Date de dernière mise à jour :

Contrat de sous-traitance des données à caractère personnel

Le présent Accord de Sous-Traitance (ci-après « le DPA ») encadre le traitement des données à caractère personnel effectué par SLEEDE SASU, société éditrice du logiciel Ubikly, pour le compte de ses clients dans le cadre d’Ubikly SaaS.

Ce DPA fait partie intégrante des Conditions Générales de Vente (CGV) et du devis ou bon de commande du Client. L’acceptation de ces derniers vaut acceptation pleine et entière du présent DPA.

1. Identité et rôle des parties

Responsable de traitement :
Le Client ayant souscrit une offre Ubikly SaaS, identifiée dans le devis ou la commande.
Le Client agit en qualité de responsable de traitement ou, le cas échéant, de sous-traitant pour le compte de son propre responsable, et garantit disposer de l’autorisation nécessaire pour confier à SLEEDE tout ou partie des traitements concernés.

Base contractuelle du traitement :
Les traitements de données réalisés par SLEEDE pour le compte du Client reposent sur l’exécution du contrat de fourniture du service Ubikly, conformément à l’article 6.1.b du RGPD.

Rôles respectifs :

  • SLEEDE agit en qualité de Sous-traitant au sens de l’article 28 du RGPD pour les données hébergées dans les instances Ubikly SaaS exploitées pour le compte du Client.
  • SLEEDE agit en qualité de Responsable de traitement pour les données qu’elle collecte via son site vitrine, son CRM, ses formulaires, ou ses outils internes, conformément à sa Politique de confidentialité.

Champ d’application :
Le présent DPA s’applique exclusivement aux traitements de données réalisés dans le cadre de l’offre Ubikly SaaS. Les installations Ubikly On-Premise relèvent de la responsabilité exclusive du Client, SLEEDE n’y exerçant aucun contrôle sur les traitements de données.

Loi applicable :
Le présent accord est régi par le Règlement (UE) 2016/679 et par le droit français en matière de protection des données à caractère personnel.

Intégration contractuelle :
Le présent DPA constitue un addendum aux Conditions Générales de Vente de SLEEDE et prévaut sur celles-ci en cas de contradiction concernant la protection des données.

2. Définitions

Aux fins du présent Accord, les termes suivants ont le sens qui leur est attribué par le Règlement (UE) 2016/679 du 27 avril 2016 (ci-après « RGPD »), complété le cas échéant par la Loi française n° 78-17 du 6 janvier 1978 modifiée (dite « Loi Informatique et Libertés ») :

  • Donnée à caractère personnel : toute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement, notamment par référence à un identifiant tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
  • Traitement : toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation, la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement, l’interconnexion, la limitation, l’effacement ou la destruction.
  • Responsable de traitement : la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement de données à caractère personnel.
  • Sous-traitant : la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du Responsable de traitement.
  • Sous-traitant ultérieur : tout prestataire de SLEEDE auquel celle-ci fait appel pour exécuter tout ou partie des opérations de traitement confiées par le Client.
  • Données du Client : toutes les données, y compris les données à caractère personnel, hébergées, stockées, transmises ou traitées par le biais du service Ubikly SaaS pour le compte du Client et sous sa responsabilité.
  • Ubikly SaaS : les services en ligne fournis par SLEEDE en mode Software as a Service, permettant au Client de gérer ses espaces, ressources, réservations, utilisateurs et activités via la plateforme Ubikly hébergée par SLEEDE.
  • Violation de données à caractère personnel : toute violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données.
  • Lois applicables en matière de protection des données : le Règlement (UE) 2016/679 (RGPD), la Loi Informatique et Libertés modifiée, ainsi que toute réglementation européenne ou nationale applicable en matière de protection des données à caractère personnel.

Autorité de contrôle : la CNIL ou toute autre autorité compétente au sens du RGPD.

3. Objet et durée

Le présent accord a pour objet de définir les conditions dans lesquelles SLEEDE traite, pour le compte du Client, des données à caractère personnel nécessaires à la fourniture, à l’exploitation et à la maintenance du logiciel Ubikly en mode SaaS (Software as a Service).

