Addendum sur le traitement des données.
Le contrat qui régit la manière dont CodeCourier traite les données personnelles en votre nom - Article 28 GDPR, avec les clauses contractuelles types 2021 incorporées par référence. Pré-signé et contre-exécuté dans un délai d'un jour ouvrable.
Ce que fait réellement ce document.
En vertu de l'article 28 GDPR, chaque fois qu'un prestataire de services traite des données personnelles pour le compte d'un client - même de manière routinière, même via une interface SaaS - un contrat écrit est obligatoire. Le DPA est ce contrat.
Il attribue des rôles : le client est le contrôleur (vous décidez pourquoi et comment les données sont traitées) et CodeCourier est le sous-traitant (nous exécutons vos instructions documentées). Il verrouille ensuite exactement ce que nous pouvons et ne pouvons pas faire avec ces données.
On l'appelle un addendum car il accompagne notre accord-cadre de services (MSA) ou nos conditions de service : le contrat commercial définit le service ; le DPA établit les garde-fous en matière de protection des données en couches supérieures.
- Vous traitez les données personnelles des résidents de l'UE, de l'EEE, du Royaume-Uni ou de la Suisse via CodeCourier.
- Vous téléchargez du code, des journaux ou des invites pouvant contenir des données personnelles (noms, e-mails, identifiants).
- Vous opérez dans le cadre d’obligations contractuelles de résidence des données ou de diligence raisonnable des fournisseurs.
12 clauses, toutes art. 28-aligné.
Chaque élément obligatoire de l’article 28, paragraphe 3, est couvert. Résumés en anglais simple ci-dessous : le texte juridique lui-même se trouve dans le document lui-même.
Sujet et durée
Définit le traitement concerné (le service CodeCourier) et sa durée (pour la durée du MSA, plus une fenêtre résiduelle définie).
Nature et finalité du traitement
Décrit ce que nous faisons réellement avec les données personnelles : hébergement, exécution de code, orchestration des agents, journalisation, support et facturation - et rien au-delà.
Types de données personnelles
Répertorie les catégories de données personnelles pouvant être traitées : identifiants de compte, code et invites, configuration, correspondance d'assistance, télémétrie.
Catégories de personnes concernées
Identifie les personnes dont les données sont traitées : les employés du contrôleur, les sous-traitants, les clients et tout utilisateur final dont le contrôleur soumet les données personnelles via le service.
Obligations et instructions du sous-traitant
Nous traitons uniquement sur instructions documentées du contrôleur. Tout ce qui sort du cadre nécessite un ordre de modification écrit ou une base juridique distincte.
Confidentialité
Tout le personnel ayant accès est tenu par écrit à la confidentialité. L'accès est celui du moindre privilège, enregistré et examiné tous les trimestres sous nos contrôles SOC 2.
Mesures de sécurité (article 32)
Annexes les mesures techniques et organisationnelles : chiffrement, contrôle d'accès, pseudonymisation, résilience, réponse aux incidents, tests réguliers.
Conditions du sous-traitant ultérieur
Autorisation générale avec préavis de 30 jours pour les nouveaux sous-traitants ultérieurs. Les responsables du traitement conservent le droit de s'opposer et, pour motif valable, de résilier.
Assistance concernant les droits des personnes concernées
Nous aidons les responsables du traitement à répondre aux demandes d'accès, de rectification, d'effacement, de restriction, de portabilité et d'objection dans le délai de 30 jours du GDPR.
Notification de violation de données personnelles
Nous informons le Responsable du traitement sans retard injustifié - et au plus tard 24 heures après en avoir pris connaissance - de toutes les informations requises par l'Art. 33/34 rapports.
Droits d'audit
Le rapport annuel SOC 2 de type II satisfait aux audits de routine ; Des audits sur site sont disponibles avec un préavis de 30 jours et des garanties de confidentialité raisonnables.
Restitution ou suppression de données
En cas de résiliation, les contrôleurs choisissent le retour ou la suppression des données personnelles. La suppression est réalisée dans un délai de 30 jours, avec une attestation écrite sur demande.
Ce sont des explications, pas le contrat. Demandez le document pour le libellé précis.
Pré-signé et prêt.
Notre DPA est pré-signé côté processeur. Vous le contresignez et le renvoyez - la plupart des accords sont entièrement exécutés en un jour ouvrable.
Demande
Envoyez un e-mail légal avec le nom de votre entreprise et l'adresse e-mail que vous souhaitez nommer sur l'accord. Nous envoyons le PDF pré-signé, les SCC et l'annexe de sécurité.
Révision et contresigne
Prenez le temps dont vous avez besoin. La plupart des équipes y parviennent en 1 à 3 jours. Nous sommes heureux de supprimer les modifications mineures lorsque cela est légalement possible : le DPA est conçu pour être de l'art. 28-serré.
Contre-exécuter
Renvoyez la copie signée. Nous contresignons dès réception et renvoyons le PDF entièrement exécuté avec un numéro de référence unique pour vos dossiers.
Divulgué, examiné, contrôlable.
Nous nous appuyons sur une liste courte et volontairement restreinte de sous-traitants pour fournir le service. Chacun est contractuellement tenu au même Art. 28 obligations que nous vous devons.
