Indris Studio
Accord de traitement de données à caractère personnel
Conditions de traitement des données à caractère personnel pour le service et la plateforme indris.studio.
Version: 19/03/2026
PRÉAMBULE
Le Client a souscrit aux services de visualisation architecturale proposés par Indris Studio, régis par les Conditions Générales de Vente (ci-après le « Contrat Principal »).
Dans le cadre de l’exécution de ces services, notamment via l'utilisation de l'application web indris.studio, Indris Studio est amenée à traiter des données à caractère personnel pour le compte du Client (telles que des données de projet, plans, fichiers 3D, coordonnées professionnelles).
Conformément aux exigences de la réglementation applicable en matière de protection des données, et en particulier de l’article 28 du Règlement (UE) 2016/679 (RGPD), les Parties ont conclu le présent Accord de traitement des données (Data Processing Agreement ou « DPA ») afin de définir les conditions dans lesquelles le Sous-traitant (Indris Studio) s'engage à effectuer les opérations de traitement de données à caractère personnel pour le compte du Responsable de traitement (le Client).
IL A ÉTÉ CONVENU CE QUI SUIT :
Article 1. Identification des parties et qualification de leurs rôles
1.1 Parties
Le présent Accord de traitement de données à caractère personnel (ci-après le « DPA ») est conclu entre :
Le Client, personne physique ou morale agissant à des fins professionnelles, identifié(e) dans le devis, le bon de commande, le compte client créé sur la plateforme, ou tout autre document contractuel accepté entre les parties (ci-après le « Client ») ;
et
Indris Studio, EURL au capital social de 1 000 euros, dont le siège social est situé 200 rue de la Croix Nivert, 75015 Paris, immatriculée au Registre du commerce et des sociétés de Paris sous le numéro 101 367 274, numéro de TVA intracommunautaire FR 44101367274, exploitant la plateforme accessible notamment à l’adresse indris.studio (ci-après « Indris Studio »).
Le Client et Indris Studio sont ci-après désignés individuellement une « Partie » et ensemble les « Parties ».
1.2 Qualification des rôles pour les traitements couverts par le présent DPA
Pour les traitements de données à caractère personnel entrant dans le champ du présent DPA, c’est-à-dire les traitements réalisés par Indris Studio pour le compte du Client dans le cadre de la fourniture du service, notamment la mise à disposition de la plateforme, l’hébergement, le stockage, l’organisation, la consultation, la transmission, la suppression, le support technique, la maintenance, la sauvegarde, la journalisation et la sécurisation des données et contenus confiés par le Client :
- le Client agit, en principe, en qualité de responsable du traitement, dès lors qu’il détermine les finalités poursuivies et les caractéristiques essentielles du traitement des données personnelles intégrées ou transmises dans le cadre de son utilisation du service ;
- Indris Studio agit en qualité de sous-traitant, dans la mesure où elle traite ces données personnelles pour le compte du Client et conformément aux instructions documentées de celui-ci, dans les conditions prévues par le présent DPA et le contrat principal.
1.3 Traitements propres d’Indris Studio
Les Parties reconnaissent expressément qu’Indris Studio peut également agir en qualité de responsable du traitement distinct et autonome pour les traitements de données personnelles réalisés pour ses finalités propres, indépendamment des traitements effectués pour le compte du Client.
Relèvent notamment de cette qualité propre, lorsque ces traitements sont applicables :
- la gestion de la relation contractuelle et commerciale ;
- la création et la gestion administrative des comptes clients ;
- la facturation, la comptabilité et la gestion des paiements ;
- la prévention de la fraude, la sécurité générale de ses systèmes et la défense de ses droits ;
- le respect de ses obligations légales, réglementaires, fiscales et comptables ;
- la gestion des contentieux et du précontentieux ;
- le cas échéant, sa prospection commerciale propre, dans le respect de la réglementation applicable.
Ces traitements propres ne relèvent pas du présent DPA et demeurent régis par les documents contractuels et informations de confidentialité applicables émis par Indris Studio en sa qualité de responsable du traitement.
1.4 Primauté de la réalité des opérations
Les Parties conviennent que la qualification de leurs rôles s’apprécie traitement par traitement, au regard de la réalité des opérations effectivement mises en œuvre. En conséquence, si une opération de traitement particulière devait, au regard de la réglementation applicable, recevoir une qualification différente de celle énoncée au présent article, cette qualification prévaudra pour l’opération concernée, sans affecter la qualification des autres traitements.
1.5 Absence de responsabilité conjointe par principe
Sauf stipulation expresse contraire ou qualification légale différente imposée par la nature d’un traitement déterminé, les Parties reconnaissent que le présent DPA n’a pas pour objet d’établir une responsabilité conjointe des Parties au sens de la réglementation applicable en matière de protection des données personnelles.
Article 2. Objet du DPA
2.1 Objet
Le présent Accord de traitement de données à caractère personnel (ci-après le « DPA ») a pour objet de définir les conditions dans lesquelles Indris Studio, en sa qualité de sous-traitant, est autorisée à traiter, pour le compte du Client, les données à caractère personnel relevant des traitements couverts par le présent DPA, dans le cadre de la fourniture du service et de l’exécution du contrat principal.
Le présent DPA s’applique exclusivement aux traitements de données à caractère personnel réalisés par Indris Studio pour les besoins de la mise à disposition, de l’exploitation, de la sécurisation et du support du service fourni au Client.
2.2 Périmètre des services couverts
Dans la limite des fonctionnalités souscrites par le Client, des paramétrages retenus, de la documentation du service et des instructions documentées du Client, le présent DPA couvre notamment les opérations de traitement liées aux services suivants :
- la mise à disposition et l’exploitation de la plateforme accessible au Client ;
- l’hébergement, le stockage, la conservation, l’organisation et la mise à disposition des fichiers, documents, livrables, commentaires, pièces jointes, données de projet et contenus importés ou générés dans le cadre du service ;
- la gestion technique des comptes utilisateurs, de l’authentification, des habilitations, des accès et des permissions au sein de la plateforme ;
- la gestion des échanges, interactions, validations, commentaires, transmissions et opérations de collaboration autour des projets du Client au sein du service ;
- l’exécution des opérations de support technique, de maintenance corrective, évolutive ou préventive, d’assistance utilisateur, de diagnostic, de sauvegarde, de restauration, de supervision, de journalisation et de sécurisation de la plateforme et des données traitées;
- plus généralement, toute opération technique strictement nécessaire à l’exécution du service, à sa continuité, à son intégrité, à sa disponibilité et à sa sécurité.
2.3 Traitements liés à des fonctionnalités d’intelligence artificielle
Dans l’hypothèse où le service comprend, à la date d’exécution du contrat ou ultérieurement, des fonctionnalités impliquant un traitement automatisé ou assisté par intelligence artificielle, le présent DPA couvre également les traitements de données à caractère personnel strictement nécessaires à la fourniture de ces fonctionnalités, sous réserve qu’ils soient effectivement proposés dans le service, activés pour le Client ou requis pour l’exécution de la prestation convenue.
Ces traitements éventuels ne peuvent être mis en œuvre par Indris Studio que pour l’exécution du service, conformément au contrat principal, au présent DPA, à la documentation applicable du service et aux instructions documentées du Client.
Sauf accord écrit exprès du Client, Indris Studio n’utilise pas les données, documents, contenus de projet ou livrables couverts par le présent DPA pour entraîner des modèles d’intelligence artificielle pour son propre compte.
2.4 Limitation du périmètre
Le présent DPA ne couvre pas les traitements de données à caractère personnel réalisés par Indris Studio pour ses finalités propres, en qualité de responsable du traitement distinct, notamment pour la gestion de la relation contractuelle et commerciale, la facturation, la comptabilité, le respect de ses obligations légales, la sécurité interne de ses systèmes, la prévention de la fraude, la gestion des litiges ou la prospection propre, lorsque celle-ci est applicable.
Ces traitements demeurent exclus du périmètre du présent DPA et relèvent des documents contractuels et informations de confidentialité applicables à Indris Studio en sa qualité propre de responsable du traitement.
La description détaillée des opérations de traitement couvertes par le présent DPA figure à l’Annexe 1 et à l’article 4 ci-après.
Article 3. Durée
3.1 Prise d’effet
Le présent Accord de traitement de données à caractère personnel (ci-après le « DPA ») prend effet à la date la plus ancienne entre :
- l’acceptation du contrat principal par le Client ;
- l’acceptation expresse du présent DPA par le Client, notamment lors de la validation de la commande, de l’acceptation d’un devis, de la création ou de l’activation d’un compte, ou de tout autre mode de contractualisation ou d’acceptation proposé par Indris Studio ;
- le début effectif de l’utilisation du service par le Client, lorsque cette utilisation implique un traitement de données à caractère personnel relevant du présent DPA.
3.2 Durée d’application
Le présent DPA demeure en vigueur pendant toute la durée d’exécution du contrat principal liant les Parties, ainsi que pendant toute période au cours de laquelle Indris Studio traite des données à caractère personnel pour le compte du Client dans le cadre des services couverts par le présent DPA.
En conséquence, le présent DPA cesse, en principe, à la date d’expiration, de résiliation, de résolution, de non-renouvellement ou de cessation, pour quelque cause que ce soit, du contrat principal, sous réserve des stipulations du présent article destinées à survivre à cette cessation.
3.3 Survie de certaines stipulations
Nonobstant la cessation du contrat principal et/ou du présent DPA, demeurent applicables pour la durée nécessaire à leur plein effet :
- les obligations de confidentialité ;
- les obligations relatives à la sécurité des données à caractère personnel ;
- les obligations relatives à la restitution, à l’export, à la suppression et, le cas échéant, à l’archivage résiduel techniquement incompressible ou légalement requis ;
- les obligations de coopération, d’information et d’assistance en cas de violation de données, de réclamation, de demande d’une personne concernée, de contrôle d’une autorité compétente, de procédure administrative, précontentieuse, contentieuse ou juridictionnelle portant sur les traitements réalisés pendant l’exécution du contrat ;
- les stipulations relatives à la démonstration de conformité, à la documentation et au droit d’audit, dans la mesure strictement nécessaire pour permettre au Client de vérifier le respect, par Indris Studio, de ses obligations au titre des traitements réalisés avant la cessation du DPA.
3.4 Confidentialité post-contractuelle
Les obligations de confidentialité applicables au titre du présent DPA demeurent en vigueur pendant toute la durée de conservation ou de détention, sous quelque forme que ce soit, des données à caractère personnel concernées par Indris Studio ou par ses sous-traitants ultérieurs autorisés, puis pendant la durée complémentaire éventuellement prévue au contrat principal ou par la loi applicable. À cet égard, les CGV prévoient déjà une obligation générale de confidentialité pendant la relation contractuelle puis pendant cinq (5) ans après sa cessation.
3.5 Fin des traitements pour le compte du Client
À la cessation du présent DPA, Indris Studio cesse de traiter les données à caractère personnel pour le compte du Client, sauf dans la mesure où :
- un traitement résiduel temporaire demeure strictement nécessaire à l’exécution des opérations de restitution, d’export, de suppression, de purge des sauvegardes, de sécurisation de fin de service ou de clôture technique ;
- la conservation de certaines données est imposée par une obligation légale ou réglementaire ;
- la conservation limitée de certaines informations est strictement nécessaire à la constatation, à l’exercice ou à la défense des droits d’Indris Studio.
Dans ces hypothèses, les données concernées restent soumises aux obligations de confidentialité et de sécurité prévues par le présent DPA aussi longtemps qu’elles sont conservées.
3.6 Autonomie de l’article
La cessation du contrat principal n’affecte pas la validité ni l’opposabilité des stipulations du présent DPA qui, par leur nature, ont vocation à produire effet après la fin de la relation contractuelle.
Article 4. Description du traitement
4.1 Description générale
Dans le cadre de l’exécution des services couverts par le présent DPA, Indris Studio est autorisée à traiter, pour le compte du Client, les données à caractère personnel strictement nécessaires à la fourniture du service, à l’exécution de la prestation convenue, à l’exploitation technique de la plateforme, à la gestion des accès, à la collaboration autour des projets, ainsi qu’à la continuité, à la sécurité et au support du service.
Les traitements visés au présent article portent sur les données à caractère personnel que le Client, ses utilisateurs autorisés ou ses interlocuteurs renseignent, importent, transmettent, consultent, modifient, partagent ou suppriment dans le cadre de l’utilisation du service.
