Skip to content
GoDesk
LÉGAL · DPA

Annexe de Traitement des Données

Cette DPA s'applique entre upDevTeam LTD (le 'Responsable de traitement') et tout client du service GoDesk qui, en utilisant le service, traite des données personnelles d'individus identifiables en tant que 'Responsable' au sens du RGPD. Elle est intégrée aux Conditions de Service par référence.

Dernière mise à jour: 2026-05-06
TL;DR

Si vous utilisez GoDesk pour soutenir des clients d'affaires, des employés ou toute autre personne identifiable, vous êtes le Responsable et nous sommes le Responsable de traitement. Cette DPA régit la manière dont nous traitons les données personnelles en votre nom selon l'article 28 du RGPD.

En acceptant nos Conditions de Service, vous acceptez également cette DPA. Les clients d'entreprise qui ont besoin d'un PDF contresigné peuvent en faire la demande à info@godeskflow.com.

Contenu
  1. 01Définitions
  2. 02Champ d'application et rôles
  3. 03Détails du traitement (Article 28(3) RGPD)
  4. 04Obligations du Responsable du traitement
  5. 05Sous-traitants
  6. 06Mesures de sécurité
  7. 07Transferts internationaux
  8. 08Demandes des sujets de données
  9. 09Violations de données personnelles
  10. 10Audits
  11. 11Retour et suppression
  12. 12Responsabilité
  13. 13Durée
  14. 14Droit applicable
  15. 15Contact

01Définitions

Les termes en majuscules ont les significations qui leur sont données dans le RGPD. Les termes suivants ont les significations ci-dessous.

Données Personnelles du Client
Données personnelles que le Client ou ses utilisateurs finaux transmettent à travers, ou stockent dans, le Service GoDesk, et que nous traitons en nom du Client en tant que Responsable de traitement.
RGPD
Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (le Règlement général sur la protection des données), et toute législation nationale de mise en œuvre, y compris le RGPD britannique.
Responsable de traitement
upDevTeam LTD.
Responsable
Client.
Sous-traitant
Tout prestataire tiers engagé par upDevTeam LTD pour traiter les Données Personnelles du Client.
Clauses Contractuelles Standards
Les Clauses Contractuelles Standards pour le transfert de données personnelles vers des pays tiers conformément au RGPD, adoptées par la Décision d'exécution de la Commission (UE) 2021/914 (Module 2 / Module 3 selon le cas).

02Champ d'application et rôles

Cette DPA s'applique au traitement des Données Personnelles du Client effectué par upDevTeam LTD en la faveur du Client dans le cadre de la fourniture du Service.

Les parties reconnaissent qu'en ce qui concerne ce traitement, le Client est le Responsable et upDevTeam LTD est le Responsable de traitement.

upDevTeam LTD traite également des données en tant que Responsable concernant ses propres opérations commerciales (facturation des comptes, lutte contre les abus, marketing). La Politique de Confidentialité décrit ce traitement.

03Détails du traitement (Article 28(3) RGPD)

Objet
Fourniture du service de bureau à distance GoDesk au Client.
Durée
Tant que le Client utilise le Service, plus toute période de conservation post-termination convenue dans la section 11.
Nature et but
Hébergement, transmission, authentification, télémétrie, support et autres traitements nécessaires à l'exploitation du Service.
Catégories de données
Identifiants de compte (email, ID de pair), métadonnées de connexion (horodatages, IP), et toute donnée personnelle que le Client choisit de mettre dans des noms de dispositif ou des métadonnées de session. Le contenu de la session est chiffré de bout en bout et inaccessible sous forme de texte brut.
Catégories de sujets de données
Utilisateurs finaux du Client, employés, sous-traitants, et toute personne dont les dispositifs sont accessibles via le Service par le Client.
Catégories spéciales de données
Non collectées par upDevTeam LTD en tant que Responsable du traitement. Le Client ne doit pas mettre de données de catégorie spéciale dans des noms de dispositifs ou d'autres métadonnées en texte clair.

