Accord de Traitement des Données

Date d'Entrée en Vigueur : 5 janvier 2026

Préambule

Cet Accord de Traitement des Données (« DPA ») fait partie des Conditions de Service de GitScrum (l'« Accord Principal ») entre GitScrum (« Sous-traitant », « nous », « notre ») et l'entité ou l'individu utilisant les services de GitScrum (« Responsable du traitement », « vous », « votre »), collectivement désignés les « Parties ».

Ce DPA établit les conditions selon lesquelles GitScrum traitera les Données Personnelles pour le compte du Responsable du traitement dans le cadre de la fourniture de services de gestion de projet et d'outils de collaboration (les « Services »).

Ce DPA est conçu pour répondre aux exigences du Règlement Général sur la Protection des Données (Règlement (UE) 2016/679) (« RGPD »), de la Lei Geral de Proteção de Dados du Brésil (« LGPD »), du California Consumer Privacy Act (« CCPA ») et ses amendements, ainsi que d'autres lois sur la protection des données applicables dans le monde.

En utilisant les Services de GitScrum, le Responsable du traitement accepte ce DPA et reconnaît que le traitement des Données Personnelles sera effectué conformément aux lois sur la protection des données applicables.

1. DÉFINITIONS

Les termes suivants auront les significations indiquées ci-dessous. Les termes en majuscules non définis dans ce DPA auront les significations données dans l'Accord Principal ou les lois sur la protection des données applicables.

2. CHAMP D'APPLICATION ET APPLICABILITÉ

2.1 Applicabilité du DPA

Ce DPA s'applique au traitement des Données Personnelles par GitScrum pour le compte du Responsable du traitement dans le cadre des Services. Ce DPA complète l'Accord Principal et ne modifie aucun terme de l'Accord Principal sauf dans la mesure expressément énoncée dans ce document.

2.2 Rôles des Parties

Aux fins du traitement des Données Personnelles dans le cadre des Services :

Le Responsable du traitement agit en tant que Responsable du traitement des données et détermine les finalités et les moyens du traitement des Données Personnelles
GitScrum agit en tant que Sous-traitant des données et traite les Données Personnelles uniquement pour le compte du Responsable du traitement et conformément aux instructions documentées du Responsable du traitement

2.3 Durée

Ce DPA restera en vigueur tant que GitScrum traite des Données Personnelles pour le compte du Responsable du traitement, même après la résiliation de l'Accord Principal, jusqu'à ce que toutes les Données Personnelles aient été supprimées ou retournées conformément à la Section 10 de ce DPA.

3. DÉTAILS DU TRAITEMENT

3.1 Objet du Traitement

Objet: Fourniture de services basés sur le cloud de gestion de projets et de collaboration d'équipe tels que décrits dans l'Accord Principal.

Durée: La durée du traitement est depuis la Date d'Entrée en Vigueur de l'Accord Principal jusqu'à la résiliation ou l'expiration de l'Accord Principal, plus toute période supplémentaire nécessaire pour remplir les obligations post-résiliation en vertu de ce DPA (généralement 30 jours pour la récupération et la suppression des données).

3.2 Nature et Finalité du Traitement

Nature du Traitement: GitScrum traite les Données Personnelles en fournissant des services logiciels basés sur le cloud comprenant le stockage, l'organisation, la récupération, la transmission et l'affichage des données via la plateforme GitScrum.

Finalité du Traitement: La seule finalité du traitement est de fournir les Services au Responsable du Traitement tel que décrit dans l'Accord Principal, y compris:

Stockage : Stockage sécurisé des Données Personnelles dans l'infrastructure cloud
Accès : Fourniture d'accès aux utilisateurs autorisés en fonction des permissions configurées par le Responsable du traitement
Transmission : Transmission de données entre les serveurs, les appareils des utilisateurs et les services intégrés
Sauvegarde : Sauvegardes régulières des données pour la reprise après sinistre et la continuité des activités
Analyse : Analyse des performances, de l'utilisation et du comportement des utilisateurs pour fournir et améliorer les Services
Support : Fourniture de support technique client et résolution de problèmes
Intégration : Facilitation des intégrations avec des services tiers configurés par le Responsable du traitement

GitScrum ne traitera pas les Données Personnelles à d'autres fins sauf instruction spécifique du Responsable du Traitement par écrit ou si la loi applicable l'exige.

3.3 Types de Données Personnelles Traitées

Les catégories suivantes de Données Personnelles peuvent être traitées :

Note: Le Responsable du Traitement détermine quels types de Données Personnelles sont traités. GitScrum ne contrôle ni ne détermine les Données Personnelles spécifiques téléchargées par le Responsable du Traitement.

3.4 Catégories de Personnes Concernées

Les Données Personnelles concernent les catégories suivantes de Personnes Concernées :

Employés, sous-traitants et représentants du Responsable du traitement
Employés, sous-traitants et représentants des clients du Responsable du traitement
Membres de l'équipe projet ayant accès à la plateforme du Responsable du traitement
Utilisateurs finaux des projets gérés sur la plateforme
Toute autre personne dont les Données Personnelles sont saisies par le Responsable du traitement ou ses utilisateurs dans la plateforme

4. INSTRUCTIONS ET OBLIGATIONS DU RESPONSABLE DU TRAITEMENT

4.1 Instructions du Responsable du traitement

GitScrum traitera les Données Personnelles uniquement conformément aux instructions légales documentées du Responsable du traitement. L'Accord Principal, ce DPA et la configuration des Services par le Responsable du traitement constituent les instructions documentées initiales du Responsable du traitement.

