Avenant confidentialité & traitement des données (DPA)

Publié le: 15 janvier 2025 · En vigueur le: 15 janvier 2025 · Version: 1.0

Résumé non contraignant

Cet avenant décrit quand Zlox agit en tant que sous-traitant pour le marchand, les attentes de sécurité, les sous-traitants et transferts, la notification de violation, et la suppression ou restitution des données.

Sommaire

  • Répartition des rôles
  • Instructions et périmètre du traitement
  • Mesures de sécurité
  • Sous-traitants et transferts internationaux
  • Droits des personnes et gestion des incidents
  • Audits, conservation, restitution/suppression
  • Annexes et journal des modifications

1. Répartition des rôles

Zlox est responsable de traitement indépendant pour ses propres finalités (sécurité, anti-fraude, analytics, conformité légale, administration produit). Pour les données clients traitées uniquement sur instructions du Marchand, le Marchand est responsable et Zlox est sous-traitant.

2. Instructions et périmètre

Zlox ne traite les données personnelles que sur instructions documentées du Marchand, sauf obligation légale contraire. Le Marchand garantit base licite, transparence et gestion des droits.

3. Mesures de sécurité

Zlox applique des mesures techniques et organisationnelles appropriées : chiffrement en transit, contrôles d’accès, séparation des rôles, journaux, gestion des vulnérabilités, sauvegardes et réponse aux incidents, proportionnées au risque.

4. Sous-traitants et transferts

Zlox peut faire appel à des sous-traitants sous accords écrits aux obligations substantiellement équivalentes. Pour les transferts hors EEE/RU/CH, Zlox utilise des garanties licites (SCC, mesures complémentaires si nécessaire).

5. Droits et violations de données

Zlox apporte une assistance raisonnable pour les demandes d’exercice de droits et EPDP le cas échéant. Zlox informe le Marchand sans retard injustifié après avoir pris connaissance d’une violation affectant des données sous contrôle du Marchand.

6. Audits, conservation, restitution/suppression

Zlox fournit les informations raisonnablement nécessaires. Les audits sont limités en fréquence, avec confidentialité et sans perturber la sécurité. À la résiliation, suppression ou restitution selon instructions, sauf conservation légale.

7. Annexes et journal

Annexe A : Objet, durée, catégories de données et personnes concernées.

Annexe B : Synthèse des contrôles de sécurité.

Annexe C : Liste des sous-traitants et mécanismes de transfert.

Annexe D : Matrice conservation/suppression.

  • v1.0 (2025-01-15) : Ébauche initiale du DPA

Notes d’implémentation (sans valeur juridique)

  • Workflow d’acceptation ou contre-signature DPA pour l’admin org marchand
  • Liste des sous-traitants avec historique horodaté
  • Intake des demandes de droits et SLA dans les outils support
  • Journaux/suppression/restitution et exceptions de conservation