04Obligations du Responsable du traitement

upDevTeam LTD s'engage à :

  • traiter les Données Personnelles du Client uniquement sur instructions documentées du Client, y compris celles énoncées dans les Conditions et cette DPA, sauf si la loi de l'UE ou d'un État membre l'exige;
  • s'assurer que le personnel autorisé à traiter les Données Personnelles du Client est lié par des obligations de confidentialité appropriées;
  • mettre en œuvre et maintenir les mesures techniques et organisationnelles décrites dans la section 6;
  • respecter les conditions de l'Article 28(2) et (4) RGPD pour l'engagement de Sous-traitants (section 5);
  • aider le Client, en tenant compte de la nature du traitement, à respecter ses obligations en vertu des Articles 32 à 36 RGPD;
  • mettre à disposition toutes les informations nécessaires pour démontrer la conformité avec l'Article 28 RGPD.

05Sous-traitants

Le Client autorise upDevTeam LTD à engager les Sous-traitants suivants :

Supabase, Inc.
Base de données de compte, stockage d'authentification, télémétrie. Hébergé dans l'UE.
Hetzner Online GmbH
Calcul et bande passante pour les relais et l'infrastructure web (Chypre et Allemagne).
Cloudflare, Inc.
DNS, CDN, sécurité en périphérie.
Google Ireland Ltd.
Analytique optionnelle, uniquement lorsque les utilisateurs finaux du Client choisissent de participer via la bannière de cookies.
Stripe Payments Europe Ltd.
Traitement des cartes pour les plans payants.

Nous donnerons au Client un préavis d'au moins 30 jours avant d'ajouter ou de remplacer un Sous-traitant en affichant le changement sur godeskflow.com/dpa ou en envoyant un e-mail au contact du compte. Si le Client s'oppose raisonnablement pour des raisons de protection des données, nous travaillerons de bonne foi pour trouver une solution; si aucune ne peut être convenue, le Client peut résilier le Service concerné pour convenance.

Nous restons responsables envers le Client des actes et omissions de nos Sous-traitants comme s'ils étaient les nôtres.

06Mesures de sécurité

Nous mettons en œuvre et maintenons des mesures techniques et organisationnelles appropriées au risque, y compris :

  • TLS 1.3 en transit, AES-256-GCM au repos pour les sauvegardes, échange de clés X25519 + ED25519 pour le contenu de session chiffré de bout en bout;
  • contrôle d'accès basé sur les rôles avec des défauts de moindre privilège et authentification à deux facteurs obligatoire pour le personnel;
  • journalisation d'audit centralisée des actions administratives sur les systèmes de production;
  • gestion des vulnérabilités, analyse des dépendances et patching de sécurité en temps utile;
  • sécurité physique déléguée à des opérateurs de centres de données certifiés ISO 27001;
  • procédure d'intervention documentée avec rotation des responsables d'astreinte.

07Transferts internationaux

Les Données Personnelles du Client sont hébergées dans l'EEE. Lorsque le transfert des Données Personnelles du Client en dehors de l'EEE est nécessaire (par exemple, lorsqu'un Sous-traitant ayant son siège aux États-Unis est impliqué), les parties incorporent les Clauses Contractuelles Types par référence, avec upDevTeam LTD agissant en tant qu'« exportateur de données » pour ce transfert ultérieur et le Sous-traitant en tant qu'« importateur de données ».

Lorsque le Client est établi en dehors de l'EEE et que des données personnelles transitent de upDevTeam LTD vers le Client, les parties intègrent les SCC (Module 4) pour le transfert correspondant.

Nous effectuons une évaluation de l'impact du transfert pour chaque Sous-traitant non-EEE et appliquons des mesures complémentaires (chiffrement, pseudonymisation) lorsque l'évaluation les recommande.

