🌱 Horticum ← Retour à l'accueil

Sous-traitance de données

DEENITFRESPLROBGRUUKTR
Remarque : Cette traduction est fournie uniquement à titre indicatif. La version juridiquement contraignante est l'original allemand.

1. Objet et durée

Le sous-traitant (Simon Kappelmeir – Dienstleistung, Weiherbachweg 6, 82216 Maisach, Allemagne, support@horticum.com) met à disposition du responsable du traitement le logiciel « Horticum » en tant qu'application SaaS et traite à cette occasion des données personnelles exclusivement pour le compte du responsable du traitement conformément à l'art. 28 RGPD. Le présent contrat prend effet à la conclusion du contrat d'utilisation et prend fin automatiquement avec la résiliation de celui-ci. Le traitement a lieu exclusivement dans l'UE/EEE ou dans des pays tiers bénéficiant d'une décision d'adéquation ou sur la base de clauses contractuelles types (CCT).

2. Nature et finalité du traitement

La finalité du traitement est la mise à disposition des fonctions de l'application, en particulier : • Occupation des planches, planification des cultures, gestion des tâches et du plan du jour • Saisie des heures et gestion des absences des collaborateurs • Documentation phytosanitaire et de fertilisation • Registre des premiers secours (registre des soins selon DGUV) • Gestion des contacts (clients, fournisseurs, interlocuteurs) • Impression d'étiquettes et de listes (abonnement Pro+) • Synchronisation entre appareils • Gestion des comptes et des abonnements

3. Nature des données personnelles

• Données de base et de communication (nom, adresse, téléphone, e-mail) • Données de connexion/compte (e-mail, hachage du mot de passe, jeton de session, adresses IP) • Données contractuelles de base (numéro fiscal, numéro de TVA, IBAN/BIC) • Données de planification et de pilotage de l'entreprise • Données de saisie des heures et d'absence • Catégories particulières selon l'art. 9 RGPD : données de santé des salariés dans le registre numérique des premiers secours (conservation légale de 5 ans selon la règle DGUV 1) • Données d'application phytosanitaire (données du certificat de compétence, noms des applicateurs, applications — selon le § 11 PflSchG, 3 ans) • Données de fertilisation (selon DüV)

4. Catégories de personnes concernées

• Propriétaire ou direction du responsable du traitement • Collaborateurs et apprentis du responsable du traitement • Clients, fournisseurs et interlocuteurs du responsable du traitement • Clients finaux du responsable du traitement (dans la mesure où ils sont enregistrés dans la gestion des contacts)

5. Obligations du sous-traitant

Le sous-traitant s'engage à traiter les données personnelles exclusivement dans le cadre du présent contrat et conformément aux instructions documentées du responsable du traitement (art. 28 al. 3 lit. a RGPD). Les personnes intervenant dans le traitement sont soumises à une obligation de confidentialité (art. 28 al. 3 lit. b, art. 29, art. 32 al. 4 RGPD). Le sous-traitant assiste le responsable du traitement dans le respect des droits des personnes concernées (art. 12-22 RGPD) ainsi que dans les obligations au titre des art. 32-36 RGPD (analyse d'impact relative à la protection des données, consultation préalable, notification des violations de données). Les demandes manifestement adressées au responsable du traitement sont transmises sans délai. Personne de contact pour la protection des données : Simon Kappelmeir, support@horticum.com. Un délégué à la protection des données n'est actuellement pas légalement requis.

6. Mesures techniques et organisationnelles (MTO)

Le sous-traitant prend toutes les mesures techniques et organisationnelles nécessaires conformément à l'art. 32 RGPD. Celles-ci comprennent en particulier : • Contrôle d'accès physique : hébergement du serveur dans un centre de données certifié en Allemagne (ISO 27001), contrôle d'accès physique et surveillance 24h/24, 7j/7 • Contrôle d'accès logique : authentification par e-mail/mot de passe, hachages Argon2id/Bcrypt, clé publique SSH pour l'accès administrateur, limitation du débit, expiration de session • Contrôle d'accès aux données : séparation des locataires par entreprise via les équipes Appwrite, modèle d'autorisation basé sur les rôles • Contrôle de transmission : exclusivement TLS 1.2+ (HTTPS), HSTS activé • Contrôle de saisie : piste d'audit (createdAt, updatedAt) sur tous les enregistrements pertinents, les versions de synchronisation permettent la traçabilité • Contrôle des commandes : DPA avec tous les sous-traitants ultérieurs • Contrôle de disponibilité : sauvegardes quotidiennes (conservation 14 jours), monitoring, RTO/RPO < 24 h, pare-feu, mises à jour de sécurité régulières • Contrôle de séparation : environnements de test/développement/production séparés, séparation des locataires au niveau de la base de données • Pseudonymisation : identifiants de compte internes au lieu de noms en clair dans les journaux serveur

