Accord de traitement des données

Cet Accord de traitement des données ("ATD") fait partie de l'accord entre vous ("Client") et Getia AS ("Sous-traitant") pour l'utilisation de nos services.

• Données personnelles: Toute information relative à une personne physique identifiée ou identifiable
• Traitement: Toute opération effectuée sur des données personnelles
• Responsable du traitement: L'entité qui détermine les finalités et les moyens du traitement
• Sous-traitant: L'entité qui traite les données personnelles pour le compte du responsable du traitement

Le Sous-traitant doit :

• Traiter les données personnelles uniquement selon les instructions documentées du Client
• S'assurer que les personnes traitant les données sont soumises à des obligations de confidentialité
• Mettre en œuvre des mesures de sécurité techniques et organisationnelles appropriées
• Assister le Client pour répondre aux demandes des personnes concernées
• Supprimer ou restituer toutes les données personnelles à la fin des services

Le Client autorise le Sous-traitant à faire appel à des sous-traitants ultérieurs comme indiqué dans la Liste des sous-traitants ultérieurs.

Certains de nos sous-traitants ultérieurs sont situés aux États-Unis. Pour les transferts de données personnelles vers des pays hors de l'Espace économique européen (EEE) ne disposant pas d'un niveau de protection adéquat, nous nous appuyons sur les mécanismes juridiques suivants :

• Clauses contractuelles types (CCT): Nous avons conclu des clauses contractuelles types de l'UE (Décision d'exécution (UE) 2021/914) avec nos sous-traitants ultérieurs pour assurer une protection adéquate des données personnelles transférées hors de l'EEE.
• Mesures supplémentaires: En plus des CCT, nous mettons en œuvre des mesures techniques et organisationnelles supplémentaires, notamment le chiffrement des données en transit et au repos, des contrôles d'accès et des engagements contractuels des sous-traitants ultérieurs.
• Cadre de protection des données: Le cas échéant, nos sous-traitants ultérieurs basés aux États-Unis participent au Cadre de protection des données UE-US.

Vous pouvez demander une copie des CCT applicables en nous contactant à dpo@attorly.ai.

• Chiffrement des données en transit (TLS 1.2+) et au repos (AES-256)
• Contrôles d'accès et authentification
• Évaluations de sécurité régulières
• Procédures de réponse aux incidents

En cas de violation de données personnelles, le Sous-traitant notifiera le Client dans les 72 heures.

Nous conservons les données personnelles uniquement le temps nécessaire à la réalisation des finalités :

• Données de compte: Conservées pendant la durée de votre compte et supprimées dans les 30 jours suivant la fermeture du compte
• Documents: Supprimés immédiatement sur demande de l'utilisateur ou dans les 30 jours suivant la suppression du compte
• Résultats d'analyse: Conservés 90 jours après la suppression du document associé
• Journaux d'audit: Conservés 2 ans à des fins de sécurité et de conformité
• Relevés de paiement: Conservés 7 ans conformément aux réglementations fiscales

Délégué à la protection des données: dpo@attorly.ai