1. Préambule

Le présent Accord de Traitement des Données (ci-après "DPA") est conclu conformément à l'article 28 du Règlement Général sur la Protection des Données (RGPD) entre :

• Le Responsable du traitement : Le Client ayant souscrit une licence ManageMate Synapse
• Le Sous-traitant : ManageMate Group, éditeur et opérateur de ManageMate Synapse

Cet accord complète le contrat principal de licence et définit les obligations respectives des parties concernant le traitement des données personnelles.

2. Objet et périmètre

Dans le cadre de l'utilisation de ManageMate Synapse, ManageMate Group traite des données personnelles pour le compte du Client. Ce traitement est strictement limité à la fourniture du Service.

2.1 Nature des traitements

3. Obligations du Sous-traitant

ManageMate Group s'engage à :

• Traiter les données personnelles uniquement sur instruction documentée du Client
• Garantir la confidentialité des donnees et s'assurer que le personnel autorisé respecte cette obligation
• Mettre en oeuvre les mesures techniques et organisationnelles appropriées pour assurer la sécurité des donnees
• Ne pas faire appel a un autre sous-traitant sans l'autorisation préalable écrite du Client
• Aider le Client a garantir le respect des obligations des articles 32 à 36 du RGPD
• Mettre à disposition du Client les informations nécessaires pour démontrer le respect des obligations
• Permettre la réalisation d'audits et y contribuer
• Supprimer ou restituer les données personnelles au terme du contrat, selon le choix du Client

4. Obligations du Responsable du traitement

Le Client s'engage à :

• Fournir des instructions licités et documentées concernant le traitement des donnees
• S'assurer de la licité des traitements effectues via le Service
• Informer les personnes concernées des traitements et de leurs droits
• Répondre aux demandes d'exercice des droits des personnes concernées
• Notifier toute violation de donnees dont il aurait connaissance

5. Mesures de sécurité

ManageMate Group met en œuvre les mesures techniques et organisationnelles suivantes :

5.1 Mesures techniques

• Chiffrement des donnees en transit (TLS 1.2+) et au repos
• Authentification forte et gestion des accès basée sur les rôles
• Pare-feu, détection d'intrusion et surveillance continue
• Sauvegardes régulières et chiffrées
• Cloisonnement des données entre clients

5.2 Mesures organisationnelles

• Politique de sécurité de l'information documentée
• Formation et sensibilisation du personnel
• Engagement de confidentialité du personnel
• Procedures de gestion des incidents
• Tests de sécurité réguliers

6. Sous-traitance ultérieure

Le Client autorisé ManageMate Group a faire appel a des sous-traitants ultérieurs pour des services spécifiques (hébergement, infrastructure). La liste des sous-traitants est disponible sur demande.

ManageMate Group s'engage à :

• Informer le Client de tout ajout ou remplacement de sous-traitant
• Imposer aux sous-traitants les mêmes obligations de protection des donnees
• Demeurer responsable envers le Client de l'exécution des obligations par les sous-traitants

7. Transferts de données

Les donnees de chaque Client sont hébergées sur une instance dédiée (1 serveur par client), garantissant une isolation complète. Les donnees sont principalement traitées dans l'Union Européenne. En cas de transfert vers un pays tiers, ManageMate Group s'engage a mettre en place les garanties appropriées (clauses contractuelles types, decision d'adequation).

8. Notification des violations

En cas de violation de données personnelles, ManageMate Group s'engage à :

• Notifier le Client dans les meilleurs délais et au plus tard 48 heures après en avoir pris connaissance
• Fournir les informations nécessaires : nature de la violation, catégories et nombre de personnes concernées, conséquences probables, mesures prises
• Coopérer avec le Client pour la gestion de l'incident et la notification aux autorités si nécessaire

9. Droits des personnes concernées

ManageMate Group aide le Client a répondre aux demandes d'exercice des droits des personnes concernées (accès, rectification, effacement, portabilité, opposition, limitation).

Les fonctionnalités du Service permettent au Client de gérer directement certaines de ces demandes. Pour les autres, ManageMate Group fournira l'assistance nécessaire.

10. Audit et vérification

ManageMate Group met à disposition du Client les informations nécessaires pour démontrer le respect des obligations du présent accord. Le Client peut réaliser ou faire réaliser des audits, sous reserve d'un préavis raisonnable et d'obligations de confidentialité.

11. Sort des données en fin de contrat

À l'issue du contrat de licence, selon le choix du Client :

• ManageMate Group restitue les données personnelles dans un format structuré et couramment utilisé
• Ou ManageMate Group supprime les données personnelles, sauf obligation légale de conservation

La suppression effective intervient dans un delai de 90 jours après la fin du contrat.

12. Responsabilité

Chaque partie est responsable des dommages causés par un traitement non conforme au RGPD ou au présent accord. Les limitations de responsabilite prévues au contrat principal s'appliquent.