Addendum sur le traitement des données (DPA)

Le présent Addendum sur le traitement des données personnelles (« DPA ») fait partie intégrante des Conditions Générales d'Utilisation et s'applique à tout traitement de Données Personnelles effectué par AgentGate pour le compte du Client dans le cadre du Service. Conformément au RGPD, le Client agit en qualité de responsable de traitement et AgentGate agit en qualité de sous-traitant pour les traitements couverts par le présent DPA.

1. Objet et portée

Le présent DPA encadre le traitement, par AgentGate, des Données Personnelles soumises au Service par le Client, ses utilisateurs autorisés, ses agents autonomes ou ses systèmes connectés. AgentGate traite ces Données Personnelles uniquement pour fournir, exploiter, sécuriser, maintenir et améliorer le Service, et uniquement sur instructions documentées du Client, sauf obligation légale contraire.

Le présent DPA s'applique uniquement aux traitements pour lesquels AgentGate agit comme sous-traitant. Les traitements pour lesquels AgentGate agit comme responsable de traitement, notamment pour ses propres utilisateurs, prospects, contacts commerciaux ou obligations légales, sont décrits dans la Politique de confidentialité.

2. Durée du traitement

AgentGate traite les Données Personnelles pendant toute la durée de fourniture du Service au Client, puis pendant les durées de conservation prévues par le plan souscrit, les instructions documentées du Client, et les obligations légales applicables. Après la fin du Service, les données peuvent être conservées pendant une période transitoire limitée afin de permettre leur export, leur restitution ou leur suppression sécurisée.

Sauf accord contraire écrit, le Client peut exporter ses données pendant une période de trente (30) jours après la résiliation. Au-delà, AgentGate supprimera ou restituera les Données Personnelles conformément à l'article 14 du présent DPA, sous réserve des obligations légales de conservation et des sauvegardes chiffrées résiduelles.

3. Nature et finalités du traitement

Les traitements confiés à AgentGate peuvent inclure :

• la réception et l'hébergement de données soumises au Service ;
• l'évaluation, la journalisation, la validation conditionnelle ou la mise en attente d'intentions de paiement ;
• la gestion des comptes, accès, authentifications et rôles ;
• la journalisation technique, l'auditabilité, la sécurité, la détection d'incidents et la prévention des abus ;
• l'envoi de notifications transactionnelles liées au fonctionnement du Service.

AgentGate n'utilise pas les Données Personnelles soumises par le Client pour entraîner des modèles d'intelligence artificielle.

4. Catégories de personnes concernées

Selon la configuration du Client et son usage du Service, les personnes concernées peuvent inclure :

• les utilisateurs autorisés du Client, notamment administrateurs, approbateurs, opérateurs et lecteurs ;
• les comptes techniques ou agents autonomes utilisés par le Client ;
• les bénéficiaires ou contreparties identifiés dans les intentions de paiement ;
• toute autre personne dont les données sont soumises au Service par le Client sous sa seule responsabilité.

5. Catégories de Données Personnelles traitées

Selon l'usage du Service par le Client, AgentGate peut traiter les catégories suivantes :

• données d'identification : nom, email, identifiant utilisateur, identifiant agent, identifiant de bénéficiaire ;
• données d'authentification et de sécurité : empreintes ou hachages de mots de passe, secrets 2FA chiffrés, empreintes de codes de récupération, logs de connexion, adresses IP, user-agent ;
• métadonnées opérationnelles et financières : montants, devises, noms de bénéficiaires, identifiants de compte ou de contrepartie, catégories, mémos, décisions d'approbation ou de refus ;
• données d'audit et de traçabilité : horodatages, journaux, identifiants d'événements, métadonnées de webhooks, décisions, preuves techniques et empreintes.

Le Client s'engage à ne pas soumettre au Service de catégories particulières de données personnelles au sens du RGPD, sauf accord écrit préalable spécifique et mesures appropriées.

6. Instructions documentées du Client

AgentGate traite les Données Personnelles uniquement selon :

• les présentes Conditions et le présent DPA ;
• la configuration mise en place par le Client dans le Service ;
• les instructions écrites supplémentaires du Client, dans la mesure où elles sont compatibles avec le Service et la réglementation applicable.

Si AgentGate estime qu'une instruction constitue une violation du RGPD ou d'une autre règle applicable en matière de protection des données, AgentGate en informe le Client dans la mesure permise par la loi.

7. Confidentialité et personnel autorisé

AgentGate veille à ce que les personnes autorisées à traiter les Données Personnelles :

• soient soumises à une obligation de confidentialité contractuelle ou légale appropriée ;
• n'accèdent aux données qu'en cas de besoin légitime lié à leurs fonctions ;
• reçoivent une sensibilisation ou formation appropriée en matière de sécurité et de protection des données.

Les accès de production sont limités, tracés et révisés de manière régulière.

