Traitement des commandes pour l'utilisation du logiciel autarc

Contrat de traitement des commandes conformément à l'article 28, paragraphe 3, du Règlement général sur la protection des données (RGPD)
(en septembre 2025)

§ 1 Objet et durée du traitement

(1) L'objet du contrat concerne les droits et obligations des parties dans le cadre de la fourniture de services conformément à la description du service et aux conditions générales (ci-après contrat principal), dans la mesure où les données personnelles sont traitées par autarc GmbH (ci-après sous-traitant) en tant que sous-traitant pour le client en tant que responsable (ci-après client) conformément à l'article 28 du RGPD. Cela inclut toutes les activités que le contractant effectue pour exécuter la commande et qui constituent le traitement de la commande. À cet égard, les finalités du traitement découlent du contrat principal. Cela s'applique également à moins que la commande ne fasse expressément référence à cet accord de traitement des commandes. Les catégories de données personnelles collectées et traitées sont décrites plus en détail dans l'annexe 1 du présent accord.

(2) La durée de ce contrat (terme) correspond à la durée du contrat principal. Il prend fin sans qu'il soit nécessaire de procéder à une résiliation séparée dès que le contrat principal est résilié, expire ou expire pour toute autre raison.

§ 2 Lieu de traitement des données

Le traitement des données convenu contractuellement est effectué dans un État membre de l'Union européenne ou de l'Espace économique européen. Tout transfert vers un pays tiers nécessite le consentement préalable du client et ne peut avoir lieu que si les exigences particulières des articles 44 et suivants du RGPD sont respectées.

Le niveau de protection approprié aux États-Unis
☑️ est établi par une décision d'adéquation de la Commission (article 45, paragraphe 3, du RGPD) ;
⬜ est produit par des réglementations internes contraignantes en matière de protection des données (article 46, paragraphe 2, point b, en liaison avec 47 du RGPD) ;
☑️ est produit par des clauses standard de protection des données (article 46, paragraphe 2, points c et d du RGPD) ;
⬜ est produit par des codes de conduite approuvés (article 46, paragraphe 2, lettre e, en liaison avec 40 du RGPD) ;
⬜ est produit par un mécanisme de certification approuvé (article 46, paragraphe 2, point f, en liaison avec 42 du RGPD).
⬜ est produit par le biais d'autres mesures :... (Art. 46, paragraphe 2, point a, paragraphe 3, points a et b du RGPD)

§ 3 Mesures techniques et organisationnelles

(1) Dans la mesure nécessaire, le contractant a mis en œuvre les mesures techniques et organisationnelles conformément à l'article 32 du RGPD avant l'attribution du contrat. Les preuves pertinentes seront fournies au client sur demande dans les meilleurs délais. Dans la mesure où l'audit/l'audit du client révèle un besoin d'ajustement, celui-ci doit être mis en œuvre d'un commun accord.

(2) Le contractant doit établir la sécurité conformément à l'article 28, paragraphe 3, lettre c, 32 du RGPD, en particulier en liaison avec l'article 5, paragraphe 1, paragraphe 2 du RGPD. Dans l'ensemble, les mesures à prendre sont des mesures de sécurité des données et visent à garantir un niveau de protection adapté au risque en termes de confidentialité, d'intégrité, de disponibilité et de résilience des systèmes. L'état de la technique, les coûts de mise en œuvre et le type, la portée et les finalités du traitement, ainsi que les différentes probabilités d'occurrence et la gravité du risque pour les droits et libertés des personnes physiques au sens de l'article 32, paragraphe 1, du RGPD doivent être pris en compte.

(3) Les mesures techniques et organisationnelles sont soumises au progrès et au développement techniques. À cet égard, le contractant est autorisé à mettre en œuvre d'autres mesures adéquates. Le niveau de sécurité des mesures définies ne doit pas être inférieur. Les modifications importantes doivent être documentées.