Les traitements effectués par SLEEDE ont pour finalité exclusive la mise à disposition d’Ubikly SaaS, conformément au contrat conclu entre les Parties, et incluent notamment les opérations suivantes :

  • hébergement, stockage et sauvegarde des données du Client ;
  • exécution des fonctionnalités applicatives de la plateforme ;
  • gestion technique et corrective du service (support, maintenance, mises à jour) ;
  • suivi d’utilisation et journalisation à des fins de sécurité et de traçabilité.

Ces traitements sont réalisés uniquement pour l’exécution du contrat de service conclu entre les Parties, conformément à l’article 6.1.b du RGPD.
SLEEDE n’agit jamais à des fins propres ni pour le compte d’un tiers.
Le présent accord entre en vigueur à la date de signature du devis, du bon de commande ou de tout autre document contractuel relatif à l’offre Ubikly SaaS, lesquels valent acceptation expresse du présent DPA, accessible en ligne à tout moment.
Le présent DPA demeure applicable :

  • pendant toute la durée d’exécution d’Ubikly SaaS,
  • ainsi que pendant la période nécessaire à la restitution ou à la suppression complète des données du Client, conformément à l’article 12 du présent accord.

SLEEDE peut conserver certaines données techniques ou journaux à des fins de sécurité, de preuve ou de conformité légale, pendant les durées prévues par la réglementation applicable.

4. Description du traitement

  • Objet du traitement
    Hébergement, stockage, exécution et maintenance du logiciel Ubikly pour le compte du Client, dans le cadre de l’exploitation de son ou de ses espaces et activités.
  • Durée du traitement
    Pendant toute la durée d’exécution du contrat de service Ubikly SaaS et jusqu’à la suppression complète des données du Client, conformément à l’article 12 du présent accord.
  • Nature des opérations
    Collecte, enregistrement, hébergement, sauvegarde, affichage, accès, transmission, consultation, modification et suppression de données à caractère personnel.
  • Finalités
    Mise à disposition, gestion et exploitation du logiciel Ubikly, et exécution des fonctionnalités prévues dans l’offre souscrite, notamment :
    – gestion des réservations, abonnements, adhésions et transactions ;
    – gestion des formations, événements et projets ;
    – administration des utilisateurs, espaces et ressources ;
    – suivi d’usage, journalisation et sécurité de la plateforme.
  • Types de données traitées
    – données d’identification : nom, prénom, email, téléphone, identifiants, rôles, permissions ;
    – données contractuelles et de facturation : abonnements, transactions, factures ;
    – données liées aux réservations, activités ou interactions sur la plateforme ;
    – données de navigation ou d’utilisation (logs, adresses IP, empreintes techniques, métadonnées) ;
    – données échangées via les formulaires, messageries ou outils intégrés au service.
  • Catégories de personnes concernées
    Les catégories de personnes dont les données peuvent être traitées incluent :
    – les utilisateurs finaux et membres enregistrés par le Client ;
    – les salariés, intervenants, formateurs, partenaires ou stagiaires ;
    – les visiteurs ou participants à des événements ;
    – les administrateurs et gestionnaires de la plateforme du Client.

Ces catégories peuvent varier selon la configuration, les modules activés et les usages déterminés par le Client.

5. Obligations du Sous-traitant (SLEEDE)

SLEEDE s’engage à respecter les obligations légales applicables aux sous-traitants telles que définies par le Règlement (UE) 2016/679 (« RGPD ») et, plus généralement, à assurer la confidentialité, l’intégrité et la sécurité des données à caractère personnel traitées pour le compte du Client.

5.1. Traitement sur instruction du Client

SLEEDE ne traite les données à caractère personnel que sur instruction écrite, documentée et licite du Client, et uniquement aux fins définies à l’article 4 du présent accord.
Si SLEEDE estime qu’une instruction constitue une violation du RGPD ou de toute autre disposition du droit de l’Union ou du droit d’un État membre, elle en informe immédiatement le Client.
En cas d’obligation légale imposant un traitement ou un transfert de données contraire aux instructions du Client, SLEEDE en informera ce dernier sauf interdiction légale contraire.

5.2. Confidentialité et encadrement du personnel

SLEEDE veille à ce que toute personne qu’elle autorise à traiter des données à caractère personnel (collaborateurs, prestataires ou intervenants) :

  • soit soumise à une obligation légale de confidentialité ;
  • ait été sensibilisée aux bonnes pratiques de sécurité et de protection des données dans le cadre de ses fonctions
  • n’accède aux données qu’en fonction de son rôle et pour la durée strictement nécessaire à l’exécution de ses missions.

