ACCORD DE TRAITEMENT DE DONNEES
Introduction
BJT Partners, créant et commercialisant le nouveau service de télécommunication « Quicktalk », société
par actions simplifiées dont le siège social est situé au 50 bis rue Maurice Arnoux, 92120 MONTROUGE,
FRANCE, immatriculée au RCS de Paris sous le numéro 480 234 210 (ci-après désignée par le terme
« Sous-traitant » ou « Quicktalk »), entreprise propriétaire de la marque « Quicktalk ». ;
ET
Le Client : (ci-après dénommé le « Responsable de traitement » ou « Client ») ;
Individuellement une « Parties » et collectivement les « Parties » ;
QUI ONT CONVENU COMME SUIT :
Dans le cadre de la fourniture des Services au Client au titre du Contrat, Quicktalk peut traiter des
Données à Caractère Personnel pour le compte du Client et les Parties acceptent de respecter les
stipulations suivantes concernant toutes Données à Caractère Personnel, chacune agissant
raisonnablement et de bonne foi.
Le présent Contrat relatif au traitement de Données à Caractère Personnel fait partie intégrante du
Contrat de Service Quicktalk entre Quicktalk et le Client auquel il est joint, et reflète l’accord des Parties
au regard du Traitement des Données à Caractère Personnel.
1. DÉFINITIONS ET INTERPRÉTATION
Dans le présent Contrat et sauf définition contraire dans le Contrat de Services Quicktalk, tous les termes en
majuscule utilisés dans le présent Contrat auront la signification qui leur est donnée ci-dessous :
- CLAUSES CONTRACTUELLES TYPES : : désigne les Clauses Contractuelles Types de la Commission
Européenne pour le transfert de Données à Caractère Personnel à des Sous-Traitants établis en
dehors de l’Espace Economique Européenne dans des pays qui n’assurent pas un niveau adéquat de
protection des Données à Caractère Personnel, en application de la décision de la Commission
européenne (2021/914) du 4 juin 2021.
- CONTRAT : : désigne les Clauses Contractuelles Types de la Commission
Européenne pour le transfert de Données à Caractère Personnel à des Sous-Traitants établis en
dehors de l’Espace Economique Européenne dans des pays qui n’assurent pas un niveau adéquat de
protection des Données à Caractère Personnel, en application de la décision de la Commission
européenne (2021/914) du 4 juin 2021.
DONNÉES PERSONNELLES : : désigne toute information relative à un sujet identifié, qui peut être
identifiée, directement ou indirectement, notamment par une référence à un numéro
d’identification ou à un ou plusieurs facteurs spécifiques à leur nature physique, physiologique,
mentale, économique, économique ou physique, identité culturelle ou sociale.
PERSONNE CONCERNÉE : : désigne la personne concernée dont les Données Personnelles sont
traitées par Quicktalk et / ou le Client dans le cadre du présent Contrat.
RÈGLEMENTATION APPLICABLE À LA PROTECTION DES DONNÉES : : désigne toutes les lois et
réglementations, y compris les lois et réglementations de l’Union Européenne, de l’Espace
économique européen et de leurs États membres, y compris la Loi Informatique et Libertés n°78-17
telle que modifiée, applicables au traitement des Données Personnelles en vertu du Contrat, y
compris le RGPD tel que défini ci-dessous.
RESPONSABLE DE TRAITEMENT ou CLIENT : : désigne la société signataire du présent Contrat, qui
détermine les instructions et les moyens et finalités des traitements de Données Personnelles, aussi
dénommé le « Client ».
RGPD : : désigne le règlement (UE) 2016/679 du Parlement européen et du Conseil relatif à la
protection des personnes physiques à l’égard du traitement des données à caractère personnel et à
la libre circulation de ces données, et abrogeant la directive 95/46/CE.
SERVICE QUICKTALK : : désigne les services proposés par Quicktalk (tels que définis dans le Contrat de
service Quicktalk) que le Client a achetés ou déployés ou auxquels le Client a souscrit en vertu du
Contrat de Services Quicktalk.
SOUS-TRAITANT ou QUICKTALK : : : désigne la société BJT Partners et sa marque Quicktalk, qui réalise
des traitements de données personnelles pour le compte et sur les instructions du Client, aussi
dénommé « Quicktalk».
SOUS-TRAITANT ULTÉRIEUR : : désigne tout Sous-Traitant engagé par Quicktalk pour traiter tout ou
partie des données à caractère personnel pour le compte et sur instruction de Quicktalk.
TRAITEMENT : : désigne toute opération ou ensemble d’opérations effectuées sur des données à
caractère personnel, que ce soit de manière automatique ou non, telle que la collecte,
l’enregistrement, l’organisation, le stockage, l’adaptation ou la modification, la récupération, la
consultation, l’utilisation, la divulgation par transmission, diffusion ou autre mise à disposition,
alignement ou combinaison, blocage, effacement ou destruction, comme décrit dans l’annexe A.
Tous les termes relatifs à la protection des données personnelles qui ne sont pas spécifiquement définis dans
le contrat tels que « autorité de contrôle », « fichier », « destinataire », « violations de données »,
« consentement » ont le sens qui leur est donné à l’article 4 du RGPD.
2. TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL
2.1 Rôles des Parties
Les Parties reconnaissent et acceptent que, concernant le Traitement de Données à Caractère Personnel, le
Client est le Responsable de Traitement, Quicktalk est le Sous-Traitant et que Quicktalk pourra engager des
Sous-Traitants Ultérieurs conformément aux stipulations de l’article 4 « Sous-Traitance Ultérieure » ci-
dessous.
