« Parce qu'une copie ne suffit jamais. Control-C protège vos livres Xero et QuickBooks, votre inventaire Cin7 et vos workflows XPM, capturés, consultables et récupérables lorsque le cloud ne l'est pas. »

Juridique

Addendum au traitement des données

Précisions sur les sous-traitants, la gestion des données et la sécurité.

Demander un DPA signé Consulter les sous-traitants

1. Champ d’application et intégration

Le présent Addendum au traitement des données (« DPA ») fait partie des Conditions générales ou de tout autre accord conclu entre Control-C (« Sous-traitant ») et le client signataire dudit accord (« Responsable de traitement »). Il s’applique lorsque Control-C traite des Données personnelles pour le compte du Responsable de traitement dans le cadre de la fourniture du Service.

2. Rôles et responsabilités

Le Responsable de traitement détermine les finalités et les moyens du traitement des Données personnelles. Control-C traite les Données personnelles uniquement sur instruction documentée du Responsable de traitement, telle que définie dans l’accord de base, le présent DPA et les actions administratives du Client via le Service. Control-C informera promptement le Responsable de traitement si une instruction enfreint la législation applicable en matière de protection des données.

3. Objet et durée

L’objet, la nature et la finalité du traitement concernent la fourniture de services d’orchestration de continuité, d’analytique et de fonctions associées. Les catégories de personnes concernées et de Données personnelles sont décrites à l’Annexe A du présent DPA. Le traitement se poursuit pendant la durée de l’abonnement et toute période de transition durant laquelle le Responsable de traitement exporte ou supprime les Données personnelles.

4. Confidentialité

Control-C s’assure que les personnes autorisées à traiter les Données personnelles sont soumises à des obligations de confidentialité et reçoivent une formation appropriée en matière de sécurité et de protection de la vie privée. L’accès est limité aux personnes qui en ont besoin pour fournir le Service.

5. Mesures de sécurité

Control-C met en œuvre les mesures techniques et organisationnelles décrites à l’Annexe B et résumées dans le Centre de confiance. Ces mesures incluent le chiffrement en transit et au repos, les contrôles d’accès, la journalisation de sécurité, la gestion des vulnérabilités, la réponse aux incidents et des tests d’intrusion réguliers réalisés par des évaluateurs indépendants.

6. Sous-traitants

Le Responsable de traitement autorise Control-C à engager les sous-traitants listés dans le registre des sous-traitants. Control-C impose à ces sous-traitants des obligations de protection des données équivalentes au présent DPA. Le Responsable de traitement sera informé de tout nouveau sous-traitant par e-mail ou via le registre et peut s’y opposer dans un délai de quinze (15) jours pour des motifs raisonnables et documentés. Si Control-C ne peut pas satisfaire l’objection, le Responsable de traitement peut résilier les services concernés et obtenir un remboursement au prorata.

7. Droits des personnes concernées

Compte tenu de la nature du traitement, Control-C assiste le Responsable de traitement, par des mesures techniques et organisationnelles appropriées, dans la mesure du possible, pour répondre aux demandes des personnes concernées conformément à la loi applicable. L’assistance inclut la mise à disposition d’outils d’exportation, d’accès, de rectification, de suppression et de limitation des Données personnelles traitées au sein du Service.

8. Notification d’incident

Lorsqu’il prend connaissance d’une Violation de Données personnelles, Control-C en informe sans délai le Responsable de traitement et fournit les informations nécessaires pour lui permettre de satisfaire à ses obligations de notification. Control-C enquête rapidement, atténue et consigne l’incident, et coopère avec le Responsable de traitement ainsi qu’avec les autorités de contrôle si nécessaire.

