Accord de traitement des données – Bookairy
Cet accord de traitement des données (« DPA ») fait partie de l'accord entre Bookairy et le client. Bookairy est exploité par Ghekko Development, Willem Buytewechstraat 187 C, 3024 XH Rotterdam, Pays-Bas, Chambre de commerce néerlandaise numéro 70485437, numéro d'établissement 000028452003, numéro de TVA NL858338543B01.
1. RĂ´les et instructions
- Le Client est le responsable du traitement des données personnelles saisies ou traitées via l'espace de travail Bookairy du Client.
- Bookairy est le sous-traitant où il traite les données personnelles pour le compte du Client.
- Bookairy traite les données personnelles uniquement sur instructions documentées du Client, y compris l'accord, ce DPA, la configuration du produit et les demandes d'assistance légales.
- Le Client reste responsable de la licéité du traitement, de l'exactitude des données, des mentions d'information, du consentement éventuellement requis et des obligations spécifiques au secteur.
- Si Bookairy estime qu'une instruction enfreint le RGPD ou toute autre loi applicable en matière de protection des données, Bookairy en informera le client, sauf interdiction légale.
2. Objet, durée et objectif
L'objet du traitement est la fourniture, la maintenance, la sécurité et le support de la plateforme de réservation, de planification et commerciale Bookairy. Le traitement dure pendant la durée du contrat et toute période raisonnable d'exportation, de sauvegarde, de suppression ou de conservation légale après la résiliation.
L'objectif est de fournir des réservations en ligne, des calendriers, la gestion des clients, la gestion du personnel, des services, des événements, des produits, des points de vente, des factures, des dépôts, l'état des paiements, des notifications, des rapports, des formulaires, des flux de réservation multilingues, une assistance, une sécurité, un dépannage et des fonctionnalités SaaS associées.
3. Catégories de données personnelles
- Noms, adresses, adresses e-mail, numéros de téléphone et autres coordonnées.
- Données de compte, d'entreprise, de personnel, de rôle et d'autorisation.
- Données de réservation, calendrier, rendez-vous, liste d'attente, annulation, non-présentation et historique de service.
- Notes des clients, préférences, réponses aux formulaires, fichiers téléchargés et contenu de communication.
- Statut du paiement, références de transaction, données de facture, données de dépôt et informations de remboursement ou de rétrofacturation.
- Appareil, installation, navigateur, version de l'application, adresse IP, journal, données d'utilisation et de sécurité.
- Selon la configuration du Client : santé, traitement, bien-être, prise ou autres données sensibles saisies par le Client ou les Clients Finaux.
4. Catégories de personnes concernées
- Les clients, clients, patients, invités, participants ou autres utilisateurs finaux du Client.
- Le personnel, les sous-traitants, les administrateurs et les utilisateurs du Client.
- Contacts, contacts d'assistance et utilisateurs des pages de réservation publiques.
5. Mesures de sécurité
Bookairy met en œuvre les mesures techniques et organisationnelles appropriées tenant compte de l'état de la technique, des coûts de mise en œuvre, de la nature du traitement, de sa portée, du contexte, des finalités et des risques. Les mesures peuvent inclure :
- Cryptage HTTPS/TLS pour les données en transit.
- Contrôles d'accès et contrôles d'authentification basés sur les rôles.
- Accès interne restreint aux données de production.
- Journalisation, surveillance et prévention des abus.
- Infrastructure cloud sécurisée et Firestore, stockage ou règles de sécurité comparables.
- Séparation logique des données de l'entreprise par identifiants d'entreprise ou de locataire.
- Protection réseau Cloudflare ou comparable, pare-feu, protection contre les robots et atténuation DDoS.
- Mécanismes de sauvegarde, de récupération ou d’exportation si disponibles.
- Mises à jour périodiques des applications et de l'infrastructure.
- Obligations de confidentialité pour les personnes autorisées à traiter les données personnelles.
6. Confidentialité
Bookairy garantit que les personnes autorisées à traiter les données personnelles sont liées par la confidentialité ou sont soumises à une obligation légale appropriée de confidentialité. L'accès est limité à ce qui est nécessaire au fonctionnement, au support, à la sécurité et à la maintenance.
