Traitement des données Addendum

Les termes en majuscule non définis ici ont le sens qui leur est attribué dans le GDPR (Regulation (EU) 2016/679) et, le cas échéant, dans le UK GDPR / Data Protection Act 2018, dans le California Consumer Privacy Act tel que modifié par le CPRA (“CCPA”) et dans les lois équivalentes d'autres juridictions.

«Données Personnelles» désigne les données soumises par le Client ou générées par le Service qui identifient ou se rapportent à une personne physique identifiée ou identifiable. «Sous-traitant ultérieur» désigne un tiers mandaté par FixVibe pour traiter des Données Personnelles pour le compte de FixVibe — listés à /legal/privacy.

Chaque partie est indépendamment responsable du respect des Lois sur la protection des données qui lui sont applicables. Le Client est le Responsable du traitement et FixVibe est le Sous-traitant des Données Personnelles traitées dans le cadre de cet Addendum. FixVibe traitera les Données Personnelles uniquement sur les instructions documentées du Client (la configuration du Service constitue de telles instructions), sauf obligation légale contraire.

FixVibe s'assure que le personnel autorisé à traiter des Données Personnelles est soumis à des obligations de confidentialité. L'accès aux données de production est limité à un sous-ensemble du personnel d'exploitation avec des privilèges minimaux, journalisé via audit_logs et révisé périodiquement. Les employés de FixVibe n'accèdent aux données du Client que pour traiter des tickets de support, répondre à des incidents de sécurité ou se conformer à des procédures légales.

FixVibe met en œuvre des mesures techniques et organisationnelles appropriées, conformes à GDPR Art. 32, notamment :

• chiffrement des Données Personnelles en transit (TLS 1.2+) et au repos (chiffrement au niveau du disque de la base de données + chiffrement ciblé au niveau des colonnes AES-256-GCM pour les en-têtes de scan authentifiés et les tokens OAuth) ;
• sécurité au niveau des lignes forcée sur chaque table de la base de données — le code applicatif ne peut pas lire ni écrire entre les limites organisationnelles, même par erreur ;
• authentification multi-facteurs par utilisateur via le fournisseur OAuth en amont (Google ou GitHub) lorsque le Client choisit la connexion sociale ;
• analyse statique continue et analyse des vulnérabilités des dépendances de la base de code FixVibe elle-même ;
• sauvegardes via le fournisseur de base de données avec récupération à un instant précis ; testées annuellement ;
• périodes de conservation définies (voir Politique de confidentialité) appliquées par un cron automatisé quotidien, et non une simple promesse sur papier.

Le Client autorise FixVibe à faire appel aux Sous-traitants ultérieurs listés dans la Politique de confidentialité aux fins qui y sont décrites. FixVibe conclut un contrat écrit avec chaque Sous-traitant ultérieur imposant des obligations de protection des données au moins aussi protectrices que celles du présent Addendum, et reste responsable envers le Client des actes et omissions du Sous-traitant ultérieur dans le cadre de son traitement de Données Personnelles.

FixVibe informera le Client (via une notification dans l'application ou par e-mail) de toute intention d'ajout ou de remplacement de Sous-traitants ultérieurs au moins 30 jours à l'avance, donnant au Client la possibilité de s'y opposer. Si le Client s'y oppose pour des motifs raisonnables de protection des données, il peut résilier le Service pour le traitement concerné.

FixVibe traite les Données Personnelles principalement aux États-Unis. Lorsque des Données Personnelles sont transférées depuis l'EEA, le UK ou la Suisse vers un pays tiers n'ayant pas reçu de décision d'adéquation, FixVibe s'appuie sur :

• les Clauses Contractuelles Types de la Commission européenne (Decision (EU) 2021/914), Module 2 (responsable du traitement vers sous-traitant), incorporées par référence dans cet Addendum ;
• l'Addendum de Transfert International de Données du Royaume-Uni aux SCCs de l'UE (ou l'IDTA autonome), tel que publié par l'ICO ;
• les mesures techniques et organisationnelles complémentaires décrites à la Section 4.

Le Client autorise FixVibe à conclure les SCCs / IDTA avec chaque Sous-traitant ultérieur en aval au nom du Client.

FixVibe assistera le Client (compte tenu de la nature du traitement et des informations disponibles) pour répondre aux demandes des personnes concernées en vertu des Articles 15–22 GDPR. La plupart des droits sont en libre-service depuis Compte → Confidentialité ; pour les demandes résiduelles, le Client peut envoyer un e-mail à support@fixvibe.app avec l'objet “Privacy request”. Nous répondons dans les 30 jours.

FixVibe notifiera le Client sans délai indu (et en tout état de cause dans les 72 heures suivant sa prise de connaissance) d'une violation de Données Personnelles affectant les Données Personnelles du Client, en fournissant les informations dont le Client a raisonnablement besoin pour se conformer à ses propres obligations au titre de l'Article 33 / 34, notamment la nature de la violation, les catégories et le nombre approximatif de personnes concernées et d'enregistrements affectés, les conséquences probables et les mesures prises ou proposées pour y remédier.

FixVibe met à la disposition du Client les informations nécessaires pour démontrer le respect du présent Addendum, notamment ce document, la Politique de confidentialité, la Politique d'utilisation acceptable, les Conditions d'utilisation et tout rapport de sécurité tiers en notre possession (nous les partagerons sous NDA sur demande). FixVibe permettra et contribuera aux audits, y compris aux inspections, menés par le Client ou par un auditeur mandaté par le Client, sur préavis raisonnable et pendant les heures ouvrables, au plus une fois par année civile (sauf si un régulateur l'exige autrement ou en cas de violation de Données Personnelles).

À la résiliation du Service, et au choix du Client, FixVibe supprimera ou restituera toutes les Données Personnelles traitées pour son compte dans les 30 jours, sauf dans la mesure où FixVibe est tenu par la loi applicable de les conserver (p. ex. documents fiscaux / de facturation). Le flux de suppression de compte en libre-service sur Compte → Confidentialité déclenche cela immédiatement.

Aux fins du CCPA, FixVibe est un «Service Provider» et le Client est un «Business» pour toute Donnée Personnelle traitée dans le cadre de cet Addendum. FixVibe ne :

• vendra ni ne partagera (au sens du CCPA) de Données Personnelles ;
• conservera, utilisera ni ne divulguera de Données Personnelles à d'autres fins que la finalité commerciale spécifique de fourniture du Service, notamment en dehors de la relation commerciale directe entre FixVibe et le Client ;
• combinera les Données Personnelles reçues du Client avec des Données Personnelles reçues d'une autre source, sauf dans la mesure expressément autorisée par le CCPA.

FixVibe certifie qu'il comprend et respectera ces restrictions.

En cas de conflit entre cet Addendum et les Conditions d'utilisation, cet Addendum prévaut dans la mesure du conflit. Les SCCs / IDTA prévalent sur les deux lorsqu'ils s'appliquent.

Pour tout ce qui concerne la protection des données, y compris l'exercice des droits des personnes concernées et les demandes relatives aux Sous-traitants ultérieurs, contacte EGO HERO LLC :

• e-mail : support@fixvibe.app (indiquer l'objet “DPA” pour le routage)
• adresse postale : disponible sur demande via l'e-mail ci-dessus