Instructions Documentées: Les instructions du Responsable du Traitement pour le traitement des Données Personnelles sont documentées et limitées à:

Instructions Hors du Champ d'Application: Si GitScrum estime qu'une instruction du Responsable du Traitement viole le RGPD ou d'autres lois applicables sur la protection des données, GitScrum informera rapidement le Responsable du Traitement et pourra suspendre l'exécution de l'instruction jusqu'à ce que le Responsable du Traitement confirme ou modifie l'instruction.

4.2 Obligations du Responsable du traitement

Le Responsable du traitement garantit et accepte que :

Il dispose et maintiendra toutes les bases juridiques nécessaires pour le traitement des Données Personnelles en vertu de ce DPA, y compris le consentement lorsque requis
Il a fourni et continuera à fournir des avis de confidentialité appropriés aux Personnes Concernées les informant du traitement, y compris l'utilisation de Sous-traitants comme GitScrum
Il a obtenu et maintiendra toutes les autorisations nécessaires des Personnes Concernées pour le traitement des Données Personnelles en vertu de ce DPA
Il se conformera aux lois sur la protection des données applicables concernant le traitement des Données Personnelles, y compris la détermination des finalités et moyens légaux de traitement
Il ne fournira pas à GitScrum d'instructions qui violent les lois sur la protection des données applicables
Il est seul responsable de l'exactitude, de la qualité et de la légalité des Données Personnelles fournies à GitScrum et des moyens par lesquels elles ont été obtenues

4.3 Conformité du Responsable du traitement

Le Responsable du traitement est seul responsable de s'assurer que son utilisation des Services et toute instruction donnée à GitScrum est conforme aux lois sur la protection des données applicables. GitScrum n'est pas responsable des violations de la protection des données par le Responsable du traitement.

5. OBLIGATIONS DU SOUS-TRAITANT

5.1 Traitement Conformément aux Instructions

GitScrum traitera les Données Personnelles uniquement conformément aux instructions documentées du Responsable du traitement et à aucune autre fin, sauf si le droit de l'Union européenne ou de l'État membre applicable l'exige. Dans ce cas, GitScrum informera le Responsable du traitement de cette exigence légale avant le traitement (sauf si la loi interdit une telle notification pour des raisons importantes d'intérêt public).

5.2 Confidentialité

GitScrum s'assurera que les personnes autorisées à traiter les Données Personnelles :

Tous les employés, sous-traitants et agents de GitScrum ayant accès aux Données Personnelles:

5.3 Mesures de Sécurité

GitScrum mettra en œuvre et maintiendra des mesures techniques et organisationnelles appropriées pour protéger les Données Personnelles contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dommages accidentels, en tenant compte de l'état de l'art, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement, ainsi que du risque de probabilité et de gravité variables pour les droits et libertés des Personnes Concernées. Ces mesures comprennent :

GitScrum met en œuvre et maintient les mesures de sécurité techniques et organisationnelles suivantes:

Chiffrement

Contrôles d'Accès

Sécurité du Réseau

Protection des Données

Réponse aux Incidents

Sécurité du Personnel

Sécurité Physique

Sécurité des Applications

Continuité des Activités

Audit et Conformité

Documentation de Sécurité: Sur demande écrite du Responsable du Traitement (pas plus d'une fois par an), GitScrum fournira une documentation décrivant les mesures de sécurité techniques et organisationnelles mises en œuvre.

Mises à jour des mesures de sécurité: GitScrum peut mettre à jour ou modifier les mesures de sécurité de temps à autre, à condition que ces mises à jour ne réduisent pas sensiblement le niveau global de sécurité des Services.

6. SOUS-TRAITANTS ULTÉRIEURS

6.1 Autorisation Générale

Le Responsable du traitement autorise GitScrum à engager des Sous-traitants ultérieurs pour traiter des Données Personnelles dans le cadre des Services, sous réserve du respect de cette Section 6.

6.2 Liste des Sous-traitants ultérieurs

La liste actuelle des Sous-traitants ultérieurs à la Date d'Entrée en Vigueur de ce DPA est la suivante :

Sous-traitant ultérieur	Finalité	Localisation	Données Traitées
Amazon Web Services (AWS)	Hébergement cloud et infrastructure	États-Unis, UE (Francfort, Irlande)	Toutes les données client
Stripe, Inc.	Traitement des paiements	États-Unis	Données de facturation, historique des transactions
Postmark (ActiveCampaign)	Livraison d'e-mails transactionnels	États-Unis	Adresses e-mail, contenu des notifications
Cloudflare, Inc.	CDN, Sécurité, Performance	Mondial (nœuds edge)	Adresses IP, métadonnées de trafic web
Sentry.io	Surveillance et suivi des erreurs	États-Unis	Données de diagnostic technique, traces d'erreurs