2.2 Traitement de Données à Caractère Personnel par le Client
Le Client agissant en tant que Responsable de traitement détermine les finalités et les moyens du traitement
des Données à Caractère Personnel. Le Client s’engage, lors de son utilisation des Services Quicktalk, à traiter
les Données à Caractère Personnel en conformité avec les exigences de la Réglementation Applicable à la
Protection des Données. Afin d’éviter toute ambiguïté, les instructions du Client pour le traitement des
données personnelles doivent être conformes à la Réglementation Applicable à la Protection des Données. Le
Client est seul responsable de l’exactitude, de la qualité et de la légalité des données personnelles et des
moyens par lesquels Le Client a acquis des Données à Caractère Personnel. Le Client doit également informer
les Personnes Concernées du Traitement de leurs Données à Caractère Personnel par Quicktalk.
2.3 Traitement des Données à Caractère Personnel par Quicktalk
Quicktalk, agissant en tant que Sous-Traitant, s’engage à traiter les Données à Caractère Personnel comme
des informations confidentielles et s’engage à ne procéder au Traitement de Données à Caractère Personnel
que pour le compte du Client et conformément aux instructions documentées du Client. Le Client donne
instruction à Quicktalk de traiter les Données à Caractère Personnel pour les finalités suivantes : (i)
traitement réalisé pour l’exécution du présent Contrat, du contrat de Services Quicktalk et de tout(s) bon(s)
de commande applicable(s) ; (ii) traitement initié par le Client lors de son utilisation des Services Quicktalk et
plus généralement pour la fourniture des Services Quicktalk, (iii) traitement pour se conformer à toute autre
instruction raisonnable et documentée du Client (ex. par e-mail) dès lors que ces instructions sont conformes
aux termes du Contrat.
2.4 Détails des traitements de Données à Caractère Personnel
L’objet du Traitement des Données à Caractère Personnel opéré par Quicktalk est la fourniture des Services
Quicktalk conformément au Contrat de Services Quicktalk tel que décrit dans le présent Contrat. La durée des
Traitements, la nature et la finalité des Traitements ainsi que les types de Données à Caractère Personnel et
les catégories de Personnes Concernées faisant l’objet des Traitements en vertu du présent Contrat sont
précisés à l’Annexe A (Détails du Traitement).
3. RÔLES ET RESPONSABILITÉS
3.1 Obligations du Client
Le Client s’engage à :
- Donner des instructions documentées relatives aux finalités et moyens du Traitement des Données à
Caractère Personnel fournies par le Client par Quicktalk conformément au Contrat.
- Respecter ses obligations, notamment au titre de la Réglementation Applicable à la Protection des
Données en matière de protection des Données à Caractère Personnel, de sécurité relative à la
collecte et au Traitement des Données à Caractère Personnel communiquées par le Client à
Quicktalk.
- Désigner, à la demande de Quicktalk, un point de contact unique chargé de recevoir et répondre aux
demandes de Quicktalk relatives à l’administration des Données à Caractère Personnel du Client liées
au contrat de service Quicktalk.
3.2 Obligations de Quicktalk
Quicktalk en tant que Sous-Traitant s’engage à :
- S’assurer que toute personne autorisée par Quicktalk à participer au Traitement des Données à
Caractère Personnel pour le compte du Client (y compris son personnel, ses agents et ses Sous-
Traitants) se sont engagés à en respecter la confidentialité ou sont soumis à une obligation légale de
confidentialité appropriée et à respecter les principes de la protection des Données à Caractère
Personnel. Quicktalk s’engage à prendre des mesures commercialement raisonnables pour assurer la
fiabilité de tout membre de son personnel impliqué dans le Traitement des Données à Caractère
Personnel. Le Sous-Traitant s’engage à restreindre l’accès aux Données à Caractère Personnel aux
seuls membres de son personnel ayant strictement besoin d’accéder à ces données pour s’acquitter
de leurs missions et obligations en vertu du Contrat de Services Quicktalk, du ou des bons de
commande applicables et du présent Contrat ;
- Informer le Client sans délai si, à son avis, une instruction enfreint les dispositions de la
Réglementation Applicable à la Protection des Données ;
- Prendre toutes les mesures techniques et organisationnelles nécessaires pour assurer la sécurité du
Traitement. En particulier, Quicktalk s’engage à mettre en œuvre les mesures techniques et
organisationnelles appropriées et décrites à l’Annexe C en tenant compte de l’état de la technique,
du coût de mise en œuvre, de la nature, de la portée, du contexte et des finalités du Traitement,
ainsi que des risques liés à la probabilité et à la gravité des droits et libertés des Personnes
Concernées résultant du Traitement des Données à Caractère Personnel. Ces mesures pourront être
revues et mises à jour en cas d’évolution de la Réglementation Applicable à la Protection des
Données ou lorsque Quicktalk le juge nécessaire ;
- Assister raisonnablement le Client à démontrer le respect de ses obligations relatives à la protection
des Données à Caractère Personnel et notamment ses obligations de notification et de
communication en cas de violation des données, en effectuant une évaluation de la confidentialité
des données et en consultant l’autorité de contrôle le cas échéant, en tenant compte de la nature du
traitement et des informations à la disposition de Quicktalk;
- Coopérer avec les autorités de contrôle compétentes si nécessaire ; et à
- Mettre à la disposition du Client toutes les informations raisonnablement nécessaires pour
démontrer le respect des obligations relatives à la Protection des Données à Caractère Personnel du
Client.
- Dans la mesure du possible, les Parties s’engager à coopérer entre elles en cas de contrôle de la CNIL
ou toute autre autorité compétente concernant les Traitements mis en œuvre.
