mob-menu
Demandez une démo
search
faqs-bg-vector

 

 

CONTRAT DE SOUS-TRAITANCE DE DONNÉES

Dernière mise à jour en septembre 2025

Aux fins de l’article 28(3) du Règlement 2016/679 (le RGPD)

entre

[Nom du fournisseur de services de garde d’enfants]

(le responsable du traitement)

et

Parent Childcare Management Solution Corp

(le sous-traitant)

chacun étant une « partie »; ensemble « les parties »

ONT CONVENU des clauses contractuelles suivantes (les « Clauses ») afin de répondre aux exigences du RGPD et d’assurer la protection des droits de la personne concernée.


Table des matières

1. Préambule

2. Les droits et obligations du responsable du traitement

3. Le sous-traitant agit conformément aux instructions

4. Confidentialité

5. Sécurité du traitement

6. Utilisation de sous-traitants

7. Transfert de données vers des pays tiers ou des organisations internationales 

8. Assistance au responsable du traitement

9. Notification d’une violation de données personnelles

10. Effacement et restitution des données

11. Audit et inspection

12. Accord des parties sur d’autres conditions

13. Entrée en vigueur et résiliation

14.  Contacts/points de contact du responsable du traitement et du sous-traitant

Annexe A
• Renseignements sur le traitement des données personnelles des utilisateurs (enfants)
• Renseignements sur le traitement des données personnelles des utilisateurs (parents)
• Renseignements sur le traitement des données personnelles des utilisateurs (employés du responsable du traitement)

Annexe B
 • Sous-traitants autorisés

Annexe C
• Instructions relatives à l’utilisation des données personnelles

Annexe D
• Aperçus de la sécurité de l’hébergement et du stockage (Azure & AWS)

1. Microsoft Azure – Hébergement (Irlande)
2. Amazon Web Services (AWS) – Stockage (Francfort)
3. Responsabilités du sous-traitant

1. Préambule

1. Les présentes Clauses contractuelles (les « Clauses ») énoncent les droits et obligations du responsable du traitement et du sous-traitant lors du traitement de données personnelles pour le compte du responsable du traitement.

2. Les Clauses ont été conçues pour assurer la conformité des parties à l’article 28(3) du Règlement 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données personnelles et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement général sur la protection des données).

3. Dans le cadre de la gestion de la plateforme de services de garde appelée « Parent », le sous-traitant traitera des données personnelles pour le compte du responsable du traitement conformément aux Clauses.

4. Les Clauses prévaudront sur toute disposition similaire contenue dans d’autres ententes entre les parties.

5. Quatre annexes sont jointes aux Clauses et en font partie intégrante.

6. L’Annexe A contient des détails sur le traitement des données personnelles, y compris l’objet et la nature du traitement, le type de données personnelles, les catégories de personnes concernées et la durée du traitement.

7. L’Annexe B contient les conditions du responsable du traitement concernant l’utilisation de sous-traitants par le sous-traitant ainsi qu’une liste des sous-traitants autorisés par le responsable du traitement.

8. L’Annexe C contient les instructions du responsable du traitement relatives au traitement des données personnelles, les mesures de sécurité minimales à mettre en œuvre par le sous-traitant et la manière dont les audits du sous-traitant et de tout sous-traitant ultérieur doivent être effectués.

9. L’Annexe D contient « Amazon Web Services, Aperçu « Aperçu des processus de sécurité ».

10. Les Clauses ainsi que les annexes doivent être conservées par écrit, y compris sous forme électronique, par les deux parties.

11. Les Clauses n’exemptent pas le sous-traitant des obligations auxquelles il est soumis en vertu du Règlement général sur la protection des données (RGPD) ou d’autres législations.

2. Les droits et obligations du responsable du traitement

1. Le responsable du traitement est chargé de s’assurer que le traitement des données personnelles est effectué en conformité avec le RGPD (voir article 24 du RGPD), les dispositions applicables de l’UE ou des États membres en matière de protection des données, ainsi que les présentes Clauses.

2. Le responsable du traitement a le droit et l’obligation de prendre des décisions concernant les finalités et les moyens du traitement des données personnelles.

3. Le responsable du traitement est notamment chargé de veiller à ce que le traitement des données personnelles, que le sous-traitant est tenu d’effectuer, repose sur une base légale.

3. Le sous-traitant agit conformément aux instructions

1. Le sous-traitant ne doit traiter les données personnelles que sur la base d’instructions documentées du responsable du traitement, sauf si le droit de l’Union ou d’un État membre auquel le sous-traitant est soumis l’exige. Ces instructions doivent être précisées dans les annexes A et C. Des instructions ultérieures peuvent également être données par le responsable du traitement pendant toute la durée du traitement des données personnelles, mais elles doivent toujours être documentées et conservées par écrit, y compris sous forme électronique, dans le cadre des Clauses.

