Le présent avenant relatif au traitement des données (ci-après dénommé «Avenant ») est conclu entre l’entité qui signe ou accepte le présent document (ci-après dénommée «Client » ou «Responsable du traitement ») et Manatal ( ci-après dénommée «Société » ou «Sous-traitant »). Le présent avenant complète le contrat d’abonnement ou les conditions générales disponibles à l’adresse https://www.manatal.com/terms-and-conditions (ci-après dénommés «Contrat ») conclus entre les parties.
1. Définitions
● Le terme « Législation applicable en matière de protection des données » désigne l’ensemble des lois mondiales relatives à la confidentialité et à la protection des données applicables au traitement des données à caractère personnel dans le cadre du Contrat, y compris le RGPD de l’UE/du Royaume-Uni et la loi californienne sur la protection de la vie privée des consommateurs (CCPA/CPRA), telle que modifiée.
● Le terme « Données à caractère personnel » désigne toute information relative à une personne physique identifiée ou identifiable traitée par Manatal pour le compte du Client dans le cadre des Services.
● Le terme « Personne concernée » désigne la personne physique à laquelle se rapportent les Données à caractère personnel (par exemple, les demandeurs d’emploi, les candidats, les salariés).
● Le terme « Incident de sécurité » désigne toute destruction, perte, altération, divulgation non autorisée ou tout accès malveillant, effectifs et confirmés, aux Données à caractère personnel du Client.
2. Champ d'application et rôle des parties
● 2.1 Relation : Les parties reconnaissent et conviennent qu’en ce qui concerne le traitement des données à caractère personnel, le Client est le responsable du traitement et Manatal est le sous-traitant.
● 2.2 Instructions du Client : Manatal ne traitera les données à caractère personnel qu’au nom du Client et conformément à ses instructions documentées, y compris en ce qui concerne les transferts de données à caractère personnel, sauf si la loi applicable l’y oblige. Le Contrat et le présent ATD constituent l’intégralité des instructions du Client.
3. Mesures techniques et organisationnelles (sécurité)
● 3.1 Programme de sécurité : Manatal mettra en œuvre et maintiendra des mesures techniques et organisationnelles appropriées destinées à protéger les données à caractère personnel contre tout traitement non autorisé ou illicite, ainsi que contre toute perte, destruction, détérioration, altération ou divulgation accidentelles.
● 3.2 Confidentialité : Manatal veille à ce que l’ensemble du personnel autorisé à traiter des données à caractère personnel se soit engagé à respecter la confidentialité ou soit soumis à une obligation légale de confidentialité appropriée.
4. Sous-traitants
● 4.1 Autorisation préalable : Le Client accorde à Manatal une autorisation générale écrite lui permettant de faire appel à des sous-traitants pour la fourniture de services d’infrastructure, d’hébergement et de logiciels de base. Une liste à jour des sous-traitants est disponible ici:
● 4.2 Notification des modifications : le Client peut activer les notifications et être informé des modifications ou des remplacements concernant les sous-traitants de Manatal, ce qui lui donne la possibilité de s’y opposer pour des motifs raisonnables liés à la protection des données.
● 4.3 Transfert en aval : Manatal imposera à tout sous-traitant auquel elle fait appel des obligations en matière de protection des données qui ne seront pas moins restrictives que les obligations contractuelles imposées à Manatal en vertu du présent ATD.
5. Droits des personnes concernées et coopération
● 5.1 Assistance : Compte tenu de la nature du traitement, Manatal apportera une assistance raisonnable au Client, dans la mesure du possible, afin de permettre à ce dernier de répondre aux demandes des personnes concernées exerçant leurs droits (par exemple, demandes d’accès, de suppression ou de portabilité).
● 5.2 Demandes directes : Si une personne concernée contacte directement Manatal au sujet de données à caractère personnel appartenant au Client, Manatal transmettra la demande au Client sans retard injustifié et n’y répondra pas directement, sauf si la loi l’y oblige.
6. Gestion des incidents et notification
● 6.1 Notification : Manatal informera le Client sans retard injustifié, et en tout état de cause dans un délai de soixante-douze (72) heures, dès qu’il aura connaissance d’un incident de sécurité confirmé.
● 6.2 Détails : La notification contiendra des informations suffisantes pour permettre au Client de remplir ses obligations en vertu de la législation applicable en matière de protection des données, notamment la nature de la violation, les catégories de données concernées et les mesures d’atténuation prises ou prévues.
7. Droits d'audit
● 7.1 Documentation : Manatal mettra à la disposition du Client toutes les informations raisonnablement nécessaires pour démontrer le respect des obligations prévues dans le présent ATD.
● 7.2 Audits formels : Dans la mesure où le Client a besoin d’un audit pour vérifier la conformité, il peut demander à Manatal de lui fournir une certification de sécurité ou un rapport d’audit (SOC 2 Type 2) établi par un tiers. Si une inspection supplémentaire est légalement requise, celle-ci sera effectuée pendant les heures normales de travail, au maximum une fois par an, aux frais du Client et sous réserve d’accords de confidentialité stricts.