6.3 Obligations des Sous-traitants

GitScrum devra :

Imposer aux Sous-traitants des obligations de protection des données substantiellement équivalentes à celles énoncées dans ce DPA, exigeant notamment que les Sous-traitants mettent en œuvre des mesures de sécurité techniques et organisationnelles appropriées
Conclure des accords écrits avec chaque Sous-traitant comprenant des termes substantiellement similaires à ceux de ce DPA (y compris la confidentialité, la sécurité, la notification de violation de données et les obligations de suppression de données)
S'assurer que les Sous-traitants traitent les Données Personnelles uniquement conformément aux instructions du Responsable du Traitement documentées dans ce DPA
Rester entièrement responsable envers le Responsable du Traitement de l'exécution des obligations de tout Sous-traitant, comme si GitScrum exécutait directement les services

6.4 Nouveaux Sous-traitants - Notification et Objection

Notification : GitScrum fournira au Responsable du Traitement un préavis écrit d'au moins 30 jours avant d'ajouter un nouveau Sous-traitant ou de remplacer un Sous-traitant existant.

Méthode de Notification : La notification sera fournie par :

Email à l'adresse email enregistrée du compte du Responsable du Traitement
Mise à jour de la Liste Publique des Sous-traitants sur gitscrum.com/legal/subprocessors avec la date de mise à jour
Notification dans la plateforme (si applicable)

Droits d'Objection : Si le Responsable du Traitement a des motifs légitimes liés à la protection des données pour s'opposer à la nomination d'un nouveau Sous-traitant par GitScrum, le Responsable du Traitement doit notifier GitScrum par écrit dans les 30 jours suivant la réception de l'avis, en indiquant clairement les motifs de l'objection.

Processus de Résolution :

GitScrum déploiera des efforts raisonnables pour répondre aux préoccupations du Responsable du Traitement ou fournir une solution alternative (par exemple, ne pas utiliser le Sous-traitant pour les données du Responsable du Traitement, migrer vers un autre Sous-traitant)
Si GitScrum ne peut pas fournir une alternative raisonnable dans les 60 jours et que le Responsable du Traitement maintient une objection légitime, le Responsable du Traitement peut résilier la partie concernée des Services (ou l'intégralité de l'Accord Principal si le Sous-traitant est essentiel aux Services) sans pénalité ni frais pour le reste de la période prépayée

Absence d'Objection : Si le Responsable du Traitement ne s'oppose pas dans les 30 jours suivant la notification, le Responsable du Traitement est réputé avoir accepté le nouveau Sous-traitant.

6.5 Audits des Sous-traitants

Sur demande écrite du Responsable du Traitement (pas plus d'une fois par an, sauf si requis par une Autorité de Contrôle ou la loi applicable), GitScrum fournira :

Copies des accords de sous-traitance standard (avec les informations commercialement sensibles expurgées)
Preuve des certifications de sécurité des Sous-traitants (par exemple, ISO 27001, SOC 2 Type II)
Résumé de la diligence raisonnable effectuée sur les Sous-traitants

7. DROITS DES PERSONNES CONCERNÉES

7.1 Assistance pour les Demandes des Personnes Concernées

Compte tenu de la nature du traitement, GitScrum fournira une assistance raisonnable au Responsable du Traitement pour lui permettre de répondre aux demandes des Personnes Concernées exerçant leurs droits en vertu du RGPD, notamment :

Droit d'accès (Article 15)
Droit de rectification (Article 16)
Droit à l'effacement / "droit à l'oubli" (Article 17)
Droit à la limitation du traitement (Article 18)
Droit à la portabilité des données (Article 20)
Droit d'opposition (Article 21)
Droits relatifs à la prise de décision automatisée et au profilage (Article 22)

7.2 Assistance de GitScrum

GitScrum fournira une assistance raisonnable au Responsable du traitement pour répondre aux demandes des Personnes Concernées, en tenant compte de la nature du traitement. GitScrum fournira des outils en libre-service lorsque possible pour permettre au Responsable du traitement de répondre directement aux demandes des Personnes Concernées via la plateforme.

Exportation de Données : Le Responsable du traitement peut exporter toutes les Données Personnelles dans des formats structurés (JSON, CSV) via le panneau d'administration
Suppression de Données : Le Responsable du traitement peut supprimer des comptes utilisateur, des projets et les données associées via le panneau d'administration
Correction de Données : Les utilisateurs peuvent mettre à jour leurs propres informations de profil directement ; les administrateurs du Responsable du traitement peuvent corriger d'autres données via la plateforme
Restriction d'Accès : Le Responsable du traitement peut désactiver des comptes utilisateur ou restreindre les permissions via le panneau d'administration

7.3 Mécanisme d'Assistance

Demandes Directes à GitScrum : Si une Personne Concernée soumet une demande directement à GitScrum (plutôt qu'au Responsable du Traitement), GitScrum :

Notifiera rapidement le Responsable du Traitement de la demande dans les 5 jours ouvrables
Ne répondra pas directement à la Personne Concernée sauf si légalement requis
Redirigera la Personne Concernée pour soumettre la demande au Responsable du Traitement (si approprié et légalement autorisé)