4.2 Nature des opérations de traitement
Les opérations de traitement susceptibles d’être réalisées par Indris Studio pour le compte du Client comprennent, selon les fonctionnalités utilisées et les instructions documentées du Client :
- la collecte ou la réception de données lors de la création des comptes, de l’utilisation de la plateforme, de l’import de contenus, de l’envoi de messages, de commentaires ou de pièces jointes ;
- l’enregistrement, l’organisation, la structuration, le classement, l’indexation et la conservation des données et contenus ;
- l’hébergement, le stockage, la duplication technique, la sauvegarde, la restauration et l’archivage technique temporaire ;
- la consultation, l’affichage, la mise à disposition, le téléchargement, le partage et, plus généralement, l’accessibilité des contenus aux utilisateurs autorisés ;
- la transmission technique des données entre utilisateurs autorisés, espaces projet, services intégrés et composants techniques nécessaires à l’exécution du service ;
- la journalisation des événements techniques, des accès, des opérations et des actions effectuées dans le service ;
- la détection, l’analyse, le diagnostic et la résolution des incidents, anomalies, erreurs ou difficultés techniques ;
- les opérations de support, d’assistance, de maintenance corrective, préventive ou évolutive, dans la stricte mesure nécessaire à la fourniture du service ;
- la suppression, la purge, la restitution ou l’export des données, dans les conditions prévues au présent DPA et au contrat principal.
4.3 Finalités des traitements
Les traitements réalisés par Indris Studio pour le compte du Client ont pour seules finalités :
- l’exécution des prestations commandées par le Client ;
- la mise à disposition et l’exploitation opérationnelle de la plateforme ;
- la gestion des comptes utilisateurs, des habilitations, des accès et des permissions ;
- la gestion des échanges, commentaires, validations, transmissions et collaborations autour des projets du Client ;
- l’hébergement, le stockage et la sécurisation des fichiers, documents, livrables, pièces jointes et données de projet ;
- l’administration technique du service, y compris la supervision, la continuité d’activité, la sauvegarde, la restauration et la prévention des incidents ;
- le support technique et l’assistance aux utilisateurs autorisés ;
- le cas échéant, l’exécution de fonctionnalités automatisées ou assistées par intelligence artificielle effectivement proposées dans le service et activées par le Client, dans la stricte limite nécessaire à la fourniture du service concerné.
4.4 Catégories de données à caractère personnel traitées
Les catégories de données à caractère personnel susceptibles d’être traitées pour le compte du Client comprennent notamment :
- les données d’identification professionnelle : nom, prénom, civilité, fonction, société, entité, service ou rôle dans le projet ;
- les coordonnées professionnelles : adresse e-mail professionnelle, numéro de téléphone professionnel, adresse professionnelle et autres coordonnées de contact ;
- les données de compte et d’authentification : identifiant utilisateur, informations de connexion, données relatives aux habilitations, mots de passe sous forme protégée lorsqu’applicable, historiques de connexion et éléments nécessaires à la sécurité de l’authentification ;
- les données relatives aux projets et aux fichiers importés : documents, plans, façades, coupes, élévations, maquettes, fichiers 3D, documents PDF, références visuelles, commentaires, annotations, instructions, briefs, demandes de correction, validations, messages, pièces jointes et plus généralement tout contenu transmis par le Client dans le cadre du service ;
- les métadonnées associées aux contenus et aux projets : nom du fichier, type, taille, format, date, auteur, version, historique d’action, espace projet concerné et autres métadonnées techniques ou fonctionnelles ;
- les données de journalisation et de traçabilité : journaux d’accès, journaux d’événements, adresse IP, date et heure des actions, identifiants techniques, informations de terminal ou de session, logs de sécurité et logs applicatifs ;
- les données d’assistance et de support : contenu des demandes d’assistance, échanges relatifs aux incidents, captures, extraits ou éléments techniques communiqués dans le cadre du support ;
- le cas échéant, les données contenues dans les entrées, sorties, instructions ou résultats liés à une fonctionnalité d’intelligence artificielle effectivement utilisée dans le cadre du service.
4.5 Catégories de personnes concernées
Les catégories de personnes concernées par les traitements couverts par le présent DPA peuvent comprendre notamment :
- les salariés, dirigeants, associés, collaborateurs, consultants ou représentants du Client ;
- les utilisateurs autorisés de la plateforme créés, invités ou administrés par le Client ;
- les contacts projet du Client ;
- les partenaires, co-traitants, sous-traitants, bureaux d’études, architectes, urbanistes, paysagistes, ingénieurs, économistes, maîtres d’œuvre, maîtres d’ouvrage, promoteurs, entreprises et autres intervenants mentionnés dans les documents ou échanges du projet ;
- les interlocuteurs institutionnels, administratifs ou publics mentionnés dans les documents ou échanges du projet, y compris, le cas échéant, élus, services instructeurs, collectivités ou administrations ;
- les prospects, clients finaux, acquéreurs, occupants, investisseurs ou autres tiers dont les données peuvent figurer dans les documents, fichiers ou échanges transmis par le Client ;
- plus généralement, toute personne physique dont les données à caractère personnel sont intégrées par le Client dans les contenus, fichiers, documents, commentaires, messages ou pièces jointes relevant du service.
4.6 Données présentes de manière incidente ou non intentionnelle
Les Parties reconnaissent que les fichiers, documents, maquettes, plans, pièces jointes, échanges ou autres contenus importés ou transmis par le Client peuvent contenir, de manière incidente, accessoire ou non intentionnelle, des données à caractère personnel qui ne constituent pas l’objet principal de la prestation, mais qui apparaissent dans les contenus confiés à Indris Studio.
Ces données peuvent notamment résulter :
- du contenu même des documents transmis ;
- des annotations, commentaires ou échanges associés au projet ;
- des métadonnées intégrées aux fichiers ;
- d’éléments figurant dans des plans, tableaux, bordereaux, comptes rendus, listes de contacts, correspondances ou pièces administratives attachées au projet.
Indris Studio traite ces données uniquement dans la mesure strictement nécessaire à l’exécution du service, à l’exploitation technique de la plateforme, à la sécurité, à la sauvegarde, au support et, plus généralement, au respect des instructions documentées du Client.
4.7 Caractère évolutif et encadré de la description
La présente description s’entend comme couvrant les traitements raisonnablement nécessaires aux fonctionnalités souscrites par le Client et effectivement utilisées dans le service. Elle doit être interprétée à la lumière du contrat principal, de la documentation applicable du service, des paramétrages retenus par le Client et, le cas échéant, de l’Annexe 1 relative à la description détaillée des traitements.
Article 5. Traitement uniquement sur instruction documentée
5.1 Principe
Indris Studio traite les données à caractère personnel couvertes par le présent DPA uniquement sur instruction documentée du Client, agissant en qualité de responsable du traitement, et exclusivement pour les finalités et dans les limites définies par le contrat principal, le présent DPA et la documentation applicable du service.
Indris Studio s’interdit d’utiliser les données à caractère personnel traitées pour le compte du Client à ses propres fins, sous réserve des traitements qu’elle réalise en qualité de responsable du traitement distinct pour ses finalités propres, tels qu’identifiés au présent DPA.
5.2 Instructions initiales du Client
Les Parties conviennent que constituent notamment des instructions documentées initiales du Client :
- le contrat principal, y compris le devis, la commande validée, les conditions particulières et tout document contractuel accepté entre les Parties ;
- le présent DPA et ses annexes ;
- la documentation fonctionnelle et technique du service mise à disposition par Indris Studio ;
- les paramétrages, configurations, choix d’administration, habilitations, permissions, invitations d’utilisateurs, espaces projet, options activées et, plus généralement, les actions de pilotage réalisées par le Client ou ses utilisateurs autorisés dans le service ;
- les demandes de support, consignes d’exploitation ou demandes d’assistance formulées par écrit par le Client, dans la mesure où elles sont compatibles avec le contrat principal, le présent DPA et la réglementation applicable.
5.3 Instructions complémentaires
Toute instruction complémentaire du Client qui n’est pas déjà couverte par les instructions documentées initiales et qui est susceptible :
- de modifier de manière significative la nature, le périmètre ou les finalités des traitements ;
- d’imposer des développements, paramétrages, opérations manuelles, extractions, restrictions, investigations ou mesures de conformité particulières ;
- ou d’affecter les conditions techniques, organisationnelles, calendaires ou économiques de la prestation,
devra être formulée par écrit, de manière suffisamment précise pour permettre à Indris Studio d’en apprécier la portée, la licéité, la faisabilité et, le cas échéant, les conséquences opérationnelles ou financières.
Le cas échéant, l’exécution d’une telle instruction complémentaire pourra être subordonnée à une validation écrite d’Indris Studio et/ou à la conclusion d’un avenant, d’un devis complémentaire ou d’une mise à jour des documents contractuels applicables.
5.4 Instruction manifestement illicite ou non conforme
Si Indris Studio considère qu’une instruction du Client est manifestement contraire à la réglementation applicable en matière de protection des données à caractère personnel, ou plus généralement à toute règle de droit applicable au traitement concerné, elle en informe le Client dans les meilleurs délais.
Dans une telle hypothèse, Indris Studio pourra suspendre l’exécution de l’instruction litigieuse pendant le temps strictement nécessaire à l’obtention d’une clarification, d’une régularisation ou d’une instruction conforme, sans que cette suspension, lorsqu’elle est justifiée, puisse être regardée comme un manquement contractuel de sa part.
5.5 Traitement imposé par la loi
Par dérogation au présent article, si Indris Studio est tenue de traiter certaines données à caractère personnel en vertu du droit de l’Union européenne ou du droit français qui lui est applicable, elle en informe le Client avant le traitement concerné, sauf si la loi interdit une telle information pour des motifs d’intérêt public. Cette règle figure expressément à l’article 28, paragraphe 3, point a) du RGPD.
5.6 Absence d’obligation générale de contrôle juridique du Client
Indris Studio n’est pas tenue, au titre du présent DPA, d’effectuer un contrôle général et abstrait de la licéité de l’ensemble des données, documents, fichiers, contenus, commentaires, instructions ou décisions métiers du Client. Le Client demeure seul responsable de la définition des finalités poursuivies, de la base légale des traitements qu’il met en œuvre, de la pertinence des données importées et du caractère licite des instructions qu’il adresse à Indris Studio, sous réserve de l’obligation d’alerte prévue au présent article.
Article 6. Confidentialité des personnes autorisées
6.1 Accès réservé aux seules personnes habilitées
Indris Studio veille à ce que l’accès aux données à caractère personnel traitées pour le compte du Client soit strictement limité aux seules personnes qu’elle habilite pour les besoins de l’exécution du service, du support, de la maintenance, de la sécurité, de l’administration technique ou de l’exécution de ses obligations au titre du présent DPA.
6.2 Limitation des accès au besoin d’en connaître
Indris Studio s’assure que chaque personne autorisée à accéder aux données à caractère personnel ne puisse y accéder que dans la stricte mesure nécessaire à l’exercice de ses missions, fonctions ou interventions, selon le principe du besoin d’en connaître.
Les droits d’accès sont attribués en fonction des attributions effectives des personnes concernées, de leur niveau d’intervention et du périmètre strictement nécessaire à l’exécution des opérations qui leur sont confiées.
6.3 Obligation de confidentialité
Indris Studio veille à ce que toute personne autorisée à traiter des données à caractère personnel dans le cadre du présent DPA soit soumise, avant tout accès auxdites données, à une obligation de confidentialité appropriée, contractuelle ou légale, couvrant l’ensemble des données, informations, documents, fichiers, contenus, échanges et éléments portés à sa connaissance à l’occasion de ce traitement.
Cette obligation de confidentialité demeure applicable pendant toute la durée de l’accès aux données concernées ainsi qu’après la cessation des fonctions, missions ou interventions de la personne concernée, pour la durée nécessaire à la protection des données et informations en cause.
6.4 Encadrement interne des accès
Indris Studio met en œuvre des mesures organisationnelles appropriées afin d’encadrer l’attribution, la modification et le retrait des habilitations d’accès aux données à caractère personnel traitées pour le compte du Client.
Indris Studio veille, en particulier, à ce que les habilitations soient limitées au périmètre nécessaire, régulièrement revues lorsque cela est pertinent, et retirées sans délai injustifié lorsque l’accès n’est plus justifié.
6.5 Respect des instructions du Client
Les personnes autorisées par Indris Studio à accéder aux données à caractère personnel ne peuvent les traiter que dans le cadre des fonctions qui leur sont confiées et conformément aux instructions documentées du Client, telles que définies au présent DPA.
Article 7. Mesures de sécurité appropriées
7.1 Principe général de sécurité
Indris Studio s’engage à mettre en œuvre et à maintenir, pendant toute la durée du présent DPA, des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque présenté par les traitements de données à caractère personnel réalisés pour le compte du Client.
Ces mesures sont définies au regard, notamment, de l’état des connaissances, des coûts de mise en œuvre, de la nature, de la portée, du contexte et des finalités des traitements concernés, ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques.