4. SOUS-TRAITANCE ULTÉRIEURE
4.1 Autorisation des Sous-Traitants Ultérieurs
Le Client reconnaît et accepte que Quicktalk puisse engager des Sous-Traitants Ultérieurs en lien avec la
fourniture des Services Quicktalk. En telle hypothèse, Quicktalk aura conclu un accord écrit avec chaque
Sous-Traitant Ultérieur contenant des obligations de protection des Données à Caractère Personnel en ce qui
concerne la protection des Données à Caractère Personnel du Client dans la mesure de ce qui est applicable
eu égard à la nature des Services Quicktalk fournis par ledit Sous-Traitant Ultérieur.
4.2 Responsabilité des Sous-Traitants Ultérieurs
Quicktalk reste responsable des actes et omissions de ses Sous-Traitants Ultérieurs dans les mêmes
conditions que si Quicktalk était directement en charge de fournir les Services Quicktalk confiés aux Sous-
Traitants Ultérieurs au titre du présent Contrat, sauf si le Contrat de Services Quicktalk en stipule autrement.
4.3 Liste des Sous-Traitants Ultérieurs actuels et notification de nouveaux Sous-Traitants
Ultérieurs
Quicktalk met à la disposition du Client une liste des Sous-Traitants Ultérieurs actuels pouvant intervenir pour
la fourniture des Services Quicktalk et pour les Traitements décrits à l’Annexe A. La liste des Sous-Traitants
Ultérieurs actuels est disponible à l’Annexe B et sera disponible sur l’espace personnel Quicktalk accessible
par les utilisateurs disposant des privilèges « super administrateur ».
Quicktalk s’engage à informer le Client en cas d’ajout ou de suppression de Sous-Traitants Ultérieurs au
moins dix (10) jours ouvrés avant de telles modifications.
4.4 Droit d’opposition du Client aux nouveaux Sous-Traitants Ultérieurs
Le Client peut s’opposer à la désignation par Quicktalk d’un nouveau Sous-Traitant Ultérieur, s’il considère
objectivement que ce Sous-Traitant Ultérieur empêche le Client de respecter ses obligations légales,
notamment au titre de la réglementation applicable à la protection des Données Personnelles à laquelle il est
soumis, en avertissant Quicktalk promptement par écrit dans les dix (10) jours ouvrés à compter de la
réception de la notification de Quicktalk conformément au mécanisme décrit à l’article 4.3. Si le Client
s’oppose à la désignation d’un nouveau Sous-Traitant Ultérieur, Quicktalk fera des efforts raisonnables pour
proposer au Client une solution alternative dans le cadre de la fourniture des Services Quicktalk ou pour
recommander un changement commercialement raisonnable de la configuration ou de l’utilisation par le
Client des Services Quicktalk afin d’éviter le Traitement des Données à Caractère Personnel par le nouveau
Sous-Traitant Ultérieur faisant l’objet de l’opposition, sans que cela constitue un effort déraisonnable pour le
Client.
5. SÉCURITÉ
5.1 Mesures de sécurité
Quicktalk s’engage à mettre en œuvre et à maintenir des mesures de sécurité techniques et
organisationnelles appropriées pour assurer la sécurité (en ce compris la protection contre le Traitement non
autorisé ou illicite, et contre la perte, la destruction, l’altération, les dégâts, d’origine accidentelle ou illicite,
la divulgation ou l’accès non autorisé(e) ou illicite aux Données à Caractère Personnel du Client), la
confidentialité et l’intégrité des Données à Caractère Personnel fournies par le Client conformément aux
normes de sécurité de Quicktalk décrites en Annexe C (« Annexe C : Mesures de sécurité »). Quicktalk vérifie
régulièrement la conformité avec ces mesures. Quicktalk s’engage à ne pas diminuer de manière
substantielle la sécurité globale liée à la fourniture des Services Quicktalk pendant la durée de leur
souscription par le Client.
5.2 Mises à jour des mesures de sécurité
Il incombe au Client de vérifier les informations mises à disposition par Quicktalk concernant la sécurité des
Données à Caractère Personnel et de déterminer de manière indépendante si les Services Quicktalk
répondent aux exigences et aux obligations légales du Client en vertu de la Réglementation Applicable à la
Protection des Données. Le Client reconnaît que les mesures de sécurité font l’objet de progrès et de
développements techniques et que Quicktalk peut mettre à jour ou modifier les mesures de sécurité de
temps à autre, sans notification préalable du Client, à condition que ces mises à jour et modifications
n’entraînent pas de dégradation significative de la sécurité globale du service fourni au Client. Le Client peut
à tout moment obtenir communication des évolutions des mesures de sécurité de Quicktalk en s’adressant
à [email protected].
5.3 Responsabilités du Client
Nonobstant ce qui précède, le Client accepte, sauf disposition contraire du présent Contrat ou du Contrat de
Service Quicktalk, être responsable de son utilisation sécurisée du Service Quicktalk, y compris de la
sécurisation de ses identifiants d’authentification de compte, de la protection de la sécurité des données du
Client lors de son transit vers et depuis le Service Quicktalk, de prendre des mesures appropriées pour
chiffrer ou sauvegarder en toute sécurité les données du Client téléchargées sur le Service Quicktalk. Le
Client déclare également être responsable d’une utilisation sécurisée par ses salariés ou ses sous-traitants du
Service Quicktalk.
6. GESTION DES INCIDENTS ET VIOLATION DE DONNÉES
Quicktalk maintient des règles et procédures de gestion d’incidents de sécurité et s’engage à notifier dans les
meilleurs délais au Client, après en avoir pris connaissance, toute perte, destruction ou altération
accidentelle ou illicite et toute divulgation ou accès non autorisé(e) de Données du Client, en ce compris les
Données à Caractère Personnel transmises, stockées ou traitées par Quicktalk ou ses Sous-Traitants
Ultérieurs et dont Quicktalk prend connaissance, conformément à la Réglementation Applicable à la
Protection des Données. Quicktalk fera des efforts raisonnables pour identifier la cause de cet incident, qu’il
constitue ou non une violation de données au sens de la Réglementation Applicable à la Protection des
Données et prendra toute démarche qu’elle estime nécessaire et raisonnable afin de remédier à la cause de
cet incident, dans la mesure où le pouvoir de remédier à cet incident est sous son contrôle.
