Accord de traitement des données

Dernière mise à jour: 14 juin 2026

Le présent accord de traitement des données (le « DPA ») fait partie intégrante de l'accord conclu entre GAPFY UNIPESSOAL LDA (« Gapfy », « Sous-traitant ») et l'organisation cliente (« Client », « Responsable du traitement ») qui utilise nos Services. Il régit le traitement par Gapfy des données à caractère personnel contenues dans les Données du Client pour le compte du Client et s'applique en complément de nos conditions générales d'utilisation et de notre politique de confidentialité. Pour les clients en libre-service, le présent DPA est incorporé par référence aux Conditions ; une copie contresignée est disponible sur demande à l'adresse privacy@gapfy.io.

1. Définitions

« RGPD » désigne le règlement (UE) 2016/679. Les termes « Responsable du traitement », « Sous-traitant », « Sous-traitant ultérieur », « Personne concernée », « Données à caractère personnel », « Traitement » et « Violation de données à caractère personnel » ont le sens qui leur est donné dans le RGPD. « Données à caractère personnel du Client » désigne les données à caractère personnel comprises dans les Données du Client que Gapfy traite pour le compte du Client.

2. Rôles et champ d'application

Pour les Données à caractère personnel du Client, le Client est le Responsable du traitement et Gapfy le Sous-traitant. Gapfy ne traite les Données à caractère personnel du Client que pour fournir et assurer le support des Services et uniquement sur les instructions documentées du Client, y compris telles qu'énoncées dans le présent DPA et les Conditions, sauf si le droit de l'Union ou d'un État membre l'oblige à agir autrement, auquel cas Gapfy en informera le Client, sauf si ce droit l'interdit. Lorsque Gapfy détermine les finalités et les moyens du traitement (par exemple les données de compte, de facturation et de sécurité), il agit en qualité de Responsable du traitement au titre de la politique de confidentialité.

3. Détails du traitement (annexe I)

• Objet : la fourniture des Services Gapfy auxquels le Client est abonné.
• Durée : pendant la durée de l'abonnement, majorée du délai de suppression et de restitution prévu à la section 11.
• Nature et finalité : l'hébergement, le stockage, l'organisation, l'extraction, la transmission et la suppression des Données du Client dans la mesure nécessaire à l'exploitation des Services.
• Types de données à caractère personnel : identifiants et coordonnées, contenu que le Client et ses utilisateurs créent dans les Services, données d'utilisation et d'activité, ainsi que toute autre donnée à caractère personnel que le Client choisit de soumettre.
• Catégories de personnes concernées : les utilisateurs autorisés du Client et toute personne dont le Client inclut les données à caractère personnel dans les Données du Client.

Le Client ne doit pas soumettre de catégories particulières de données à caractère personnel sans avoir mis en place des garanties appropriées, et il est responsable de la licéité des données qu'il soumet.

4. Confidentialité

Gapfy veille à ce que les personnes autorisées à traiter les Données à caractère personnel du Client soient soumises à une obligation de confidentialité et ne traitent les données que conformément aux instructions.

5. Sécurité (annexe II)

Gapfy met en œuvre des mesures techniques et organisationnelles appropriées au titre de l'article 32 du RGPD, notamment le chiffrement des données en transit et au repos, des contrôles d'accès et un accès selon le principe du moindre privilège, l'isolement réseau, la journalisation et la surveillance, des pratiques de développement logiciel sécurisé et un réexamen régulier. Ces mesures sont décrites dans notre politique de confidentialité et peuvent être mises à jour au fur et à mesure de l'évolution technologique, à condition que le niveau de protection ne soit pas réduit.

6. Sous-traitants ultérieurs (annexe III)

Le Client autorise Gapfy à recourir aux sous-traitants ultérieurs énumérés sur notre page Sous-traitants ultérieurs. Gapfy impose à chaque sous-traitant ultérieur des obligations en matière de protection des données qui ne sont pas moins protectrices que le présent DPA et demeure responsable de leur exécution. Gapfy informera à l'avance de tout sous-traitant ultérieur nouveau ou de remplacement ; le Client peut s'y opposer pour des motifs raisonnables tenant à la protection des données, et les parties s'efforceront de bonne foi de résoudre l'objection.

7. Assistance relative aux droits des personnes concernées

Compte tenu de la nature du traitement, Gapfy assiste le Client, par des mesures techniques et organisationnelles appropriées et dans la mesure du possible, pour répondre aux demandes des personnes concernées exerçant leurs droits au titre du chapitre III du RGPD. Lorsque Gapfy reçoit une telle demande directement, il renvoie la personne concernée vers le Client.

8. Assistance relative à la sécurité, aux violations et aux analyses d'impact

Gapfy assiste le Client pour garantir le respect des articles 32 à 36 du RGPD, compte tenu de la nature du traitement et des informations dont dispose Gapfy.

9. Notification de violation de données à caractère personnel

Gapfy notifie au Client, sans retard injustifié après en avoir pris connaissance, toute violation de données à caractère personnel affectant les Données à caractère personnel du Client, et fournit les informations dont le Client a raisonnablement besoin pour satisfaire à ses propres obligations de notification.

10. Transferts internationaux

Gapfy héberge les Données à caractère personnel du Client dans l'Union européenne. Lorsqu'un sous-traitant ultérieur transfère des données en dehors de l'Espace économique européen, le transfert repose sur une décision d'adéquation ou sur les clauses contractuelles types de la Commission européenne assorties de garanties supplémentaires, comme indiqué sur la page Sous-traitants ultérieurs.

11. Restitution et suppression

À la résiliation des Services, et au choix du Client, Gapfy restitue ou supprime les Données à caractère personnel du Client dans un délai raisonnable, sauf si le droit de l'Union ou d'un État membre en impose la conservation. Le Client peut exporter les Données du Client pendant l'abonnement et pendant le délai d'exportation suivant la résiliation.

12. Audits

Gapfy met à la disposition du Client les informations nécessaires pour démontrer le respect de l'article 28 du RGPD et autorise et contribue aux audits, y compris les inspections, réalisés par le Client ou un auditeur qu'il mandate, sous réserve d'un préavis raisonnable et d'obligations de confidentialité.

13. Responsabilité

La responsabilité de chaque partie au titre du présent DPA est soumise aux limitations et exclusions prévues dans les Conditions ou dans tout accord signé entre les parties.

14. Contact

Pour demander un DPA contresigné ou poser une question relative au traitement, contactez privacy@gapfy.io.

La présente version en langue anglaise constitue la version faisant foi et juridiquement contraignante du présent document. Les traductions sont fournies uniquement à titre de commodité.