§ 4 Correction, restriction et suppression des données

(1) Le contractant ne peut pas corriger, supprimer ou restreindre le traitement des données traitées pour le compte du client de sa propre autorité, mais uniquement conformément aux instructions documentées du client. Dans la mesure où une personne concernée contacte directement le contractant à cet égard, le contractant transmettra immédiatement cette demande au client.

(2) Dans la mesure où cela est inclus dans l'étendue des services, le concept de suppression, le droit à l'oubli, la correction, la portabilité des données et les informations doivent être garantis directement par le contractant conformément aux instructions documentées du client.

§ 5 Assurance qualité et autres obligations du contractant

Outre le respect des dispositions de cette commande, le contractant a des obligations légales conformément aux articles 28 à 33 du RGPD ; à cet égard, il garantit notamment le respect des exigences suivantes :

a) Préserver la confidentialité conformément à l'article 28 (3) (2) (b), 29, 32 (4) du RGPD. Lors de l'exécution des travaux, le contractant ne fait appel qu'à des employés qui s'engagent à respecter la confidentialité et qui ont préalablement été familiarisés avec les réglementations en matière de protection des données qui les concernent. Le contractant et toute personne subordonnée au contractant qui a accès aux données personnelles ne peuvent traiter ces données que conformément aux instructions du client, y compris les pouvoirs accordés dans le présent contrat, à moins qu'ils ne soient légalement tenus de les traiter.

b) La mise en œuvre et le respect de toutes les mesures techniques et organisationnelles requises pour ce mandat conformément à l'article 28, paragraphe 3, p. 2, lettre c, 32 du RGPD, comme décrit à l'annexe 2.

c) Le client et le contractant (ainsi que son représentant) doivent, sur demande, coopérer avec l'autorité de surveillance dans l'exercice de leurs fonctions.

d) Informer immédiatement le client des actes de contrôle et des mesures prises par l'autorité de surveillance, dans la mesure où ils concernent cette commande. Cela vaut également dans la mesure où une autorité compétente enquête, dans le cadre d'une infraction administrative ou d'une procédure pénale, concernant le traitement des données personnelles lors du traitement des commandes par le contractant.

e) Dans la mesure où le client est à son tour exposé au contrôle de l'autorité de surveillance, à une infraction administrative ou à une procédure pénale, à la réclamation en responsabilité d'une personne concernée ou d'un tiers, ou à toute autre réclamation liée au traitement des commandes par le contractant, le contractant doit le soutenir au mieux de ses capacités.

f) Le contractant vérifie régulièrement les processus internes et les mesures techniques et organisationnelles pour s'assurer que le traitement dans sa zone de responsabilité est effectué conformément aux exigences de la législation applicable en matière de protection des données et que les droits de la personne concernée sont protégés.

g) Vérifiabilité des mesures techniques et organisationnelles prises vis-à-vis du client dans le cadre de ses pouvoirs de surveillance conformément à la section 7 du présent contrat.

§ 6 Sous-traitance

(1) Les relations de sous-traitance au sens de la présente disposition sont des services directement liés à la fourniture du service principal. Cela n'inclut pas les services auxiliaires que le contractant utilise, par exemple, comme les services de télécommunications, les services de courrier et de transport, les services de maintenance et les services aux utilisateurs ou l'élimination de supports de données et autres mesures visant à garantir la confidentialité, la disponibilité, l'intégrité et la résilience du matériel et des logiciels des systèmes de traitement des données. Cependant, le contractant est tenu de prendre des accords contractuels et des mesures de contrôle appropriés et conformes à la loi pour garantir la protection et la sécurité des données du client, même dans le cas de services auxiliaires externalisés.

