Confiance · DPA

Addendum sur le traitement des données.

Le contrat qui régit la manière dont CodeCourier traite les données personnelles en votre nom - Article 28 GDPR, avec les clauses contractuelles types 2021 incorporées par référence. Pré-signé et contre-exécuté dans un délai d'un jour ouvrable.

documentsDPA · v2.1
RéférenceGDPR Art. 28
ProcesseurCodeCourier
Contrôleur________________________
Efficace__ / __ / ____
Processeur
Contrôleur
Contexte

Ce que fait réellement ce document.

En vertu de l'article 28 GDPR, chaque fois qu'un prestataire de services traite des données personnelles pour le compte d'un client - même de manière routinière, même via une interface SaaS - un contrat écrit est obligatoire. Le DPA est ce contrat.

Il attribue des rôles : le client est le contrôleur (vous décidez pourquoi et comment les données sont traitées) et CodeCourier est le sous-traitant (nous exécutons vos instructions documentées). Il verrouille ensuite exactement ce que nous pouvons et ne pouvons pas faire avec ces données.

On l'appelle un addendum car il accompagne notre accord-cadre de services (MSA) ou nos conditions de service : le contrat commercial définit le service ; le DPA établit les garde-fous en matière de protection des données en couches supérieures.

Avez-vous besoin d'un DPA?
  • Vous traitez les données personnelles des résidents de l'UE, de l'EEE, du Royaume-Uni ou de la Suisse via CodeCourier.
  • Vous téléchargez du code, des journaux ou des invites pouvant contenir des données personnelles (noms, e-mails, identifiants).
  • Vous opérez dans le cadre d’obligations contractuelles de résidence des données ou de diligence raisonnable des fournisseurs.
Les clauses en un coup d'œil

12 clauses, toutes art. 28-aligné.

Chaque élément obligatoire de l’article 28, paragraphe 3, est couvert. Résumés en anglais simple ci-dessous : le texte juridique lui-même se trouve dans le document lui-même.

Article 1

Sujet et durée

Définit le traitement concerné (le service CodeCourier) et sa durée (pour la durée du MSA, plus une fenêtre résiduelle définie).

Article 2

Nature et finalité du traitement

Décrit ce que nous faisons réellement avec les données personnelles : hébergement, exécution de code, orchestration des agents, journalisation, support et facturation - et rien au-delà.

Article 3

Types de données personnelles

Répertorie les catégories de données personnelles pouvant être traitées : identifiants de compte, code et invites, configuration, correspondance d'assistance, télémétrie.

Article 4

Catégories de personnes concernées

Identifie les personnes dont les données sont traitées : les employés du contrôleur, les sous-traitants, les clients et tout utilisateur final dont le contrôleur soumet les données personnelles via le service.

Article 5

Obligations et instructions du sous-traitant

Nous traitons uniquement sur instructions documentées du contrôleur. Tout ce qui sort du cadre nécessite un ordre de modification écrit ou une base juridique distincte.

Article 6

Confidentialité

Tout le personnel ayant accès est tenu par écrit à la confidentialité. L'accès est celui du moindre privilège, enregistré et examiné tous les trimestres sous nos contrôles SOC 2.

Article 7

Mesures de sécurité (article 32)

Annexes les mesures techniques et organisationnelles : chiffrement, contrôle d'accès, pseudonymisation, résilience, réponse aux incidents, tests réguliers.

Article 8

Conditions du sous-traitant ultérieur

Autorisation générale avec préavis de 30 jours pour les nouveaux sous-traitants ultérieurs. Les responsables du traitement conservent le droit de s'opposer et, pour motif valable, de résilier.

Article 9

Assistance concernant les droits des personnes concernées

Nous aidons les responsables du traitement à répondre aux demandes d'accès, de rectification, d'effacement, de restriction, de portabilité et d'objection dans le délai de 30 jours du GDPR.

Article 10

Notification de violation de données personnelles

Nous informons le Responsable du traitement sans retard injustifié - et au plus tard 24 heures après en avoir pris connaissance - de toutes les informations requises par l'Art. 33/34 rapports.

Article 11

Droits d'audit

Le rapport annuel SOC 2 de type II satisfait aux audits de routine ; Des audits sur site sont disponibles avec un préavis de 30 jours et des garanties de confidentialité raisonnables.

Article 12

Restitution ou suppression de données

En cas de résiliation, les contrôleurs choisissent le retour ou la suppression des données personnelles. La suppression est réalisée dans un délai de 30 jours, avec une attestation écrite sur demande.

Ce sont des explications, pas le contrat. Demandez le document pour le libellé précis.