5.3. Sécurité des traitements

SLEEDE met en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, telles que décrites à l’article 9 du présent accord. Ces mesures visent notamment à prévenir toute perte, altération, destruction ou accès non autorisé aux données, ainsi qu’à assurer leur traçabilité, leur disponibilité et leur résilience.

5.4. Assistance au Client

SLEEDE assiste le Client, dans la mesure du possible, pour lui permettre de satisfaire à ses obligations légales en matière de protection des données, notamment en ce qui concerne :

  • la gestion des demandes d’exercice de droits des personnes concernées (accès, rectification, suppression, etc.) ;
  • la réalisation éventuelle d’analyses d’impact sur la protection des données (AIPD / DPIA), en fournissant, lorsque nécessaire, les informations techniques utiles relatives à la sécurité et à l’architecture du Service ;
  • la notification de violations de données à l’autorité de contrôle ou aux personnes concernées, lorsque la réglementation l’exige ;
  • et, le cas échéant, la consultation préalable de la CNIL, dans les cas où le Client doit solliciter son avis avant la mise en œuvre d’un traitement à risque élevé.

Cette assistance est fournie selon des modalités techniques et financières raisonnables, dans la limite des capacités du Service Ubikly et des informations effectivement détenues par SLEEDE.

Toute assistance ou intervention spécifique sortant du cadre normal du support technique — notamment la production de documents, d’analyses, d’expertises, de justificatifs de conformité ou de rapports techniques — fera l’objet d’une facturation distincte sur la base des coûts commerciaux raisonnables de SLEEDE, conformément au barème ou devis applicable au moment de la demande.

Le Client s’engage à rembourser à SLEEDE les frais raisonnables engagés pour toute assistance supplémentaire fournie à sa demande au titre du présent article.

5.5. Registre des traitements

SLEEDE tient un registre écrit des catégories d’activités de traitement effectuées pour le compte de ses Clients, conformément à l’article 30(2) du RGPD.

5.6. Sous-traitants ultérieurs (autorisation générale)

Le Client autorise expressément SLEEDE à faire appel à des sous-traitants ultérieurs pour assurer tout ou partie des traitements nécessaires à la fourniture du Service Ubikly SaaS, notamment pour l’hébergement, la sauvegarde, la maintenance, le support, la sécurité, ou la gestion d’infrastructure.

SLEEDE s’engage à :

  • ne sélectionner que des prestataires présentant des garanties suffisantes de conformité et de sécurité au sens de l’article 28 du RGPD ;
  • demeurer responsable de l'exécution des obligations mises à sa charge par le présent accord conformément à l'article 28(4) du RGPD.

Compte tenu de la nature du Service, le Client reconnaît que certains sous-traitants ultérieurs fournissent des services mutualisés standardisés et qu'il ne peut exiger le remplacement d'un sous-traitant ultérieur sans motif légitime lié à la protection des données personnelles.

Liste des sous-traitants autorisés, leur rôle, leur localisation:


Service

Fournisseur

Localisation

Transfert hors UE

Hébergement, stockage fichiers et backups

Scaleway

France

Non

Emails transactionnels

Brevo

France

Non

Paiement

Stripe

UE

Non

Paiement

PayZen

France

Non

Surveillance et monitoring

AppSignal

UE

Non

CDN, protection DDoS, proxy inverse, gestion des certificats SSL

Cloudflare

Fournisseur d’infrastructure.Rôle limité à l’acheminement et à la sécurisation du trafic web ; les données applicatives et bases de données restent hébergées chez Scaleway.

Réseau mondial de points de présence (PoP)

Oui
Mécanisme juridique: Data Processing Addendum Cloudflare + Clauses Contractuelles Types (SCC)

SLEEDE pourra modifier ou compléter la liste de ses sous-traitants ultérieurs. Le Client sera informé de tout ajout ou remplacement significatif d’un sous-traitant par voie électronique, via la documentation de conformité ou par tout autre moyen approprié, dans un délai raisonnable après ou avant l’entrée en vigueur du changement lorsque cela est raisonnablement possible.

Le Client dispose d’un délai de trente (30) jours à compter de cette information pour formuler une objection écrite, motivée et fondée sur des motifs légitimes liés à la protection des données personnelles et directement liés au traitement réalisé pour son compte. En l’absence d’objection dans ce délai, la modification est réputée acceptée.

