Contrat de Traitement des Données de Copilot Audit

Dernière mise à jour : 22/04/2025

Le présent Contrat de Traitement des Données (« CTD ») complète et fait partie intégrante des Termes et Conditions ou de tout autre accord principal applicable (l’« Accord Principal ») conclu entre NEXTBP (« Nous », « notre », « nos » ou le « Sous-traitant ») et vous (« Vous », le « Client ») concernant l’utilisation du logiciel Copilot Audit (le « Logiciel »). Le présent CTD régit le Traitement des Données Personnelles effectué par le Sous-traitant pour le compte du Client dans le cadre de la fourniture du Logiciel.

1. Définitions

Aux fins du présent CTD, les termes suivants auront les significations qui leur sont attribuées ci-dessous :

• Données Personnelles : Toute information se rapportant à une personne physique identifiée ou identifiable (« Personne Concernée »).
• Responsable du Traitement : La personne physique ou morale qui, seule ou conjointement avec d’autres, détermine les finalités et les moyens du Traitement des Données Personnelles. Dans le cadre du présent CTD, le Client est le Responsable du Traitement.
• Sous-traitant : La personne physique ou morale qui traite des Données Personnelles pour le compte du Responsable du Traitement. Dans le cadre du présent CTD, NEXTBP est le Sous-traitant.
• Sous-traitant ultérieur : Tout tiers sous-traitant engagé par le Sous-traitant (NEXTBP) pour traiter des Données Personnelles pour le compte du Client.
• Traitement : Toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des Données Personnelles ou des ensembles de Données Personnelles, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.
• Législation sur la Protection des Données : L’ensemble des lois et réglementations applicables en matière de protection des données et de la vie privée, y compris, mais sans s’y limiter, le Règlement Général sur la Protection des Données (Règlement (UE) 2016/679 ou « RGPD ») et toute législation nationale le transposant ou le complétant.
• Violation de Données Personnelles : Une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de Données Personnelles transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données.

2. Rôles et Responsabilités

2.1. Le Client agit en qualité de Responsable du Traitement. Il est seul responsable de la licéité de la collecte et du Traitement des Données Personnelles qu’il confie au Sous-traitant via le Logiciel, y compris de la base juridique de ce Traitement.

2.2. NEXTBP agit en qualité de Sous-traitant. NEXTBP traitera les Données Personnelles uniquement pour le compte du Client, sur la base des instructions documentées de ce dernier (telles qu’établies dans l’Accord Principal et le présent CTD, et via l’utilisation du Logiciel par le Client) et conformément à la Législation sur la Protection des Données applicable.

3. Objet, Nature et Durée du Traitement

3.1. Objet du Traitement : Le Traitement a pour objet de permettre au Sous-traitant de fournir le Logiciel et les services associés au Client, conformément à l’Accord Principal. Cela inclut notamment l’hébergement des données, l’exécution des fonctionnalités du Logiciel (par exemple, analyse et traitement automatisé des documents d’audit importés), la maintenance et le support technique.

3.2. Nature des opérations de Traitement : Les opérations peuvent inclure la réception, le stockage, l’organisation, l’analyse, la consultation, l’utilisation, la mise à disposition (via l’interface du Logiciel), l’effacement et/ou la restitution des Données Personnelles.

3.3. Types de Données Personnelles : Les types de Données Personnelles traitées sont déterminés et contrôlés par le Client à sa seule discrétion, et peuvent inclure, sans s’y limiter, les informations contenues dans les documents importés par le Client dans le Logiciel (tels que noms, coordonnées, informations financières, professionnelles, etc.).

3.4. Catégories de Personnes Concernées : Les catégories de Personnes Concernées sont déterminées par le Client et peuvent inclure, sans s’y limiter, les employés, les clients, les fournisseurs, les audités ou toute autre personne physique dont les Données Personnelles sont contenues dans les documents traités via le Logiciel.

3.5. Durée du Traitement : Le Sous-traitant traitera les Données Personnelles pendant la durée de l’Accord Principal, sauf instruction contraire écrite du Client ou exigence légale. Les modalités de suppression ou de restitution des données à la fin du contrat sont définies à l’article 4.7.