2. Le sous-traitant doit informer immédiatement le responsable du traitement si, de son avis, les instructions données par le responsable du traitement contreviennent au RGPD ou aux dispositions applicables de l’UE ou des États membres en matière de protection des données.

4. Confidentialité

1. Le sous-traitant ne doit accorder l’accès aux données personnelles traitées pour le compte du responsable du traitement qu’aux personnes placées sous son autorité qui se sont engagées à respecter la confidentialité ou qui sont soumises à une obligation légale appropriée de confidentialité, et uniquement selon le principe du besoin de savoir. La liste des personnes auxquelles un accès a été accordé doit faire l’objet d’un examen périodique. Sur la base de cet examen, cet accès peut être retiré si l’accès n’est plus nécessaire, et les données personnelles ne doivent par conséquent plus être accessibles à ces personnes.

2. À la demande du responsable du traitement, le sous-traitant doit démontrer que les personnes concernées placées sous son autorité sont soumises à l’obligation de confidentialité mentionnée ci-dessus.

5. Sécurité du traitement

1. L’article 32 du RGPD stipule qu’en tenant compte de l’état des connaissances, des coûts de mise en œuvre ainsi que de la nature, de la portée, du contexte et des finalités du traitement, de même que des risques dont la probabilité et la gravité varient pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant doivent mettre en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque.

Le responsable du traitement doit évaluer les risques pour les droits et libertés des personnes physiques inhérents au traitement et mettre en place des mesures pour atténuer ces risques. Selon leur pertinence, les mesures peuvent inclure ce qui suit :

a. La pseudonymisation et le chiffrement des données personnelles ;
b. la capacité à garantir la confidentialité, l’intégrité, la disponibilité et la résilience continues des systèmes et services de traitement ;
c. la capacité à rétablir la disponibilité et l’accès aux données personnelles en temps opportun en cas d’incident physique ou technique ;
d. un processus de test, d’évaluation et de révision réguliers de l’efficacité des mesures techniques et organisationnelles visant à assurer la sécurité du traitement.

En plus des mesures déjà définies, le sous-traitant doit maintenir :

a. Un chiffrement TLS 1.3 pour les données en transit.
b. Un contrôle d’accès basé sur les rôles (RBAC) pour le personnel interne.
c. Une authentification sécurisée et des sauvegardes chiffrées régulières.
d. Des tests d’intrusion et des audits de sécurité réalisés régulièrement par des tiers.

2. Conformément à l’article 32 du RGPD, le sous-traitant doit également – indépendamment du responsable du traitement – évaluer les risques pour les droits et libertés des personnes physiques inhérents au traitement et mettre en œuvre des mesures pour atténuer ces risques. À cet effet, le responsable du traitement doit fournir au sous-traitant tous les renseignements nécessaires pour identifier et évaluer ces risques.

3. En outre, le sous-traitant doit aider le responsable du traitement à assurer le respect de ses obligations conformément à l’article 32 du RGPD, notamment en fournissant au responsable du traitement des renseignements concernant les mesures techniques et organisationnelles déjà mises en œuvre par le sous-traitant en vertu de l’article 32 du RGPD, ainsi que tout autre renseignement nécessaire pour permettre au responsable du traitement de respecter ses obligations en vertu de l’article 32 du RGPD.

Si par la suite – selon l’évaluation du responsable du traitement – l’atténuation des risques identifiés exige la mise en œuvre de mesures supplémentaires par le sous-traitant, au-delà de celles déjà mises en œuvre par le sous-traitant en vertu de l’article 32 du RGPD, le responsable du traitement doit préciser ces mesures supplémentaires à mettre en œuvre dans l’Annexe C.

6. Utilisation de sous-traitants

1. Le sous-traitant doit satisfaire aux exigences précisées à l’article 28(2) et (4) du RGPD afin de recourir à un autre sous-traitant.

2. Le sous-traitant ne doit donc pas engager un autre sous-traitant pour l’exécution des présentes Clauses sans l’autorisation écrite préalable et générale du responsable du traitement.

Le sous-traitant dispose de l’autorisation générale du responsable du traitement pour le recours à des sous-traitants. Le sous-traitant doit informer par écrit le responsable du traitement de tout changement envisagé concernant l’ajout ou le remplacement de sous-traitants au moins 14 jours à l’avance, donnant ainsi au responsable du traitement la possibilité de s’opposer à ces changements avant l’engagement du ou des sous-traitants concernés. Des délais plus longs

Des délais de préavis plus longs pour certains services de sous-traitance peuvent être prévus dans l’Annexe B. La liste des sous-traitants déjà autorisés par le responsable du traitement se trouve à l’Annexe B.

3. Lorsque le sous-traitant engage un sous-traitant ultérieur pour effectuer des activités de traitement spécifiques pour le compte du responsable du traitement, les mêmes obligations en matière de protection des données que celles énoncées dans les présentes Clauses doivent être imposées à ce sous-traitant ultérieur au moyen d’un contrat ou d’un autre acte juridique en vertu du droit de l’UE ou d’un État membre, garantissant en particulier des assurances suffisantes pour mettre en œuvre des mesures techniques et organisationnelles appropriées de manière à ce que le traitement respecte les exigences des Clauses et du RGPD.