Connectez-vous en 3 étapes

Pré-signé et prêt.

Notre DPA est pré-signé côté processeur. Vous le contresignez et le renvoyez - la plupart des accords sont entièrement exécutés en un jour ouvrable.

Étape 01

Demande

Envoyez un e-mail légal avec le nom de votre entreprise et l'adresse e-mail que vous souhaitez nommer sur l'accord. Nous envoyons le PDF pré-signé, les SCC et l'annexe de sécurité.

→ Demande par email
Étape 02

Révision et contresigne

Prenez le temps dont vous avez besoin. La plupart des équipes y parviennent en 1 à 3 jours. Nous sommes heureux de supprimer les modifications mineures lorsque cela est légalement possible : le DPA est conçu pour être de l'art. 28-serré.

Fenêtre de révision
Étape 03

Contre-exécuter

Renvoyez la copie signée. Nous contresignons dès réception et renvoyons le PDF entièrement exécuté avec un numéro de référence unique pour vos dossiers.

Délai d'exécution de 24 heures
Gestion des sous-traitants

Divulgué, examiné, contrôlable.

Nous nous appuyons sur une liste courte et volontairement restreinte de sous-traitants pour fournir le service. Chacun est contractuellement tenu au même Art. 28 obligations que nous vous devons.

Les sous-traitants sont les tiers que nous utilisons pour exécuter le service : infrastructure cloud, environnement d'exécution sandbox, courrier électronique transactionnel, observabilité et analyses. Aucun d’entre eux ne s’interpose entre vous et vos données sans un accord de traitement signé.

Avant d'ajouter ou de remplacer un sous-traitant ultérieur, chaque contrôleur du DPA reçoit un préavis écrit d'au moins 30 jours. L'avis indique qui est le nouveau fournisseur, ce qu'il traite, où et sur quelle base juridique.

Si vous vous opposez pour des raisons raisonnables de protection des données et que nous ne pouvons pas proposer d'alternative, vous pouvez mettre fin à la partie concernée du service sans pénalité. Le silence après la fenêtre de 30 jours compte comme une approbation.

Catégories concernées
  • Infrastructure cloud
  • Exécution du bac à sable
  • E-mail transactionnel
  • Observabilité
  • Analyse des produits
Demander la dernière liste de sous-traitants ultérieurs
Droit de vérification

Vérifiez, ne vous contentez pas de faire confiance.

La DPA donne aux contrôleurs un droit d'audit à plusieurs niveaux : des rapports annuels de tiers pour les cas de routine et des audits sur site lorsqu'un problème réel survient.

ISO 27001 (sur feuille de route)

La certification ISO 27001 figure sur notre feuille de route en matière de sécurité. Entre-temps, nous partageons sur demande des preuves de contrôle équivalentes et des analyses d’écarts avec les contrôleurs de l’entreprise.

Audits sur motif

Lorsque les preuves SOC 2 sont insuffisantes - par exemple après une violation ou une enquête du régulateur - les contrôleurs peuvent demander un audit sur site avec un préavis écrit de 30 jours.

Les audits respectent la confidentialité et la continuité opérationnelle : ils vérifient les contrôles et n'exfiltrent pas les données.

Transfrontalier

Transferts gérés par les SCC.

Lorsque les données personnelles circulent de l'UE/EEE, du Royaume-Uni ou de la Suisse vers un pays tiers, le DPA intègre les clauses contractuelles types de 2021 de la Commission européenne - Module deux (du contrôleur au processeur) et module trois (du processeur au sous-traitant) - par référence, l'addendum britannique et les variantes du FDPIC suisse étant appliqués automatiquement.

La Suisse bénéficie du cadre d'adéquation Suisse-UE ; Les transferts au Royaume-Uni s'effectuent sous le UK IDTA / Addendum. Nous effectuons une évaluation de l'impact du transfert pour chaque emplacement de sous-traitant ultérieur et en fournissons une copie sur demande.

Détails complets du transfert sur la page GDPR
Annexe de sécurité

Art. 32 mesures, dans le document.

Le DPA annexe les mesures techniques et organisationnelles (TOM) que nous maintenons pour protéger les données personnelles - un résumé contractuellement contraignant de ce qui figure en détail sur notre page Sécurité.