7.2 Objectifs des mesures de sécurité
Les mesures mises en œuvre par Indris Studio ont notamment pour objet, selon la nature du service et des traitements concernés :
- de préserver la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes, applications, services et données ;
- de prévenir les accès non autorisés, les divulgations non autorisées, les altérations, pertes, destructions ou indisponibilités accidentelles ou illicites ;
- de permettre, dans une mesure raisonnable et appropriée, la restauration de la disponibilité des données à caractère personnel et de l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ;
- d’assurer un niveau de traçabilité, de contrôle et de supervision adapté aux traitements couverts par le présent DPA ;
- de vérifier et d’évaluer périodiquement l’efficacité des mesures de sécurité mises en œuvre.
7.3 Annexe sécurité
La description plus détaillée des mesures techniques et organisationnelles mises en œuvre par Indris Studio figure en Annexe 2 — Mesures de sécurité techniques et organisationnelles, qui fait partie intégrante du présent DPA.
Cette annexe peut notamment décrire, selon les services et composants effectivement utilisés :
- les mesures de contrôle d’accès logique et de gestion des habilitations ;
- les mesures relatives à l’authentification et à la sécurité des comptes ;
- les mesures de journalisation, de traçabilité et de supervision ;
- les mesures de sauvegarde, de restauration et de continuité technique ;
- les mesures de protection des données en transit et, le cas échéant, au repos ;
- les mesures de gestion des vulnérabilités, des correctifs, des incidents et des environnements techniques ;
- les mesures d’encadrement des personnes autorisées et, le cas échéant, des sous-traitants ultérieurs.
7.4 Caractère évolutif des mesures de sécurité
Le Client reconnaît que les mesures de sécurité applicables peuvent évoluer pendant l’exécution du contrat afin de tenir compte des évolutions techniques, des risques identifiés, de l’état de l’art, de l’architecture du service, des exigences légales ou réglementaires et des bonnes pratiques de sécurité.
Indris Studio pourra, à ce titre, modifier, remplacer ou compléter certaines mesures de sécurité, sous réserve de ne pas réduire de manière substantielle le niveau global de protection applicable aux traitements couverts par le présent DPA.
7.5 Mesures adaptées au périmètre de la prestation
Les mesures de sécurité mises en œuvre par Indris Studio s’appliquent aux traitements couverts par le présent DPA dans la limite du périmètre des services fournis, des composants techniques exploités, des fonctionnalités utilisées par le Client et des obligations qui incombent respectivement aux Parties.
Article 8 — Sous-traitants ultérieurs
8.1 Autorisation générale encadrée
Le Client autorise de manière générale Indris Studio à recourir à des sous-traitants ultérieurs pour l’exécution de tout ou partie des traitements de données à caractère personnel couverts par le présent DPA, sous réserve du respect des conditions définies au présent article.
La liste des sous-traitants ultérieurs autorisés à la date d’entrée en vigueur du présent DPA figure en Annexe 3 — Liste des sous-traitants ultérieurs autorisés.
8.2 Information en cas d’ajout ou de remplacement
Indris Studio informe le Client, par tout moyen écrit approprié, de tout projet d’ajout ou de remplacement d’un sous-traitant ultérieur susceptible d’avoir un impact sur les traitements couverts par le présent DPA.
Cette information est fournie dans un délai raisonnable avant l’entrée en vigueur du changement envisagé et précise, dans la mesure utile et disponible, l’identité du sous-traitant ultérieur concerné, la nature des services fournis, le rôle exercé, la localisation principale du traitement ou de l’hébergement concerné, ainsi que, le cas échéant, les éléments utiles relatifs aux transferts de données hors de l’Espace économique européen.
8.3 Droit d’objection du Client
Le Client peut émettre une objection écrite, motivée et fondée sur des raisons sérieuses liées à la protection des données à caractère personnel, à l’encontre du recours à un nouveau sous-traitant ultérieur ou du remplacement envisagé d’un sous-traitant ultérieur existant.
Sauf urgence légitime, impératif de sécurité, obligation légale ou nécessité de continuité du service, cette objection doit être notifiée à Indris Studio dans un délai de quinze (15) jours calendaires à compter de la réception de l’information prévue à l’article 8.2.
En cas d’objection recevable, les Parties se concertent de bonne foi afin d’identifier une solution raisonnable permettant de préserver la continuité du service et un niveau de protection approprié des données à caractère personnel.
À défaut de solution raisonnable dans un délai compatible avec les contraintes techniques et contractuelles applicables, Indris Studio pourra, selon le cas, ne pas mettre en œuvre le changement contesté pour le Client concerné, suspendre la fonctionnalité ou le composant affecté, ou proposer la résiliation du service ou de la partie du service directement affectée, sans que cela n’emporte droit à indemnisation autre que, le cas échéant, le remboursement prorata temporis des sommes payées d’avance pour la période non exécutée au titre du service concerné.
8.4 Encadrement contractuel des sous-traitants ultérieurs
Lorsqu’Indris Studio recourt à un sous-traitant ultérieur pour la réalisation d’activités de traitement spécifiques pour le compte du Client, elle veille à conclure avec ce sous-traitant ultérieur un contrat écrit imposant à ce dernier, pour les traitements concernés, des obligations de protection des données à caractère personnel présentant un niveau de protection substantiellement équivalent à celui prévu par le présent DPA, notamment en matière :
- de traitement uniquement sur instruction documentée ;
- de confidentialité ;
- de sécurité ;
- de recours à des sous-traitants ultérieurs additionnels ;
- d’assistance ;
- de notification des violations de données ;
- de restitution ou suppression des données ;
- de mise à disposition des informations nécessaires à la démonstration de conformité.
8.5 Responsabilité d’Indris Studio
Indris Studio demeure pleinement responsable, à l’égard du Client, de la bonne exécution par ses sous-traitants ultérieurs des obligations de protection des données à caractère personnel qui leur sont applicables au titre des traitements couverts par le présent DPA.
Le recours à un sous-traitant ultérieur ne saurait avoir pour effet de réduire ou d’exclure les obligations contractuelles et légales d’Indris Studio à l’égard du Client.
8.6 Périmètre de l’autorisation
L’autorisation prévue au présent article ne vaut que pour les sous-traitants ultérieurs intervenant dans le cadre de l’exécution des services couverts par le présent DPA et pour les seules finalités techniques, opérationnelles ou de support nécessaires à cette exécution.
Elle ne couvre pas les services, outils, applications, intégrations ou prestataires tiers choisis, imposés, activés ou administrés directement par le Client en dehors de l’offre standard d’Indris Studio, sauf stipulation expresse contraire dans les documents contractuels applicables.
Article 9. Assistance au responsable de traitement
9.1 Principe général d’assistance
Indris Studio assiste le Client, dans une mesure raisonnable et appropriée, compte tenu de la nature des traitements couverts par le présent DPA, des informations dont elle dispose et du rôle qui lui incombe en qualité de sous-traitant, afin de permettre au Client de satisfaire à ses propres obligations en matière de protection des données à caractère personnel.
Cette assistance est fournie pour les seuls traitements couverts par le présent DPA et dans les limites du périmètre des services fournis par Indris Studio.
9.2 Assistance relative aux demandes d’exercice des droits
Dans la mesure où le traitement concerné relève du présent DPA, Indris Studio assiste raisonnablement le Client afin de lui permettre de répondre aux demandes d’exercice des droits des personnes concernées, notamment les demandes d’accès, de rectification, d’effacement, de limitation, d’opposition ou, lorsque cela est applicable, de portabilité.
Lorsque Indris Studio reçoit directement une demande d’une personne concernée portant sur des données traitées pour le compte du Client, elle la transmet au Client dans les meilleurs délais, sauf si elle est légalement tenue d’y répondre elle-même.
Le Client demeure seul responsable de l’appréciation de la recevabilité de la demande, de la relation avec la personne concernée, de la décision à apporter et, plus généralement, du respect de ses obligations légales en sa qualité de responsable du traitement.
9.3 Assistance relative à la sécurité et aux violations de données
Indris Studio assiste raisonnablement le Client afin de lui permettre de respecter ses obligations en matière de sécurité des traitements, d’appréciation des incidents affectant les données à caractère personnel et, sans préjudice de l’article 10 du présent DPA, de gestion des violations de données à caractère personnel.
Cette assistance peut notamment comprendre, selon le cas et dans la mesure applicable :
- la communication des informations utiles dont Indris Studio dispose sur l’incident ou la violation concernée ;
- la coopération raisonnable pour qualifier l’événement, en apprécier la portée et en limiter les effets ;
- l’appui raisonnable à la collecte des éléments nécessaires à la documentation de l’incident et, le cas échéant, aux notifications ou communications devant être effectuées par le Client.
9.4 Assistance relative aux analyses d’impact et à la consultation préalable
Lorsque le Client estime qu’une analyse d’impact relative à la protection des données est requise pour un traitement couvert par le présent DPA, Indris Studio lui fournit, dans une mesure raisonnable, les informations dont elle dispose et l’assistance nécessaire concernant les aspects du traitement relevant de ses services.
Le cas échéant, Indris Studio assiste également raisonnablement le Client en vue d’une consultation préalable de l’autorité de contrôle compétente, dans la mesure où cette consultation concerne les traitements réalisés pour le compte du Client dans le cadre du présent DPA et sous réserve des informations effectivement disponibles chez Indris Studio.
9.5 Modalités de l’assistance
Sauf urgence justifiée, les demandes d’assistance du Client sont formulées par écrit et comportent un niveau de précision suffisant pour permettre à Indris Studio d’en apprécier l’objet, le périmètre et le degré d’urgence.
Indris Studio fournit l’assistance prévue au présent article dans des délais raisonnables, compte tenu de la nature de la demande, de son urgence, de sa complexité, des informations disponibles et des contraintes techniques ou organisationnelles applicables.
Lorsque la demande d’assistance excède manifestement le périmètre de l’assistance raisonnablement attendue d’un sous-traitant au titre du présent DPA, implique des développements spécifiques, des recherches étendues, des extractions inhabituelles, une mobilisation significative de ressources ou des prestations non prévues dans le service standard, Indris Studio pourra subordonner son exécution à un accord spécifique sur ses modalités, son calendrier et, le cas échéant, ses conditions financières.
9.6 Limites de l’assistance
L’assistance fournie par Indris Studio au titre du présent article ne transfère pas au sous-traitant les obligations légales qui incombent au Client en sa qualité de responsable du traitement.
Indris Studio n’est notamment pas tenue, au titre du présent article, de se substituer au Client pour apprécier la base légale d’un traitement, rédiger les mentions d’information, arbitrer la recevabilité d’une demande de droits, décider de la nécessité d’une analyse d’impact ou procéder elle-même, en lieu et place du Client, aux notifications ou consultations relevant de la responsabilité du Client.
Article 10. Notification des violations de données
10.1 Principe de notification
Indris Studio notifie au Client, sans délai indu après en avoir pris connaissance, toute violation de données à caractère personnel affectant les traitements réalisés pour le compte du Client dans le cadre du présent DPA.
Cette notification est adressée au point de contact désigné par le Client pour les questions relatives à la protection des données ou, à défaut, à tout contact contractuel ou opérationnel pertinent communiqué par le Client.
10.2 Contenu de la notification initiale
La notification initiale comporte, dans la mesure des informations alors disponibles, les éléments utiles permettant au Client d’apprécier la nature et la portée de la violation, notamment :
- la description de la nature de la violation et, si possible, la catégorie de l’incident concerné ;
- la date ou la période estimée de survenance et la date de détection ;
- les catégories de données à caractère personnel concernées ;
- les catégories de personnes concernées potentiellement affectées ;
- les conséquences connues ou raisonnablement suspectées de la violation ;
- les premières mesures prises ou envisagées pour contenir, corriger, atténuer ou sécuriser la situation ;
- toute autre information utile raisonnablement disponible permettant au Client de satisfaire à ses propres obligations légales.
10.3 Compléments d’information
Lorsque toutes les informations utiles ne sont pas disponibles au moment de la notification initiale, Indris Studio transmet au Client, sans délai indu, les informations complémentaires dont elle dispose au fur et à mesure de leur disponibilité.
10.4 Coopération et assistance
Indris Studio coopère raisonnablement avec le Client afin de lui permettre :
- d’analyser la nature, l’origine, l’étendue et les effets de la violation ;
- de prendre les mesures de confinement, de correction, de remédiation et de mitigation appropriées ;
- de documenter la violation et les mesures prises ;
- de satisfaire, le cas échéant, à ses obligations de notification à l’autorité de contrôle compétente et de communication aux personnes concernées ;
- de préparer, lorsque cela est nécessaire, les éléments utiles en cas de contrôle, de réclamation, de contentieux ou de demande d’une autorité compétente.
10.5 Répartition des rôles
Le Client demeure seul responsable de l’appréciation de la qualification juridique de la violation au regard de ses propres obligations, de la décision de notifier l’autorité de contrôle compétente, de la décision de communiquer la violation aux personnes concernées, ainsi que du contenu final de ces notifications ou communications.
Sauf obligation légale contraire s’imposant directement à Indris Studio, les notifications à une autorité de contrôle ou aux personnes concernées au titre des traitements couverts par le présent DPA sont effectuées par le Client ou sur ses instructions documentées.
