30
Après-midi : 14h00 à 18h00
TELEPHONE
Téléphone : +33 (0)1 34 38 00 26
Fax : +33 (0)1 34 38 18 26
E-MAIL
Contact : contact@officexpert.fr