Accord de traitement des données

Le présent Accord de Traitement des Données (« Accord ») fait partie des Conditions Générales conclues entre :

Le présent Accord s'applique lorsque le Sous-traitant traite des données personnelles pour le compte du Responsable du traitement en lien avec la plateforme OverToo (« Service »). En acceptant les Conditions Générales, le Responsable du traitement accepte les termes du présent Accord.

1. Objet et portée

Le présent Accord régit le traitement des données personnelles par le Sous-traitant pour le compte du Responsable du traitement conformément à l'article 28 du RGPD (UE) 2016/679. Le traitement est limité à ce qui est nécessaire pour fournir le Service.

2. Roles des parties

• Le responsable du traitement détermine les finalités et les moyens du traitement des données personnelles.
• Le sous-traitant traite les données personnelles uniquement pour le compte du responsable du traitement.

Le sous-traitant ne traite pas les données personnelles pour ses propres finalités.

3. Nature et finalité du traitement

Les activités de traitement effectuées par le sous-traitant pour le compte du responsable du traitement comprennent :

• Hébergement et stockage des données
• Gestion des comptes utilisateurs
• Planification et gestion des séances
• Communication et notifications
• Facilitation du traitement des paiements
• Support technique et maintenance du système

4. Catégories de données et de personnes concernées

5. Instructions

Le sous-traitant ne traite les données personnelles que :

• sur instructions documentées du responsable du traitement,
• selon ce qui est nécessaire pour fournir le Service,
• ou lorsque la loi applicable l'exige (dans ce cas, le sous-traitant en informe le responsable du traitement, sauf interdiction légale).

6. Confidentialite

Le Sous-traitant veille à ce que l'ensemble du personnel autorisé à traiter des données personnelles soit lié par des obligations de confidentialité appropriées et reçoive une formation adaptée en matière de protection des données.

7. Mesures de securite

Le sous-traitant met en œuvre des mesures techniques et organisationnelles appropriées, notamment :

• Chiffrement en transit (TLS/HTTPS)
• Hachage sécurisé des mots de passe
• Contrôles d'accès basés sur les rôles
• Séparation logique des données de chaque locataire
• Surveillance et journalisation
• Évaluations de sécurité régulières

8. Sous-traitants ultérieurs

Le Responsable du traitement autorise le Sous-traitant à engager les catégories suivantes de sous-traitants ultérieurs :

Catégorie	Exemples
Hebergement et infrastructure	Fournisseur de serveurs et d'hébergement cloud
Traitement des paiements	Stripe, PayPal, Przelewy24
Livraison d'e-mails	Fournisseur SMTP configuré par l'école (par exemple Gmail, Outlook 365)

Le Sous-traitant veille à ce que les sous-traitants ultérieurs soient liés par des obligations équivalentes en matière de protection des données. Une liste à jour des sous-traitants ultérieurs est disponible sur demande à support@overtoo.com.

9. Transferts internationaux

Lorsque les données personnelles sont transférées en dehors de l'EEE, le Sous-traitant garantit des garanties appropriées, notamment les Clauses Contractuelles Types (CCT) ou d'autres mécanismes de transfert légaux au titre du chapitre V du RGPD.

10. Assistance au responsable

Le Sous-traitant assiste le Responsable du traitement, en tenant compte de la nature du traitement, dans :

• répondre aux demandes des personnes concernées (accès, rectification, effacement, portabilité, opposition),
• garantir le respect des obligations du RGPD relatives à la sécurité et à la notification des violations,
• analyses d'impact relatives à la protection des données (AIPD) le cas échéant.

11. Violation de données personnelles

Le sous-traitant doit :

• notifier au responsable du traitement sans retard injustifié après avoir pris connaissance d'une violation de données personnelles affectant les données du responsable,
• fournir toutes les informations pertinentes pour soutenir la conformité du responsable du traitement avec les articles 33 et 34 du RGPD.

12. Conservation et suppression des données

À la résiliation du Service :

• les données personnelles seront supprimées ou, à la demande écrite du responsable du traitement, restituées à celui-ci,
• sauf si la conservation est exigée par la loi applicable.

Le Responsable du traitement est tenu de demander une exportation des données avant la résiliation. Les demandes d'exportation doivent être envoyées à support@overtoo.com.

13. Droits d'audit

Le Sous-traitant met à disposition les informations raisonnablement nécessaires pour démontrer le respect du présent Accord. Les audits doivent être raisonnables et proportionnés, sous réserve d'un préavis écrit, et ne doivent pas compromettre la sécurité des autres clients.

14. Responsabilite

Chaque partie reste responsable de sa propre conformité au RGPD. Le sous-traitant n'est responsable que des dommages causés par des violations de ses obligations spécifiques au titre du présent Accord ou du droit applicable en matière de protection des données.

15. Droit applicable

Le présent Accord est régi par le droit de la Pologne, sous réserve du droit de l'UE applicable en matière de protection des données, y compris le RGPD.

16. Relation avec les Conditions

Le présent Accord fait partie intégrante des Conditions Générales régissant l'utilisation du Service et y est incorporé. En cas de conflit entre le présent Accord et les Conditions Générales, le présent Accord prévaut en ce qui concerne les questions de protection des données.

17. Contact

Pour toute question relative à la protection des données ou pour demander une copie signée de cet Accord :

OverToo
E-mail : support@overtoo.com
Adresse : Warsaw, Poland | London, United Kingdom