Demandes d'Assistance du Responsable du Traitement : Si le Responsable du Traitement demande l'assistance de GitScrum pour répondre à une demande d'une Personne Concernée :

1. Processus de Demande : Le Responsable du Traitement doit soumettre une demande écrite à GitScrum à privacy[at]gitscrum.com ou dpo[at]gitscrum.com, incluant :

Identification de la Personne Concernée
Nature de la demande (accès, suppression, rectification, etc.)
Assistance spécifique nécessaire de GitScrum
Délai raisonnable de réponse (minimum 10 jours ouvrables sauf si légalement requis plus tôt)

2. Réponse de GitScrum : GitScrum fournira une assistance par :

Demandes d'Accès : Fournir des outils au sein de la plateforme pour que le Responsable du Traitement exporte les Données Personnelles, ou assister à la récupération des données si nécessaire
Demandes de Suppression : Fournir des outils pour que le Responsable du Traitement supprime les Données Personnelles, ou supprimer les données sur instruction du Responsable du Traitement
Demandes de Rectification : Permettre au Responsable du Traitement de mettre à jour les données inexactes via l'interface de la plateforme
Demandes de Restriction/Opposition : Fournir des fonctionnalités pour restreindre le traitement ou assister à la suspension de compte selon les instructions du Responsable du Traitement
Demandes de Portabilité : Fournir les Données Personnelles dans un format structuré, couramment utilisé et lisible par machine (par exemple, JSON, CSV) sur demande

3. Délai de Réponse : GitScrum répondra aux demandes d'assistance du Responsable du Traitement dans les 10 jours ouvrables, ou plus tôt si requis par la loi ou l'urgence de la demande.

7.4 Coûts

Si le respect des demandes des Personnes Concernées nécessite un effort significatif au-delà des fonctionnalités en libre-service standard, GitScrum peut facturer des frais raisonnables basés sur les coûts administratifs. GitScrum fournira une estimation avant d'engager de tels coûts.

8. NOTIFICATION DE VIOLATION DE DONNÉES

8.1 Notification au Responsable du traitement

GitScrum notifiera le Responsable du traitement sans délai injustifié et, lorsque possible, dans les 72 heures après avoir pris connaissance d'une Violation de Données Personnelles affectant les Données Personnelles du Responsable du traitement.

8.2 Contenu de la Notification de Violation

La notification inclura, dans la mesure des connaissances au moment de la notification :

Description de la violation : Nature de la Violation de Données Personnelles, y compris, lorsque possible, les catégories et le nombre approximatif de Personnes Concernées affectées et les catégories et le nombre approximatif d'enregistrements de Données Personnelles affectés
Contact GitScrum : Nom et coordonnées du Délégué à la Protection des Données de GitScrum ou autre point de contact pour plus d'informations
Conséquences probables : Description des conséquences probables et des risques potentiels pour les Personnes Concernées
Mesures d'atténuation : Description des mesures prises ou proposées par GitScrum pour remédier à la violation, atténuer ses effets néfastes et prévenir de futures violations
Actions recommandées : Recommandations au Responsable du traitement pour atténuer les effets néfastes potentiels sur les Personnes Concernées

8.3 Enquête et Remédiation des Violations

Dès la prise de connaissance d'une Violation de Données Personnelles, GitScrum devra :

Prendre des mesures immédiates pour contenir et enquêter sur la violation
Préserver les preuves et informations forensiques liées à la violation
Mettre en œuvre des mesures de remédiation pour prévenir la récurrence
Coopérer avec le Responsable du traitement dans les activités d'enquête et de réponse à la violation
Fournir des mises à jour raisonnables au Responsable du traitement sur l'état des efforts de remédiation

8.4 Obligations de Notification du Responsable du traitement

Le Responsable du traitement reconnaît qu'il est seul responsable de :

Déterminer si la notification aux Personnes Concernées et/ou aux Autorités de Contrôle est requise en vertu de la loi applicable
Fournir ces notifications conformément aux Articles 33 et 34 du RGPD et aux lois sur la protection des données applicables
Déterminer le contenu et le calendrier de ces notifications

8.5 Pas d'Admission de Faute

La notification d'une violation par GitScrum en vertu de cette Section 8 ne constituera pas une admission par GitScrum de faute ou de responsabilité concernant la violation.

9. ANALYSES D'IMPACT RELATIVES À LA PROTECTION DES DONNÉES ET CONSULTATION PRÉALABLE

9.1 Assistance aux AIPD

Lorsque le Responsable du traitement est tenu de réaliser une Analyse d'Impact relative à la Protection des Données (AIPD) en vertu de l'Article 35 du RGPD ou une consultation préalable auprès d'une Autorité de Contrôle en vertu de l'Article 36 du RGPD, GitScrum fournira une assistance raisonnable au Responsable du traitement, en tenant compte de la nature du traitement et des informations disponibles pour GitScrum.

9.2 Responsabilité du Responsable du traitement

Le Responsable du traitement est seul responsable de :

Déterminer si une AIPD (Analyse d'Impact relative à la Protection des Données) est requise
Réaliser l'AIPD
Déterminer si une consultation préalable auprès d'une Autorité de Contrôle est requise
Réaliser cette consultation préalable

9.3 Processus de Demande

Les demandes d'assistance pour les AIPD ou les consultations préalables doivent être soumises à privacy[at]gitscrum.com ou dpo[at]gitscrum.com, avec un préavis raisonnable (minimum 30 jours) et des informations suffisantes pour permettre à GitScrum de fournir une assistance significative.

