Accord de Traitement des Données

1. Parties et Contexte

Responsable du traitement : le client ayant accepté les conditions de service de Mapalyze.

Sous-traitant (« Sous-traitant ») : Mapalyze, exerçant sous le nom commercial « Mapalyze », Calle Badajoz 9, 21600 Valverde del Camino, Huelva, Espagne. Contact : info@mapalyze.com.

Le présent DPA garantit la conformité avec l’article 28 du RGPD et la LOPDGDD espagnole. En cas de conflit entre ce DPA et le Contrat, ce DPA prévaut pour toutes les questions liées à la protection des données.

2. Définitions

Les termes en majuscules ont la signification qui leur est attribuée dans le RGPD ou le Contrat. Termes clés :

• "Données Personnelles" — toute information se rapportant à une personne physique identifiée ou identifiable (article 4.1 RGPD).
• "Traitement" — toute opération effectuée sur des Données Personnelles (article 4.2 RGPD).
• "Violation de Données Personnelles" — une violation de sécurité entraînant la destruction, la perte, l’altération ou la divulgation non autorisée, accidentelle ou illicite, de Données Personnelles (article 4.12 RGPD).
• "Sous-traitant ultérieur" — tout tiers engagé par le Sous-traitant pour traiter des Données Personnelles pour le compte du Responsable du traitement.
• "Autorité de contrôle" — l’Agencia Española de Protección de Datos (AEPD).
• "Clauses Contractuelles Types (CCT)" — les clauses approuvées par la Commission européenne pour les transferts de Données Personnelles en dehors de l’EEE.

3. Portée et Finalité du Traitement

Objet

Fourniture d’une plateforme cloud de cartographie, de collecte de données de terrain, d’inspection et d’analyse géospatiale, y compris le stockage des données, la synchronisation, le rapports et les services d’assistance technique associés.

Durée

Le traitement se poursuit pendant la durée du Contrat. À la résiliation, la Section 9 (Résiliation) s'applique.

Nature et Finalité

Collecte, stockage, organisation, consultation, affichage, transmission, synchronisation, analyse et suppression des données personnelles lorsque cela est nécessaire à la fourniture des services.

Types de Données Personnelles Traitées

• Données d'identité : noms, identifiants d'employé, titres de poste, rôles
• Données de contact : adresses e-mail, numéros de téléphone, adresses postales
• Localisation/Données géospatiales : coordonnées GPS, limites géographiques, annotations cartographiques, données de couche SIG
• Données multimédias : photographies, vidéos, enregistrements audio capturés via les Services
• Données de l'appareil : identifiants de l'appareil, adresses IP, informations sur le système d'exploitation
• Données de réponse au formulaire/à l'enquête : toutes les données saisies dans les formulaires créés par le contrôleur

Catégories de Personnes Concernées

• Les employés, sous-traitants et agents du Contrôleur
• Les clients et utilisateurs finaux du Contrôleur
• Individuals whose data is collected during inspection de terrains or surveys
• Toute autre personne dont les Données Personnelles sont téléversées par le Responsable du traitement ou ses Utilisateurs

4. Obligations du Sous-traitant

4.1 Instructions de Traitement

Le Sous-traitant ne traite les données personnelles que sur instructions documentées du Responsable du traitement, y compris en matière de transferts internationaux, sauf si le droit de l’UE ou d’un État membre l’exige. Le Sous-traitant informe le Responsable de toute obligation légale de ce type avant le traitement, sauf interdiction légale.

4.2 Confidentialité

Tout le personnel du Sous-traitant ayant accès aux données personnelles est lié par des engagements écrits de confidentialité et tenu à une stricte obligation de réserve.

4.3 Mesures de Sécurité

Le Sous-traitant met en œuvre les mesures techniques et organisationnelles appropriées conformément à l'article 32 du RGPD, notamment :

• Chiffrement des Données Personnelles en transit via TLS 1.2 ou supérieur
• Chiffrement des Données Personnelles au repos via AES-256 ou équivalent
• Contrôle d’accès fondé sur les rôles afin de garantir que seul le personnel autorisé accède aux Données Personnelles
• Tests de sécurité et évaluations de vulnérabilité réguliers
• Journalisation et surveillance de l'accès aux données personnelles
• Pratiques de développement sécurisées pour la plateforme
• Procédures de continuité des activités et de reprise après sinistre, y compris des sauvegardes régulières

4.4 Droits des Personnes Concernées

Le Sous-traitant assistera le Responsable du traitement pour répondre aux demandes d’exercice des droits des personnes concernées prévues au chapitre III du RGPD (articles 15 à 22), notamment les droits d’accès, de rectification, d’effacement, de limitation, de portabilité et d’opposition. Le Sous-traitant informera sans délai le Responsable de toute demande reçue directement d’une personne concernée.