7. Sous-traitants ultérieurs

Par la conclusion du présent contrat, le responsable du traitement autorise de manière générale le recours aux sous-traitants ultérieurs suivants (art. 28 al. 2 RGPD) : • dogado GmbH (Dortmund, DE) — hébergement web/mail, proxy serveur pour la validation VIES • dogado GmbH ou hébergeur comparable (DE) — exploitation du serveur Appwrite en Allemagne • Stripe Payments Europe Ltd. (Dublin, IE) — traitement des paiements pour les abonnements Pro/Pro+ sur le web et Android (en cas de transfert vers les États-Unis : CCT + Data Privacy Framework) • Apple Distribution International Ltd. (Cork, IE) — traitement des paiements iOS/macOS via In-App Purchase • fintectura GmbH / openiban.com (Berlin, DE) — validation IBAN • Commission européenne, DG TAXUD (Bruxelles, BE) — vérification VIES du numéro de TVA • komoot GmbH (Karlsruhe, DE) — géocodage Photon (complétion automatique de rues) • zippopotam.us — recherche code postal vers ville Le sous-traitant informe le responsable du traitement par écrit au moins 30 jours à l'avance de toute modification prévue. Le responsable du traitement peut former opposition dans un délai de 14 jours pour un motif important relevant du droit de la protection des données. Le sous-traitant est responsable du respect des obligations en matière de protection des données par les sous-traitants ultérieurs (art. 28 al. 4 RGPD).

8. Analyse d'impact relative à la protection des données et consultation préalable

Le sous-traitant assiste le responsable du traitement, dans la limite de ses possibilités, lors de la réalisation d'une analyse d'impact relative à la protection des données (art. 35 RGPD) et d'une consultation préalable de l'autorité de contrôle (art. 36 RGPD), notamment en fournissant les informations nécessaires sur les opérations de traitement, les MTO et les sous-traitants ultérieurs.

9. Notification des violations de données

Les violations de données sont notifiées au responsable du traitement sans délai, au plus tard dans les 48 heures suivant leur connaissance, par e-mail à l'adresse de contact renseignée — afin que le responsable du traitement puisse respecter son propre délai de 72 heures au titre de l'art. 33 RGPD. La notification comprend la nature et l'étendue de la violation, les catégories de données concernées et le nombre approximatif de personnes concernées, les conséquences probables ainsi que les mesures prises ou envisagées.

10. Fin du traitement

Après la fin du contrat d'utilisation, le sous-traitant supprime toutes les données personnelles du responsable du traitement dans un délai de 30 jours, sauf si une obligation légale de conservation s'y oppose. À la demande du responsable du traitement, les données sont préalablement mises à disposition dans un format lisible par machine (export JSON). Les données soumises à une obligation légale de conservation (entrées de premiers secours : 5 ans selon DGUV ; données phytosanitaires : 3 ans selon PflSchG) sont conservées sous forme bloquée jusqu'à l'expiration du délai, puis supprimées. Sur demande, la suppression est confirmée par écrit.

11. Preuves et audit

Le responsable du traitement peut vérifier le respect du présent contrat par le sous-traitant (art. 28 al. 3 lit. h RGPD). La vérification s'effectue principalement par la demande de preuves actuelles (concept de protection des données, MTO, liste des sous-traitants ultérieurs, rapports d'audit). Des inspections sur site sont possibles, après prise de rendez-vous préalable avec au moins 4 semaines d'anticipation, une fois par an, pendant les heures ouvrables habituelles. Le temps consacré à l'accompagnement est remboursé selon un tarif horaire convenu au préalable.

12. Dispositions finales

Les modifications et compléments au présent contrat doivent être effectués par écrit ; cela vaut également pour la suppression de la présente clause. Si certaines dispositions sont invalides, la validité des dispositions restantes n'en est pas affectée. La disposition invalide est remplacée par la disposition valide qui se rapproche le plus de l'objectif économique. Le droit allemand s'applique. Le for compétent est — dans la mesure où la loi le permet — Maisach (siège du sous-traitant). La responsabilité est régie par l'art. 82 RGPD et, pour le reste, par le contrat principal.