10. SUPPRESSION ET RESTITUTION DES DONNÉES PERSONNELLES

10.1 Suppression des Données Après Résiliation

À la résiliation du Contrat, GitScrum, selon le choix du Responsable du traitement:

Option 1 : Restitution des Données

Exporter toutes les Données Personnelles dans un format couramment utilisé et lisible par machine
Fournir l'accès aux outils d'exportation de données pendant une période de 30 jours après la résiliation
Assister à la migration des données vers un service successeur sur demande raisonnable

Option 2 : Suppression des Données

Supprimer de manière sécurisée toutes les Données Personnelles des systèmes actifs dans les 90 jours
Purger les copies de sauvegarde dans les 180 jours suivant le cycle standard de rotation des sauvegardes
Fournir une certification écrite de la suppression sur demande

Processus de Choix :

Le Responsable du traitement doit notifier GitScrum par écrit de sa préférence au moins 14 jours avant la date effective de résiliation. Si aucun choix n'est fait, la suppression sera l'action par défaut.

10.2 Période de Conservation des Données Post-Résiliation

GitScrum conservera les Données Personnelles pendant 30 jours après la résiliation de l'Accord Principal pour permettre au Responsable du traitement de récupérer ou exporter les données. Après cette période, les Données Personnelles seront supprimées de manière sécurisée, sauf si le Responsable du traitement demande une suppression anticipée.

10.3 Exceptions

Nonobstant ce qui précède, GitScrum peut conserver des Données Personnelles lorsque la loi applicable l'exige, à condition que GitScrum:

Ne conserve que les données minimales nécessaires pour se conformer à l'obligation légale
Continue de protéger les données conservées conformément au présent Contrat
Supprime les données rapidement une fois l'obligation légale expirée

10.4 Certification de Suppression

Sur demande écrite du Responsable du traitement, GitScrum fournira une certification écrite que les Données Personnelles ont été supprimées conformément à cette Section 10, sauf lorsque la conservation est requise par la loi.

11. AUDITS ET CONFORMITÉ

11.1 Droits d'Audit

GitScrum mettra à la disposition du Responsable du traitement toutes les informations raisonnablement nécessaires pour démontrer la conformité aux obligations énoncées dans ce DPA et à l'Article 28 du RGPD, et permettra et contribuera aux audits, y compris les inspections, menés par le Responsable du traitement ou un auditeur mandaté par le Responsable du traitement.

11.2 Processus d'Audit

GitScrum soutiendra les exigences d'audit du Responsable du traitement par les mécanismes suivants:

Documentation de Conformité Standard :

Sur demande écrite du Responsable du traitement, GitScrum fournira des copies des rapports d'audit tiers et des certifications actuelles sans frais supplémentaires.

Audits sur Site :

Le Responsable du traitement peut effectuer ou commanditer des audits sur site sous réserve des conditions suivantes:

Préavis : Minimum 30 jours de préavis écrit, incluant la portée et la durée proposées
Horaires : Les audits doivent être programmés pendant les heures ouvrables normales et ne peuvent pas dépasser 3 jours ouvrables
Fréquence : Pas plus d'un audit par année civile, sauf si requis par une autorité de régulation
Confidentialité : Les auditeurs doivent signer l'accord de confidentialité standard de GitScrum avant d'obtenir l'accès
Limitation de Portée : Les audits sont limités aux systèmes, processus et installations directement impliqués dans le traitement des Données Personnelles du Responsable
Répartition des Coûts : Le Responsable du traitement supporte tous les coûts associés aux audits sur site, y compris les coûts raisonnables de personnel de GitScrum aux tarifs standard des services professionnels
Remédiation : Si les conclusions de l'audit identifient une non-conformité matérielle, GitScrum préparera un plan de remédiation dans les 30 jours et mettra en œuvre les corrections dans un délai mutuellement convenu

11.3 Vérification de Conformité Alternative

GitScrum peut satisfaire aux obligations d'audit en fournissant des rapports d'audit tiers (par exemple, SOC 2 Type II, certification ISO 27001) au lieu d'audits sur site, à la discrétion de GitScrum.

11.4 Confidentialité des Informations d'Audit

Toutes les informations, rapports et documents obtenus lors des audits sont des Informations Confidentielles de GitScrum et seront traités comme tels par le Responsable du traitement et ses auditeurs.