4.5 AIPD

Le Sous-traitant fournit une assistance raisonnable pour les analyses d'impact relatives à la protection des données (AIPD) et les consultations préalables auprès des autorités de contrôle requises en vertu des articles 35 et 36 du RGPD.

5. Notification de Violation de Données Personnelles

En cas de violation de données personnelles, le Sous-traitant doit :

• Notifier le Responsable sans retard injustifié et, en tout état de cause, dans les 72 heures suivant la prise de connaissance de la violation, conformément aux articles 33 et 34 du RGPD, donnant au Responsable un délai suffisant pour se conformer à sa propre obligation de notification dans les 72 heures
• Fournir la nature de la violation, les catégories et le nombre approximatif de Personnes concernées et d'enregistrements affectés, les conséquences probables et les mesures prises ou proposées
• Coopérer avec le Responsable et prendre des mesures raisonnables pour aider à l'enquête, à l'atténuation et à la remédiation
• Ne pas notifier directement des tiers (y compris les Personnes concernées ou les Autorités de contrôle) sans l'instruction écrite préalable du Responsable, sauf si la loi l'exige
• Documenter toutes les violations de Données Personnelles conformément à l'article 33(5) du RGPD

6. Transferts Internationaux de Données

Le Sous-traitant ne transfère pas de données personnelles en dehors de l’EEE sauf si :

• La Commission européenne a adopté une décision d’adéquation pour le pays de destination (y compris pour les transferts vers les États-Unis dans le cadre du Data Privacy Framework UE-États-Unis lorsque le destinataire est certifié).
• Des garanties appropriées sont en place au titre de l’article 46 du RGPD, telles que les clauses contractuelles types (CCT).
• Une dérogation au titre de l’article 49 du RGPD s’applique et a été documentée.

Le Sous-traitant informera le Responsable de tout Sous-traitant ultérieur situé en dehors de l'EEE et du mécanisme de garantie utilisé. Les informations sur les Sous-traitants ultérieurs actuels figurent à la Section 8 et peuvent également être obtenues en contactant info@mapalyze.com.

7. Audits et Inspections

Le Sous-traitant met à disposition toutes les informations nécessaires pour démontrer sa conformité à l’article 28 du RGPD et permettre des audits, sous réserve de :

• Au moins 30 jours de préavis écrit pour toute demande d’audit.
• Des audits réalisés pendant les heures normales d’activité, sans perturber de manière déraisonnable les opérations.
• Les coûts d’audit sont supportés par le Responsable du traitement, sauf si l’audit révèle une violation matérielle du Sous-traitant.
• Les résultats d’audit sont traités comme des Informations Confidentielles du Sous-traitant.

8. Sous-traitants

Le Responsable accorde une autorisation générale écrite pour engager des Sous-traitants ultérieurs, sous réserve des conditions suivantes :

• Une liste à jour des Sous-traitants ultérieurs est maintenue dans cette Section et disponible sur demande à info@mapalyze.com, incluant le nom, la localisation et le rôle
• Un préavis d'au moins 15 jours pour tout changement prévu de Sous-traitants ultérieurs, donnant au Responsable la possibilité d'objecter
• Discussion de bonne foi de toute objection raisonnable dans les 15 jours ; si non résolue, le Responsable peut résilier les Services concernés
• Les mêmes obligations de protection des données imposées à chaque Sous-traitant ultérieur par contrat (article 28(4) du RGPD)
• Le Sous-traitant reste pleinement responsable des actes et omissions des Sous-traitants ultérieurs

8.1 Sous-traitants Ultérieurs Actuels

À la date de dernière mise à jour, Mapalyze engage les Sous-traitants ultérieurs suivants pour fournir les Services. Des obligations de protection des données équivalentes à celles du présent DPA sont imposées par contrat à chaque Sous-traitant ultérieur.