10.6 Mesures conservatoires
Indris Studio prend, dans la mesure raisonnablement nécessaire et appropriée, les mesures conservatoires relevant de son périmètre afin de limiter les effets de la violation, de prévenir la réitération de l’incident et de préserver les éléments utiles à l’analyse et à la traçabilité de l’événement.
10.7 Procédure applicable
Les modalités pratiques de notification, les canaux de communication, le point de contact, les informations minimales attendues, ainsi que le calendrier de mise à jour peuvent être précisés en Annexe 4 — Procédure incidents / violations, qui fait partie intégrante du présent DPA.
Article 11. Sort des données en fin de contrat
11.1 Principe général
À l’issue du contrat principal, ou plus tôt lorsque cela est applicable à la clôture d’un projet, d’une prestation ou d’un espace concerné, Indris Studio, au choix du Client et sous réserve des obligations légales ou réglementaires applicables, restitue au Client ou supprime les données à caractère personnel traitées pour son compte dans le cadre du présent DPA.
Jusqu’à leur restitution ou leur suppression effective, les données concernées demeurent soumises aux obligations de confidentialité et de sécurité prévues par le présent DPA.
11.2 Choix du Client et règle par défaut
Le Client peut, par instruction écrite, demander :
- soit la restitution des données concernées avant leur suppression ;
- soit leur suppression sans restitution préalable.
À défaut d’instruction écrite contraire du Client dans les délais prévus au présent article, les Parties conviennent expressément que la suppression constitue l’option appliquée par défaut.
11.3 Restitution des données
Lorsque le Client demande la restitution de ses données avant l’expiration des délais de suppression applicables, Indris Studio restitue, dans une mesure raisonnable et techniquement possible, uniquement les livrables finaux mis à disposition du Client au titre du contrat principal.
La restitution standard porte, dans la limite des éléments effectivement disponibles dans le service à la date de la demande, sur les seuls livrables finaux constitués de fichiers images ou de fichiers vidéo, dans le format dans lequel ces livrables sont disponibles dans le service ou, à défaut, dans un format couramment utilisé pour ce type de livrables.
Sauf stipulation expresse contraire du contrat principal, l’obligation de restitution au titre du présent article n’emporte pas remise :
- des méthodes, outils, workflows, bibliothèques, gabarits ou procédés propres d’Indris Studio ;
- des prompts, scènes de travail, fichiers natifs, versions intermédiaires ou éléments préparatoires appartenant à Indris Studio ;
- des journaux de sécurité, traces techniques internes, éléments de supervision ou informations dont la communication compromettrait la sécurité des systèmes ou les droits d’Indris Studio ou de tiers ;
- des fichiers, documents, maquettes, modèles 3D, textures, plans, références, pièces jointes, contenus projet ou autres éléments sources transmis par le Client pour les besoins de la prestation.
Les éléments transmis par le Client pour les besoins de la prestation ne font pas l’objet d’une restitution au titre du présent article. Ils demeurent soumis aux règles de conservation et de suppression prévues par le présent DPA, et peuvent, le cas échéant, être supprimés par le Client depuis le service lorsque cette fonctionnalité est disponible.
La demande de restitution ou d’export doit être formulée par écrit par le Client avant l’expiration des délais de suppression applicables au présent article. À défaut, la suppression demeure l’option appliquée conformément au présent DPA.
Toute prestation excédant la restitution standard, et notamment toute extraction spécifique, conversion dans un format non standard, reconstitution d’historique, tri particulier, assistance à la migration, accompagnement à la réimportation dans un système tiers, ou intervention manuelle de réversibilité, ne sera réalisée que sur demande écrite du Client et pourra faire l’objet de conditions techniques, calendaires et financières distinctes.
11.4 Suppression rapide des données source du projet
Sauf obligation légale contraire, nécessité de défense de droits ou instruction écrite différente du Client, Indris Studio supprime les données source du projet traitées pour le compte du Client dans les conditions suivantes :
- les plans, coupes, élévations, maquettes, fichiers 3D, documents PDF, pièces jointes, références visuelles, commentaires, annotations, échanges projet et, plus généralement, les contenus transmis par le Client pour la réalisation de la prestation sont supprimés des environnements actifs dans les meilleurs délais après la livraison finale et la clôture du projet ou de la prestation concernée, et au plus tard dans un délai de quinze (15) jours calendaires à compter de cette clôture ;
- lorsque le contrat principal prend fin sans qu’un projet soit encore en cours d’exécution, ces données sont supprimées des environnements actifs au plus tard dans un délai de quinze (15) jours calendaires à compter de la cessation du contrat, sauf demande de restitution formulée dans ce même délai.
La suppression s’entend de la suppression des accès opérationnels aux données et de leur effacement des environnements actifs exploités par Indris Studio, sous réserve du régime particulier applicable aux sauvegardes et résidus techniques prévu au présent article.
11.5 Données minimales de compte, d’accès et d’authentification
Par dérogation aux stipulations relatives à la suppression rapide des données source du projet, Indris Studio peut conserver les données strictement nécessaires à la gestion du compte utilisateur, à l’authentification, à la sécurité des accès et au maintien de la mise à disposition des livrables au Client, notamment l’adresse e-mail de connexion, l’identifiant de compte, le statut du compte, les informations relatives aux habilitations et les journaux techniques d’accès ou d’authentification strictement nécessaires.
Ces données sont conservées pendant toute la durée d’activité du compte concerné ou, lorsque le Client doit continuer à accéder aux livrables via la plateforme, pendant la durée strictement nécessaire au maintien de cet accès.
Lorsque le compte n’a plus vocation à être maintenu actif et qu’aucun accès aux livrables n’a plus à être assuré, ces données sont supprimées ou anonymisées dans un délai raisonnable, sous réserve des données devant être conservées pour des motifs de sécurité, de preuve, de défense des droits d’Indris Studio ou pour satisfaire à une obligation légale ou réglementaire.
La conservation de ces données minimales de compte et d’accès n’autorise pas, par elle-même, la conservation des données source du projet transmises par le Client, lesquelles demeurent soumises aux stipulations de suppression prévues au présent article.
11.6 Distinction entre données source du Client et livrables finaux
Les Parties reconnaissent que, dans le cadre des prestations d’Indris Studio, les données et documents source transmis par le Client peuvent être distincts des livrables finaux produits par Indris Studio.
En conséquence, la conservation éventuelle par Indris Studio des livrables finaux dans les conditions prévues au contrat principal n’emporte pas, par elle-même, conservation des données source du Client.
Toutefois, dans l’hypothèse où les livrables finaux contiendraient encore des données à caractère personnel traitées pour le compte du Client, leur sort suit le régime prévu au présent article, sauf si leur conservation repose sur une finalité distincte, une qualité juridique distincte et une base légale proprement identifiée.
11.7 Sauvegardes et résidus techniques
Le Client reconnaît que certaines données supprimées des environnements actifs peuvent subsister temporairement dans des sauvegardes, systèmes de reprise, journaux techniques ou autres résidus techniques non immédiatement modifiables.
Cette impossibilité de suppression immédiate peut notamment résulter de contraintes techniques de sécurité, de mécanismes d’immutabilité, de cycles de rétention incompressibles, d’architectures de sauvegarde différée ou de dispositifs de restauration ne permettant pas un effacement unitaire immédiat.
Dans ce cas :
- ces données restent protégées par les mesures de sécurité et de confidentialité prévues au présent DPA ;
- elles ne sont pas remises en production, consultées, extraites ou utilisées, sauf nécessité technique strictement nécessaire à la continuité du service, à la restauration, à la sécurité, à la préservation de la preuve ou au respect d’une obligation légale ou réglementaire ;
- elles sont supprimées ou rendues définitivement inaccessibles selon le cycle normal de rétention des sauvegardes applicable chez Indris Studio, sans excéder quatre-vingt-dix (90) jours à compter de la suppression des environnements actifs, sauf contrainte légale ou technique particulière dûment justifiée.
11.8 Exceptions légales et conservation minimale résiduelle
En cas de restauration exceptionnelle d’une sauvegarde pour des besoins de continuité, de reprise ou de sécurité, les données ainsi restaurées demeurent soumises au présent DPA et font l’objet, dès que raisonnablement possible, des opérations nécessaires pour rétablir l’état de suppression applicable aux données qui n’avaient plus vocation à être conservées.
Par dérogation au présent article, Indris Studio peut conserver certaines données à caractère personnel ou informations strictement nécessaires :
- au respect d’une obligation légale ou réglementaire ;
- à la constatation, à l’exercice ou à la défense de ses droits ;
- à la gestion d’un incident de sécurité, d’un litige, d’un contrôle ou d’une demande d’autorité compétente ;
- ou à la conservation d’éléments techniques minimaux nécessaires à l’intégrité, à la sécurité ou à la preuve des opérations effectuées.
Les données ainsi conservées sont limitées au strict nécessaire, restent soumises aux obligations de confidentialité et de sécurité applicables et ne peuvent être utilisées à d’autres fins incompatibles.
11.9 Confirmation de suppression
Sur demande écrite raisonnable du Client, Indris Studio fournit une confirmation écrite de la suppression effectuée au titre du présent article, portant sur les environnements actifs et systèmes qu’elle administre directement, sous réserve des données conservées au titre des exceptions prévues ci-dessus et des mécanismes techniques résiduels non directement administrables par Indris Studio au niveau des infrastructures de ses sous-traitants ultérieurs.
Le cas échéant, cette confirmation peut prendre la forme d’une attestation de suppression ou d’une confirmation contractuelle équivalente.
Article 12. Information et audit
12.1 Mise à disposition des informations nécessaires
Indris Studio met à la disposition du Client, sur demande écrite raisonnable, les informations nécessaires pour démontrer le respect des obligations qui lui incombent au titre du présent DPA, dans la mesure où ces informations portent sur les traitements couverts par celui-ci et relèvent des informations dont Indris Studio dispose effectivement.
Ces informations peuvent notamment comprendre, selon le cas et dans la mesure applicable :
- les stipulations contractuelles pertinentes relatives à la protection des données ;
- les annexes applicables au présent DPA ;
- la description des mesures techniques et organisationnelles mises en œuvre ;
- les informations utiles relatives aux sous-traitants ultérieurs autorisés ;
- les informations utiles relatives aux violations de données, incidents, suppressions ou restitutions, lorsque ces événements concernent les traitements couverts par le présent DPA ;
- tout document, synthèse, réponse écrite, attestation, rapport, extrait de procédure, élément de preuve ou information équivalente raisonnablement approprié pour démontrer la conformité d’Indris Studio.
12.2 Principe du droit d’audit
Sous réserve des conditions prévues au présent article, Indris Studio permet et facilite la réalisation d’audits ou d’inspections raisonnables portant sur les traitements de données à caractère personnel effectués pour le compte du Client dans le cadre du présent DPA.
Ces audits peuvent être réalisés soit par le Client, soit par un auditeur tiers indépendant mandaté par le Client.
12.3 Priorité aux moyens de vérification proportionnés
Les Parties conviennent que le droit d’audit s’exerce dans le respect d’un principe de proportionnalité et de minimisation des perturbations opérationnelles.
En conséquence, sauf circonstance particulière dûment justifiée, le Client recourt en priorité à des moyens de vérification documentaires ou à distance, tels que l’examen des annexes contractuelles, la remise d’attestations, de certificats, de rapports d’audit tiers raisonnablement disponibles, de questionnaires de conformité, de réponses écrites, de comptes rendus, de synthèses, de documents de sécurité, d’éléments de preuve raisonnablement disponibles, ou d’échanges de clarification avec Indris Studio.
Un audit sur site ou une inspection plus intrusive ne peut être demandé que si les éléments ainsi mis à disposition ne permettent pas raisonnablement au Client de vérifier la conformité d’Indris Studio au regard des traitements concernés, ou en cas d’incident de sécurité significatif, de violation de données, de demande d’une autorité compétente, ou d’indices sérieux de manquement substantiel.
12.4 Conditions d’exercice de l’audit
Tout audit ou inspection est soumis aux conditions suivantes :
- le Client adresse à Indris Studio une demande écrite précisant l’objet de l’audit, son périmètre, les traitements concernés, les diligences envisagées, l’identité de l’auditeur, la date souhaitée et les raisons justifiant, le cas échéant, le recours à un audit sur site ;
- sauf urgence justifiée, obligation légale ou demande d’une autorité compétente, un préavis minimum de quinze (15) jours calendaires est respecté ;
- les audits ont lieu pendant les heures ouvrées habituelles d’Indris Studio et de manière à limiter les perturbations pour ses activités ;
- leur périmètre est strictement limité aux traitements couverts par le présent DPA et ne saurait donner accès aux informations confidentielles d’autres clients, aux secrets d’affaires, aux mesures de sécurité dont la divulgation compromettrait la sécurité globale des systèmes, ni à tout élément excédant ce qui est nécessaire à l’objet de l’audit ;
- l’auditeur mandaté par le Client doit être indépendant, ne pas être en situation de conflit d’intérêts manifeste et être soumis à un engagement de confidentialité approprié ; Indris Studio peut refuser un auditeur concurrent direct ou présentant un risque sérieux pour la sécurité ou la confidentialité, sous réserve de proposer une alternative raisonnable ;
- les audits ne peuvent comporter de tests intrusifs, de scans de vulnérabilités, d’opérations de pénétration, d’extractions massives ou de manipulations susceptibles d’affecter la disponibilité, l’intégrité ou la sécurité des services, sauf accord écrit préalable d’Indris Studio ;
- sauf circonstance exceptionnelle dûment justifiée, le Client ne peut demander plus d’un audit par période de douze (12) mois.