(2) Le contractant charge des sous-traitants de fournir une partie des services à fournir conformément au contrat. Ces relations de sous-traitance étaient fondées, dans la mesure où la loi l'exige, sur un accord conformément à l'article 28, paragraphe 2-4, du RGPD. Le client accepte expressément les sous-traitants actuellement employés par le contractant, dont la liste figure à l'annexe 3.
L'externalisation à d'autres sous-traitants ou la modification de sous-traitants existants sont autorisées dans la mesure où le contractant informe le client de cette sous-traitance aux sous-traitants un délai raisonnable à l'avance par écrit ou sous forme de texte, si le client ne s'oppose pas à l'externalisation prévue par écrit ou sous forme de texte au contractant avant le transfert des données et est basée sur un accord contractuel conformément à l'article 28 (2-4) du RGPD.

(3) Le transfert de données personnelles du client au sous-traitant et son action initiale ne sont autorisés que si toutes les conditions de sous-traitance sont remplies.

(4) Si le sous-traitant fournit le service convenu en dehors de l'UE/EEE, le contractant garantit l'admissibilité en vertu de la législation sur la protection des données en prenant les mesures appropriées. Il en va de même si des prestataires de services au sens du paragraphe 1, phrase 2, doivent être utilisés.

(5) La sous-traitance ultérieure par le sous-traitant nécessite le consentement du contractant principal (au moins par écrit) ; toutes les dispositions contractuelles de la chaîne contractuelle doivent également être imposées à l'autre sous-traitant.

§ 7 Droits de contrôle du client

(1) Le client a le droit, en consultation avec le contractant, de procéder à des contrôles ou de les faire effectuer par des inspecteurs désignés au cas par cas. Il a le droit de vérifier que le contractant respecte le présent contrat dans le cadre de ses activités commerciales au moyen de contrôles par sondage, qui doivent généralement être signalés à l'avance de manière appropriée. Ce faisant, le client doit s'assurer que les activités commerciales régulières du contractant sont affectées le moins possible et uniquement dans la mesure absolument nécessaire.

(2) Le contractant doit s'assurer que le client est convaincu que le contractant a respecté ses obligations en vertu de l'article 28 du RGPD. Le contractant s'engage à fournir au client les informations nécessaires sur demande et, en particulier, à prouver la mise en œuvre des mesures techniques et organisationnelles.

(3) La preuve de ces mesures, qui ne concernent pas seulement le mandat spécifique, peut également être fournie par le respect de codes de conduite approuvés conformément à l'article 40 du RGPD, par la certification conformément à un processus de certification approuvé conformément à l'article 42 du RGPD, par des certificats, rapports ou extraits de rapports actuels d'organismes indépendants (par exemple, auditeurs, responsable de la protection des données, service de sécurité informatique, auditeurs de protection des données, auditeurs de qualité) ou une certification appropriée par le biais d'un audit de sécurité informatique ou de protection des données (pour par exemple, selon la protection de base BSI).

(4) Le contractant peut faire valoir une demande d'indemnisation pour avoir facilité les contrôles par le client.

§ 8 Notification des violations par le contractant

(1) Le contractant aide le client à se conformer aux obligations énoncées aux articles 32 à 36 du RGPD concernant la sécurité des données personnelles, les exigences de signalement en cas de violation de données, les analyses d'impact sur la protection des données et les consultations préalables. Cela inclut

a) garantir un niveau de protection adéquat grâce à des mesures techniques et organisationnelles qui tiennent compte des circonstances et des finalités du traitement ainsi que de la probabilité et de la gravité prévues d'une infraction potentielle due à des failles de sécurité et qui permettent d'identifier immédiatement les événements d'infraction pertinents

b) l'obligation de signaler immédiatement au client les violations de données personnelles

c) l'obligation d'assister le client dans le cadre de son obligation de fournir des informations à la personne concernée et de lui fournir sans délai toutes les informations pertinentes dans ce contexte

d) assister le client dans son analyse d'impact sur la protection des données

e) assister le client dans le cadre de consultations préalables avec l'autorité de surveillance

(2) Le contractant peut demander une indemnisation pour les services d'assistance qui ne sont pas inclus dans la description des services ou qui ne sont pas imputables à une faute de sa part.