12. TRANSFERTS INTERNATIONAUX DE DONNÉES

12.1 Emplacements de Transfert de Données

GitScrum exploite une infrastructure dans les régions suivantes:

Centres de Données Primaires : Union Européenne (Allemagne, Irlande)
Installations de Sauvegarde : Espace Économique Européen
Livraison de Contenu : Emplacements de périphérie mondiaux avec uniquement des données en cache, pas de stockage persistant

Mesures Supplémentaires

Lorsque des Données Personnelles sont transférées vers des pays en dehors de l'EEE qui ne bénéficient pas d'une décision d'adéquation, GitScrum met en œuvre les mesures supplémentaires suivantes:

Mesures Techniques : Chiffrement de bout en bout en transit (TLS 1.3) et au repos (AES-256), pseudonymisation lorsque faisable, contrôles d'accès et journalisation
Mesures Organisationnelles : Politiques de traitement des données, formation régulière à la sécurité, évaluations des risques des fournisseurs, procédures de réponse aux incidents
Mesures Contractuelles : Clauses Contractuelles Types, accords de traitement des données avec tous les sous-traitants, règles d'entreprise contraignantes le cas échéant

12.2 Transferts vers des Pays Tiers

Si des Données Personnelles sont transférées depuis l'Espace Économique Européen (EEE) vers des pays en dehors de l'EEE qui n'ont pas fait l'objet d'une décision d'adéquation de la Commission européenne (« Pays Tiers »), GitScrum s'assurera que des garanties appropriées sont en place comme l'exige le Chapitre V du RGPD.

12.3 Clauses Contractuelles Types (CCT)

Dans la mesure où GitScrum traite des Données Personnelles dans, ou transfère des Données Personnelles vers, des Pays Tiers, les parties conviennent de conclure et de se conformer aux Clauses Contractuelles Types (CCT) pour les transferts internationaux de données approuvées par la Commission européenne (Décision d'exécution de la Commission (UE) 2021/914 du 4 juin 2021), qui sont incorporées dans ce DPA par référence.

12.4 Évaluations d'Impact des Transferts (EIT)

GitScrum effectue des Évaluations d'Impact des Transferts (EIT) pour les transferts vers des Pays Tiers afin d'évaluer le cadre juridique dans les pays de destination et de s'assurer que des garanties adéquates existent pour protéger les Données Personnelles.

12.5 Mécanismes de Transfert International de Données

Pour les transferts de Données Personnelles de l'UE/EEE vers les États-Unis, GitScrum s'appuie sur les Clauses Contractuelles Types (CCT) approuvées par la Commission européenne (Décision 2021/914).

12.6 Décisions d'Adéquation

GitScrum peut également transférer des Données Personnelles vers des Pays Tiers ayant fait l'objet d'une décision d'adéquation de la Commission européenne, auquel cas les garanties décrites aux Sections 12.3 et 12.4 ne sont pas requises.

12.7 Mécanismes de Transfert Alternatifs

Si les CCT sont invalidées, modifiées ou remplacées par une autorité de contrôle ou une décision de justice (comme ce fut le cas dans la décision Schrems II), les parties conviennent de coopérer de bonne foi pour mettre en œuvre des mécanismes de transfert alternatifs conformes aux lois sur la protection des données applicables.

13. DURÉE ET RÉSILIATION DU DPA

13.1 Durée

Ce DPA entre en vigueur à la Date d'Entrée en Vigueur de l'Accord Principal et restera pleinement en vigueur jusqu'à la résiliation ou l'expiration de l'Accord Principal.

13.2 Résiliation

Chaque partie peut résilier ce Contrat:

À la résiliation du Contrat sous-jacent
Pour violation matérielle de ce Contrat, si cette violation n'est pas corrigée dans les 30 jours suivant la notification écrite
Si requis par la législation applicable en matière de protection des données

Sections qui Survivent :

Les sections suivantes survivent à la résiliation : Confidentialité (Section 5), Suppression des Données (Section 10), Responsabilité (Section 14), et toute autre disposition qui par sa nature devrait survivre.

13.3 Effet de la Résiliation

À la résiliation de ce Contrat:

GitScrum cessera tout traitement des Données Personnelles sauf si nécessaire pour remplir les obligations restantes
Les dispositions de suppression des données de la Section 10 s'appliqueront
Chaque partie restituera ou détruira toutes les Informations Confidentielles de l'autre partie
Tout droit ou obligation acquis de l'une ou l'autre partie restera en vigueur

14. RESPONSABILITÉ ET INDEMNISATION

14.1 Responsabilité en vertu du RGPD

Chaque partie sera responsable des dommages causés par un traitement qui enfreint le RGPD:

Responsabilité du Responsable du traitement : Le Responsable du traitement est responsable de l'intégralité du dommage causé par un traitement non conforme au RGPD
Responsabilité du Sous-traitant : GitScrum n'est responsable du dommage causé par le traitement que s'il n'a pas respecté les obligations du RGPD spécifiquement applicables aux sous-traitants, ou s'il a agi en dehors ou en violation des instructions légales du Responsable du traitement
Responsabilité Solidaire : Lorsque les deux parties sont responsables d'un dommage causé par le traitement, chaque partie sera tenue responsable de l'intégralité du dommage pour assurer une compensation effective de la personne concernée

Droit de Recours :

Lorsqu'une partie a payé la compensation totale pour le dommage subi, cette partie a le droit de réclamer à l'autre partie la part de la compensation correspondant à sa part de responsabilité dans le dommage.

14.2 Relation avec l'Accord Principal

Sous réserve de la Section 15 (Limitation de Responsabilité), la responsabilité de chaque partie en vertu de ce DPA s'ajoute à, et ne remplace pas, toute responsabilité en vertu de l'Accord Principal.