Le sous-traitant est donc responsable d’exiger que le sous-traitant ultérieur respecte au minimum les obligations auxquelles le sous-traitant est soumis en vertu des Clauses et du RGPD.

4. Une copie de tout contrat de sous-traitance ultérieure et de ses modifications ultérieures doit – à la demande du responsable du traitement – être soumise au responsable du traitement, lui donnant ainsi la possibilité de s’assurer que les mêmes obligations de protection des données que celles prévues dans les Clauses sont imposées au sous-traitant ultérieur. Les clauses portant sur des questions commerciales qui n’affectent pas le contenu juridique en matière de protection des données du contrat de sous-traitance ultérieure ne nécessitent pas d’être soumises au responsable du traitement. 

5. Le sous-traitant doit convenir d’une clause de tiers bénéficiaire avec le sous-traitant ultérieur selon laquelle – en cas de faillite du sous-traitant – le responsable du traitement sera un tiers bénéficiaire du contrat de sous-traitance ultérieure et aura le droit de faire respecter le contrat à l’encontre du sous-traitant ultérieur engagé par le sous-traitant, par exemple en permettant au responsable du traitement d’ordonner au sous-traitant ultérieur de supprimer ou de restituer les données personnelles.

6. Si le sous-traitant ultérieur ne respecte pas ses obligations en matière de protection des données, le sous-traitant demeure pleinement responsable envers le responsable du traitement quant au respect des obligations du sous-traitant ultérieur. Cela n’affecte pas les droits des personnes concernées en vertu du RGPD – notamment ceux prévus aux articles 79 et 82 du RGPD – à l’encontre du responsable du traitement et du sous-traitant, y compris le sous-traitant ultérieur.

7. Le sous-traitant est autorisé à engager les sous-traitants suivants pour des activités de traitement spécifiques :

Sous-traitant

Lieu

Objet

Mécanisme de transfert

Amazon Web Services (AWS)

Francfort, Allemagne

Infrastructure d’hébergement

Basé dans l’UE

Microsoft Azure

Irlande (UE)

Infrastructure d’hébergement

Basé dans l’UE

Intercom R&D Unlimited Company

Irlande (UE)

Assistance et clavardage intégrés

Hébergé dans l’UE

HubSpot Ireland Ltd.

Irlande (UE)

CRM et marketing

Hébergé dans l’UE

OpenAI

États-Unis

Contenu généré par l’IA (ParentPilot)

Certifié DPF UE–É.-U.

Instabug

États-Unis

Rapports de bogues et d’incidents

Clauses contractuelles types (SCCs)

Firebase (Google LLC)

Mondial

Notifications push

Clauses contractuelles types (SCCs)

Twilio

États-Unis

Livraison de SMS (inscription, réinitialisation de mot de passe)

Certifié DPF UE–É.-U.

WhatsApp (Meta Platforms)

Mondial (configuré par le responsable du traitement)

Messagerie facultative personnel-parents

DPF/SCCs

Gmail / Outlook (Google/Microsoft)

Mondial (configuré par le responsable du traitement)

Canal de courriel facultatif

DPF/SCCs

WebinarGeek

UE

Événements webinaires et marketing

Basé dans l’UE

Zoho Books / QuickBooks (Intuit)

Mondial (facultatif, configuré par le responsable du traitement)

Intégrations comptables facultatives

DPF/SCCs



Tout sous-traitant supplémentaire ou de remplacement doit suivre les procédures de notification et d’approbation telles que définies à la Clause 7.

 

7. Transfert de données vers des pays tiers ou des organisations internationales

1. Tout transfert de données personnelles vers des pays tiers ou des organisations internationales par le sous-traitant ne doit avoir lieu que sur la base d’instructions documentées du responsable du traitement et doit toujours s’effectuer en conformité avec le Chapitre V du RGPD.

2. Dans le cas où des transferts vers des pays tiers ou des organisations internationales, que le sous-traitant n’a pas été chargé d’effectuer par le responsable du traitement, sont exigés en vertu du droit de l’UE ou d’un État membre auquel le sous-traitant est soumis, le sous-traitant doit informer le responsable du traitement de cette obligation légale avant le traitement, sauf si cette loi interdit une telle information pour des motifs importants d’intérêt public.

3. Sans instructions documentées du responsable du traitement, le sous-traitant ne peut donc pas, dans le cadre des présentes Clauses :

a. transférer des données personnelles à un responsable du traitement ou à un sous-traitant dans un pays tiers ou une organisation internationale
b. transférer le traitement de données personnelles à un sous-traitant dans un pays tiers
c. faire traiter les données personnelles par le sous-traitant dans un pays tiers

 4. Les instructions du responsable du traitement concernant le transfert de données personnelles vers un pays tiers, y compris, le cas échéant, l’outil de transfert prévu au Chapitre V du RGPD sur lequel elles sont fondées, doivent être précisées dans l’Annexe C.6.