§ 9 Pouvoir du client d'émettre des instructions, responsabilité

(1) Le contractant confirmera immédiatement les instructions orales (au moins sous forme de texte).

(2) Le contractant doit immédiatement informer le client s'il estime qu'une instruction enfreint les règles de protection des données. Le contractant est en droit de suspendre l'exécution de l'instruction correspondante jusqu'à ce qu'elle soit confirmée ou modifiée par le client.

(3) Le client est seul responsable envers la personne concernée de l'indemnisation du préjudice subi par une personne concernée à la suite d'un traitement ou d'une utilisation des données dans le cadre du traitement des commandes qui est inadmissible ou incorrect en vertu des lois sur la protection des données dans le cadre du traitement des commandes.

(4) Chaque partie s'engage à indemniser l'autre partie pour tous les dommages et dépenses résultant d'une violation fautive d'une obligation en vertu du présent Contrat (y compris ses annexes) par la partie tenue d'indemniser, son représentant légal, ses sous-traitants, ses employés ou autres agents d'exécution.

§ 10 Phase de test de suppression et de retour des données personnelles

(1) Aucune copie ou duplication des données ne sera faite à l'insu du client. Cela n'inclut pas les copies de sauvegarde, dans la mesure où elles sont nécessaires pour garantir un traitement correct des données, ainsi que les données requises pour se conformer aux obligations légales de conservation.

(2) Après l'achèvement des travaux convenus contractuellement ou plus tôt à la demande du client — au plus tard à la résiliation du contrat de service — le contractant doit remettre au client tous les documents, les résultats de traitement et d'utilisation créés et les données relatives à la relation contractuelle ou les détruire conformément à la loi sur la protection des données après accord préalable. Il en va de même pour les matériaux d'essai et les déchets.

(3) Les documents servant de preuve de la commande et du traitement approprié des données doivent être conservés par le contractant au-delà de la fin du contrat conformément aux délais de conservation respectifs. Pour le soulager, il peut les remettre au client en fin de contrat.


Annexe 1 du contrat de traitement des commandes

Catégories de personnes concernées et de données

données de l'utilisateur
● Titre
● Nom et prénom
● Adresse (code postal, ville, numéro de rue et de maison, adresse supplémentaire, le cas échéant)
● Adresse e-mail
● Numéro de téléphone et/ou numéro de portable
● Données de l'entreprise

Données du client final
● Titre
● Nom et prénom
● Adresse (code postal, ville, numéro de rue et de maison, adresse supplémentaire, le cas échéant)
● Adresse e-mail
● Numéro de téléphone et/ou numéro de portable
● Informations de paiement
● Type de système de chauffage
● Valeurs de consommation
● Nombre de résidents
● Année de construction du bâtiment
● Espaces et dimensions de l'architecture du bâtiment
● Données sur la zone de chauffage
● Photos et documents de l'objet

Annexe 2 du contrat de traitement des commandes

Mesures techniques et organisationnelles

1. Confidentialité (article 32 (1) (b) du RGPD)
● Contrôle d'accès
Pas d'accès non autorisé aux systèmes de traitement des données, par exemple aux cartes magnétiques ou à puce, aux clés, aux appareils électriques
ouvre-portes, gardiens d'usine ou portiers, systèmes d'alarme, systèmes vidéo ;
● Contrôle d'accès
Aucune utilisation non autorisée du système, par exemple : mots de passe (sécurisés), mécanismes de verrouillage automatique, double facteur
authentification, chiffrement des disques ;
● Contrôle d'accès
Aucune lecture, copie, modification ou suppression non autorisées dans le système, par exemple : concepts d'autorisation
et droits d'accès en fonction des besoins, enregistrement des accès ;