En particulier, dès que Quicktalk prend connaissance d’une violation de Données à Caractère Personnel
Quicktalk:
- En informera le Client dans tous les cas sans retard injustifié et, lorsque cela est possible, au plus tard
72 heures après avoir pris connaissance de l’incident de sécurité ;
- Fournira des informations au Client en temps opportun relatives à la violation de données à mesure
qu’elle en prend connaissance ou sur demande raisonnable du Client ; et
- Prendra rapidement les mesures raisonnables pour contenir et enquêter sur toute violation de
données. En tout état de cause, la notification ou la réponse de Quicktalk à une violation de données
ne doit pas être interprétée comme une reconnaissance par Quicktalk de toute faute ou
responsabilité liée à l’incident de sécurité ; et
- Notifiera, le cas échéant, la violation de Données à Caractère Personnel à l’autorité de contrôle
compétente. Cette notification comprendra les éléments suivants :
- La description et la nature de la violation de Données à Caractère Personnel y compris, si possible,
les catégories et le nombre approximatif de Personnes Concernées par la violation de Données à
Caractère Personnel et les catégories et le nombre approximatif d’enregistrement des Données à
Caractère Personnel concernées ;
- Le nom et les coordonnées du Délégué à la Protection des Données ou d’un autre point de contact
auprès duquel des informations supplémentaires peuvent être obtenues ;
- La description des conséquences probables de la violation de Données à Caractère Personnel ;
- La description des mesures prises ou que Quicktalk propose de prendre pour remédier à violation de
Données à Caractère Personnel, y compris le cas échéant, les mesures pour en atténuer les
éventuelles conséquences négatives.
Ces obligations ne s’appliquent pas aux incidents causés par le Client.
7. AUDITS
Sur demande et dans le strict respect des obligations de confidentialité prévues dans le Contrat de Services,
Quicktalk s’engage à mettre à la disposition du Client toutes les informations raisonnablement nécessaires
pour démontrer la conformité de Quicktalk aux termes du présent Contrat, y compris les réponses aux
questionnaires sur la sécurité de l’information, à condition que le Client ne soit pas un concurrent de
Quicktalk ou une société affiliée à un concurrent de Quicktalk. Quicktalk répondra aux questions posées par
le Client sur le Traitement des Données à Caractère Personnel fournies par le Client.
Au cas où les informations transmises par Quicktalk ne permettent pas au Client de raisonnablement vérifier
la conformité de Quicktalk avec ses obligations aux termes du présent Contrat ou en cas de violation de
Données à Caractère Personnel, Quicktalk devra en accord avec le Client soit :
- Fournir au Client une attestation émise par un expert tiers qualifié indépendant certifiant que les
procédures et processus d’activité de Quicktalk qui impliquent le Traitement des Données à
Caractère Personnel fournies par le Client respectent le présent Contrat ; ou à défaut,
- Permettre à un expert tiers indépendant, engagé par le Client et à ses frais, de procéder à un audit
des installations que Quicktalk utilise pour le Traitement des Données à Caractère Personnel du
Client. La désignation de l’expert tiers indépendant devra être raisonnablement acceptable pour
Quicktalk, et cet expert devra être tenu à des obligations de confidentialité satisfaisantes pour
Quicktalk. Le Client fournira a à Quicktalk une copie du rapport d’audit. L’audit sera considéré
comme une information confidentielle de Quicktalk.
Les audits pourront être effectués au maximum une fois par an et par Client, pendant la durée du Contrat de
Services Quicktalk, pendant les heures normales de travail, et seront soumis à (i) une demande écrite
présentée à Quicktalk au moins soixante (60) jours avant la date d’audit proposée et (ii) un plan d’audit écrit
détaillé revu et approuvé par l’organisation de sécurité de Quicktalk. Ces audits ne pourront avoir lieu qu’en
présence d’un représentant de l’équipe de sécurité de Quicktalk ou toute autre personne mandatée à cette
fin par Quicktalk. Les audits ne devront pas perturber les activités de Traitement de Quicktalk ni
compromettre la sécurité et la confidentialité des Données à Caractère Personnel appartenant à d’autres
Clients de Quicktalk.
Le Client prend à sa charge les sommes liées au le temps passé par Quicktalk et ses équipes ou ses Sous-
Traitants Ultérieurs pour un tel audit aux tarifs des services professionnels Quicktalk en vigueur à ce moment,
qui seront mis à la disposition du Client sur demande. Avant le début d’un tel audit sur site, le Client et
Quicktalk conviennent mutuellement de l’étendue, du calendrier et de la durée de l’audit, ainsi que des frais
relatifs au temps passé par Quicktalk et ses équipes ou ses Sous-Traitants Ultérieurs dont le Client sera
responsable. Ces frais doivent être raisonnables, compte tenu des ressources dépensées par Quicktalk ou ses
Sous-Traitants Ultérieurs. Le Client s’engage à informer rapidement Quicktalk de toute non-conformité
découverte au cours d’un audit.
8. TITULARITÉ, TRANSFERT ET SUPPRESSION DES DONNÉES
8.1 Titularité des données
Les Parties conviennent que les Données à Caractère Personnel collectées, traitées, hébergées, sauvegardées
ou stockées par Quicktalk pour le compte du Client, dans le cadre du présent Contrat et du Contrat de
Services Quicktalk ou à son initiative, sont et restent la propriété exclusive du Client.