08Demandes des sujets de données

Si nous recevons une demande d'un sujet de données concernant des Données Personnelles du Client, nous ne répondrons pas directement sauf pour confirmer la réception et diriger le sujet de données vers le Client. Nous transmettrons la demande au Client sans retard injustifié.

Nous fournirons une assistance raisonnable au Client pour répondre aux demandes d'accès, de rectification, d'effacement, de restriction, de portabilité et d'opposition, en tenant compte de la nature du traitement et des informations à notre disposition. Lorsque la demande est excessive ou manifestement infondée, nous pouvons facturer des frais raisonnables.

09Violations de données personnelles

Nous informerons le Client sans retard injustifié, et dans tous les cas dans les 72 heures suivant la prise de connaissance, d'une violation de données personnelles affectant des Données Personnelles du Client. La notification comprendra les informations requises par l'Article 33(3) du RGPD dans la mesure du connu, avec des mises à jour au fur et à mesure de l'avancement de l'enquête.

Nous coopérerons avec le Client pour contenir, enquêter et documenter la violation, et nous ne ferons aucune déclaration publique à son sujet sans le consentement préalable du Client, sauf si la loi l'exige.

10Audits

Nous fournissons au Client les informations nécessaires pour démontrer la conformité avec l'Article 28 du RGPD par le biais de (a) cette DPA, (b) le livre blanc de sécurité disponible sur demande, et (c) les rapports d'audit tiers les plus récents des Sous-traitants concernés (par exemple, rapports SOC 2).

Si le Client pense raisonnablement que les matériaux mentionnés dans la section 10.1 sont insuffisants, le Client peut, à ses frais et avec au moins 30 jours de préavis écrit, auditer notre conformité avec cette DPA pas plus d'une fois par an (sauf en cas de violation matérielle), à condition que l'audit (i) soit effectué pendant les heures normales de bureau, (ii) ne perturbe pas nos opérations, (iii) soit réalisé par un auditeur indépendant soumis à des obligations de confidentialité appropriées, et (iv) n'inclut pas l'accès aux installations ou données d'autres clients.

Les rapports d'audit sont des informations confidentielles de upDevTeam LTD et ne peuvent être partagés qu'avec des régulateurs et des conseillers juridiques sous réserve de confidentialité.

11Retour et suppression

À la résiliation du Service, nous, au choix du Client et dans les 30 jours suivant la date de résiliation, retournerons toutes les Données Personnelles du Client dans un format électronique structuré ou les supprimerons de manière sécurisée, sauf dans la mesure où la conservation est requise par la loi de l'UE ou d'un État membre.

Les copies de sauvegarde seront supprimées conformément à notre politique standard de rétention de sauvegarde (actuellement 35 jours). Les sauvegardes restent protégées par les mesures de sécurité de la section 6 jusqu'à ce qu'elles soient écrasées.

12Responsabilité

La responsabilité découlant de cette DPA est régie par la section de limitation de responsabilité des Conditions de Service.

Lorsque l'Article 82 du RGPD attribue la responsabilité entre les contrôleurs conjoints, les processeurs et les sous-traitants, les parties conviennent de suivre cette allocation légale.

13Durée

Cette DPA prend effet à la date à laquelle le Client accepte les Conditions de Service et se poursuit tant que upDevTeam LTD traite des Données Personnelles du Client pour le compte du Client, plus toute période de survie nécessaire pour satisfaire aux obligations des sections 9, 10 et 11.

14Droit applicable

Cette DPA est régie par les lois de la République de Chypre, sauf que, lorsque les SCC s'appliquent, le droit applicable identifié dans les SCC prévaut pour les matières relevant du champ d'application des SCC.

15Contact

Les notifications dans le cadre de cette DPA doivent être envoyées à info@godeskflow.com (questions relatives au traitement des données) et à info@godeskflow.com (questions relatives aux sujets de données et aux autorités de surveillance).

Si vous avez besoin d'une copie contresignée de cette DPA sur l'en-tête de upDevTeam LTD, écrivez à info@godeskflow.com. La version anglaise de cette DPA est la version de référence.