4. Obligations du Sous-traitant (NEXTBP)

Le Sous-traitant s’engage à :

4.1. Traitement selon les instructions : Traiter les Données Personnelles uniquement sur instruction documentée du Client, y compris en ce qui concerne les transferts de données vers un pays tiers ou une organisation internationale, à moins qu’il ne soit tenu d’y procéder en vertu du droit de l’Union ou du droit de l’État membre auquel le Sous-traitant est soumis ; dans ce cas, le Sous-traitant informe le Client de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public. L’utilisation du Logiciel par le Client constitue une instruction documentée.

4.2. Confidentialité : Veiller à ce que les personnes autorisées à traiter les Données Personnelles (employés, agents, sous-traitants) s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.

4.3. Sécurité du Traitement : Mettre en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, conformément à l’article 32 du RGPD. Ces mesures visent à protéger les Données Personnelles contre la destruction, la perte, l’altération, la divulgation non autorisée ou l’accès non autorisé.

4.4. Recours à des Sous-traitants ultérieurs : Ne pas recruter d’autre sous-traitant (Sous-traitant ultérieur) sans l’autorisation écrite préalable, spécifique ou générale, du Client. Dans le cas d’une autorisation écrite générale, le Sous-traitant informe le Client de tout changement prévu concernant l’ajout ou le remplacement d’autres sous-traitants, donnant ainsi au Client la possibilité d’émettre des objections à l’encontre de ces changements. Lorsque le Sous-traitant recrute un Sous-traitant ultérieur, il lui impose les mêmes obligations en matière de protection des données que celles fixées dans le présent CTD, par contrat ou autre acte juridique.

4.5. Assistance au Client : Aider le Client, par des mesures techniques et organisationnelles appropriées, dans toute la mesure du possible, à s’acquitter de son obligation de donner suite aux demandes dont les Personnes Concernées le saisissent en vue d’exercer leurs droits (accès, rectification, effacement, limitation, portabilité, opposition).

4.6. Notification des Violations de Données : Notifier au Client toute Violation de Données Personnelles dans les meilleurs délais après en avoir pris connaissance, et fournir au Client les informations nécessaires pour lui permettre de respecter ses propres obligations de notification aux autorités de contrôle et/ou aux Personnes Concernées.

4.7. Sort des Données à la fin du contrat : Selon le choix du Client, supprimer toutes les Données Personnelles ou les renvoyer au Client au terme de la prestation des services relatifs au Traitement, et détruire les copies existantes, à moins que le droit de l’Union ou le droit de l’État membre n’exige la conservation des Données Personnelles.

4.8. Audit et information : Mettre à la disposition du Client toutes les informations nécessaires pour démontrer le respect des obligations prévues au présent article et pour permettre la réalisation d’audits, y compris des inspections, par le Client ou un autre auditeur qu’il a mandaté, et contribuer à ces audits.

4.9. Données d’Utilisation : Dans la mesure où le Logiciel enregistre des métriques d’utilisation (telles que le nombre de documents traités, le volume de données, ou d’autres indicateurs) à des fins de facturation, de gestion des quotas, d’amélioration du service ou de suivi de performance, ces métriques peuvent indirectement être liées à des Données Personnelles si les éléments comptabilisés (ex: documents) en contiennent. Le Sous-traitant s’engage à traiter ces données d’utilisation agrégées ou techniques dans le respect du présent CTD et de la Législation sur la Protection des Données, en limitant leur usage aux finalités mentionnées.

5. Transferts de Données Personnelles en dehors de l’EEE

Tout transfert de Données Personnelles par le Sous-traitant vers un pays situé en dehors de l’Espace Économique Européen (EEE) ne sera effectué que si des garanties appropriées sont mises en place conformément aux exigences de la Législation sur la Protection des Données (par exemple, décision d’adéquation de la Commission Européenne, Clauses Contractuelles Types approuvées, Règles d’Entreprise Contraignantes). Le Sous-traitant informera le Client des mécanismes de transfert utilisés sur demande.

6. Droit Applicable et Juridiction Compétente

Le présent CTD est régi par le droit français. Tout litige relatif à son interprétation ou à son exécution relèvera de la compétence des tribunaux désignés dans l’Accord Principal.

7. Responsabilité

La responsabilité de chaque partie découlant de ou en relation avec ce CTD sera soumise aux limitations et exclusions de responsabilité stipulées dans l’Accord Principal.

En acceptant les Termes et Conditions ou en utilisant le Logiciel, vous reconnaissez avoir lu, compris et accepté d’être lié par les dispositions du présent Contrat de Traitement des Données.