8. Mesures de sécurité

AgentGate met en œuvre des mesures techniques et organisationnelles appropriées tenant compte de l'état de l'art, des coûts de mise en œuvre, de la nature des données et des risques pour les personnes concernées. Ces mesures peuvent inclure :

• chiffrement des données en transit ;
• chiffrement des données au repos lorsque pertinent ;
• contrôle d'accès fondé sur les rôles ;
• authentification multifacteur pour les accès sensibles ;
• principes de moindre privilège ;
• journalisation append-only ou équivalente pour les événements d'audit ;
• supervision de sécurité, détection d'incidents, scans de vulnérabilités et correctifs ;
• sauvegardes régulières et procédures de reprise ;
• segmentation logique des environnements.

9. Sous-traitants ultérieurs

Le Client autorise de manière générale AgentGate à recourir à des sous-traitants ultérieurs pour fournir le Service, sous réserve qu'AgentGate :

• sélectionne des prestataires présentant des garanties suffisantes ;
• leur impose par contrat des obligations de protection des données au moins équivalentes à celles du présent DPA ;
• demeure responsable envers le Client de l'exécution des obligations de ces sous-traitants dans la mesure prévue par le RGPD.

Les catégories actuelles de sous-traitants peuvent inclure :

• hébergement cloud et bases de données ;
• email transactionnel ;
• supervision, journalisation et suivi d'erreurs ;
• facturation et paiements d'abonnement.

Lorsque des sous-traitants sont situés hors de l'EEE ou peuvent accéder à des données depuis un pays tiers, les garanties de transfert appropriées décrites à l'article 10 s'appliquent. AgentGate notifiera au Client tout ajout ou remplacement substantiel de sous-traitant avec un préavis d'au moins trente (30) jours, afin de permettre au Client de formuler une objection raisonnable fondée sur la protection des données.

10. Transferts internationaux

Lorsque des Données Personnelles sont transférées en dehors de l'EEE, AgentGate met en place les garanties appropriées requises par le RGPD, notamment les Clauses Contractuelles Types de la Commission européenne ou un autre mécanisme licite applicable.

En cas de conflit entre le présent DPA et les Clauses Contractuelles Types applicables, ces dernières prévaudront pour les questions liées au transfert international.

11. Assistance au Client

Compte tenu de la nature du traitement et des informations disponibles, AgentGate fournit au Client une assistance raisonnable pour :

• répondre aux demandes d'exercice de droits des personnes concernées ;
• réaliser, si nécessaire, des analyses d'impact relatives à la protection des données ;
• coopérer avec une autorité de contrôle ;
• démontrer le respect des obligations visées aux articles 32 à 36 du RGPD.

12. Notification des violations de données

AgentGate notifie au Client toute violation de données personnelles affectant les données traitées pour son compte sans retard injustifié et, dans la mesure du possible, dans un délai maximal de soixante-douze (72) heures après en avoir pris connaissance. La notification inclut, lorsque disponible :

• une description de la nature de la violation ;
• les catégories de données et de personnes concernées ;
• le nombre approximatif d'enregistrements affectés ;
• les conséquences probables ;
• les mesures prises ou proposées pour remédier à l'incident et en atténuer les effets.

13. Audits et démonstration de conformité

AgentGate met à la disposition du Client les informations raisonnablement nécessaires pour démontrer le respect de ses obligations au titre du présent DPA. Le Client peut demander, au plus une fois par an sauf incident de sécurité ou exigence réglementaire spécifique, un audit documentaire ou une vérification raisonnable, sous réserve :

• d'un préavis écrit d'au moins trente (30) jours ;
• d'un périmètre proportionné ;
• du respect de la confidentialité, du secret des affaires et de la sécurité des autres clients ;
• de la possibilité pour AgentGate de proposer en premier lieu des rapports, attestations, politiques ou questionnaires de sécurité en substitution raisonnable à un audit sur site.

14. Restitution et suppression des données

À la fin de la prestation, et au choix du Client, AgentGate supprimera ou restituera les Données Personnelles, sauf obligation légale imposant leur conservation. Une période transitoire d'export de trente (30) jours peut être accordée après la résiliation.

Les données contenues dans des sauvegardes chiffrées de sécurité peuvent subsister temporairement pendant une durée maximale supplémentaire de trente (30) jours, exclusivement à des fins de continuité, restauration ou sécurité, avant suppression définitive selon les cycles normaux d'effacement.

15. Hiérarchie et conflit

En cas de conflit entre le présent DPA et les Conditions Générales d'Utilisation concernant le traitement des Données Personnelles, le présent DPA prévaut. En cas de conflit entre le présent DPA et les Clauses Contractuelles Types applicables à un transfert international, les SCC prévalent pour la matière concernée.

16. Contact

Pour toute demande relative au présent DPA, y compris pour signature ou contre-signature contractuelle, le Client peut écrire à : legal@agentgate.eu.

17. Sous-traitants actuellement utilisés

La CNIL insiste sur la nécessité de choisir uniquement des prestataires présentant des garanties suffisantes et d'encadrer précisément leur intervention.