8.2 Transfert de données
Pour la fourniture des Services Quicktalk en vertu du Contrat de Services, Quicktalk peut avoir à transférer
certaines Données à Caractère Personnel fournies par le Client à des Sous-Traitants Ultérieurs,
conformément aux dispositions de l’article 4 du Contrat qui peuvent situés dans des pays en dehors de
l’Espace Economique Européen et n’assurant pas un niveau de protection adéquat des Données à Caractère
Personnel.
Quicktalk s’engage, conformément à la Réglementation Applicable à la Protection des Données à mettre en
place un mécanisme permettant de couvrir un tel transfert de manière conforme à la Réglementation
Applicable à la Protection des Données et notamment aux Clauses Contractuelles Types adoptées par la
Commission Européenne pour encadrer le transfert de Données à Caractère Personnel aux Sous-traitants
Ultérieurs situés hors de l’Espace Economique Européen.
8.3 Retour ou suppression des Données à Caractère Personnel
En cas de résiliation ou d’expiration du Contrat de Services Quicktalk, Quicktalk cessera toutes les opérations
menées sur les Données à Caractère Personnel fournies par le Client et, au choix du Client, restituera ou
supprimera irrémédiablement toutes les Données à Caractère Personnel fournies par le Client au titre du
Contrat de Services Quicktalk et demandera à ses Sous-Traitants d’en faire de même. A défaut de choix de la
part du Client, Quicktalk supprimera automatiquement les Données à Caractère Personnel fournies par le
Client au titre du Contrat de Services Quicktalk.
Si, en vertu de la Réglementation Applicable à la Protection des Données, de son droit national ou sur
demande d’une autorité de contrôle, Quicktalk a l’interdiction de détruire ou de restituer tout ou partie
desdites Données à Caractère Personnel, Quicktalk s’engage à préserver la confidentialité de ces Données à
Caractère Personnel et ne devra traiter aucune de ces données pour une quelconque autre finalité. En telle
hypothèse, Quicktalk pourra conserver une copie des Données à Caractère Personnel fournies par le Client en
tant qu’archives, dans la mesure requise par la Réglementation Applicable à la Protection des Données, tel
qu’autorisé par le Client, ou tel que nécessaire à des fins de résolution des litiges.
Une fois les données restituées au Client, Quicktalk ne sera plus responsable de la sécurité des données et de
leur intégrité, en particulier lorsque celles-ci seront stockées, suite au transfert de données de Quicktalk au
Client, sur les serveurs du Client ou sur les serveurs d’un sous-traitant opérant pour le compte du Client.
9. DROITS DES PERSONNES CONCERNÉES
Si Quicktalk reçoit une demande d’une Personne Concernée pour exercer son droit d’accès, de correction, de
limitation du Traitement, de suppression, de portabilité des données, d’opposition au Traitement, de définir
des directives sur le sort de ses données après la mort ou de ne pas faire l’objet d’une décision individuelle
automatisée, Quicktalk s’engage à notifier promptement le Client.
Compte tenu de la nature du Traitement, Quicktalk s’engage à assister de manière raisonnable le Client dans
la mesure du possible et par des moyens techniques et organisationnels appropriés afin de permettre au
Client de respecter son obligation de répondre à toute demande de Personne Concernée en conformité avec
la Réglementation Applicable à la Protection des Données. En outre, à la demande expresse du Client et dans
la mesure où le Client n’a pas, dans le cadre de son utilisation des Services Quicktalk, la possibilité de
répondre à une demande de Personne Concernée, Quicktalk s’engage à faire tout ce qui est
commercialement raisonnable en vue d’assister le Client dans sa réponse à une telle demande. Dans le cas où
une telle coopération et assistance requerrait des ressources significatives de la part de Quicktalk, Quicktalk
se réserve le droit de facturer le Client aux tarifs des services professionnels Quicktalk en vigueur à ce
moment, qui seront mis à la disposition du Client sur demande, en lui soumettant au préalable un devis.
Si Quicktalk reçoit une demande de divulgation des Données à Caractère Personnel fournies par le Client de
la part des forces de l’ordre, d’un organisme public chargé de la sécurité ou d’une autorité de contrôle,
Quicktalk informera dans les meilleurs délais le Client de cette demande, sauf lorsque la divulgation de cette
information est interdite par la loi.
En tout état de cause, Quicktalk ne répondra jamais à une demande d’une Personne Concernée dont les
Données à Caractère Personnel sont traitées pour le compte du Client, sauf instruction écrite, spécifique et
préalable du Client. De même, lorsque la demande émane d’une autorité et que, conformément aux
stipulations du paragraphe précédent, Quicktalk peut en informer le Client, Quicktalk ne répondra jamais à
une telle demande sauf instruction, écrite, spécifique et préalable du Client.
10. COOPÉRATION ET ASSISTANCE
En plus des obligations mentionnées aux articles 3 et 9, Quicktalk mettra en œuvre ses meilleurs efforts pour
coopérer avec le Client afin de l’assister raisonnablement dans l’exécution des obligations qui lui incombent
au titre de la Réglementation Applicable à la Protection des Données et du ressort de Quicktalk et de ses
Sous-Traitants Ultérieurs, y compris mais sans s’y limiter les obligations de notification de toute violation de
données ou les obligations de consultation d’une autorité de contrôle.
La coopération de Quicktalk et l’assistance du Client pourra porter notamment sur les éléments suivants :
- Sur demande, Quicktalk s’engage à coopérer avec le Client pour répondre à toute requête d’une
autorité de contrôle ;
- Quicktalk s’engage à prêter assistance au Client pour démontrer sa conformité avec les règles
prescrites par les articles 32 à 36 du RGPD et notamment pour la réalisation d’analyse d’impact sur la
protection des données ; et
- En cas de procédure initiée à l’encontre d’une Partie, l’autre Partie devra coopérer de bonne foi et
sans délai injustifié, dans la mesure du possible, à cette procédure.