14.3 Indemnisation par GitScrum

GitScrum accepte d'indemniser, défendre et dégager le Responsable du traitement de toute réclamation, dommage, perte et dépense (y compris les honoraires d'avocat raisonnables) découlant de:

La violation de ce Contrat par GitScrum
La violation des lois de protection des données applicables par GitScrum
La négligence ou la faute intentionnelle de GitScrum dans le traitement des Données Personnelles
Toute divulgation ou accès non autorisé aux Données Personnelles causé par l'échec de GitScrum à mettre en œuvre des mesures de sécurité appropriées

14.4 Indemnisation par le Responsable du traitement

Le Responsable du traitement accepte d'indemniser, défendre et dégager GitScrum de toute réclamation, dommage, perte et dépense (y compris les honoraires d'avocat raisonnables) découlant de:

La violation de ce Contrat par le Responsable du traitement
La violation des lois de protection des données applicables par le Responsable du traitement
Les instructions de traitement données par le Responsable du traitement qui enfreignent les lois de protection des données
Toute réclamation des personnes concernées découlant du non-respect par le Responsable du traitement de ses obligations de transparence ou de réponse aux demandes des personnes concernées

15. LIMITATION DE RESPONSABILITÉ

15.1 Plafond de Responsabilité

La responsabilité globale de chaque partie pour toutes les réclamations découlant de ou liées à ce DPA (y compris les réclamations d'indemnisation) sera limitée à :

15.2 Exclusions de la Limitation

Les limitations de la Section 15.1 NE s'appliquent PAS à :

Faute intentionnelle : Dommages résultant d'une faute intentionnelle ou d'une négligence grave de l'une ou l'autre partie
Obligations d'indemnisation : Obligations d'indemnisation en vertu de la Section 14 résultant d'amendes ou pénalités réglementaires directement imposées par une Autorité de Contrôle
Violation de confidentialité : Violation des obligations de confidentialité lorsque GitScrum divulgue intentionnellement des Données Personnelles à des tiers non autorisés
Réclamations des personnes concernées : Compensation directe due aux Personnes Concernées en vertu de l'Article 82 du RGPD
Obligations de paiement : Défaut du Responsable du traitement de payer les frais dus à GitScrum en vertu de l'Accord Principal

15.3 Exclusion des Dommages Indirects

En aucun cas l'une ou l'autre partie ne sera responsable de dommages indirects, accessoires, spéciaux, punitifs ou consécutifs, y compris la perte de profits, de revenus, de données ou d'utilisation, subis par l'une ou l'autre partie ou tout tiers, que ce soit dans le cadre d'une action contractuelle, délictuelle ou de toute autre théorie, même si cette partie a été avisée de la possibilité de tels dommages.

15.4 Répartition de la Responsabilité pour les Réclamations Conjointes

Si les deux parties sont responsables de dommages causés à une Personne Concernée en vertu de l'Article 82 du RGPD, la responsabilité sera répartie entre les parties en fonction de la proportion de responsabilité de chaque partie dans le dommage, déterminée conformément à l'Article 82(4) du RGPD.

16. MODIFICATIONS ET MISES À JOUR DU DPA

16.1 Modifications Matérielles

GitScrum peut mettre à jour ce Contrat périodiquement pour refléter les changements dans:

Les lois et règlements de protection des données applicables
Les orientations des autorités de protection des données
Nos opérations de traitement ou mesures de sécurité
Les meilleures pratiques de l'industrie

Processus de Notification :

Pour les modifications matérielles, GitScrum fournira un préavis d'au moins 30 jours via:

Courriel au contact désigné du Responsable du traitement
Avis visible dans la plateforme GitScrum
Publication sur notre page de mises à jour juridiques

Droit d'Opposition :

Si le Responsable du traitement s'oppose à des modifications matérielles, le Responsable du traitement peut résilier les services concernés dans les 30 jours suivant la notification. L'utilisation continue des services GitScrum après la date d'entrée en vigueur constitue une acceptation du Contrat mis à jour.

16.2 Consentement du Responsable du traitement

L'utilisation continue des Services par le Responsable du traitement après la date d'entrée en vigueur du DPA mis à jour constitue l'acceptation des modifications. Si le Responsable du traitement n'est pas d'accord avec les modifications substantielles, le Responsable du traitement peut résilier les Services (et ce DPA) dans les 30 jours suivant la réception de la notification de la modification substantielle, en fournissant un avis écrit à GitScrum.

16.3 Versionnage du DPA

Chaque version de ce DPA aura un numéro de version et une date d'entrée en vigueur. La version actuelle est disponible à :

17. PRIORITÉ ET CONFLITS

17.1 Ordre de Préséance

En cas de conflit ou d'incohérence entre les documents, l'ordre de préséance suivant s'appliquera (du plus élevé au plus bas):

Les lois de protection des données applicables (RGPD, LGPD, etc.)
Ce Contrat de Traitement des Données
Tout amendement contractuel négocié signé par les deux parties
Les Conditions de Service principales / Contrat Cadre
La Politique de Confidentialité de GitScrum
Toute autre politique ou documentation référencée

Pour clarification : les exigences légales obligatoires prévalent toujours. Ce Contrat prévaut sur les Conditions de Service uniquement pour les questions de protection des données.