5. Les Clauses ne doivent pas être confondues avec les clauses types de protection des données au sens de l’article 46(2)(c) et (d) du RGPD, et les Clauses ne peuvent pas être invoquées par les parties comme un outil de transfert en vertu du Chapitre V du RGPD.

6. Lorsque le traitement exige des transferts en dehors de l’EEE, le sous-traitant doit s’appuyer sur :

a. Les Clauses contractuelles types (SCCs)
b. Les décisions d’adéquation
c. Le Cadre de protection des données UE–É.-U. (DPF) pour les fournisseurs certifiés


8. Assistance au responsable du traitement

1. Compte tenu de la nature du traitement, le sous-traitant doit aider le responsable du traitement au moyen de mesures techniques et organisationnelles appropriées, dans la mesure du possible, à l’accomplissement des obligations du responsable du traitement de répondre aux demandes d’exercice des droits de la personne concernée énoncés au Chapitre III du RGPD.


Cela implique que le sous-traitant doit, dans la mesure du possible, aider le responsable du traitement à se conformer à :

a. le droit d’être informé lors de la collecte de données personnelles auprès de la personne concernée
b. le droit d’être informé lorsque les données personnelles n’ont pas été obtenues auprès de la personne concernée
c. le droit d’accès de la personne concernée
d. le droit de rectification
e. le droit à l’effacement (« droit à l’oubli »)
f. le droit à la limitation du traitement
g. l’obligation de notification concernant la rectification ou l’effacement de données personnelles ou la limitation du traitement
h. le droit à la portabilité des données
i. le droit d’opposition
j. le droit de ne pas faire l’objet d’une décision fondée uniquement sur un traitement automatisé, y compris
profilage

2. En plus de l’obligation du sous-traitant d’assister le responsable du traitement conformément à la Clause 6.3., le sous-traitant doit également, compte tenu de la nature du traitement et des informations dont il dispose, aider le responsable du traitement à assurer le respect des obligations suivantes :

a. L’obligation du responsable du traitement de notifier sans retard indu et, lorsque c’est possible, au plus tard 72 heures après en avoir eu connaissance, la violation de données personnelles à l’autorité de contrôle compétente (Datatilsynet), sauf si la violation de données personnelles est peu susceptible d’entraîner un risque pour les droits et libertés des personnes physiques ;

b. l’obligation du responsable du traitement de communiquer sans retard indu la violation de données personnelles à la personne concernée, lorsque cette violation est susceptible d’entraîner un risque élevé pour les droits et libertés des personnes physiques ;

c. l’obligation du responsable du traitement de réaliser une analyse d’impact relative à la protection des données concernant les opérations de traitement envisagées (analyse d’impact relative à la protection des données) ;

d. l’obligation du responsable du traitement de consulter l’autorité de contrôle compétente (Datatilsynet) avant le traitement, lorsqu’une analyse d’impact relative à la protection des données indique que le traitement entraînerait un risque élevé en l’absence de mesures prises par le responsable du traitement pour atténuer ce risque.

3. Les parties doivent définir dans l’Annexe C les mesures techniques et organisationnelles appropriées par lesquelles le sous-traitant est tenu d’assister le responsable du traitement ainsi que l’étendue et la portée de l’assistance requise. Cela s’applique aux obligations prévues aux Clauses 9.1. et 9.2.


9. Notification d’une violation de données personnelles

1. En cas de violation de données personnelles, le sous-traitant doit, sans retard indu après en avoir eu connaissance, notifier le responsable du traitement de cette violation.

2. La notification du sous-traitant au responsable du traitement doit, si possible, avoir lieu dans les 24 heures après que le sous-traitant a eu connaissance de la violation de données personnelles, afin de permettre au responsable du traitement de respecter son obligation de notifier la violation de données personnelles à l’autorité de contrôle compétente, cf. article 33 du RGPD.

3. Conformément à la Clause 9(2)(a), le sous-traitant doit aider le responsable du traitement à notifier la violation de données personnelles à l’autorité de contrôle compétente, ce qui signifie que le sous-traitant est tenu d’aider à obtenir les informations énumérées ci-dessous qui, conformément à l’article 33(3) du RGPD, doivent figurer dans la notification du responsable du traitement à l’autorité de contrôle compétente : 

a. La nature des données personnelles concernées, y compris, si possible, les catégories et le nombre approximatif de personnes concernées ainsi que les catégories et le nombre approximatif d’enregistrements de données personnelles concernés ;
b. les conséquences probables de la violation de données personnelles ;
c. les mesures prises ou proposées par le responsable du traitement pour remédier à la violation de données personnelles, y compris, le cas échéant, les mesures destinées à en atténuer les éventuels effets négatifs.