12.5 Coopération d’Indris Studio
Indris Studio coopère de bonne foi à l’audit ou à l’inspection dans la mesure raisonnablement nécessaire et appropriée, notamment en répondant aux questions pertinentes, en facilitant l’accès aux informations autorisées, en participant aux échanges utiles et, lorsque cela est justifié, en permettant un accès raisonnable aux personnels concernés ou aux environnements pertinents.
12.6 Frais et coûts
Chaque Partie supporte ses propres frais au titre des audits réalisés en application du présent article.
Toutefois, lorsqu’une demande d’audit est manifestement abusive, répétitive en méconnaissance des limites prévues au présent article, ou excède manifestement le périmètre raisonnablement nécessaire à la vérification de la conformité d’Indris Studio au titre des traitements couverts par le présent DPA, le Client supporte les coûts additionnels raisonnables et dûment justifiés exposés par Indris Studio du fait de cette demande.
À l’inverse, si un audit met en évidence un manquement substantiel et avéré d’Indris Studio aux obligations qui lui incombent au titre du présent DPA, directement imputable à celle-ci, les Parties peuvent convenir de bonne foi de la prise en charge par Indris Studio de tout ou partie des frais externes raisonnables et dûment justifiés de l’audit concerné.
Aucune stipulation du présent article ne saurait être interprétée comme imposant à Indris Studio la prise en charge automatique des frais d’audit du seul fait que le Client allègue une insuffisance, une non-conformité ou une faiblesse technique.
12.7 Résultats de l’audit et mesures correctives
Le Client communique à Indris Studio les conclusions pertinentes de l’audit dans la mesure où elles concernent les traitements couverts par le présent DPA.
Lorsque l’audit met en évidence un manquement avéré d’Indris Studio à ses obligations au titre du présent DPA, les Parties se concertent de bonne foi sur les mesures correctives raisonnablement nécessaires et sur un calendrier de mise en conformité approprié, tenant compte de la nature du manquement, de son niveau de risque et des contraintes techniques applicables.
12.8 Confidentialité des informations d’audit
Tous les documents, informations, échanges, constats, rapports, résultats et éléments obtenus dans le cadre de l’exercice du droit d’audit sont confidentiels. Ils ne peuvent être utilisés par le Client que pour la vérification de la conformité d’Indris Studio au titre du présent DPA, pour satisfaire à une obligation légale ou réglementaire, ou pour l’exercice ou la défense de droits en justice.
Article 13. Délimitation précise du périmètre
13.1 Périmètre des traitements couverts par le présent DPA
Le présent DPA s’applique exclusivement aux traitements de données à caractère personnel réalisés par Indris Studio pour le compte du Client dans le cadre de la mise à disposition et de l’exploitation de la plateforme, de l’hébergement et du stockage des contenus et fichiers du Client, de la gestion des espaces projet, de la collaboration autour des projets, du support, de la maintenance, de la sauvegarde, de la journalisation et, plus généralement, de toute opération technique strictement nécessaire à l’exécution du service pour le compte du Client.
Relèvent notamment du présent DPA les traitements portant sur les données, fichiers, documents, contenus, métadonnées, commentaires, pièces jointes et informations importés, transmis, hébergés, consultés, partagés, conservés ou supprimés via la plateforme par le Client ou ses utilisateurs autorisés, lorsque ces traitements sont exécutés par Indris Studio en qualité de sous-traitant.
13.2 Exclusion des traitements propres d’Indris Studio
Le présent DPA ne s’applique pas aux traitements de données à caractère personnel réalisés par Indris Studio pour ses finalités propres, en qualité de responsable du traitement distinct et autonome.
Sont notamment exclus du périmètre du présent DPA, lorsqu’ils sont applicables :
- la gestion de la relation précontractuelle et contractuelle avec le Client ;
- la passation des commandes ;
- la facturation, la comptabilité, la gestion des paiements et le recouvrement ;
- la prévention et la détection de la fraude, des abus, des usages illicites ou des violations des conditions contractuelles ;
- la sécurité interne des systèmes, réseaux, postes, comptes administrateurs, environnements techniques et infrastructures exploités par Indris Studio ;
- la gestion des accès à ses propres systèmes internes et la sécurité générale de l’application ;
- la production de statistiques, mesures d’audience, indicateurs techniques, métriques de performance, journaux d’exploitation ou analyses strictement nécessaires au fonctionnement, à l’administration, à la sécurisation, à l’amélioration ou à la continuité du service, lorsque ces traitements sont qualifiés et mis en œuvre par Indris Studio pour ses finalités propres ;
- la gestion administrative, fiscale, légale et réglementaire de son activité ;
- la constatation, l’exercice et la défense de ses droits, ainsi que la gestion des réclamations, précontentieux, contentieux et demandes d’autorités compétentes.
13.3 Données pouvant relever de qualifications distinctes selon la finalité poursuivie
Les Parties reconnaissent qu’une même catégorie de données à caractère personnel peut, selon la finalité poursuivie et l’opération réalisée, relever soit du périmètre du présent DPA, soit d’un traitement propre d’Indris Studio.
À titre d’exemple, des données d’identification, de contact, de connexion, d’authentification, de journalisation ou de support peuvent être traitées :
- d’une part, pour le compte du Client, lorsqu’elles sont utilisées dans le cadre de l’exécution du service couvert par le présent DPA ;
- d’autre part, pour les finalités propres d’Indris Studio, lorsqu’elles sont nécessaires à la gestion contractuelle, à la sécurité interne, à la prévention de la fraude, à la preuve, à la conformité légale ou à l’administration générale de ses services.
Dans une telle hypothèse, la qualification applicable s’apprécie opération par opération, selon la finalité réellement poursuivie et le rôle effectivement exercé par Indris Studio.
13.4 Absence d’extension implicite du DPA aux traitements propres
Aucune stipulation du présent DPA ne saurait être interprétée comme ayant pour effet :
- d’inclure dans son périmètre les traitements propres d’Indris Studio ;
- de priver Indris Studio de la faculté de traiter certaines données en qualité de responsable du traitement lorsque cette qualification résulte de la réglementation applicable ou de la réalité des opérations ;
- ni d’interdire à Indris Studio de conserver et traiter les données strictement nécessaires au respect de ses obligations légales, à la sécurité de ses services, à la gestion de la relation contractuelle ou à la défense de ses droits.
13.5 Articulation avec les autres documents contractuels
Les traitements propres d’Indris Studio exclus du présent DPA demeurent régis par les documents contractuels, informations de transparence et politiques applicables à Indris Studio en sa qualité de responsable du traitement.
Le présent DPA ne régit que les traitements réalisés par Indris Studio en qualité de sous-traitant pour le compte du Client.
Article 14. Répartition claire des responsabilités
14.1 Principe général
Pour les traitements de données à caractère personnel couverts par le présent DPA, le Client agit en qualité de responsable du traitement et Indris Studio agit en qualité de sous-traitant, dans les conditions prévues par le contrat principal, le présent DPA et la réglementation applicable.
14.2 Responsabilités du Client
Le Client demeure seul responsable, pour les traitements qu’il détermine et pour lesquels Indris Studio intervient en qualité de sous-traitant :
- de la détermination des finalités poursuivies et de la base légale applicable ;
- de l’information des personnes concernées et, plus généralement, du respect des obligations lui incombant en qualité de responsable du traitement ;
- de la définition des durées de conservation répondant à ses besoins métiers et à ses obligations propres ;
- du choix des données, fichiers, documents, contenus et informations qu’il importe, transmet, héberge, consulte, partage ou supprime via le service ;
- de la vérification du caractère pertinent, adéquat, exact et non excessif des données confiées à Indris Studio ;
- de l’abstention d’importer des données non nécessaires à la finalité poursuivie ainsi que, sauf nécessité dûment justifiée et cadre juridique approprié, des données sensibles ou particulièrement protégées ;
- du paramétrage, de l’administration et du contrôle des accès, habilitations, permissions et profils de ses utilisateurs autorisés.
14.3 Obligations d’Indris Studio
Indris Studio, pour sa part :
- traite les données à caractère personnel couvertes par le présent DPA uniquement sur instruction documentée du Client, dans les conditions prévues par celui-ci ;
- met en œuvre et maintient, dans son périmètre, les mesures techniques et organisationnelles appropriées, et assure l’exploitation technique de la plateforme dans les conditions prévues au contrat principal et au présent DPA ;
- assiste raisonnablement le Client, dans les limites prévues par le présent DPA, afin de lui permettre de satisfaire à ses propres obligations en matière de protection des données à caractère personnel.
14.4 Absence de transfert des obligations propres du Client
Aucune stipulation du présent DPA ne saurait être interprétée comme ayant pour effet de transférer à Indris Studio les obligations qui incombent au Client en sa qualité de responsable du traitement.
Le Client demeure seul responsable de ses choix relatifs à la base légale, à l’information des personnes concernées, aux durées de conservation, aux données importées dans le service et aux accès qu’il accorde à ses utilisateurs autorisés.
Article 15. Interdiction ou encadrement des données sensibles
15.1 Principe
Sauf nécessité légale dûment justifiée et accord écrit préalable d’Indris Studio, le Client s’interdit d’importer, de transmettre, d’héberger, de partager ou, plus généralement, de faire traiter via le service :
- des catégories particulières de données à caractère personnel au sens de l’article 9 du RGPD ;
- des données à caractère personnel relatives aux condamnations pénales et aux infractions au sens de l’article 10 du RGPD ;
- ou, plus généralement, toute donnée dont le traitement exigerait, au regard de la réglementation applicable, des garanties renforcées non prévues dans le cadre standard du service.
15.2 Exception encadrée
Par dérogation au paragraphe qui précède, le Client ne peut confier de telles données à Indris Studio que si, cumulativement :
- ce traitement est strictement nécessaire à une finalité déterminée relevant de sa responsabilité ;
- le Client dispose d’un fondement juridique approprié l’autorisant à procéder à ce traitement ;
- le Client a informé préalablement Indris Studio, par écrit, de la nature des données concernées, de la finalité poursuivie et des contraintes particulières applicables ;
- et Indris Studio a accepté, par écrit, leur traitement dans le cadre du service.
15.3 Conditions particulières
En cas d’acceptation exceptionnelle, les Parties conviennent, le cas échéant, des conditions particulières applicables à ce traitement, notamment en ce qui concerne les restrictions d’accès, les mesures renforcées appropriées, les modalités d’assistance, ainsi que les conditions de conservation, de restitution ou de suppression des données concernées.
À défaut d’accord écrit préalable sur ces conditions particulières, de telles données ne doivent pas être confiées à Indris Studio dans le cadre du service.
15.4 Données importées en méconnaissance du présent article
Si Indris Studio constate ou est informée que des données relevant du présent article ont été importées ou traitées via le service en méconnaissance des conditions ci-dessus, elle en informe le Client dans les meilleurs délais.
Indris Studio pourra alors, dans la mesure raisonnablement nécessaire et proportionnée, demander toute régularisation utile, requérir la suppression ou le retrait des données concernées, suspendre l’instruction ou l’opération en cause, ou prendre toute mesure conservatoire justifiée au regard de la réglementation applicable, de la sécurité du service ou de la protection des personnes concernées.
15.5 Responsabilité du Client
Le Client demeure seul responsable de la décision d’importer de telles données dans le service, de l’appréciation de la nécessité de ce traitement, du respect des conditions légales applicables et, plus généralement, des obligations particulières lui incombant en raison de la nature des données concernées.
Article 16. Encadrement des transferts hors EEE
16.1 Principe
Les Parties reconnaissent que, selon les services, composants techniques et paramétrages effectivement retenus pour l’exécution du service, les données à caractère personnel couvertes par le présent DPA peuvent être principalement hébergées ou stockées dans une ou plusieurs régions situées dans l’Union européenne ou dans l’Espace économique européen.
La localisation principale applicable aux composants concernés peut, le cas échéant, être précisée dans l’Annexe 1, l’Annexe 3 ou dans la documentation contractuelle applicable.