• Paddle.com Market Ltd — Royaume-Uni — Commerçant Enregistré (Merchant of Record) pour les abonnements payants (traitement des paiements, calcul des taxes, facturation, gestion des remboursements). Données traitées : nom du client, e-mail de facturation, adresse de facturation, adresse IP, historique d'achats, jetons de paiement. Mécanisme de transfert : décision d'adéquation du Royaume-Uni adoptée par la Commission européenne le 28 juin 2021 au titre de l'article 45 du RGPD.
• Supabase Inc. — Union européenne (région UE, Stockholm — eu-north-1) — Base de données, authentification, stockage et hébergement de fonctions edge pour l'application Mapalyze. Données traitées : toutes les Données Personnelles téléversées par le Responsable et ses Utilisateurs, y compris données de compte, données de terrain, données géospatiales, médias et identifiants d'authentification. Mécanisme de transfert : hébergement dans l'EEE, aucun transfert international requis.
• Vercel Inc. — États-Unis — Hébergement de l'application web et compute serverless pour l'application Mapalyze (app.mapalyze.com). Données traitées : données de session des utilisateurs authentifiés, adresses IP, métadonnées de requêtes, télémétrie d'usage. Mécanisme de transfert : Clauses Contractuelles Types (Module 2) au titre de l'article 46 du RGPD et EU-U.S. Data Privacy Framework le cas échéant ; Vercel est certifiée DPF.
• Hostinger International Ltd — Union européenne (Lituanie) — Hébergement statique du site web public marketing de Mapalyze (mapalyze.com). Données traitées : adresses IP des visiteurs, identifiants de navigateur, journaux d'accès HTTP. Mécanisme de transfert : hébergement dans l'EEE, aucun transfert international requis.
• Resend, Inc. — États-Unis — Envoi d'e-mails transactionnels (e-mails d'authentification, factures, notifications). Données traitées : adresse e-mail du destinataire, nom, contenu et métadonnées de l'e-mail. Mécanisme de transfert : Clauses Contractuelles Types (Module 2) au titre de l'article 46 du RGPD.
• Google LLC — États-Unis — Analytique web du site public marketing (mapalyze.com) via Google Analytics 4 (GA4). Données traitées : adresse IP (anonymisée lorsque possible par troncature), identifiants de navigateur et d'appareil, URL de référence, pages visitées, événements d'interaction. La collecte est conditionnée à un bandeau de consentement de cookies et n'a lieu que si le visiteur accorde son consentement analytique. Mécanisme de transfert : Clauses Contractuelles Types (Module 2) au titre de l'article 46 du RGPD et EU-U.S. Data Privacy Framework (Google LLC est certifiée DPF).
• Functional Software, Inc. (Sentry) — États-Unis — Suivi des erreurs, surveillance des performances et état des versions de l'application Mapalyze. Données traitées : traces d'erreurs, identifiants d'utilisateur, informations sur l'appareil, métadonnées de navigateur et de système d'exploitation, adresses IP. Mécanisme de transfert : Clauses Contractuelles Types (Module 2) au titre de l'article 46 du RGPD.
• HERE Global B.V. — Pays-Bas (Union européenne) — Services de géocodage, géocodage inverse, routage et cartographie. Données traitées : requêtes de recherche d'adresses, coordonnées GPS soumises pour géocodage, adresses IP. Mécanisme de transfert : hébergement dans l'EEE (principal) ; Clauses Contractuelles Types lorsque le support opérationnel implique des transferts vers des entités du groupe HERE en dehors de l'EEE.
• MapTiler AG — Suisse — Tuiles vectorielles, stylisation de cartes et serveur de tuiles. Données traitées : requêtes de tuiles (coordonnées et niveau de zoom), adresses IP. Mécanisme de transfert : décision d'adéquation de la Suisse adoptée par la Commission européenne au titre de l'article 45 du RGPD.

Cette liste reflète les engagements actuels et peut évoluer. Le Responsable peut demander à tout moment une liste actualisée et complète des Sous-traitants ultérieurs en écrivant à info@mapalyze.com. Les changements substantiels sont notifiés au moins 15 jours à l'avance.

9. Résiliation et Restitution des Données

À la fin du Contrat, le Sous-traitant doit, au choix du Responsable du traitement, soit restituer toutes les données personnelles dans un format structuré et couramment utilisé, soit supprimer de manière sécurisée toutes les données personnelles en sa possession. Le Responsable dispose de 30 jours après la résiliation pour exporter les données avant suppression. Le Sous-traitant fournit une confirmation écrite de la suppression sur demande.

Le Sous-traitant tient un registre des activités de traitement conformément à l’article 30 du RGPD et coopère avec l’Autorité de contrôle (AEPD) conformément à l’article 31 du RGPD.