Accord de traitement des données (DPA)

Le présent Accord de Traitement des Données (« DPA ») complète les CGV et les CGU de DAVA.

Il définit les conditions dans lesquelles LA MINE traite des données personnelles pour le compte de ses Clients conformément au Règlement (UE) 2016/679 (« RGPD »).

Responsable de traitement

Le Client utilisant DAVA.

Le Client détermine les finalités et les moyens essentiels des traitements réalisés dans le cadre de son activité.

Sous-traitant

LA MINE

SAS au capital de 1 000 €

34 Place du Général de Gaulle, Bureau 3, 59800 Lille – France

SIREN : 918 492 018

LA MINE agit exclusivement en qualité de sous-traitant pour les traitements réalisés au nom et pour le compte du Client.

DAVA permet notamment :

• l'importation de données comptables ;
• l'importation de fichiers FEC ;
• l'importation de données sociales ;
• l'importation de données bancaires ;
• la production d'indicateurs financiers ;
• la simulation de scénarios financiers ;
• l'analyse automatisée de données d'entreprise.

Selon l'utilisation du service :

Données d'identification

• nom ;
• prénom ;
• adresse email ;
• fonction.

Données financières

• écritures comptables ;
• FEC ;
• bilans ;
• comptes de résultat ;
• budgets ;
• prévisionnels.

Données sociales

• données DSN ;
• données de paie ;
• données relatives aux effectifs.

Données bancaires

• mouvements bancaires ;
• soldes ;
• libellés d'opérations ;
• informations de comptes.

Données techniques

• journaux de connexion ;
• adresse IP ;
• identifiants techniques.

Les traitements peuvent concerner :

• les dirigeants ;
• les salariés ;
• les collaborateurs ;
• les prestataires ;
• les clients ;
• les fournisseurs ;
• toute personne figurant dans les données importées par le Client.

Le présent DPA s'applique pendant toute la durée du contrat liant les parties.

À l'issue du contrat, les données sont supprimées ou restituées conformément aux CGV.

Certaines données peuvent être conservées pendant une durée maximale de dix (10) ans lorsque cela est nécessaire au respect d'obligations légales ou de prescription.

LA MINE traite les données uniquement sur instruction documentée du Client.

Le Client garantit que les traitements réalisés via DAVA respectent la réglementation applicable.

LA MINE veille à ce que les personnes autorisées à traiter les données :

• soient soumises à une obligation de confidentialité ;
• reçoivent une formation adaptée ;
• n'accèdent qu'aux données strictement nécessaires à leurs missions.

LA MINE met en œuvre des mesures techniques et organisationnelles appropriées comprenant notamment :

• chiffrement des données au repos ;
• chiffrement des données en transit ;
• contrôle des accès ;
• authentification sécurisée ;
• cloisonnement logique par Client ;
• journalisation des opérations sensibles ;
• sauvegardes sécurisées ;
• surveillance de sécurité.

Ces mesures peuvent évoluer afin de maintenir un niveau de sécurité adapté aux risques.

Le Client autorise LA MINE à recourir aux sous-traitants nécessaires à l'exploitation du service.

Peuvent notamment intervenir :

• fournisseurs d'hébergement ;
• fournisseurs d'infrastructure cloud ;
• fournisseurs de stockage ;
• prestataires de sécurité ;
• fournisseurs d'intelligence artificielle ;
• prestataires d'agrégation bancaire.

LA MINE veille à imposer à ses sous-traitants des obligations de protection des données au moins équivalentes à celles prévues par le présent accord.

LA MINE privilégie l'hébergement et le traitement des données au sein de l'Union européenne.

En cas de transfert vers un pays tiers, LA MINE met en œuvre les garanties appropriées prévues par le RGPD, notamment :

• décision d'adéquation ;
• clauses contractuelles types ;
• mécanismes reconnus par la réglementation applicable.

Compte tenu de la nature du traitement, LA MINE assiste raisonnablement le Client afin de lui permettre de satisfaire à ses obligations relatives :

• aux droits des personnes concernées ;
• aux violations de données ;
• aux analyses d'impact ;
• aux consultations préalables auprès des autorités de contrôle.

En cas de violation de données personnelles susceptible d'affecter les données traitées pour le compte du Client, LA MINE notifie celui-ci dans les meilleurs délais après en avoir pris connaissance.

La notification comprend, dans la mesure du possible :

• la nature de l'incident ;
• les catégories de données concernées ;
• les conséquences probables ;
• les mesures prises ou envisagées.

LA MINE met à disposition les moyens raisonnables permettant au Client de répondre aux demandes d'exercice des droits prévus par le RGPD :

• accès ;
• rectification ;
• effacement ;
• limitation ;
• opposition ;
• portabilité.

Le Client demeure responsable du traitement des demandes.

Sous réserve d'un préavis raisonnable et d'engagements de confidentialité appropriés, le Client peut demander des informations permettant de vérifier le respect du présent DPA.

Les audits ne devront pas perturber le fonctionnement normal du service ni porter atteinte à la sécurité des autres clients.

Certaines fonctionnalités de DAVA reposent sur des systèmes d'intelligence artificielle permettant de produire des analyses, synthèses et simulations.

Ces traitements sont réalisés dans le cadre des instructions du Client.

Les résultats générés ne constituent jamais une décision automatisée produisant des effets juridiques au sens de l'article 22 du RGPD.

Le Client demeure responsable de toute décision prise sur la base de ces résultats.

À la cessation du contrat et sur demande du Client :

• les données peuvent être restituées dans un format raisonnablement exploitable ;
• les données sont supprimées dans les délais prévus par les CGV.

Les sauvegardes de sécurité peuvent être conservées pendant la durée strictement nécessaire à la sécurité du système ou au respect d'obligations légales.

Le présent DPA est soumis au droit français.

Tout litige relatif à son interprétation ou à son exécution relève des juridictions compétentes désignées dans les CGV.