La seule localisation principale d’hébergement ou de stockage ne saurait toutefois être interprétée comme excluant, par principe, tout accès, transfert ou mise à disposition de données hors de l’Espace économique européen.
16.2 Hypothèses de transfert
Le Client reconnaît que certains traitements nécessaires à l’exécution du service peuvent, selon les circonstances, impliquer un transfert de données à caractère personnel hors de l’Espace économique européen au sens de la réglementation applicable.
Peuvent notamment relever du présent article certaines opérations de support, de maintenance, de diagnostic, de supervision, de sécurité, d’administration technique, ainsi que l’intervention de sous-traitants ultérieurs autorisés ou de composants techniques impliquant un accès à distance, une communication, un transit ou une mise à disposition de données depuis ou vers un pays situé hors de l’Espace économique européen.
16.3 Encadrement juridique des transferts
Tout transfert de données à caractère personnel hors de l’Espace économique européen réalisé dans le cadre des traitements couverts par le présent DPA est encadré conformément au chapitre V du RGPD par un mécanisme de transfert valable à la date du transfert.
Ce mécanisme peut résulter, selon le cas, d’une décision d’adéquation, de clauses contractuelles types adoptées par la Commission européenne, ou de tout autre mécanisme reconnu par la réglementation applicable.
Indris Studio veille, dans la mesure où cela lui incombe, à ne recourir, pour les traitements concernés, qu’à des destinataires ou sous-traitants ultérieurs offrant un encadrement conforme aux exigences applicables en matière de transferts internationaux de données.
16.4 Information et coopération
Sans préjudice des stipulations du présent DPA relatives aux sous-traitants ultérieurs et à l’assistance due au Client, Indris Studio met à la disposition du Client, dans une mesure raisonnable et au titre des seuls traitements couverts par le présent DPA, les informations dont elle dispose ou qu’elle peut raisonnablement obtenir sur la localisation principale des traitements concernés et, le cas échéant, sur le mécanisme de transfert applicable.
Le Client demeure seul responsable, en sa qualité de responsable du traitement, d’apprécier la licéité des transferts liés aux traitements qu’il détermine, d’en tenir compte dans l’information qu’il fournit aux personnes concernées et de satisfaire à ses propres obligations de documentation, d’analyse et de conformité.
Article 17. Référence explicite à Google / Firebase comme sous-traitant ultérieur autorisé
17.1 Recours à Google / Firebase
Pour l’exécution de tout ou partie des traitements couverts par le présent DPA, le Client reconnaît et accepte qu’Indris Studio puisse recourir à des services fournis dans l’écosystème Google Cloud et/ou Firebase, dans les conditions prévues au présent DPA.
À ce titre, le Client autorise expressément le recours aux entités Google intervenant, selon les services effectivement utilisés, en qualité de sous-traitants ultérieurs pour des finalités techniques nécessaires à l’exécution du service.
17.2 Nature des services concernés
Les services visés au présent article peuvent notamment concerner, selon les composants effectivement utilisés dans le service, l’hébergement, le stockage, les bases de données, l’authentification, la journalisation, la supervision technique, la maintenance, le support, ainsi que toute fonctionnalité technique associée ou strictement nécessaire à la fourniture du service.
Le détail des services, rôles, localisations principales, types d’accès aux données et, le cas échéant, des mécanismes applicables en cas de transfert hors EEE, figure ou peut être précisé en Annexe 3 — Liste des sous-traitants ultérieurs autorisés.
17.3 Documentation contractuelle applicable
Le recours aux services Google Cloud et/ou Firebase visés au présent article s’inscrit dans le cadre de la documentation contractuelle et de conformité publiée par Google et applicable aux services concernés, incluant notamment, selon le cas :
- les Firebase Data Processing and Security Terms: https://firebase.google.com/terms/data-processing-terms
- le Google Cloud Data Processing Addendum: https://cloud.google.com/terms/data-processing-addendum
et, le cas échéant, la documentation Google relative aux sous-traitants ultérieurs et aux mécanismes d’encadrement des transferts internationaux de données.
17.4 Articulation avec les autres stipulations du DPA
Le présent article a pour seul objet d’identifier explicitement Google / Firebase comme sous-traitant(s) ultérieur(s) autorisé(s) dans le cadre des services concernés.
Il s’applique sans préjudice des stipulations du présent DPA relatives au recours aux sous-traitants ultérieurs, à l’encadrement contractuel de leurs interventions, à la responsabilité d’Indris Studio à leur égard et, le cas échéant, aux transferts de données hors de l’Espace économique européen.
Article 18. Documentation détaillée des mesures de sécurité
18.1 Articulation avec l’obligation générale de sécurité
Les Parties reconnaissent que les mesures techniques et organisationnelles mises en œuvre par Indris Studio au titre des traitements couverts par le présent DPA relèvent de l’obligation générale de sécurité prévue au présent DPA et sont décrites, de manière plus détaillée, en Annexe 2 — Mesures de sécurité techniques et organisationnelles, qui fait partie intégrante du présent DPA.
18.2 Catégories de mesures documentées
L’Annexe 2 peut notamment décrire, selon les services, composants techniques, environnements et fonctionnalités effectivement utilisés :
les mesures de protection des données en transit et, le cas échéant, au repos ;
les mesures relatives à l’authentification, à la gestion des accès, à la revue des habilitations, à la segmentation des droits et, lorsque cela est applicable, à l’authentification multifacteur pour les comptes à privilèges ou d’administration ;
les mesures de journalisation, de traçabilité, de supervision et de détection des événements de sécurité ;
les mesures de sauvegarde, de restauration, de continuité technique et, le cas échéant, de reprise ;
les mesures relatives aux tests, à la maintenance de sécurité, à la gestion des vulnérabilités et à l’application des correctifs ;
les mesures d’encadrement des environnements techniques, des opérations d’administration, des accès de support et, plus généralement, des interventions susceptibles d’avoir un impact sur la sécurité des traitements ;
ainsi que les procédures internes applicables à la détection, à la qualification, au traitement, à la documentation et à la remédiation des incidents de sécurité.
18.3 Portée et niveau de précision
Les mesures décrites en Annexe 2 s’entendent comme des mesures adaptées au périmètre des traitements couverts par le présent DPA, à l’architecture du service, aux composants effectivement exploités, à l’état de l’art et au niveau de risque raisonnablement identifié.
Le niveau de détail figurant en Annexe 2 peut tenir compte de la nécessité de préserver la sécurité opérationnelle d’Indris Studio, la confidentialité de ses dispositifs internes de protection, ainsi que la sécurité globale de ses systèmes et de ceux de ses autres clients.
18.4 Évolution des mesures
Indris Studio peut faire évoluer les mesures décrites en Annexe 2 afin de tenir compte des évolutions techniques, des risques identifiés, des incidents rencontrés, de l’état des connaissances, des recommandations de sécurité applicables ou des évolutions de son architecture technique, sous réserve de ne pas réduire de manière substantielle le niveau global de protection applicable aux traitements couverts par le présent DPA.
18.5 Valeur contractuelle de l’Annexe 2
L’Annexe 2 a valeur contractuelle entre les Parties.
En cas de contradiction entre une description générale figurant dans le corps du présent DPA et une description plus précise figurant en Annexe 2, l’interprétation la plus cohérente avec l’obligation de sécurité applicable aux traitements couverts par le présent DPA prévaut, sans réduire les obligations légales d’Indris Studio en matière de protection des données à caractère personnel.
Article 19. Délais de référence
19.1 Principe d’articulation
Les délais prévus au présent article ont pour objet de préciser, lorsque cela est utile, les modalités temporelles d’exécution de certaines obligations prévues par le présent DPA.
Ils s’appliquent sans préjudice des délais spécifiques déjà prévus par d’autres stipulations du présent DPA, lesquelles prévalent en cas de contradiction.
19.2 Notification des violations de données
Pour l’application de l’article 10, l’obligation de notification sans délai indu s’entend d’une notification initiale adressée au Client dès que raisonnablement possible après qu’Indris Studio a connaissance d’une violation de données à caractère personnel affectant les traitements réalisés pour le compte du Client et, sauf impossibilité raisonnablement justifiée, dans un délai n’excédant pas quarante-huit (48) heures à compter de cette prise de connaissance.
Lorsque toutes les informations utiles ne sont pas disponibles dans ce délai, la notification initiale peut être partielle, sous réserve de l’envoi, sans délai indu, des compléments d’information disponibles ultérieurement.
19.3 Délais de première réponse en matière d’assistance
Pour l’application de l’article 9, et sauf urgence justifiée, Indris Studio fournit au Client une première réponse écrite :
- dans un délai de deux (2) jours ouvrés pour les demandes présentant un caractère d’urgence élevé, notamment lorsqu’elles sont liées à un incident de sécurité, à une violation de données, à une demande d’autorité compétente ou à une échéance légale proche ;
- dans un délai de cinq (5) jours ouvrés pour les autres demandes d’assistance relevant du périmètre normal du présent DPA.
Cette première réponse peut, selon le cas, prendre la forme d’un accusé de réception circonstancié, d’une demande de précisions, d’une réponse partielle, ou de la communication d’un calendrier raisonnable de traitement lorsque la demande présente une complexité particulière.
19.4 Information préalable en cas d’ajout ou de remplacement d’un sous-traitant ultérieur
Pour l’application de l’article 8.2, et sauf urgence légitime, impératif de sécurité, obligation légale ou nécessité de continuité du service, l’information relative à un projet d’ajout ou de remplacement d’un sous-traitant ultérieur est fournie au Client au moins quinze (15) jours calendaires avant l’entrée en vigueur du changement envisagé.
Le délai d’objection prévu à l’article 8.3 court à compter de la réception de cette information.
19.5 Fin de contrat, restitution et suppression
Les délais applicables à la restitution, à la suppression des données des environnements actifs et à la purge des sauvegardes ou résidus techniques demeurent régis par l’article 11 du présent DPA.
À ce titre, les Parties reconnaissent que les délais chiffrés prévus audit article constituent les délais de référence applicables en fin de contrat ou en fin de projet, sauf stipulation expresse contraire du présent DPA ou du contrat principal.
Article 20. Coopération avec les autorités et en cas de contentieux
20.1 Information en cas de demande d’une autorité ou d’une juridiction
Sous réserve des obligations légales, réglementaires ou juridictionnelles qui s’imposent directement à elle, Indris Studio informe le Client, dans les meilleurs délais, de toute demande, injonction, réquisition, mesure d’instruction, décision ou autre acte émanant d’une autorité compétente ou d’une juridiction et portant sur des données à caractère personnel traitées pour le compte du Client dans le cadre du présent DPA.
Cette information n’est toutefois pas due dans la mesure où une telle communication est interdite à Indris Studio par la loi, par une décision d’une autorité compétente ou par toute obligation de confidentialité légalement opposable.
20.2 Coopération raisonnable
En cas de contrôle, de demande d’information, de procédure administrative, précontentieuse, contentieuse ou juridictionnelle portant sur les traitements couverts par le présent DPA, Indris Studio coopère raisonnablement avec le Client, dans la limite des informations dont elle dispose, du périmètre des services fournis et des obligations qui lui incombent effectivement.
Cette coopération peut notamment consister, selon le cas et dans la mesure applicable, à communiquer les éléments utiles dont Indris Studio dispose, à fournir des explications raisonnablement nécessaires sur les opérations de traitement relevant de son périmètre, ou à assister le Client dans la préparation des réponses, observations ou pièces relatives aux traitements concernés.
20.3 Répartition des rôles
Le Client demeure seul responsable de ses échanges avec l’autorité de contrôle, l’autorité compétente ou la juridiction concernée, des positions qu’il adopte, des réponses qu’il adresse et, plus généralement, du respect de ses obligations en qualité de responsable du traitement, sauf lorsqu’une obligation légale s’impose directement à Indris Studio.
20.4 Articulation avec les autres stipulations du DPA
Le présent article s’applique sans préjudice des stipulations du présent DPA relatives :
à l’assistance au Client ;
à la notification et à la gestion des violations de données ;
à la mise à disposition des informations nécessaires à la démonstration de conformité ;
ainsi qu’à la conservation limitée de certaines données lorsque celle-ci est strictement nécessaire au respect d’une obligation légale, à la défense des droits d’Indris Studio ou à la gestion d’un contrôle, d’un litige ou d’une demande d’autorité compétente.
Article 21. Hiérarchie contractuelle
21.1 Intégration au dispositif contractuel
Le présent DPA fait partie intégrante du cadre contractuel liant les Parties et s’applique conjointement avec le contrat principal, y compris, le cas échéant, les conditions générales de vente, les conditions particulières, le devis, le bon de commande, la documentation contractuelle du service et ses annexes, dans la mesure où ces documents sont applicables à la relation entre les Parties.