Mesures techniques complètes sur la page Sécurité
  • Chiffrement : en transit (TLS 1.3) et au repos (AES-256), avec rotation des clés gérée.
  • Contrôle d'accès - SSO, MFA, RBAC de moindre privilège, examens d'accès trimestriels.
  • Pseudonymisation : appliquée aux identifiants dans les journaux et les analyses lorsque cela est possible.
  • Résilience - infrastructure multi-AZ, sauvegardes automatisées, procédures de restauration testées.
  • Réponse aux incidents : disponibilité 24h/24 et 7j/7, runbooks documentés, notification de violation 24h/24, SLA.
  • Tests réguliers : tests d'intrusion annuels par des tiers et analyses automatisées continues.
Coopération

Nous vous aidons à remplir vos obligations.

Les contrôleurs portent la responsabilité principale des droits des personnes concernées, des DPIA et des notifications de violation. La DPA nous engage contractuellement à fournir une assistance raisonnable pour chacun de ces éléments - sans frais supplémentaires pour les demandes de routine.

Concrètement : nous mettons en évidence les données que nous détenons pour une demande d'accès ou de portabilité, procédons à l'effacement selon vos instructions écrites, soutenons vos DPIA avec des informations sur le traitement et vous informons d'une violation de données personnelles dans les 24 heures suivant notre prise de conscience - avec tous les détails dont vous avez besoin pour votre art. 33 dépôt.

Demande

Prêt à exécuter ?

Envoyez-nous un e-mail et nous enverrons le package DPA complet - pré-signé, prêt à être contresigné et accompagné de tout ce que le marché demandera.

DPA pré-signé (PDF)

Aligné sur l'article 28, prêt à recevoir votre contreseing.

Clauses contractuelles types

SCC 2021, modules 2 et 3, avec addendum britannique et variantes suisses.

Liste des sous-traitants

Fournisseurs actuels, catégories, emplacements et mécanismes de transfert.

Annexe sur les mesures de sécurité

L'art. 32 mesures techniques et organisationnelles, sous forme contractuelle.

Demander le forfait DPA

Retourné dans un délai d'un jour ouvrable. Révisé par un avocat ; les questions sont les bienvenues.

FAQ

Questions courantes sur la DPA.

Ai-je besoin d'un DPA si je suis uniquement sur le forfait gratuit ?
La nécessité d'un DPA dépend du fait que vous traitiez ou non des données personnelles via CodeCourier - et non du forfait que vous utilisez. Si vous le faites, même sur un espace de travail gratuit, l'article 28 s'applique toujours et nous serons heureux d'exécuter un DPA sans frais supplémentaires.
Puis-je négocier des modifications du DPA ?
Notre DPA est construit pour être de l’Art. 28 et est largement accepté tel quel par les équipes d'approvisionnement et juridiques de l'entreprise. Nous sommes ouverts aux lignes rouges raisonnables - généralement concernant les délais de notification, la portée de l'audit et les définitions - et vous répondrons dans les cinq jours ouvrables. Les changements importants sont examinés par notre conseiller externe.
La DPA est-elle bilingue ?
La version faisant autorité est en anglais. Pour les clients de la région DACH, nous pouvons fournir une copie de lecture en allemand à côté de l'original anglais ; en cas de conflit, la version anglaise prévaut. Nous pouvons produire d'autres langues au cas par cas pour les contrats d'entreprise.
Le DPA couvre-t-il Swiss FADP ?
Oui. La LPD est rédigée pour être valable à la fois en vertu de la GDPR et de la loi fédérale suisse révisée sur la protection des données (LPD), et les CCS sont modifiées avec le langage recommandé par le PFPDT. Les personnes concernées résidant en Suisse bénéficient des mêmes droits et recours que les résidents de l'UE.
Qu'arrive-t-il à mes données si j'annule ?
En cas de résiliation, vous choisissez le retour ou la suppression des données personnelles dans un délai de 30 jours. Nous fournissons une attestation écrite de suppression sur demande. Une courte fenêtre résiduelle s'applique aux sauvegardes (généralement jusqu'à 35 jours) et aux données que nous sommes légalement tenus de conserver (par exemple, les enregistrements de facturation).
Puis-je ajouter un addenda au contrôleur conjoint ?
Si votre cas d'utilisation nous implique en tant que contrôleur conjoint plutôt que sous-traitant - par exemple des accords de co-marketing spécifiques - nous pouvons joindre un Art. 26 Addendum du contrôleur conjoint qui clarifie la répartition des responsabilités, les informations transparentes et le point de contact unique pour les personnes concernées.
Légal à CodeCourier

Vous avez une question sur le contrat ? Nous y répondons également.

Gratuit pendant 14 jours · pas de carte de crédit

Embauchez votre premier ingénieur IA.
Expédier avant l'heure du déjeuner.

5 minutes pour embarquer. Premier PR dans l'heure. Annulez à tout moment.