9. Audits et évaluations

Control-C maintient des processus de revue de sécurité et de conformité, notamment des contrôles alignés avec les pratiques de maturité Silver du SMB1001 Cyber Security Framework. Control-C n’a pas encore demandé ni reçu la certification SMB1001. Des correspondances avec Essential Eight, UK Cyber Essentials, ISO 27001, CMMC et Right Fit for Risk sont disponibles pour la diligence raisonnable des clients. Control-C fournit des rapports synthétiques et répond aux questionnaires de sécurité raisonnables. Le Responsable de traitement peut, à ses frais, réaliser un audit sur site au maximum une fois par an avec un préavis de trente (30) jours, sous réserve de contraintes raisonnables de planification et de confidentialité. Les évaluations à distance s’appuyant sur des attestations tierces sont privilégiées.

10. Transferts internationaux

Lors de transferts de Données personnelles depuis l’Espace économique européen, le Royaume-Uni ou la Suisse vers un pays ne bénéficiant pas d’une décision d’adéquation, les parties conviennent que les Clauses contractuelles types de l’UE (responsable à sous-traitant) et l’Addendum britannique sur le transfert international de données s’appliquent par référence. Control-C ne transférera pas de Données personnelles vers une juridiction soumise à des demandes d’accès gouvernementales contraires aux instructions documentées du Responsable de traitement sans mettre en œuvre les garanties décrites à l’Annexe C.

11. Restitution ou suppression

À la résiliation ou à l’expiration du Service, le Responsable de traitement peut exporter les Données personnelles via les outils disponibles. Control-C supprime ou anonymise les Données personnelles dans un délai de quatre-vingt-dix (90) jours, sauf obligation légale de conservation. Des attestations de suppression sont fournies sur demande écrite.

12. Responsabilité et conflit

La responsabilité découlant du présent DPA est régie par les clauses de limitation et d’exclusion prévues dans l’accord de base. En cas de conflit entre le présent DPA et d’autres dispositions contractuelles, le DPA prévaut pour toutes les obligations de protection des données.

13. Droit applicable

Le présent DPA est régi par la législation identifiée dans l’accord de base, sauf disposition contraire exigée par la loi applicable en matière de protection des données.

Annexe A – Détails du traitement

  • Personnes concernées : employés, sous-traitants, partenaires, clients et autres individus dont les informations sont saisies dans le Service.
  • Données personnelles : données d’identification (nom, e-mail, téléphone), données d’accès basées sur les rôles, contenu des plans de continuité, journaux d’audit, métadonnées d’incidents, identifiants d’appareils et intégrations optionnelles (par ex. ticketing, RH). Le Responsable de traitement peut configurer des champs personnalisés qui restent sous sa responsabilité.
  • Catégories particulières : Control-C n’exige pas de données sensibles. Le Responsable de traitement veille à ce que de telles données ne soient pas téléversées sauf accord écrit explicite.

Annexe B – Mesures de sécurité

  • Gouvernance : politiques de sécurité révisées annuellement, programme de gestion des risques, équipes dédiées sécurité et confidentialité.
  • Contrôles d’accès : authentification unique, MFA, accès basé sur les rôles, moindre privilège, revues trimestrielles des accès.
  • Chiffrement : TLS 1.2+ pour les données en transit, AES-256 ou équivalent pour les données au repos, services de gestion des clés.
  • Surveillance : journalisation centralisée, détection d’intrusion, détection d’anomalies et supervision 24/7 par le SOC.
  • Résilience : infrastructure redondante multi-zones de disponibilité, plans de reprise testés, restaurations trimestrielles des sauvegardes.
  • Développement : cycle SDLC sécurisé, revues de code, analyse des dépendances, tests d’intrusion annuels par des tiers.

Annexe C – Garanties relatives aux transferts

  • Évaluer les demandes d’accès gouvernementales selon les normes légales applicables et contester celles qui sont illégales ou disproportionnées.
  • Informer le Responsable de traitement, lorsque la loi le permet, avant toute divulgation de Données personnelles aux autorités.
  • Maintenir des rapports de transparence dans le Centre de confiance.

Dernière mise à jour : 20 mars 2025

Xero Certified App badge
Xero Certified App
Built to Xero’s technical and security standards.
30-day money-back guarantee badge
30-Day Money-Back Guarantee
If Control-C isn’t the right fit within your first 30 days, we’ll fully refund your subscription and initial backup fees.