21.2 Primauté du DPA pour les questions de protection des données
En cas de contradiction, d’incohérence ou de divergence entre le présent DPA et toute autre stipulation du contrat principal ou des conditions générales de vente, le présent DPA prévaut pour toutes les questions relatives :
- au traitement de données à caractère personnel effectué par Indris Studio pour le compte du Client ;
- à la répartition des rôles des Parties en matière de protection des données ;
- aux instructions documentées, à la confidentialité, à la sécurité, aux sous-traitants ultérieurs, aux transferts, à l’assistance, aux violations de données, à l’audit, ainsi qu’à la restitution, à la suppression ou à la conservation résiduelle des données en fin de contrat.
21.3 Maintien des autres stipulations contractuelles
Pour toutes les questions qui ne relèvent pas spécifiquement de la protection des données à caractère personnel ou qui ne sont pas régies par le présent DPA, le contrat principal et, le cas échéant, les conditions générales de vente demeurent pleinement applicables.
Le présent article ne saurait toutefois être interprété comme ayant pour effet de réduire, d’écarter ou de neutraliser les obligations impératives résultant de la réglementation applicable en matière de protection des données à caractère personnel.
Article 22. Responsabilité et articulation avec le contrat principal
22.1 Principe d’articulation
Sauf stipulation expresse contraire du présent DPA, la responsabilité contractuelle des Parties au titre des traitements couverts par le présent DPA demeure régie par les stipulations du contrat principal relatives à la responsabilité, dans la mesure où ces stipulations sont compatibles avec la réglementation applicable en matière de protection des données à caractère personnel et avec le présent DPA.
22.2 Réserve relative aux dispositions impératives
Aucune stipulation du présent DPA ni du contrat principal ne saurait être interprétée comme ayant pour effet d’exclure, de limiter ou de neutraliser les obligations impératives résultant de la réglementation applicable en matière de protection des données à caractère personnel, ni les droits dont bénéficient les personnes concernées ou les pouvoirs des autorités de contrôle au titre de cette réglementation.
22.3 Périmètre de la responsabilité d’Indris Studio
Indris Studio répond des manquements qui lui sont imputables au titre des obligations lui incombant en sa qualité de sous-traitant dans le cadre des traitements couverts par le présent DPA, sans préjudice :
des cas dans lesquels le Client demeure seul responsable des obligations qui lui incombent en qualité de responsable du traitement ;
de la responsabilité propre d’Indris Studio lorsqu’elle agit en qualité de responsable du traitement distinct pour ses finalités propres ;
et des hypothèses dans lesquelles la réglementation applicable impose une qualification ou un régime de responsabilité différent au regard de la réalité des opérations effectivement mises en œuvre.
22.4 Sous-traitants ultérieurs
Le recours par Indris Studio à un sous-traitant ultérieur autorisé ne réduit ni n’exclut la responsabilité qui lui incombe à l’égard du Client dans les conditions prévues par le présent DPA.
Annexe 1. Description des traitements
Élément
Description
Objet du traitement
Les traitements confiés au Sous-traitant ont pour objet la fourniture et l’exploitation du service « Indris.Studio : gestion de projets de visualisation architecturale », permettant notamment l’administration des comptes, la gestion des projets, l’organisation des échanges avec le Client, la réception, l’hébergement, la consultation et le traitement des fichiers, documents et contenus transmis dans le cadre de la préparation, de l’exécution et du suivi des prestations de visualisation architecturale.
Finalités
Les traitements sont réalisés aux seules fins de permettre au Sous-traitant d’exécuter les prestations convenues avec le Client, d’assurer la gestion opérationnelle des projets, de traiter les demandes, instructions et validations du Client, de recevoir et exploiter les éléments techniques, graphiques et documentaires nécessaires à la réalisation des livrables, et d’assurer le dépôt, la mise à disposition et le suivi de ces livrables.
Nature des opérations
Collecte, enregistrement, organisation, structuration, consultation, hébergement, conservation, extraction, utilisation, communication par transmission ou mise à disposition, rapprochement, suppression et, plus généralement, toute opération strictement nécessaire à l’exécution des prestations confiées par le Client.
Catégories de données
Données d’identification et de contact des utilisateurs et interlocuteurs du Client ; données relatives aux comptes et à l’authentification ; données de projet ; contenus, commentaires, instructions et validations ; documents techniques, administratifs ou commerciaux transmis par le Client ; fichiers joints et livrables ; métadonnées associées aux échanges, dépôts et accès au service. Le service n’a pas vocation à traiter des catégories particulières de données au sens de l’article 9 du RGPD, sans exclure qu’un tel contenu puisse être transmis de manière incidente par le Client sous sa seule responsabilité.
Catégories de personnes concernées
Utilisateurs autorisés du Client, représentants, salariés, collaborateurs, interlocuteurs projet, prestataires, partenaires ou toute autre personne physique dont les données seraient contenues dans les éléments, documents, fichiers ou contenus transmis par le Client dans le cadre du service.
Durée du traitement
Les données sont traitées pendant la durée du contrat.
Conservation / suppression
Les données de projet ont vocation à être supprimées par le Sous-traitant dans un délai de quinze (15) jours après la fin du projet concerné ou de la relation contractuelle, sous réserve, le cas échéant, des contraintes techniques résiduelles propres aux infrastructures utilisées et des stipulations du DPA relatives à la restitution, à la suppression et aux obligations légales de conservation.
Fréquence
Traitement ponctuel et continu selon les besoins du projet et les actions réalisées dans le cadre du service pendant la durée du contrat.
Outils / services concernés
Firebase Authentication, Firebase Storage, Firebase Functions, Firebase App Hosting, Cloud Run et, le cas échéant, Vertex AI, dans la stricte mesure nécessaire à l’exécution technique des prestations et du service.
Localisation principale
Union européenne.
Annexe 2. Mesures de sécurité techniques et organisationnelles
Mesure
Description
Contrôle d’accès logique
L’accès aux environnements, consoles, services et données est limité aux seules personnes habilitées, selon le besoin d’en connaître. À la date du présent DPA, ces accès sont limités au seul Prestataire.
Gestion des habilitations
Les droits d’accès sont attribués de manière nominative et restreints aux seules ressources nécessaires à l’administration du service et à l’exécution des prestations. Aucun compte partagé d’administration n’est utilisé.
Authentification renforcée des accès administrateurs
Les accès administrateurs aux services d’infrastructure et d’hébergement sont protégés par une authentification multifacteur (MFA).
Authentification des utilisateurs du service
L’authentification des utilisateurs du service repose sur les mécanismes techniques mis en œuvre dans l’application, notamment un système de connexion par adresse électronique et lien de connexion sécurisé (« magic link »), selon les composants utilisés.
Politique de mots de passe et sécurité des identifiants
Les identifiants d’administration font l’objet de mesures de protection appropriées. Le Prestataire veille à maintenir des pratiques de sécurité adaptées pour les accès aux environnements et services utilisés.
Chiffrement des données en transit
Les communications avec le service sont protégées par des mécanismes de chiffrement en transit, notamment via HTTPS/TLS, selon les composants utilisés. Firebase indique chiffrer les données en transit via HTTPS, et Google Cloud documente le chiffrement en transit sur son infrastructure.
Chiffrement des données au repos
Les données hébergées sur l’infrastructure utilisée pour le service bénéficient d’un chiffrement au repos selon les mécanismes fournis par les services cloud utilisés. Google Cloud indique chiffrer par défaut le contenu client au repos, et Firebase documente l’existence de ce chiffrement pour plusieurs services.
Cloisonnement des environnements
Le Prestataire maintient une séparation entre les environnements local, de développement et de production. Les données de production n’ont pas vocation à être utilisées dans les environnements de développement ou de test.
Journalisation
Des mécanismes de journalisation peuvent être mis en œuvre afin d’assurer la traçabilité des actions pertinentes sur le service, notamment les accès d’administration, opérations techniques, connexions, dépôts ou suppressions de contenus, dans la mesure utile à la sécurité, au bon fonctionnement du service et à la justification des opérations réalisées. Plusieurs services Firebase s’intègrent à Cloud Audit Logs / Cloud Logging pour tracer les actions administratives et certains accès.
Détection et gestion des incidents
Le Prestataire met en œuvre des mesures raisonnables de détection, d’analyse et de traitement des incidents de sécurité affectant le service ou les données, selon la taille de sa structure et les composants utilisés.
Mises à jour et correctifs
Le Prestataire applique, dans un délai raisonnable, les correctifs, mises à jour de sécurité et actions de remédiation pertinents concernant les composants, dépendances, environnements et postes qu’il administre directement.
Surveillance des alertes techniques
Le Prestataire assure une veille raisonnable sur les alertes et informations de sécurité pertinentes communiquées par les fournisseurs de services utilisés, notamment Google / Firebase, afin d’adapter les mesures nécessaires lorsque cela est requis.
Sécurité du poste de travail
Le poste de travail utilisé pour administrer le service fait l’objet de mesures de sécurité appropriées, incluant notamment la protection par authentification, les mises à jour de sécurité du système et les protections natives de l’environnement utilisé.
Confidentialité interne
L’accès aux données du Client n’intervient qu’en tant que de besoin pour l’exécution des prestations, l’analyse des éléments transmis, la production des livrables, le support ou le traitement d’une demande du Client.
Gestion des sous-traitants ultérieurs
Le Prestataire sélectionne des sous-traitants ultérieurs présentant un niveau de garanties approprié au regard de la sécurité et de la confidentialité des données, et encadre leur intervention dans les conditions prévues au DPA.
Sauvegardes et continuité technique
Les composants techniques utilisés peuvent intégrer des mécanismes de redondance, de réplication, de sauvegarde ou de restauration selon les services retenus et leur configuration. Firestore propose notamment des fonctions de sauvegarde et de restauration, mais leur existence ne préjuge pas, à elle seule, d’un plan de restauration organisationnel testé par le Prestataire.
Tests de restauration
Aucun engagement spécifique de test périodique de restauration n’est pris au titre de la présente annexe, sauf mise en œuvre ultérieure documentée par le Prestataire.
Revue périodique des accès
Le Prestataire procède à une revue périodique des accès administratifs et, plus généralement, des habilitations pertinentes au regard des besoins effectifs du service.
Effacement des données et des copies locales
Le Prestataire met en œuvre l’effacement des données et des copies locales devenues sans objet au regard de la finalité poursuivie, sous réserve des stipulations du DPA, des contraintes techniques applicables et de la conservation des seuls éléments nécessaires, notamment des livrables ou pièces devant être conservés.
Annexe 3. Liste des sous-traitants ultérieurs autorisés
Nom
Google LLC et/ou entités Google compétentes selon le service
Google LLC et/ou entités Google compétentes selon le service
Service
Google Cloud / Firebase (notamment Firebase Authentication, Firebase Storage, Firebase Functions, Firebase App Hosting, Cloud Run et services d’infrastructure associés)
Vertex AI
Rôle
Hébergement, stockage, authentification, exécution applicative et traitement technique nécessaires au fonctionnement du service
Outil technique d’assistance à la production utilisé par le Sous-traitant pour l’exécution de certaines prestations, le cas échéant
Localisation
Union européenne, principalement région Pays-Bas (europe-west4), selon les composants utilisés
Union européenne, principalement région Pays-Bas (europe-west4), selon les composants utilisés
Type d’accès aux données
Hébergement, stockage, traitement, authentification, exécution applicative ; accès technique limité pouvant intervenir dans le cadre de l’exploitation, de la maintenance, de la sécurité ou du support des services concernés
Traitement ponctuel des contenus, instructions, extraits, fichiers ou éléments nécessaires aux opérations d’assistance à la production, dans la limite des usages effectivement mis en œuvre par le Sous-traitant
Base de transfert si hors EEE
Le cas échéant, clauses contractuelles types et/ou tout autre mécanisme de transfert valable prévu par la documentation contractuelle Google applicable
Le cas échéant, clauses contractuelles types et/ou tout autre mécanisme de transfert valable prévu par la documentation contractuelle Google applicable
Référence documentaire
Cloud Data Processing Addendum; Google Cloud Platform Subprocessors; Firebase Data Processing and Security Terms
Cloud Data Processing Addendum; Google Cloud Platform Subprocessors
Annexe 4. Procédures opérationnelles RGPD
1. Objet et périmètre
La présente annexe précise, pour les traitements de données à caractère personnel réalisés par Indris Studio pour le compte du Client dans le cadre du présent DPA :
1. la procédure applicable aux incidents de sécurité et violations de données à caractère personnel ;
2. la procédure applicable aux demandes d’exercice des droits des personnes concernées ;
3. les modalités opérationnelles de restitution, de suppression et de conservation résiduelle des données en fin de projet, de prestation ou de relation contractuelle.
La présente annexe complète le présent DPA et s’interprète en cohérence avec ses autres stipulations. En cas de contradiction, les stipulations du corps du DPA prévalent.
La présente annexe ne s’applique pas aux traitements pour lesquels Indris Studio agit en qualité de responsable du traitement distinct pour ses finalités propres, lesquels demeurent régis par les CGV, les mentions d’information applicables et, le cas échéant, les autres documents contractuels pertinents.