Une objection non motivée ou manifestement infondée ne pourra entraîner la résiliation du service sans frais que si le changement de sous-traitant est susceptible d'entraîner un risque accru pour les droits et libertés des personnes concernées. En cas d’objection légitime, les Parties s’efforceront de trouver une solution raisonnable permettant de poursuivre l’exécution du Service. À défaut d’accord, chacune des Parties pourra mettre fin mettre fin au Contrat ou au Service concerné conformément aux dispositions contractuelles applicables.

5.7. Notification des violations de données

SLEEDE notifie au Client toute violation de données à caractère personnel dans les meilleurs délais et, si possible, dans un délai maximum de 48 heures après en avoir pris connaissance.
Cette notification décrit la nature de l’incident, les conséquences probables et les mesures correctives prises ou envisagées.
SLEEDE fournit toute documentation utile pour permettre au Client, si nécessaire, de notifier l’incident à la CNIL et aux personnes concernées.

5.8. Documentation, audits et vérifications

SLEEDE met à la disposition du Client les informations et la documentation raisonnablement nécessaires pour démontrer le respect des obligations prévues par le présent accord et par l'article 28 du RGPD.

Cette obligation est satisfaite notamment par la fourniture de documents de conformité tels que la description des mesures techniques et organisationnelles, la liste des sous-traitants ultérieurs, le registre des activités de traitement du sous-traitant, les politiques de sécurité applicables ou toute autre documentation pertinente.

Un audit sur site ou à distance ne peut être demandé par le Client que lorsque ces éléments sont manifestement insuffisants pour démontrer la conformité de SLEEDE aux obligations qui lui incombent en vertu du RGPD et du présent accord.

Le Client peut alors, à ses frais et sous réserve d’un préavis écrit d’au moins trente (30) jours, procéder à un audit de conformité ou mandater un auditeur indépendant soumis à une obligation stricte de confidentialité. SLEEDE peut s'opposer à la désignation d'un auditeur lorsqu'il existe un risque légitime de conflit d'intérêts, notamment lorsque cet auditeur exerce une activité concurrente de celle de SLEEDE.

Un tel audit ne peut être réalisé qu’une (1) fois par période de vingt-quatre (24) mois et par Client, sauf exigence contraire résultant d’une obligation légale ou d’une demande d’une autorité de contrôle compétente. Il est réalisé pendant les heures ouvrées, sur préavis écrit d’au moins trente (30) jours, et dans des conditions n’entraînant aucune perturbation des opérations de SLEEDE ni aucune atteinte à la sécurité, à la disponibilité ou à la confidentialité des données ou services fournis aux autres clients.

Avant tout audit, les Parties conviendront par écrit de son périmètre, de sa durée, de ses modalités pratiques et des mesures de sécurité applicables. SLEEDE pourra limiter l'audit aux seuls éléments strictement nécessaires à la vérification des obligations concernées, en tenant compte des informations et documents déjà communiqués au Client.

SLEEDE coopère de bonne foi avec le Client et, le cas échéant, avec les autorités de contrôle compétentes (telles que la CNIL) en cas d’inspection, de demande ou de consultation préalable, dans la limite de ses obligations légales et de ses moyens raisonnables.

5.9. Transferts de données hors UE

SLEEDE ne transfère aucune donnée à caractère personnel en dehors de l'Espace Économique Européen, sauf lorsque ce transfert est encadré par un mécanisme reconnu par le RGPD, tel qu'une décision d'adéquation de la Commission européenne, des Clauses Contractuelles Types adoptées par la Commission européenne ou tout autre mécanisme autorisé par la réglementation applicable. Les transferts éventuels sont décrits à l’article 10 du présent accord.

6. Obligations du Client (Responsable de traitement)

Le Client, en sa qualité de Responsable de traitement au sens de l’article 4.7 du RGPD, demeure seul responsable de la licéité des traitements de données qu’il réalise via le Service Ubikly SaaS.
Il s’engage à respecter l’ensemble des obligations qui lui incombent en vertu de la réglementation applicable en matière de protection des données personnelles, et notamment à :

