Avenant RGPD – Accord de Sous-Traitance

Article 1 – Objet

Le présent avenant a pour objet de définir les conditions dans lesquelles GDM, en sa qualité de sous-traitant technique, s'engage à héberger et traiter les données à caractère personnel nécessaires à la fourniture du service GDM – Gestion Dynamique de Matériel.

GDM fonctionne sur un modèle multi-entreprises : chaque utilisateur dispose d'un compte personnel unique pouvant être associé à plusieurs entreprises. Chaque entreprise paye sa propre licence indépendamment.

Cet avenant est conclu en application de l'article 28 du Règlement (UE) 2016/679 du 27 avril 2016 (RGPD).

Article 2 – Nature des opérations de traitement

GDM réalise pour le compte du Client les opérations de traitement suivantes :

• Stockage et gestion des données relatives aux utilisateurs du logiciel
• Stockage des données relatives au personnel, techniciens et intervenants saisis par le Client
• Gestion des comptes utilisateurs (création, modification, suppression)
• Gestion opérationnelle des réservations, locations, projets et mouvements de stock
• Génération de documents (bons de sortie, fiches de préparation, plannings)
• Journalisation et suivi des actions réalisées dans l'application
• Sauvegardes automatiques des données

Article 3 – Catégories de données traitées

GDM distingue deux types de données selon leur appartenance :

3.1 Données du compte personnel (appartenant à l'utilisateur)

Ces données sont liées au compte unique de l'utilisateur :

• Nom, prénom
• Adresse email
• Mot de passe (chiffré)
• Numéro de téléphone
• Adresse postale
• Photo de profil
• Date d'anniversaire
• Numéro de sécurité sociale (optionnel)
• Numéro de congés spectacle

3.2 Données liées à l'entreprise (appartenant au Client)

Ces données sont spécifiques à chaque entreprise :

• Fonction / poste dans l'entreprise
• Équipe / service d'appartenance
• Droits d'accès et permissions
• Données des tiers non-utilisateurs (techniciens, intermittents, prestataires)

3.3 Données techniques

• Informations de connexion (horodatages, adresses IP)
• Journaux d'actions
• Informations sur le navigateur utilisé

Article 4 – Personnes concernées

Les catégories de personnes concernées par le traitement sont :

• Les utilisateurs du logiciel GDM disposant d'un compte personnel
• Les personnes dont les données sont saisies par le Client (techniciens, intermittents, prestataires non-utilisateurs)

Note : Un utilisateur peut être associé à plusieurs entreprises clientes. Dans ce cas, chaque entreprise n'a accès qu'aux données liées à son propre espace.

Article 5 – Obligations du sous-traitant (GDM)

GDM s'engage à :

5.1 Traitement des données

• Traiter les données uniquement sur instruction documentée du Client
• Ne pas utiliser les données à d'autres fins que l'exécution du service
• Ne pas céder, vendre ou transmettre les données à des tiers

5.2 Confidentialité

• Garantir la confidentialité totale des données
• S'assurer que les personnes autorisées à traiter les données sont soumises à une obligation de confidentialité

5.3 Sécurité

Mettre en œuvre des mesures de sécurité adaptées, incluant notamment :

• Chiffrement des mots de passe (hashage sécurisé)
• Connexions sécurisées HTTPS/TLS
• Contrôle d'accès et authentification
• Sauvegardes automatiques toutes les 30 minutes
• Stockage redondant sur 3 emplacements en France
• Journalisation et suivi des connexions et actions
• Accès restreint aux serveurs

5.4 Localisation des données

• Héberger les données exclusivement en Union Européenne (serveurs OVH en France)
• Ne procéder à aucun transfert de données hors de l'UE

5.5 Notification des violations

• Notifier le Client dans les meilleurs délais en cas d'incident de sécurité susceptible d'entraîner une violation de données
• Fournir au Client toutes les informations nécessaires pour lui permettre de notifier la CNIL si nécessaire

5.6 Assistance au Client

• Assister le Client pour répondre aux demandes d'exercice des droits des personnes concernées (accès, rectification, suppression, portabilité, opposition)
• Aider le Client à garantir le respect de ses obligations en matière de sécurité et de notification des violations

5.7 Fin du contrat

• À la fin du contrat, maintenir un accès en lecture seule pendant 1 an
• Restituer les données au Client sur demande (format Excel)
• Supprimer définitivement les données de l'entreprise dans un délai de 90 jours après la fin de l'accès
• Procéder à une suppression anticipée sur demande du Client

Note : La suppression des données d'une entreprise ne supprime pas les comptes personnels des utilisateurs, qui peuvent être associés à d'autres entreprises. Seul le lien entre l'utilisateur et l'entreprise est supprimé, ainsi que les données spécifiques à cette entreprise.

Article 6 – Répartition des responsabilités

6.1 Responsabilités de l'utilisateur

L'utilisateur est responsable des données de son compte personnel et s'engage à :

• Fournir des informations exactes lors de la création de son profil
• Maintenir ses données à jour
• Préserver la confidentialité de ses identifiants de connexion

6.2 Responsabilités du Client (entreprise)

Le Client est responsable des données liées à son espace et s'engage à :

• Déterminer les finalités et les bases légales des traitements effectués dans son espace
• Informer les tiers (techniciens, intermittents non-utilisateurs) de la collecte de leurs données
• S'assurer de la licéité des données saisies dans son espace
• Configurer les accès et permissions de manière appropriée
• Répondre aux demandes d'exercice des droits concernant les données de son espace

Article 7 – Accès aux données

Seuls les administrateurs techniques habilités de GDM peuvent accéder ponctuellement aux données, exclusivement à des fins de :

• Maintenance technique
• Support utilisateur
• Résolution d'incidents

Ces accès sont tracés et limités au strict nécessaire.

Article 8 – Sous-traitance ultérieure

À la date du présent avenant, GDM ne fait appel à aucun sous-traitant ayant accès aux données personnelles du Client.

Si une évolution du service nécessitait le recours à un sous-traitant ultérieur, le Client en serait préalablement informé et pourrait s'y opposer.

Article 9 – Durée

Le présent avenant entre en vigueur à compter de l'inscription du Client au service GDM et reste valable tant que le Client utilise le logiciel.

Les obligations relatives à la confidentialité et à la sécurité des données survivent à la fin du contrat.

Article 10 – Droit applicable

Le présent avenant est régi par le droit français et le droit de l'Union Européenne, notamment le Règlement (UE) 2016/679 (RGPD).

En cas de litige relatif à l'interprétation ou l'exécution du présent avenant, les parties s'efforceront de trouver une solution amiable. À défaut, les tribunaux de Paris seront seuls compétents.