2. Procédure incidents / violations
2.1 Point de contact du Sous-traitant
Pour toute question relative à un incident de sécurité ou à une violation de données à caractère personnel relevant du présent DPA, le point de contact d’Indris Studio est : privacy@indris.studio.
2.2 Point de contact du Client
Les notifications sont adressées au point de contact désigné par le Client pour les questions de protection des données. À défaut de désignation expresse, elles sont valablement adressées à tout contact contractuel ou opérationnel pertinent communiqué par le Client.
2.3 Canaux de notification et de suivi
La notification initiale est effectuée par écrit, par courrier électronique. L’email constitue le canal contractuel principal de notification.
Lorsque le Client dispose d’un accès actif à la plateforme et que cette fonctionnalité est effectivement mise à disposition, une copie de la notification, de ses mises à jour et, le cas échéant, du rapport de clôture, peut également être mise à disposition dans un espace sécurisé de la plateforme ou par message sécurisé au sein de celle-ci. Ce canal complémentaire n’a pas vocation à remplacer l’email, sauf accord exprès des Parties.
2.4 Notification initiale
La notification initiale est adressée sans délai indu après prise de connaissance de la violation ou de l’incident, dans les conditions prévues par le DPA. Elle peut être partielle si toutes les informations utiles ne sont pas encore disponibles à cette date.
2.5 Informations minimales
La notification initiale contient, dans la mesure des informations alors disponibles :
- la description de la nature de l’incident ou de la violation ;
- la date ou période estimée de survenance et la date de détection ;
- les catégories de données concernées ;
- les catégories de personnes concernées potentiellement affectées ;
- les conséquences connues ou raisonnablement suspectées ;
- les premières mesures prises ou envisagées ;
- les coordonnées du point de contact auprès duquel des informations complémentaires peuvent être obtenues.
Lorsque cela est utile, Indris Studio peut également indiquer le niveau de sévérité estimé, le périmètre technique affecté et l’état de confinement de l’incident.
2.6 Mises à jour et coopération
Les compléments d’information sont transmis sans délai indu et, lorsque cela est utile, selon un calendrier raisonnable communiqué au Client.
Indris Studio coopère raisonnablement avec le Client afin de permettre l’analyse de l’incident, la documentation des faits, la mise en œuvre des mesures de confinement et de remédiation, ainsi que la préparation des éléments utiles aux notifications ou communications relevant de la responsabilité du Client.
2.7 Clôture de l’incident
Lorsque l’incident est stabilisé ou traité à un niveau suffisant, Indris Studio transmet au Client un rapport de clôture dans un délai raisonnable.
Ce rapport comprend, dans la mesure des éléments disponibles :
- un résumé de l’incident ;
- sa cause identifiée ou probable ;
- le périmètre des données concernées ;
- les mesures de confinement, de correction et de remédiation mises en œuvre ;
- l’état final de résolution ;
- les actions correctives ou préventives décidées, lorsqu’elles sont pertinentes.
Si certains éléments ne sont pas encore définitivement établis, le rapport peut être provisoire et complété ultérieurement.
2.8 Traçabilité
Indris Studio conserve une trace raisonnable des notifications, mises à jour et éléments de clôture relatifs aux incidents et violations couverts par le présent DPA, dans la mesure nécessaire à la sécurité, à la démonstration de conformité et à la preuve des opérations effectuées.
3. Procédure droits des personnes
3.1 Périmètre
La présente section s’applique aux demandes d’exercice de droits portant sur des données à caractère personnel traitées par Indris Studio pour le compte du Client dans le cadre du service.
Elle ne s’applique pas aux demandes portant sur des traitements pour lesquels Indris Studio agit en qualité de responsable du traitement distinct.
3.2 Canaux de réception
Lorsqu’une demande relevant de la présente section est adressée à Indris Studio, elle peut être reçue :
- à l’adresse privacy@indris.studio ;
- et, lorsque cette fonctionnalité est activée, par l’intermédiaire d’un module ou d’un message sécurisé disponible dans la plateforme.
3.3 Transmission au Client
Lorsqu’Indris Studio reçoit directement d’une personne concernée une demande portant sur des données traitées pour le compte du Client, elle la transmet au Client dans les meilleurs délais et, sauf impossibilité raisonnablement justifiée, au plus tard dans un délai de deux (2) jours ouvrés à compter de sa réception.
Sauf obligation légale contraire s’imposant directement à elle, Indris Studio ne répond pas au fond à la demande de la personne concernée et ne prend pas de décision autonome sur son issue. Elle peut, le cas échéant, accuser réception de manière purement procédurale ou inviter la personne concernée à s’adresser au Client lorsque cela est approprié.
3.4 Assistance raisonnable
Sur instruction documentée du Client et dans la mesure requise par la réglementation applicable, Indris Studio fournit une assistance raisonnable au Client pour lui permettre de traiter les demandes d’exercice de droits, notamment en vue :
- d’identifier les données concernées dans les environnements actifs ;
- d’extraire ou de mettre à disposition les éléments disponibles ;
- de supprimer, restreindre ou rendre inaccessibles certaines données lorsque cela est techniquement possible ;
- de communiquer au Client les informations utiles dont Indris Studio dispose effectivement sur le traitement concerné.
3.5 Délais de première réponse au Client
Lorsqu’une demande d’assistance relative à l’exercice des droits est adressée par le Client à Indris Studio, cette dernière fournit une première réponse écrite dans les meilleurs délais et, sauf complexité particulière ou urgence justifiée relevant d’un autre régime prévu au DPA, dans un délai de deux (2) jours ouvrés.
Cette première réponse peut prendre la forme d’un accusé de réception circonstancié, d’une demande de précisions, d’une réponse partielle, ou de la communication d’un calendrier raisonnable de traitement.
3.6 Limites techniques et opérationnelles
Le Client reconnaît que, compte tenu de la nature du service et des prestations, certaines données à caractère personnel peuvent figurer de manière incidente, accessoire ou non intentionnelle dans des plans, coupes, élévations, maquettes, fichiers 3D, documents PDF, commentaires, annotations, messages, pièces jointes, références visuelles ou autres contenus transmis par le Client.
Dans ce contexte :
1. Indris Studio n’est tenue qu’à une assistance raisonnable fondée sur les informations dont elle dispose effectivement et sur les fonctionnalités réellement disponibles dans le service ;
2. Indris Studio ne garantit pas, sauf prestation spécifique convenue par écrit, l’identification exhaustive de toute occurrence dispersée dans des contenus complexes, hétérogènes ou non structurés ;
3. Indris Studio n’est pas tenue de modifier unitairement un livrable final déjà produit ou livré, sauf accord écrit exprès et faisabilité technique ;
4. toute extraction spécifique, tri particulier, recherche approfondie, intervention manuelle importante ou opération excédant l’assistance standard peut faire l’objet de conditions techniques, calendaires et financières distinctes.
4. Restitution, suppression et conservation résiduelle
4.1 Principe général
Sauf instruction écrite contraire du Client formulée dans les délais applicables, la suppression constitue l’option appliquée par défaut.
La demande de restitution ou d’export doit être formulée par écrit par le Client avant l’expiration des délais de suppression applicables.
4.2 Restitution standard
Pour l’application du présent DPA, la restitution standard porte, dans la limite des éléments effectivement disponibles à la date de la demande, uniquement sur les livrables finaux mis à disposition du Client au titre du contrat principal.
Cette restitution standard concerne exclusivement les livrables finaux constitués de fichiers images ou de fichiers vidéo, dans le format dans lequel ils sont disponibles dans le service ou, à défaut, dans un format couramment utilisé pour ce type de livrables.
Sauf accord écrit exprès contraire, la restitution standard n’inclut pas les fichiers, documents, maquettes, modèles 3D, textures, plans, références, pièces jointes, contenus projet ou autres éléments sources transmis par le Client pour les besoins de la prestation.
4.3 Exclusions de restitution
La restitution standard n’inclut pas :
- les fichiers source fournis par le Client ;
- les plans, coupes, élévations, maquettes, fichiers 3D, documents PDF, pièces jointes, références visuelles, commentaires, annotations ou échanges projet transmis pour la réalisation de la prestation ;
- les méthodes, outils, workflows, bibliothèques, gabarits, prompts, scènes de travail, fichiers natifs, versions intermédiaires ou éléments préparatoires propres à Indris Studio;
- les journaux de sécurité, traces techniques internes, éléments de supervision ou informations dont la communication compromettrait la sécurité des systèmes ou les droits d’Indris Studio ou de tiers.
4.4 Suppression rapide des données source du projet
Sauf obligation légale contraire, nécessité de défense de droits, demande d’autorité compétente ou instruction écrite différente du Client acceptée par Indris Studio, les données source du projet traitées pour le compte du Client sont supprimées des environnements actifs dans les meilleurs délais et, au plus tard, dans un délai de quinze (15) jours calendaires suivant la date la plus tardive entre la livraison finale et le paiement intégral.
Sont notamment visés par cette suppression les plans, coupes, élévations, maquettes, fichiers 3D, documents PDF, pièces jointes, références visuelles, commentaires, annotations, échanges projet et, plus généralement, les contenus transmis par le Client pour la réalisation de la prestation.
Lorsque le contrat ou la prestation prend fin sans qu’une livraison finale soit encore due, les données concernées sont supprimées des environnements actifs au plus tard dans un délai de quinze (15) jours calendaires à compter de la cessation effective du contrat ou de la prestation concernée, sauf demande écrite de restitution recevable au titre de la présente annexe.
4.5 Livrables finaux et conservation opérationnelle limitée
Les livrables finaux peuvent, sauf instruction écrite contraire du Client ou suppression rendue nécessaire par la fin de la relation contractuelle, demeurer accessibles dans les environnements actifs ou d’archivage opérationnel d’Indris Studio pendant la durée raisonnablement nécessaire :
- à leur mise à disposition au Client ;
- au suivi du projet ;
- à la preuve de l’exécution de la prestation ;
- à la constatation, à l’exercice ou à la défense des droits d’Indris Studio.
4.6 Sauvegardes et résidus techniques
Certaines données supprimées des environnements actifs peuvent subsister temporairement dans des sauvegardes, systèmes de reprise, journaux techniques ou autres résidus techniques non immédiatement modifiables.
Dans ce cas :
- ces données restent protégées par les mesures de sécurité et de confidentialité prévues au DPA ;
- elles ne sont pas remises en production, consultées, extraites ou utilisées, sauf nécessité technique strictement nécessaire à la continuité du service, à la restauration, à la sécurité, à la préservation de la preuve ou au respect d’une obligation légale ou réglementaire ;
- elles sont supprimées ou rendues définitivement inaccessibles selon le cycle normal de rétention applicable, sans excéder quatre-vingt-dix (90) jours à compter de la suppression des environnements actifs, sauf contrainte légale ou technique particulière dûment justifiée.
4.7 Conservation minimale résiduelle
Par dérogation à ce qui précède, Indris Studio peut conserver certaines données à caractère personnel ou informations strictement nécessaires :
- au respect d’une obligation légale ou réglementaire ;
- à la constatation, à l’exercice ou à la défense de ses droits ;
- à la gestion d’un incident de sécurité, d’un litige, d’un contrôle ou d’une demande d’autorité compétente ;
- à la conservation d’éléments techniques minimaux nécessaires à l’intégrité, à la sécurité ou à la preuve des opérations effectuées.
Les données ainsi conservées sont limitées au strict nécessaire, restent soumises aux obligations de confidentialité et de sécurité applicables et ne peuvent être utilisées à d’autres fins incompatibles.
4.8 Attestation de suppression
Sur demande écrite raisonnable du Client, Indris Studio fournit une attestation de suppression ou une confirmation écrite contractuellement équivalente, portant sur les opérations de suppression réalisées dans les environnements actifs et systèmes qu’Indris Studio administre directement dans le cadre du service.
Cette attestation confirme, le cas échéant, que les données concernées ont été supprimées des accès opérationnels et effacées des environnements actifs exploités par Indris Studio, sous réserve :
- des données dont la conservation demeure requise en vertu du présent DPA, d’une obligation légale ou réglementaire, ou de la nécessité de constater, exercer ou défendre des droits ;
- des mécanismes techniques résiduels, temporaires et non directement administrables par Indris Studio, susceptibles d’exister au niveau des infrastructures ou services de ses sous-traitants ultérieurs.
L’attestation de suppression ne vaut pas certification autonome de purge instantanée de l’ensemble des mécanismes internes de cache, réplication, journalisation, sauvegarde ou rétention technique propres aux fournisseurs d’infrastructure tiers.
5. Valeur contractuelle
La présente annexe fait partie intégrante du DPA. Elle remplace et regroupe, à compter de son adoption, les anciennes annexes relatives :
- à la procédure incidents / violations ;
- à la procédure droits des personnes ;
- à la politique de restitution / suppression.