  • déterminer la finalité, la nature et la base légale des traitements de données réalisés au sein de son espace Ubikly ;
  • informer les personnes concernées des traitements effectués, conformément aux articles 12 à 14 du RGPD, et recueillir leur consentement lorsque la loi l’exige ;
  • ne transmettre à SLEEDE que des données adéquates, pertinentes et strictement nécessaires à la fourniture du Service ;
  • veiller à la qualité, l’exactitude et la mise à jour des données transmises ou collectées via le Service ;
  • assurer la sécurité et la confidentialité de ses identifiants, mots de passe et moyens d’accès à la plateforme ;
  • gérer les habilitations et droits d’accès de ses propres utilisateurs dans Ubikly, et contrôler l’usage qui en est fait ;
  • notifier à SLEEDE sans délai tout changement organisationnel, juridique ou technique susceptible d’affecter le traitement ou la sécurité des données ;
  • répondre directement aux demandes d’exercice de droits formulées par les personnes concernées (accès, rectification, suppression, etc.), SLEEDE n’intervenant qu’en appui technique si nécessaire conformément à l’article 5.4 du présent accord.

Le Client reconnaît qu’il reste seul responsable du contenu et des données hébergées dans son interface Ubikly, ainsi que des traitements qu’il effectue sous sa propre responsabilité, y compris en cas d’accès ou d’utilisation non autorisés résultant d’une mauvaise configuration, d’une négligence ou d’une action de ses utilisateurs.

SLEEDE ne saurait être tenue responsable d’un manquement du Client à ses propres obligations légales, ni d’un traitement illicite ou non conforme réalisé par ce dernier au moyen du Service Ubikly SaaS.

7. Droits des personnes concernées et assistance

Le Client dispose, au sein du Service Ubikly, des fonctionnalités lui permettant d’exercer les droits des personnes concernées, notamment pour :
– accéder, rectifier, supprimer les données de ses utilisateurs ;
– répondre aux demandes d’accès, d’opposition, d’effacement, de limitation ou de portabilité conformément aux articles 15 à 22 du RGPD.

Sur demande au support, le Client peut demander un export des données d’un membre.

Si une demande relative à l’exercice de ces droits est adressée directement à SLEEDE, celle-ci s’engage à la transmettre sans délai au Client, seul responsable du traitement et de la réponse à apporter.

SLEEDE fournira, sur demande écrite du Client, toute assistance raisonnable nécessaire pour lui permettre de satisfaire à ses obligations légales, dans la limite des capacités techniques du Service.
Toute assistance spécifique sortant du cadre standard du support pourra faire l’objet d’une facturation complémentaire, selon les conditions tarifaires en vigueur.

Le Client demeure seul responsable du respect de ses obligations envers les personnes concernées et de la légalité de ses traitements de données via Ubikly.

8. Sécurité et confidentialité des données

SLEEDE met en œuvre, et s’engage à maintenir tout au long de la relation contractuelle, des mesures techniques et organisationnelles appropriées au sens de l’article 32 du RGPD, visant à garantir un niveau de sécurité adapté aux risques présentés par les traitements et à la nature des données concernées.

Ces mesures tiennent compte de l’état de l’art, des coûts de mise en œuvre, du contexte du traitement, ainsi que de la probabilité et de la gravité des risques pour les droits et libertés des personnes physiques.

Elles comprennent notamment, sans que cette liste soit limitative :
– chiffrement des données en transit (TLS 1.3) et au repos (AES-256) ;
– cloisonnement logique des données par tenant ;
– réseau privé entre serveurs applicatifs et base de données (Scaleway Private Network) ;
– gestion des accès et authentification forte (SSO, 2FA) ;
– journalisation et supervision continue des accès ;
– sauvegardes automatiques quotidiennes chiffrées, répliquées et testées afin de permettre la restauration des données en cas d’incident ;
– pare-feu applicatif (WAF) et protection DDoS (Cloudflare) ;
– revue périodique des vulnérabilités et application des mises à jour de sécurité ;
– sensibilisation et encadrement des personnels habilités à accéder aux données.

SLEEDE s’engage à maintenir, adapter et améliorer ces mesures tout au long du contrat afin de tenir compte de l’évolution des risques, des standards techniques et des bonnes pratiques de sécurité.

Le Client reconnaît être également tenu de mettre en œuvre, au sein de son propre environnement, des mesures adaptées pour garantir la sécurité et la confidentialité des traitements dont il est responsable, notamment la gestion des habilitations, la protection des terminaux et la sécurité des accès utilisateurs.

9. Violations de données à caractère personnel

SLEEDE s’engage à notifier au Client, dans les meilleurs délais et au plus tard dans un délai de quarante-huit (48) heures ouvrées après en avoir eu connaissance, toute violation de données à caractère personnel au sens de l’article 4.12 du RGPD.

