Accord de traitement des données
DPA — conformément à l'art. 28 du Règlement (UE) 2016/679 (RGPD)
Responsable du traitement
Client — la personne physique ou morale ayant conclu un contrat d'utilisation du système GemiSys™ avec Xbiz s.r.o. (ci-après « Responsable »)
Sous-traitant
Xbiz s.r.o., Rosina 541, 013 22 Rosina, République Slovaque, ID : 51654814 (ci-après « Sous-traitant »)
1. Objet et finalité du traitement
Le Sous-traitant fournit au Responsable le système logiciel GemiSys™ pour la gestion d'une boulangerie ou d'une pâtisserie. Dans le cadre de cette prestation, le Sous-traitant traite techniquement les données personnelles saisies par le Responsable — exclusivement aux fins de la fourniture et du fonctionnement du service convenu.
Base juridique : art. 28 RGPD — traitement pour le compte du responsable.
2. Catégories de données traitées
- Noms et coordonnées des clients de la boulangerie
- Historique des achats et commandes
- Enregistrements opérationnels (production, stocks, recettes)
- Données de connexion des employés (nom, e-mail)
Le Sous-traitant ne traite pas de catégories particulières de données sensibles.
« Toutes les données saisies par le Responsable dans le système GemiSys™ sont et restent la propriété exclusive du Responsable. Le Sous-traitant ne les utilise à aucune autre fin que l'exploitation du système pour ce client spécifique. »
3. Accès technique du Sous-traitant
Le Sous-traitant dispose d'un accès technique à la base de données du Responsable exclusivement dans les cas suivants :
- À la demande du Responsable — lors de la résolution d'un problème technique signalé
- En cas de panne système — pour restaurer la fonctionnalité et l'intégrité des données
- Sauvegardes régulières — automatisées, sans consultation du contenu
- Monitoring de sécurité — disponibilité et performance, pas le contenu
Le Sous-traitant s'engage à ne pas accéder à la base de données sans raison technique justifiée et à ne pas consulter, analyser ni utiliser les données commerciales à ses propres fins.
4. Isolation des données
Chaque client de GemiSys™ dispose de sa propre base de données isolée, physiquement et logiquement séparée de celles des autres clients. Le Sous-traitant ne fusionne, n'agrège ni ne relie les données de différents clients. Aucun autre client de GemiSys™ n'a ni ne peut avoir accès aux données du Responsable.
5. Sous-traitants ultérieurs
- Google LLC (Vertex AI) — assistante IA Linda. Garanti contractuellement : les données clients ne sont jamais utilisées pour entraîner des modèles d'IA.
- Cloudflare, Inc. — protection de la couche réseau. Le contenu des données n'est pas traité.
Les serveurs physiques sont exploités exclusivement par le Sous-traitant à Rosina, SR. Les données ne quittent pas le territoire de l'Union européenne.
6. Droits du Responsable
- Demander un export de ses données à tout moment
- Demander la suppression des données à la fin du contrat
- Effectuer ou faire effectuer un audit du traitement des données
- Être informé de chaque accès du Sous-traitant à sa base de données
7. Obligations du Sous-traitant
- Traiter les données uniquement sur instruction documentée du Responsable
- Maintenir la confidentialité des données traitées
- Informer immédiatement le Responsable de tout incident de sécurité
- Supprimer ou restituer toutes les données personnelles dans les 30 jours suivant la fin du contrat
8. Droit applicable
Le présent accord est régi par le droit de la République Slovaque et les réglementations UE applicables (RGPD). Contact : [email protected]