Dans le cas où une telle coopération et assistance requerrait des ressources significatives de la part de
Quicktalk, Quicktalk se réserve le droit de facturer le Client aux tarifs des services professionnels Quicktalk en
vigueur à ce moment, qui seront mis à la disposition du Client sur demande, en lui soumettant au préalable
un devis.
11. RESPONSABILITÉ ET INDEMNISATION
La responsabilité de chaque Partie, dans sa totalité, découlant ou relative au présent Contrat et au Contrat de
Services Quicktalk ainsi qu’à tout bon de commande, qu’elle soit contractuelle, délictuelle ou de toute autre
nature, est soumise à l’article « Limitation de responsabilité » dans le Contrat de Services Quicktalk, et toute
référence à la responsabilité d’une Partie dans ledit article désigne la responsabilité totale de cette Partie au
titre de l’ensemble formé par ce Contrat, le Contrat de Services Quicktalk ainsi qu’à tout bon de commande
signé entre les Parties.
12. CONFIDENTIALITÉ
Chaque Partie doit traiter le présent Contrat et les informations reçues de l’autre Partie et de ses activités en
relation avec ce Contrat, comme des informations confidentielles et doit les conserver de manière
appropriée et sécurisée. Chaque Partie ne doit pas utiliser ou divulguer ces informations confidentielles sans
le consentement écrit préalable de l’autre Partie, sauf dans la mesure où (i) la divulgation est requise par la
loi ou (ii) les informations pertinentes ont déjà été rendues publiques...
13. DURÉE DU CONTRAT
Le Contrat restera en vigueur entre les Parties tout le temps de la durée de la fourniture des Services
Quicktalk, conformément aux stipulations du Contrat de Services Quicktalk et des éventuels bons de
commandes afférents.
14. DROIT APPLICABLE, JURIDICTION ET LITIGES
Le présent Contrat est régi par la loi française. Les Parties feront leurs meilleurs efforts pour résoudre
amiablement, de manière juste et équitable, tout différend relatif à la formation, l’interprétation, l’exécution
et la résiliation du présent Contrat, les Parties conviennent de se réunir après la réception d’une notification
en ce sens envoyée par courrier recommandé avec accusé de réception par l’une des Parties avec l’intention
de résoudre ce litige à l’amiable. Si les Parties ne parviennent pas à un règlement à l’amiable en signant un
accord de règlement dans les soixante (60) jours suivant la réunion de résolution amiable du litige les Parties
soumettront leur différend au tribunal compétent du ressort de la Cour d’Appel de Paris qui aura
compétence exclusive pour régler le différend.
15. DIVERS
Le présent Contrat constitue l’intégralité de l’accord entre les Parties en ce qui concerne son objet. Toute
modification apportée au présent Contrat doit faire l’objet d’un avenant écrit signé par les deux parties. En
cas de conflit entre ce Contrat, le Contrat de Services Quicktalk ou tout bon de commande, ce Contrat
prévaudra sauf lorsque la prévalence du Contrat de Services Quicktalk est expressément stipulée.
Tous les avis et communications données en vertu du présent accord doivent être écrits et seront envoyés
par courrier postal ou par email aux adresses postales et emails indiquées dans l’en-tête de ce Contrat. Si
l’une des Parties change d’adresse pendant la durée du Contrat de Services Quicktalk, elle a la responsabilité
d’en informer, dans un délai raisonnable, l’autre Partie par courrier postal ou par email.
Le présent Contrat est dûment accepté par les Parties et prend effet à la date de la signature du bon de
commande.
Le tableau ci-dessous précise les données qui sont susceptibles d’être traitées et collectées par BJT PARTNERS et leurs finalités et bases légales :
ANNEXE A : Détails du traitement des données
|
CATÉGORIES DE DONNÉES
|
DURÉE DE RETENTION DES DONNÉES
|
|
Informations générales : nom
de l’entreprise, adresse,
effectif…
|
Toute la durée du Contrat de Service. Lors de la résiliation, ces
données sont gardées un (1) an afin de convenir à toute réquisition
potentielle par les autorités compétentes.
|
|
Logs des appels et fax : toutes
les informations relatives aux
appels entrants et sortants
|
Les logs sont conservés pour une durée maximum d’un an sur les
serveurs de Quicktalk afin de convenir à toute réquisition
potentielle par les autorités compétentes.
|
|
Enregistrements des appels :
enregistrements audio des
appels entrants et sortants
|
Les enregistrements sont gardés selon la durée définie par le Client
sur le Dashboard.
|
|
Fax
|
Toute la durée du Contrat de Service. Lors de la résiliation, ces
données sont gardées un (1) an afin de convenir à toute réquisition
potentielle par les autorités compétentes.
|
|
Emails transactionnels
|
Quicktalk ne stocke pas d’historique d’email transactionnel
contenant des informations Clients.
|
|
Contact CRM
|
3 ans à partir du dernier échange actif avec le Client / prospect.
|
|
Contact du Client, créé
manuellement par le Client
sur Quicktalk
|
Tout contact supprimé manuellement par le client est supprimé
par Quicktalk. À la résiliation du client, Quicktalk supprime tous ses
contacts.
|
|
Contact du Client, synchronisé
avec le CRM
|
Le Client a la possibilité de désynchroniser ses contacts
directement dans son espace d’administration via une option
disponible dans son dashboard Quicktalk. Lorsque le Client active la
désynchronisation des contacts CRM, Quicktalk n’a plus aucun
contact du Client.
|
|
Transcription des appels et
messages vocaux
|
Les transcriptions sont conservées selon la durée définie par
l’Administrateur sur le Dashboard.
|
|
Numéro utilisateur (OKTA ou
AZURE) si intégration SSO
|
Ces données seront conservées pendant toute la durée du Contrat
de Service.
|
|
Contact du Client, créé
manuellement par le Client
sur Quicktalk
|
Tout contact supprimé manuellement par le client est supprimé
par Quicktalk. À la résiliation du client, Quicktalk supprime tous ses
contacts.
|
RESPECT DU DÉLAI DE CONSERVATION LÉGAL DES COMMUNICATIONS
ÉLECTRONIQUES
En tant qu’opérateur de services de communications électroniques au sens de l’article L.33-1 du Code des
Postes et des Communications Électroniques, notre activité est déclarée auprès de l’ARCEP nous sommes
tenus de conserver certaines données personnelles relatives aux services de communications électroniques
pour une durée de légale de 12 mois conformément aux dispositions de l’article L.34-1 du Code des Postes et
des Communications Électroniques (III. à VI.) et de ses décrets d’application 2006-538 et 2012-436.