La notification précise, dans la mesure où les informations sont alors disponibles, la nature de l’incident, son impact potentiel et les principales mesures prises ou envisagées pour y remédier.
Lorsque certaines informations ne peuvent être fournies immédiatement, elles seront communiquées ultérieurement au fur et à mesure de leur disponibilité.

SLEEDE coopère activement avec le Client pour lui permettre, le cas échéant, d’effectuer les notifications requises auprès de la CNIL et, si nécessaire, d’informer les personnes concernées.
Cette coopération s’effectue dans des conditions techniques et financières raisonnables, sans préjudice des obligations de sécurité ou de confidentialité de SLEEDE.

10. Transferts internationaux

  • Les données de production du Service Ubikly SaaS sont hébergées au sein de l'Union Européenne, principalement en France sur l'infrastructure de Scaleway.
  • En cas de recours à des prestataires situés hors de l’Union Européenne, notamment dans le cadre de certains services techniques ou de sécurité fournis par des sous-traitants ultérieurs, SLEEDE veille à ce que tout transfert de données personnelles soit encadré par un mécanisme juridique reconnu, conformément aux articles 45 à 49 du RGPD.
  • Ces garanties peuvent inclure :
    – une décision d’adéquation de la Commission européenne (ex. États-Unis via le Data Privacy Framework – DPF) ;
    – la signature de Clauses Contractuelles Types (SCC) adoptées par la Commission européenne ; ou
    – toute autre mesure ou mécanisme autorisé par la réglementation applicable permettant d'assurer un niveau de protection conforme aux exigences du RGPD.
  • SLEEDE ne fait appel qu’à des prestataires présentant des garanties suffisantes en matière de sécurité, de confidentialité et de conformité RGPD. La liste actualisée des sous-traitants ultérieurs est tenue à disposition du Client sur simple demande.
  • La liste des sous-traitants ultérieurs et des éventuels transferts internationaux est susceptible d'évoluer conformément aux dispositions de l'article 5.6 du présent accord.

11. Suppression, restitution et conservation des données

À la cessation du contrat ou sur demande écrite du Client, SLEEDE procède à la restitution ou à la suppression des données personnelles traitées pour son compte, conformément à l’article 28.3.g du RGPD.

Le Client peut, jusqu’à la date de fin de service, demander à SLEEDE la restitution de l’ensemble de ses données dans un format standard, structuré et couramment utilisé (JSON, CSV ou SQL).
Cette opération est réalisée sur demande écrite du Client et peut, le cas échéant, donner lieu à une facturation spécifique couvrant les frais techniques de préparation et de transfert.

À défaut de demande expresse du Client dans un délai de trente (30) jours suivant la résiliation ou l’expiration du contrat, toutes les données du Client sont supprimées des environnements de production.

Les sauvegardes automatiques sont conservées pendant 180 jours, puis détruites de manière sécurisée et irréversible.

SLEEDE peut conserver, au-delà de ces délais :
– des données strictement nécessaires au respect de ses obligations légales (comptables, fiscales ou de sécurité) ;
– des informations anonymisées ou agrégées à des fins exclusives de statistiques, d’analyse ou d’amélioration du service.

À l’issue de la suppression complète, SLEEDE fournit au Client, sur demande, une confirmation écrite de la destruction effective des données concernées.

12. Responsabilité et loi applicable

SLEEDE est tenue d’une obligation de moyens renforcée, conforme à l’état de l’art, en matière de sécurité et de confidentialité des données à caractère personnel.

En cas de manquement, la responsabilité de SLEEDE est strictement limitée aux plafonds et exclusions prévus par les Conditions Générales de Vente (CGV).

En cas de contradiction entre le présent DPA et les CGV, le DPA prévaut uniquement pour les traitements de données à caractère personnel.

Le présent accord est régi par le droit français. Tout différend relatif à son interprétation ou à son exécution relève de la compétence exclusive du tribunal de commerce de Grenoble (France), sauf disposition impérative contraire.

13. Contact et délégué à la protection des données

Pour toute question ou demande relative à la protection des données personnelles, le Client peut contacter le référent à la protection des données de SLEEDE :

SLEEDE SASU – Éditeur Ubikly
93 cours Berriat, 38000 Grenoble, France
dpo@sleede.com