2. Intégrité (article 32, paragraphe 1, lettre b du RGPD)
● Contrôle des transferts
Aucune lecture, copie, modification ou suppression non autorisées pendant la transmission ou le transport électroniques, par exemple :
chiffrement, réseaux privés virtuels (VPN), signature électronique ;
● Contrôle d'entrée
Déterminer si et par qui les données personnelles ont été saisies dans les systèmes de traitement des données, modifiées
ou ont été supprimés, par exemple : journalisation, gestion des documents ;

3. Disponibilité et résilience (article 32 (1) (b) du RGPD)
● Contrôle de disponibilité
Protection contre la destruction ou la perte accidentelles ou délibérées, par exemple : stratégie de sauvegarde (en ligne/hors ligne ; sur site/hors ligne)
site), alimentation sans interruption (UPS), protection antivirus, pare-feu, canaux de signalement et plans d'urgence ;
● Récupérabilité rapide (article 32, paragraphe 1, lettre c du RGPD) ;

4. Procédure de révision, d'évaluation et d'évaluation réguliers (art. 32, al. 1, lit. d du RGPD ; art. 25, al.
1 (RGPD)
● gestion de la protection des données ;
● gestion de la réponse aux incidents ;
● Paramètres par défaut favorables à la protection des données (article 25, paragraphe 2, du RGPD) ;
● Contrôle des commandes
Aucun traitement des données de commande au sens de l'article 28 du RGPD sans instructions appropriées du client,
Par exemple : rédaction claire des contrats, gestion des commandes formalisée, sélection stricte du fournisseur de services,
Vérification préliminaire, contrôles de suivi.

Annexe 3 Sous-processeurs approuvés

Name des Unterauftragsverarbeiters Adresse Art der Verarbeitung Internationaler Transfer (falls zutreffend)
Supabase Pte. Ltd. 970 Toa Payoh North, #07-04, Singapur Hosting Singapur
Intercom, Inc. 55 2nd Street, 4th Floor, San Francisco, CA 94105, USA Kundenkommunikation USA
Functional Software, Inc. (handelnd unter dem Namen Sentry) 45 Fremont Street, 8th Floor, San Francisco, CA 94105, USA Fehlerbehebung USA
PostHog, Inc. Market Street #4008, San Francisco Analysezwecke USA
Google Ireland Limited Gordon House, Barrow Street, Dublin 4, Irland Standort und Ermöglichung der Nutzung von Python Code im Browser Irland
Mapbox GmbH Westendstraße 28, 60325 Frankfurt am Main, Deutschland Integration von Karten in Website Deutschland
Cloudflare Germany GmbH Rosental 7, c/o Mindspace, 80331 München, Deutschland Objektspeicher Deutschland
SendGrid, Inc. 375 Beale Street, Suite 300, San Francisco, CA 94105, USA Marketingzwecke USA
Fly.io, Inc. 2045 W. Grand Ave, Suite B, Chicago, IL 60612, USA Anwendungsserveroptimierung USA
Roboflow, Inc. 500 Locust Street, Des Moines, IA 50309, USA Computer-Vision-Modelle USA
Twilio, Inc. 101 Spear Street, Fifth Floor, San Francisco, CA 94105, USA Cloud Kommunikation per Telefon USA
ElevenLabs, Inc. 169 Madison Ave #2484, New York, NY 10016, USA Sprachagent für die Transkribierung speech to text / text to speech USA
OpenAI, Inc. 1455 3rd Street, San Francisco, CA 94158, USA Zusammenstellung von Informationen für Kundenkommunikation USA

Vous n'avez pas trouvé la réponse à votre question ?

Envoyez-nous un e-mail à hello@autarc.energy

Merci beaucoup ! Vous êtes désormais inscrit à notre newsletter et recevez régulièrement des mises à jour et des conseils utiles.
Oups ! Une erreur s'est produite lors de l'envoi du formulaire.