4. Les parties doivent définir dans l’Annexe C tous les éléments à fournir par le sous-traitant lorsqu’il aide le responsable du traitement à notifier une violation de données personnelles à l’autorité de contrôle compétente.

10. Effacement et restitution des données

Le sous-traitant doit soutenir le responsable du traitement dans l’application des règles de conservation spécifiques aux modules, telles que configurées via les paramètres de conservation des données et de conformité de la plateforme.

  • La conservation ne peut pas dépasser les périodes maximales définies par la plateforme.
  • À l’expiration, les données seront supprimées ou anonymisées selon le module.
  • Les données des enfants désinscrits seront automatiquement anonymisées après la période de conservation configurée.
  • Les « rapports Ouch » (rapports de blessures/incidents) sont exclus de la suppression automatique et peuvent être conservés plus longtemps afin de respecter les exigences médicales, d’octroi de licence ou réglementaires.
  • À la résiliation des services, les données seront conservées pendant six (6) mois sauf si la loi en dispose autrement, après quoi elles seront supprimées ou anonymisées.

11. Audit et inspection

1. Le sous-traitant doit mettre à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations énoncées à l’article 28 et dans les Clauses, et permettre ainsi la réalisation d’audits, y compris d’inspections, effectués par le responsable du traitement ou un autre auditeur mandaté par ce dernier.

2. Les procédures applicables aux audits du responsable du traitement, y compris les inspections, du sous-traitant et des sous-traitants sont précisées aux Annexes C.7.

3. Le sous-traitant doit donner aux autorités de contrôle, qui en vertu de la législation applicable ont accès aux installations du responsable du traitement et du sous-traitant, ou aux représentants agissant pour le compte de telles autorités de contrôle, l’accès aux installations physiques du sous-traitant sur présentation d’une pièce d’identité appropriée.

12. Accord des parties sur d’autres conditions

1. Les parties peuvent convenir d’autres clauses concernant la prestation du service de traitement de données personnelles précisant, par exemple, la responsabilité, à condition qu’elles ne contredisent pas directement ou indirectement les Clauses et ne portent pas atteinte aux droits et libertés fondamentaux de la personne concernée ni à la protection accordée par le RGPD.

13. Entrée en vigueur et résiliation

1. Les Clauses entrent en vigueur à la date de signature des deux parties.

2. Les deux parties ont le droit d’exiger la renégociation des Clauses si des changements législatifs ou l’inopportunité des Clauses justifient une telle renégociation.

3. Les Clauses s’appliquent pendant la durée du prestation des services de traitement de données personnelles. Pendant la durée de la prestation des services de traitement de données personnelles, les Clauses ne peuvent pas être résiliées, sauf si d’autres Clauses régissant la prestation des services de traitement de données personnelles ont été convenues entre les parties.

4. Si la prestation des services de traitement de données personnelles prend fin et que les données personnelles sont supprimées ou restituées au responsable du traitement conformément à la Clause 11.1. et à l’Annexe C.4., les Clauses peuvent être résiliées par notification écrite de l’une ou l’autre des parties.

5. Signature

Au nom du responsable du traitement

Nom                

Poste        

Date                

Signature        

Au nom du sous-traitant

Nom                Firas El Bizri

Poste        Fondateur et associé directeur

Date                

Signature        

14. Coordonnées/points de contact du responsable du traitement et du sous-traitant

1. Les parties peuvent communiquer entre elles en utilisant les coordonnées/points de contact suivants :

2. Les parties ont l’obligation de s’informer mutuellement et en continu de tout changement relatif aux coordonnées/points de contact.

Nom                

Poste        

Téléphone        

Courriel        

Nom            Firas El Bizri

Poste        Fondateur et associé

Téléphone     +45 28282808

Courriel        firas@parent.app

 

Annexe A        

Renseignements sur le traitement des données personnelles des utilisateurs (enfants)

A.1. L’objectif du traitement des données personnelles par le sous-traitant pour le compte du responsable du traitement est :

Aider le responsable du traitement, via l’application Parent, à :

• Enfants : Nom, date de naissance, allergies, dossiers de santé, dossiers d’apprentissage, rapports d’incidents/« Ouch ».
• Parents : Coordonnées, facturation, consentements.
• Personnel : Nom, horaire, qualifications, présence.
• Appareil et utilisation : Adresse IP, navigateur, journaux de plantages.
• Données de cookies et d’analytique.
• Contenu généré par l’IA (résumés optionnels utilisant le nom de l’enfant).
• Le consentement est requis pour le traitement des données des enfants conformément au RGPD et au COPPA (moins de 13 ans, É.-U.).
• Surveiller les ratios personnel-enfants
• Déposer des rapports d’incidents
• Créer des listes personnalisables (ex. : enfants souffrant d’allergies)
• Rapports en temps réel (créer des enregistrements d’heures de sommeil, de repas, de visites aux toilettes, etc.)
• Planification d’activités
• Ajouter des séances ou des produits à l’enfant individuel
• Rapports de journées d’absence
• Messagerie instantanée entre administrateurs/enseignants et parents
• Créer une galerie multimédia
• Fil d’activités quotidien
• Créer des listes de santé
• Enregistrement des présences
• Créer des listes de contacts