7. Sous-traitants
Le Client donne à Bookairy l'autorisation générale de faire appel à des sous-traitants ultérieurs. Bookairy imposera aux sous-traitants ultérieurs des obligations de protection des données qui sont matériellement comparables à ce DPA lorsque l'exige le RGPD.
| Sous-traitant | But |
|---|---|
| Google Cloud/Firebase | Hébergement, base de données, authentification, fonctions cloud, stockage et infrastructure de plateforme. |
| Cloudflare | DNS, CDN, sécurité, protection DDoS, fonctionnalité de pare-feu, protection contre les robots, Turnstile, protection du réseau et filtrage du trafic. |
| MailerEnvoyer | E-mail transactionnel et notifications par e-mail. |
| Mollie | Paiements en ligne, dépôts, statut des paiements, remboursements et traitement des paiements. |
| Profond | Traductions automatiques du contenu saisi par le client lorsque les fonctionnalités de traduction sont activées. |
| Pomme | Distribution de l'App Store, services de plateforme et infrastructure de notification push, le cas échéant. |
| Google Play/Google | Distribution d'applications, services de plateforme et infrastructure de notifications push, le cas échéant. |
| Outils de support, d’hébergement, de suivi ou de communication | Support, communication opérationnelle, surveillance, diagnostic et service client le cas échéant. |
Bookairy peut mettre à jour les sous-traitants lorsque cela est nécessaire pour la livraison, la sécurité ou l'amélioration des Services. Le client peut s'opposer pour des motifs raisonnables en matière de protection des données dans les cinq (5) jours ouvrables suivant la notification d'un changement important de sous-traitant ultérieur.
8. Virements internationaux
Les données personnelles peuvent être transférées en dehors de l'Espace économique européen uniquement dans les cas autorisés par le RGPD. Si nécessaire, Bookairy utilisera des garanties appropriées telles que des clauses contractuelles types, des décisions d'adéquation, des évaluations d'impact de transfert et des mesures supplémentaires.
9. Assistance au Client
Compte tenu de la nature du traitement et des informations dont Bookairy dispose, Bookairy assistera raisonnablement le Client avec les demandes des personnes concernées, les obligations de sécurité, les évaluations d'impact sur la protection des données, les consultations préalables, les enquêtes sur les violations et les informations nécessaires pour démontrer la conformité. Bookairy peut facturer des frais raisonnables pour une assistance allant au-delà des fonctionnalités standard de la plateforme ou de l'assistance normale.
10. Violations de données
Bookairy informera le Client sans délai injustifié après avoir pris connaissance d'une violation de données personnelles affectant les données personnelles traitées pour le compte du Client. Le cas échéant, Bookairy fournira des informations sur la nature de la violation, les catégories concernées, les conséquences probables et les mesures prises ou proposées. Le Client reste responsable de toute notification aux autorités de contrôle ou aux personnes concernées.
11. Audits et informations de conformité
Bookairy mettra à disposition les informations raisonnablement nécessaires pour démontrer le respect du présent DPA. Les audits nécessitent un préavis écrit, ne peuvent avoir lieu plus d'une fois par année civile, sauf si un incident grave l'exige autrement, doivent être effectués pendant les heures de bureau par un expert indépendant tenu à la confidentialité et ne doivent pas perturber de manière déraisonnable les opérations de Bookairy.
12. Retour et suppression
Après la résiliation, Bookairy supprimera ou mettra à disposition pour exportation les données personnelles traitées pour le compte du Client, à moins que les obligations légales de conservation n'exigent un stockage continu. Les sauvegardes peuvent rester temporairement jusqu'à ce qu'elles soient écrasées ou supprimées selon le cycle de sauvegarde régulier.
13. Responsabilité et préséance
Les limitations de responsabilité énoncées dans les Conditions générales s'appliquent à ce DPA, sauf disposition contraire d'une loi impérative. Si ce DPA est en conflit avec les Conditions générales de traitement des données personnelles, ce DPA prévaut pour ce conflit de traitement.