ANNEXE B : Liste des sous-traitants
|
NOMS DES SOUS-
TRAITANTS
|
ACTIONS RÉALISÉES SUR LES
DONNÉES
|
LOCALISATION
DES SERVEURS
|
MESURES POUR
COUVRIR LE
TRANSFERT (si
applicable)
|
|
SCALEWAY
|
Stockage de nos bases de
données, cloud service, load
balancer d’API & CDN/S3
|
FRANCE
|
N/A
|
|
DATAPACKET
|
Stockage de nos bases de
données, serveurs web,
serveurs Telecom
|
FRANCE
|
N/A
|
|
CLOUDFLARE
|
DNS et load balancer d’API
|
Etats-Unis
|
Pas de transfert hors
UE, option data
localization suite
(données stockées en
UE)
|
|
BTS EUROPE SA
|
Service de
télécommunication (Voix &
SMS)
|
ESPAGNE
|
N/A
|
|
COLT
|
Location de numéros
|
ROYAUME-UNI
|
CCT
|
|
VONAGE
|
Location de numéros et SMS
|
ÉTATS-UNIS
|
CCT
|
|
LEGOS
|
Location de numéros
|
FRANCE
|
N/A
|
|
ORANGE
|
Location de numéros
|
FRANCE
|
N/A
|
|
VOXBONE
|
Location de numéros
|
BELGIQUE
|
N/A
|
|
BICS
|
Service de
télécommunication, SIP
TRUNK et appels d’urgence
|
BELGIQUE
|
N/A
|
|
TOFANE
|
Service de
télécommunication,
terminaison internationale
|
FRANCE
|
N/A
|
|
TATA COMMUNICATIONS
|
Service de
télécommunication,
terminaison internationale
|
ROYAUME-UNI
|
CCT
|
|
ORANGE
INTERNATIONAL
CARRIERS
|
Service de
télécommunication
internationale en VoIP
|
FRANCE
|
N/A
|
|
SENDINBLUE (BREVO)
|
Mailing
|
FRANCE
|
N/A
|
|
SENDGRID
|
Mailing (prestataire backup
de Sendinblue)
|
ÉTATS-UNIS
|
CCT
|
|
SLACK
|
Outil de communication
interne
|
ÉTATS-UNIS
|
CCT
|
|
DEEPTRANSCRIPT
|
Transcription de
conversation téléphonique
|
FRANCE
|
N/A
|
ANNEXE C : Mesures de Sécurité Techniques &
Organisationnelles
1. HÉBERGEMENT DES DONNÉES
L’ensemble des centres au sein desquels les données nécessaires à la fourniture des services Quicktalk sont
hébergées, sont localisés en France, n’engendrant dès lors aucun transfert de données en dehors de l’Union
Européenne ou de l’Espace Économique Européen.
1.2 Certifications
Ces hébergeurs disposent des certifications suivantes :
|
Hébergeurs
|
Localisation
|
|
Telehouse 2
|
Paris
|
|
Equinix
|
Seine-Saint-Denis
|
|
Scaleway DC 3
|
Vitry-sur-Seine
|
1.3 Plan de continuité d’activité
Nous avons également mis en place un plan de continuité d’activité et de réponse en cas d’incident.
1.4 Organisation et sécurité
Par ailleurs :
- Nos centres de données gèrent la sécurité physique 24 heures sur 24, 7 jours sur 7, à l’aide de
scanners biométriques ou de contrôles d’identité élevés ;
- Nous avons 2 arrivées électriques différentes pour chaque rack ;
- Nous avons mis en place des mesures d’atténuation DDOS dans tous nos centres de données ;
- Nous avons différents fournisseurs de classe 3 pour le transit IP ; et
- Nos services reposent sur plusieurs opérateurs pour la voix et les SMS afin d’assurer une stabilité du
service et une meilleure sécurité.
Visites des sites d’hébergement : L’ensemble des Clients, fournisseurs et visiteurs n’ont pas accès à nos sites
d’hébergement. Les demandes d’accès aux sites d’hébergement sont strictement documentées et doivent
être justifiées par le personnel compétent de Quicktalk.
2. NIVEAU DE SÉCURITÉ DE L’APPLICATION
- Toutes les pages de connexion (de notre site Web et de notre site Web mobile) transmettent des
données via TLS.
- Après la connexion, l’application Quicktalk utilise un jeton temporaire pour identifier le Client.
- L’application Quicktalk entière est chiffrée avec TLS et SRTP pour les données vocales.
- Le tableau de bord permet de restreindre l’accès à votre compte via l’accès au support Quicktalk.
- Les données de votre carte de crédit ne sont pas stockées dans notre base de données. Nous
utilisons des fournisseurs de services (listés dans l’onglet Annexe B) qui gèrent vos paiements avec
des identifiants de portefeuille temporaires.
3. FORMATION & SENSIBILISATION DES SALARIÉS QUICKTALK
Tous les employés signent un accord de protection de la vie privée précisant leur responsabilité en matière
de protection des données des Clients.