A.2. Le traitement comprend les types suivants de données personnelles concernant les personnes concernées :

• Photo de profil
• Dates de naissance
• Photos de situations
• Vidéos
• Numéros d’assurance sociale
• Coordonnées (le cas échéant)
• Renseignements sur la santé

A.3. Le traitement comprend les catégories suivantes de personnes concernées :

• Enfants faisant partie de la garderie du responsable du traitement

A.4. Le traitement des données personnelles par le sous-traitant pour le compte du responsable du traitement peut être effectué dès l’entrée en vigueur des Clauses. La durée du traitement est la suivante :

Le traitement se poursuit jusqu’à ce que

• L’utilisateur (les parents) demande la suppression de son profil
 • Le responsable du traitement ferme son compte
 • Le responsable du traitement demande la suppression d’un profil



Renseignements sur le traitement des données personnelles des utilisateurs (parents)

A.1. L’objectif du traitement des données personnelles par le sous-traitant pour le compte du responsable du traitement est :

Aider le responsable du traitement, via l’application Parent, à :

• Gérer les autorisations parentales
• Gestion des documents
• Messagerie instantanée
• Facturation et établissement des factures
• Accès à plusieurs niveaux
• Aimer et commenter
• Rapports de journées d’absence
• Aperçu des paiements
• Rappels de paiement
• Autorisations et consentements
• Listes de contacts

A.2. Le traitement comprend les types suivants de données personnelles concernant les personnes concernées :

• Nom
• Nom d’utilisateur
• Adresse
• Courriel
• Numéro de téléphone

A.3. Le traitement comprend les catégories suivantes de personnes concernées :

• Parents (ou tuteur légal) des enfants faisant partie de la garderie du responsable du traitement

A.4. Le traitement des données personnelles par le sous-traitant pour le compte du responsable du traitement peut être effectué dès l’entrée en vigueur des Clauses. La durée du traitement est la suivante :

Le traitement se poursuit jusqu’à ce que

• L’utilisateur (les parents) demande la suppression de son profil
• Le responsable du traitement ferme son compte
• Le responsable du traitement demande la suppression d’un profil

Renseignements sur le traitement des données personnelles des utilisateurs (employés du responsable du traitement)

A.1. L’objectif du traitement des données personnelles par le sous-traitant pour le compte du responsable du traitement est :

Aider le responsable du traitement, via l’application Parent, à :

• Suivre la présence du personnel
• Surveiller les ratios personnel-enfants
• Gestion des documents
• Planification d’activités
• Messagerie instantanée
• Créer une galerie multimédia
• Fil d’activités quotidien
• Listes de contacts

A.2. Le traitement comprend les types suivants de données personnelles concernant les personnes concernées :

• Nom
• Nom d’utilisateur
• Courriel
• Photo de profil
• Photos de situations

A.3. Le traitement comprend les catégories suivantes de personnes concernées :

• Employés du responsable du traitement

A.4. Le traitement des données personnelles par le sous-traitant pour le compte du responsable du traitement peut être effectué dès l’entrée en vigueur des Clauses. La durée du traitement est la suivante :

Le traitement se poursuit jusqu’à ce que

• Le responsable du traitement ferme son compte
• Le responsable du traitement demande la suppression du profil d’un employé


Annexe B  Sous-traitants autorisés

B.1. Sous-traitants approuvés

À l’entrée en vigueur des Clauses, le responsable du traitement autorise le recours aux sous-traitants suivants :

Sous-traitant

Lieu

Objet

Mécanisme de transfert

Amazon Web Services (AWS)

Francfort, Allemagne

Infrastructure d’hébergement

Basé dans l’UE

Microsoft Azure

Irlande (UE)

Infrastructure d’hébergement

Basé dans l’UE

Intercom R&D Unlimited Company

Irlande (UE)

Assistance et clavardage intégrés

Hébergé dans l’UE

HubSpot Ireland Ltd.

Irlande (UE)

CRM et marketing

Hébergé dans l’UE

OpenAI

États-Unis

Contenu généré par l’IA (ParentPilot)

Certifié DPF UE–É.-U.

Instabug

États-Unis

Rapports de bogues/plantages

SCCs

Firebase (Google LLC)

Global

Notifications push

SCCs

Twilio

États-Unis

Livraison de SMS (inscription, réinitialisation de mot de passe)

Certifié DPF UE–É.-U.