8. Transferts internationaux de données
● 8.1 Mécanismes de transfert : Dans la mesure où la fourniture des Services implique un transfert de Données à caractère personnel provenant de l’EEE, du Royaume-Uni ou de la Suisse vers un pays non reconnu comme offrant un niveau de protection adéquat, les parties conviennent que les clauses contractuelles types (SCC) approuvées par la Commission européenne s’appliquent et sont incorporées aux présentes par référence.
9. Restitution et suppression des données
● 9.1 Résiliation : En cas de résiliation ou d’expiration du Contrat, Manatal s’engage, au choix et aux frais du Client, à supprimer ou à restituer toutes les Données à caractère personnel en sa possession, sous sa garde ou sous son contrôle, sauf si la législation applicable exige la conservation de ces Données à caractère personnel.
Pièce A : Détails du traitement
Annexe B : Mesures de sécurité techniques et organisationnelles
Manatal met en œuvre une stratégie de sécurité robuste et de niveau entreprise, conçue pour garantir la confidentialité, l'intégrité et la disponibilité des données des clients. La société réexamine et améliore en permanence ces mesures, tout en veillant au respect des normes SOC 2 de type II.
1. Chiffrement des données et confidentialité
Données en transit : toutes les communications entre les utilisateurs du client et les serveurs de production de Manatal doivent obligatoirement s'effectuer via HTTPS, en utilisant des protocoles de chiffrement SSL/TLS 1.2 ou supérieurs.
Données au repos : toutes les bases de données et tous les fichiers clients essentiels sont entièrement chiffrés au repos à l'aide d'algorithmes de chiffrement AES-256 conformes aux normes du secteur.
Sécurité des identifiants : les identifiants d'authentification des utilisateurs sont transformés en toute sécurité à l'aide d'algorithmes cryptographiques avancés de hachage à sens unique ; les mots de passe en clair ne sont jamais stockés nulle part dans le système.
2. Sécurité des infrastructures et de l'hébergement
Une infrastructure cloud de premier ordre : tous les services fonctionnent exclusivement dans un environnement réseau sécurisé à plusieurs niveaux, hébergé sur Amazon Web Services (AWS) aux États-Unis.
Conformité des centres de données : les infrastructures physiques des centres sont gérées par AWS et respectent scrupuleusement les normes internationales ; elles sont certifiées ISO 27001, SOC 1, SOC 2, SSAE 16 et ISAE 3402.
Résilience et disponibilité : Conçu avec une infrastructure moderne de reprise après sinistre et de basculement afin de garantir un niveau de disponibilité contractuel de 99,9 % ou plus.
3. Continuité d'activité et cycle de vie des sauvegardes
Instantanés quotidiens : Manatal effectue quotidiennement des sauvegardes complètes et automatisées de toutes les bases de données du système afin de se prémunir contre les incidents majeurs.
Intégrité des sauvegardes : les sauvegardes sont chiffrées de manière sécurisée, stockées à l'écart des environnements de production et soumises à des tests rigoureux afin de garantir leur disponibilité immédiate.
Politique de conservation : toutes les sauvegardes quotidiennes automatisées sont définitivement écrasées et supprimées automatiquement selon un cycle de conservation strict de 7 jours.
4. Identité et contrôle d'accès
Restrictions internes en matière de personnel : l'accès aux systèmes sous-jacents et aux environnements des clients est strictement réservé à un groupe restreint de membres clés du personnel d'ingénierie autorisés, selon le principe du « besoin d'en connaître », et régi par des accords de confidentialité d'entreprise signés.
Accès privilégié aux systèmes : l'accès opérationnel interne à AWS, GitHub et aux backends de production est soumis à des règles strictes en matière de mots de passe complexes et à l'authentification multifactorielle (MFA / 2FA) obligatoire.
Contrôle d'accès basé sur les rôles (RBAC) : la plateforme logicielle offre des autorisations personnalisables et à plusieurs niveaux en fonction des rôles des utilisateurs, garantissant ainsi que les données des clients sont segmentées en interne de manière à ce que les utilisateurs ne puissent consulter que les enregistrements auxquels ils sont explicitement autorisés à accéder.
5. Gestion des vulnérabilités et ingénierie
Pratiques de développement sécurisées : les équipes d'ingénieurs appliquent des pratiques rigoureuses de codage sécurisé, étroitement alignées sur la prévention des 10 principaux risques de sécurité des applications web répertoriés par l'OWASP.
Détection continue : déploiement d'un logiciel de détection automatisée des vulnérabilités et d'analyses de sécurité en temps réel afin de surveiller activement les changements au sein de l'environnement.
Atténuation proactive des menaces : surveillance continue de l'infrastructure avec des alertes automatisées en temps réel, configurées pour signaler immédiatement toute anomalie aux équipes d'ingénieurs d'astreinte.
Divulgation responsable : mise en place d'un programme de divulgation des vulnérabilités actif et supervisé, permettant à des chercheurs en sécurité agréés de signaler de manière responsable des failles « zero-day » directement aux ingénieurs en sécurité via des canaux dédiés (vulnerability-report@manatal.com).