17.2 Conformité Réglementaire

Si une loi ou réglementation sur la protection des données exige que GitScrum prenne une mesure qui entre en conflit avec l'Accord Principal, GitScrum prendra cette mesure comme l'exige la loi sans violer l'Accord Principal. GitScrum notifiera le Responsable du traitement de ce conflit et des mesures prises pour le résoudre.

18. LOI APPLICABLE ET RÉSOLUTION DES LITIGES

18.1 Loi Applicable

Ce DPA sera régi et interprété conformément aux lois du Portugal, sans tenir compte des principes de conflits de lois.

18.2 Juridiction

Tout litige découlant de ou lié à ce DPA sera soumis à la juridiction exclusive des tribunaux de Lisbonne, Portugal.

18.3 Résolution Alternative des Litiges

Avant d'engager toute action en justice (sauf action injonctive d'urgence), les parties tenteront d'abord de résoudre le litige par des négociations de bonne foi entre les représentants de la direction de chaque partie.

18.4 Réclamations des Personnes Concernées et des Autorités de Contrôle

Rien dans cette Section 18 ne limite les droits :

19. DISPOSITIONS GÉNÉRALES

19.1 Accord Intégral

Ce DPA, conjointement avec l'Accord Principal et toutes les annexes jointes ou incorporées par référence, constitue l'accord intégral entre les parties concernant le traitement des Données Personnelles et remplace tous les accords, ententes, négociations et discussions antérieurs ou contemporains, qu'ils soient oraux ou écrits, entre les parties.

19.2 Cession

Aucune des parties ne peut céder ou transférer ce DPA, ni aucun droit ou obligation au titre de celui-ci, sans le consentement écrit préalable de l'autre partie, sauf que :

19.3 Divisibilité

Si une disposition de ce DPA est jugée invalide, illégale ou inapplicable par un tribunal compétent, les dispositions restantes resteront pleinement en vigueur. La disposition invalide sera modifiée dans la mesure minimale nécessaire pour la rendre valide et applicable tout en préservant au maximum l'intention originale des parties.

19.4 Notifications

Toutes les notifications en vertu de ce Contrat doivent être faites par écrit et livrées à:

À GitScrum :

Courriel : dpo[at]gitscrum.com
Adresse : GitScrum, Inc., Bureau de Protection des Données, [Adresse]

Au Responsable du traitement :

À l'adresse courriel et l'adresse physique associées au compte du Responsable du traitement, ou comme autrement spécifié dans le Contrat principal.

Effet de la Notification :

Les notifications sont effectives dès : (a) la livraison personnelle ; (b) le deuxième jour ouvrable après l'envoi postal ; (c) le deuxième jour ouvrable après l'envoi par courriel confirmé.

19.5 Notifications

Toutes les notifications en vertu de ce DPA doivent être écrites et remises par :

19.6 Entrepreneurs Indépendants

Les parties sont des entrepreneurs indépendants. Rien dans ce DPA ne crée un partenariat, une coentreprise, une agence ou une relation d'emploi entre les parties.

19.7 Droits des Tiers

Sauf disposition expresse contraire dans les CCT (où les Personnes Concernées sont des tiers bénéficiaires), ce DPA ne confère aucun droit ou recours à toute personne autre que les parties à ce DPA.

20. COORDONNÉES

Pour les questions ou demandes relatives à ce DPA ou à la protection des données, veuillez contacter :

Délégué à la Protection des Données (DPO) :

dpo[at]gitscrum.com

Délai de réponse : 10 jours ouvrés

Département Juridique :

legal[at]gitscrum.com

Demandes de Confidentialité :

privacy[at]gitscrum.com

Support Client :

customer.service[at]gitscrum.com

Autorité de contrôle (Portugal) :

Comissão Nacional de Proteção de Dados (CNPD)

https://www.cnpd.pt/

geral[at]cnpd.pt

21. RECONNAISSANCE ET ACCEPTATION

En utilisant les Services de GitScrum et en traitant des Données Personnelles via la plateforme, le Responsable du Traitement reconnaît et accepte que :

Le Responsable du Traitement a lu et compris cet Accord de Traitement des Données dans son intégralité
Le Responsable du Traitement accepte d'être lié par tous les termes et conditions énoncés dans ce DPA
Le Responsable du Traitement a l'autorité pour conclure ce DPA au nom de l'organisation qu'il représente
Le Responsable du Traitement traitera les Données Personnelles conformément à toutes les lois applicables en matière de protection des données, y compris le RGPD
Le Responsable du Traitement ne donnera pas d'instructions à GitScrum qui entraîneraient une violation des lois applicables en matière de protection des données
Le Responsable du Traitement reconnaît que ce DPA fait partie intégrante de l'Accord Principal (Conditions Générales)
Le Responsable du Traitement comprend ses obligations en tant que Responsable du Traitement et le rôle de GitScrum en tant que Sous-traitant

Date d'Entrée en Vigueur de l'Acceptation : La date à laquelle le Responsable du Traitement accepte pour la première fois l'Accord Principal ou commence à utiliser les Services (la première des deux dates).