WhatsApp (Meta Platforms)

Global (configuré par le responsable du traitement)

Messagerie facultative personnel-parents

DPF/SCCs

Gmail / Outlook (Google/Microsoft)

Global (configuré par le responsable du traitement)

Canal de courriel facultatif

DPF/SCCs

WebinarGeek

UE

Événements webinaires et marketing

Basé dans l’UE

Zoho Books / QuickBooks (Intuit)

Mondial (facultatif, configuré par le responsable du traitement)

Intégrations comptables facultatives

DPF/SCCs

 

À l’entrée en vigueur des Clauses, le responsable du traitement autorise l’utilisation des sous-traitants mentionnés ci-dessus pour le traitement décrit pour cette partie. Le sous-traitant n’a pas le droit – sans l’autorisation écrite explicite du responsable du traitement – de recourir à un sous-traitant pour un traitement « différent » de celui qui a été convenu ou de faire exécuter le traitement décrit par un autre sous-traitant.

Annexe C        

Instruction relative à l’utilisation des données personnelles

C.1. Objet/instruction du traitement

Le traitement de données personnelles par le sous-traitant pour le compte du responsable du traitement doit être effectué par le sous-traitant en réalisant ce qui suit :

• Fournir au responsable du traitement une plateforme de gestion de garderie

C.2. Sécurité du traitement

Le niveau de sécurité doit tenir compte de :

Que le traitement implique un grand volume de données personnelles sur les enfants. Que le traitement implique un volume mineur de données personnelles sur les enfants qui relèvent de l’article 9 du RGPD sur les « catégories particulières de données personnelles », ce qui justifie la mise en place d’un niveau de sécurité « élevé ».

Le sous-traitant est dès lors habilité et tenu de prendre des décisions concernant les mesures techniques et organisationnelles de sécurité à appliquer afin de créer le niveau nécessaire (et convenu) de sécurité des données.  

Le sous-traitant doit toutefois – en tout état de cause et au minimum – mettre en œuvre les mesures suivantes convenues avec le responsable du traitement :  

• Les employés du sous-traitant ont un accès très restreint aux données personnelles de telle manière que toutes les données personnelles du système sont anonymisées et que les employés ne peuvent identifier aucun des sujets.
• L’équipe de soutien
• Les employés du sous-traitant sont soumis à une stricte clause de confidentialité. 
• Tous les employés utilisent l’authentification à deux facteurs sur leurs téléphones et ordinateurs.
• Maintenir un haut niveau de sécurité pour les données des enfants et les catégories particulières visées par l’article 9 du RGPD.
• Comprend TLS 1.3, RBAC, sauvegardes, tests d’intrusion, anonymisation et confidentialité du personnel.
• Le responsable du traitement évalue en continu les mesures de sécurité techniques, et chaque année le responsable du traitement évalue le niveau général de sécurité avec un conseiller externe. 
• Toutes les données sont stockées sur Amazon Web Services à Francfort. Pour une description du processus de sécurité d’AWS, voir le document annexé « Amazon Web Services, Overview of Security Processes » à l’Annexe D.
• Les rapports d’incident/« Ouch », les allergies et les données médicales relèvent des catégories particulières de l’article 9 du RGPD ; ces données exigent un niveau de sécurité « élevé » en tout temps.
• Le sous-traitant n’autorise pas le télétravail/domicile.
• Toute activité dans le système est enregistrée.

C.3. Assistance au responsable du traitement

Le sous-traitant doit, dans la mesure du possible – dans le cadre et la portée de l’assistance spécifiés ci-dessous – aider le responsable du traitement conformément aux Clauses 9.1. et 9.2. en mettant en œuvre les mesures techniques et organisationnelles suivantes :

• Le responsable du traitement peut facilement et rapidement générer une liste de toutes les données traitées dans le système concernant une seule personne concernée.
• Le système Parent dispose d’une fonctionnalité appelée « Activer les fonctionnalités RGPD ». Le responsable du traitement peut définir une période après la sortie d’un enfant de l’institution, après laquelle toutes les données personnelles sont automatiquement supprimées. Les parents reçoivent une notification lorsque les données sont supprimées.
• Les centres peuvent configurer une conservation spécifique aux modules via les Paramètres de conservation et de conformité des données.
• Le responsable du traitement peut contacter le soutien du sous-traitant pour obtenir une assistance supplémentaire à tout moment. Le soutien répond immédiatement à toutes les demandes pendant les heures d’ouverture hebdomadaires (8 h 00 – 16 h 15).
• Les équipes de soutien n’ont pas accès aux données personnelles des personnes concernées. Toutes les données sont anonymisées et l’équipe de soutien ne peut pas identifier les personnes concernées.

C.4. Période de conservation/procédures d’effacement

Les données personnelles sont conservées pendant la période choisie par le responsable du traitement, après quoi les données personnelles sont automatiquement effacées par le sous-traitant cf. C.3.

À la fin de la prestation des services de traitement de données personnelles, le sous-traitant doit soit supprimer, soit restituer les données personnelles conformément à

Clause 11.1., sauf si le responsable du traitement – après la signature du contrat – a modifié le choix initial du responsable du traitement. Une telle modification doit être documentée et conservée par écrit, y compris sous forme électronique, dans le cadre des Clauses.