Nous mettons en œuvre des opérations de sensibilisation de nos équipes et nous avons prévus d’accroître la
fréquence et le développement d’opérations de sensibilisation, notamment en matière de cybersécurité. Par
ailleurs les bonnes pratiques de sécurité font l’objet de communications de formation (par exemple lors de
l’accueil de nouveaux collaborateurs) et les supports écrits sont accessibles (affichage sur les espaces de
travail et mise à disposition dans l’intranet). Par ailleurs, nous formons les collaborateurs afin qu’ils
acquièrent les bons réflexes en matière de sécurité des données et nous effectuons également des tests en
internes (par exemple « fausse campagne de phishing », utilisation des réseaux wifi public, etc).
4. MESURES DE SECURITÉ APPLICABLES À NOS LOCAUX & COLLABORATEURS
Nous mettons en œuvre des mesures de protection et de sécurité physique conformes aux standards de
l’industrie. Nos bureaux et les systèmes d’information de nos collaborateurs sont adéquatement sécurisés et
les mesures implémentées comprennent notamment :
- Une sécurisation par alarme des locaux ;
- Des mesures de contrôle d’accès avec du personnel d’accueil présent sur l’ensemble des plages
horaires d’ouverture ;
- Des badges d’accès nominatifs et sécurisé avec traçabilité des logs ;
- Des rideaux métalliques protégeant l’accès aux locaux ;
- Des exigences de robustesse des mots de passe et identifiants avec obligation de renouvellement
régulier ;
- Limitation et contrôle d’accès aux systèmes d’informations en fonction des privilèges d’accès et
nécessité d’accès des collaborateurs.
Visite des locaux Quicktalk: Les visiteurs, Clients et fournisseurs doivent s’enregistrer auprès de l’accueil et
sont systématiquement accompagnés par un membre du personnel de Quicktalk pour pénétrer dans nos
locaux et durant tout leur temps de présence sur site. Idem pour en sortir.
5. TECHNOLOGIE DE HACHAGE DES MOTS DE PASSE
Nous mettons en œuvre systématiquement une technologie de hachage avec un sel au moins aussi robuste
que le standard SHA-256.
Les mots de passe des comptes Quicktalk sont hachés. Notre propre personnel ne peut même pas les voir. Si
vous perdez votre mot de passe, il ne peut pas être récupéré - il doit être réinitialisé.
6. SÉGRÉGATION DES ENVIRONNEMENTS DE TRAVAIL : PRODUCTION &
DÉVELOPPEMENT
Nos environnements sont strictement séparés, tant physiquement que logiquement. L’ensemble des
développements sont effectués sur des environnements de développement distincts de ceux de production.
Nous mettons également en œuvre une stricte procédure de test sur des environnements multiples avant de
prendre la décision de mise en production.
Par ailleurs, toutes les bases de données sont séparées et dédiées à la prévention de la corruption et du
chevauchement. Nous avons plusieurs couches de logique qui séparent les comptes d’utilisateurs les uns des
autres.
7. SURVEILLANCE ET REMÉDIATIONS DE VULNÉRABILITÉ (POSTE DE TRAVAIL &
PRODUCTION)
Nous surveillons activement l’apparition et l’identification de nouvelles failles potentielles (0-day) et nous
imposons l’implémentation des nouveaux patchs de sécurité sur l’ensemble des postes de travail et
environnement de production.
8. MISE À JOUR DES SERVEURS, PARE-FEU, RÉSEAUX DE SAUVEGARDE & ANTI-
VIRUS
8.1 Politique applicable à nos serveurs
Nos serveurs sont mis à jour régulièrement, notamment à chaque mise en production.Nous avons un pare-feu physique (machine) avec des règles de firewalling qui n’autorisent que les flux
nécessaires pour les besoins de Quicktalk et de la fourniture de ses services aux Clients.
Nous disposons un système de sauvegarde et de backup à chaud et à froid automatique, des machines et des
clusters de bases de données.
Nous n’utilisons pas de VPN, mais utilisation de tunnels SSH pour accéder aux serveurs.
8.2 Politique applicable à nos locaux
L’ensemble des postes de travail et des environnements de production sont notamment protégés par des
antivirus. Sur chaque poste de travail, une mise en veille automatique est également mise en place et
paramétrée au bout de 5 minutes d’inactivité.
9. PRIVILÈGE ET SEGMENTATION DES USAGES D’ADMINISTRATION
Nous avons mis en place plusieurs classes de privilèges d’accès et de permission pour nos Clients :
- Super administrateur ; et
Ces quatre classes d’utilisateurs permettent de s’assurer que les accès et pouvoir de chacun des utilisateurs
du Client disposent uniquement des droits nécessaires à son utilisation des services, sur une stricte base de
« need to know » et « need to do ». Ces quatre niveaux d’usages permettent de segmenter les usages et les
droits d’administration de la solution Quicktalk.
10. DIVULGATION RESPONSABLE
Si vous avez découvert une vulnérabilité dans l’application Quicktalk, veuillez ne pas la partager
publiquement. Au lieu de cela, veuillez nous soumettre un rapport via le processus décrit ci-dessous. Nous
examinons tous les problèmes de sécurité portés à notre attention et nous adoptons une approche proactive
face aux problèmes de sécurité émergents. Chaque jour, de nouveaux problèmes de sécurité et de nouveaux
vecteurs d’attaque sont créés. Quicktalk s’efforce de rester au fait des dernières évolutions en matière de
sécurité, en interne et en collaborant avec des chercheurs et des entreprises de sécurité externes. Nous
apprécions les efforts de la communauté pour créer un site Web plus sécurisé.
Si vous pensez que votre compte a été compromis ou si vous constatez une activité suspecte sur votre
compte, veuillez envoyer un courrier électronique : [email protected].