Les sous-traitants sont les tiers que nous utilisons pour exécuter le service : infrastructure cloud, environnement d'exécution sandbox, courrier électronique transactionnel, observabilité et analyses. Aucun d’entre eux ne s’interpose entre vous et vos données sans un accord de traitement signé.
Avant d'ajouter ou de remplacer un sous-traitant ultérieur, chaque contrôleur du DPA reçoit un préavis écrit d'au moins 30 jours. L'avis indique qui est le nouveau fournisseur, ce qu'il traite, où et sur quelle base juridique.
Si vous vous opposez pour des raisons raisonnables de protection des données et que nous ne pouvons pas proposer d'alternative, vous pouvez mettre fin à la partie concernée du service sans pénalité. Le silence après la fenêtre de 30 jours compte comme une approbation.
- Infrastructure cloud
- Exécution du bac à sable
- E-mail transactionnel
- Observabilité
- Analyse des produits
Vérifiez, ne vous contentez pas de faire confiance.
La DPA donne aux contrôleurs un droit d'audit à plusieurs niveaux : des rapports annuels de tiers pour les cas de routine et des audits sur site lorsqu'un problème réel survient.
ISO 27001 (sur feuille de route)
La certification ISO 27001 figure sur notre feuille de route en matière de sécurité. Entre-temps, nous partageons sur demande des preuves de contrôle équivalentes et des analyses d’écarts avec les contrôleurs de l’entreprise.
Audits sur motif
Lorsque les preuves SOC 2 sont insuffisantes - par exemple après une violation ou une enquête du régulateur - les contrôleurs peuvent demander un audit sur site avec un préavis écrit de 30 jours.
Les audits respectent la confidentialité et la continuité opérationnelle : ils vérifient les contrôles et n'exfiltrent pas les données.
Transferts gérés par les SCC.
Lorsque les données personnelles circulent de l'UE/EEE, du Royaume-Uni ou de la Suisse vers un pays tiers, le DPA intègre les clauses contractuelles types de 2021 de la Commission européenne - Module deux (du contrôleur au processeur) et module trois (du processeur au sous-traitant) - par référence, l'addendum britannique et les variantes du FDPIC suisse étant appliqués automatiquement.
La Suisse bénéficie du cadre d'adéquation Suisse-UE ; Les transferts au Royaume-Uni s'effectuent sous le UK IDTA / Addendum. Nous effectuons une évaluation de l'impact du transfert pour chaque emplacement de sous-traitant ultérieur et en fournissons une copie sur demande.
Détails complets du transfert sur la page GDPRArt. 32 mesures, dans le document.
Le DPA annexe les mesures techniques et organisationnelles (TOM) que nous maintenons pour protéger les données personnelles - un résumé contractuellement contraignant de ce qui figure en détail sur notre page Sécurité.
Mesures techniques complètes sur la page Sécurité- Chiffrement : en transit (TLS 1.3) et au repos (AES-256), avec rotation des clés gérée.
- Contrôle d'accès - SSO, MFA, RBAC de moindre privilège, examens d'accès trimestriels.
- Pseudonymisation : appliquée aux identifiants dans les journaux et les analyses lorsque cela est possible.
- Résilience - infrastructure multi-AZ, sauvegardes automatisées, procédures de restauration testées.
- Réponse aux incidents : disponibilité 24h/24 et 7j/7, runbooks documentés, notification de violation 24h/24, SLA.
- Tests réguliers : tests d'intrusion annuels par des tiers et analyses automatisées continues.
Nous vous aidons à remplir vos obligations.
Les contrôleurs portent la responsabilité principale des droits des personnes concernées, des DPIA et des notifications de violation. La DPA nous engage contractuellement à fournir une assistance raisonnable pour chacun de ces éléments - sans frais supplémentaires pour les demandes de routine.
Concrètement : nous mettons en évidence les données que nous détenons pour une demande d'accès ou de portabilité, procédons à l'effacement selon vos instructions écrites, soutenons vos DPIA avec des informations sur le traitement et vous informons d'une violation de données personnelles dans les 24 heures suivant notre prise de conscience - avec tous les détails dont vous avez besoin pour votre art. 33 dépôt.
Prêt à exécuter ?
Envoyez-nous un e-mail et nous enverrons le package DPA complet - pré-signé, prêt à être contresigné et accompagné de tout ce que le marché demandera.
Aligné sur l'article 28, prêt à recevoir votre contreseing.
SCC 2021, modules 2 et 3, avec addendum britannique et variantes suisses.
Fournisseurs actuels, catégories, emplacements et mécanismes de transfert.
L'art. 32 mesures techniques et organisationnelles, sous forme contractuelle.
Retourné dans un délai d'un jour ouvrable. Révisé par un avocat ; les questions sont les bienvenues.
Questions courantes sur la DPA.
Ai-je besoin d'un DPA si je suis uniquement sur le forfait gratuit ?
Puis-je négocier des modifications du DPA ?
La DPA est-elle bilingue ?
Le DPA couvre-t-il Swiss FADP ?
Qu'arrive-t-il à mes données si j'annule ?
Puis-je ajouter un addenda au contrôleur conjoint ?
Vous avez une question sur le contrat ? Nous y répondons également.
Embauchez votre premier ingénieur IA.
Expédier avant l'heure du déjeuner.
5 minutes pour embarquer. Premier PR dans l'heure. Annulez à tout moment.