• Reflète les périodes de conservation propres aux modules.
• Les « rapports Ouch » sont exclus de la suppression automatique.

C.5. Lieu du traitement

Le traitement des données personnelles en vertu des Clauses ne peut pas être effectué à d’autres emplacements que les suivants sans l’autorisation écrite préalable du responsable du traitement :

• Francfort  

C.6. Instruction concernant le transfert de données personnelles vers des pays tiers

Le responsable du traitement accepte que le sous-traitant transfère des données personnelles à Intercom R&D Unlimited Company, enregistrée en Irlande à l’adresse : 2e étage, Stephen Court, 18-21 Saint Stephen’s Green, Dublin, et que R&D Unlimited Company transfère les données en dehors de l’EEE à Intercom Inc. sous mandat du sous-traitant. Intercom Inc. est située à San Francisco, CA 94105, États-Unis.

Intercom R&D Unlimited Company et Intercom Inc. ont conclu une Clause contractuelle type (SCC) pour les transferts de données entre pays de l’UE et pays tiers.

Le sous-traitant a préparé une Évaluation d’impact sur le transfert concernant Intercom Inc. et a conclu que l’article 46 du Règlement 2016/679 (RGPD) a été respecté.

Les transferts reposent sur les SCC, les décisions d’adéquation et le DPF UE–É.-U., lorsque cela s’applique.

C.7. Procédures pour les audits du responsable du traitement, y compris les inspections, du traitement des données personnelles effectuées par le sous-traitant

Le responsable du traitement ou son représentant peut, une fois par an, effectuer une inspection physique des lieux où le traitement des données personnelles est réalisé par le sous-traitant, y compris les installations physiques ainsi que les systèmes utilisés pour et liés au traitement, afin de vérifier la conformité du sous-traitant avec le RGPD, les dispositions applicables de l’UE ou des États membres en matière de protection des données et les Clauses. Une telle inspection doit être notifiée dans un délai de 60 jours.

En plus de l’inspection planifiée, le responsable du traitement peut effectuer une inspection du sous-traitant lorsqu’il l’estime nécessaire.

Les coûts du responsable du traitement, le cas échéant, liés à l’inspection physique doivent être assumés par le responsable du traitement. Le sous-traitant est toutefois tenu de consacrer les ressources (principalement du temps) nécessaires pour permettre au responsable du traitement de réaliser l’inspection.

Annexe D – Vue d’ensemble de l’hébergement et de la sécurité du stockage (Azure & AWS)  

Le sous-traitant utilise Microsoft Azure (Irlande) comme fournisseur d’hébergement principal et Amazon Web Services (AWS, Francfort) pour les services de stockage. Les deux fournisseurs maintiennent des certifications et des protections conformes aux normes de l’industrie, conçues pour garantir la conformité au RGPD et aux cadres de sécurité internationaux.

1. Microsoft Azure – Hébergement (Irlande)

• Fournisseur d’hébergement principal de la plateforme Parent.
• Centre de données de l’UE situé en Irlande.
Certifications de sécurité et conformité :
○ ISO/IEC 27001, 27017, 27018 (sécurité de l’information, sécurité du cloud et protection des données personnelles dans le cloud).
○ SOC 1, SOC 2, SOC 3.
○ Conformité au RGPD et à la protection des données de l’UE.
○ Certification CSA STAR.

Mesures techniques :
○ Chiffrement des données au repos et en transit (TLS 1.2+ / TLS 1.3).
○ Contrôle d’accès basé sur les rôles (RBAC).
○ Détection intégrée des menaces, journalisation et surveillance.
○ Sauvegardes géo-redondantes et mesures de reprise après sinistre.

2. Amazon Web Services (AWS) – Stockage (Francfort)

• Utilisé uniquement pour le stockage sécurisé des données (pas pour l’hébergement).
• Centre de données de l’UE situé à Francfort, Allemagne.
Certifications de sécurité et conformité :
○ ISO/IEC 27001, 27017, 27018.
○ SOC 1, SOC 2, SOC 3.
○ Conformité au RGPD et à la protection des données de l’UE.

Mesures techniques :
○ Chiffrement des données au repos à l’aide de l’AES-256.
○ Chiffrement TLS 1.2+ pour les données en transit.
○ Contrôle d’accès granulaire via les politiques IAM d’AWS.
○ Surveillance continue, journalisation et audits.
○ Haute disponibilité et redondance.

3. Responsabilités du sous-traitant

• Le sous-traitant veille à ce que tant Azure qu’AWS soient configurés conformément au RGPD et aux mesures techniques/organisationnelles décrites à l’Annexe C.
• Le sous-traitant revoit et audite régulièrement les certifications de sécurité d’Azure et d’AWS.
• Tout changement de fournisseur d’hébergement ou de stockage sera communiqué au responsable du traitement à l’avance, conformément à la Clause 7 du présent accord.