Addendum sur le traitement des données

1. Parties et portée

Cet Addendum sur le traitement des données (« DPA ») est conclu entre vous (« Client », « Responsable de traitement ») et Om369 LLC-FZ (« GeniusBooks », « Sous-traitant ») et complète les Conditions d'utilisation (« Accord »).

Ce DPA s'applique dans la mesure où GeniusBooks traite des Données Personnelles pour le compte du Client dans le cadre de la fourniture du Service. Il prend effet à la date à laquelle le Client accepte l'Accord.

Les termes en majuscules non définis ici ont la signification donnée dans l'Accord ou les Lois de protection des données applicables.

2. Définitions

• « Données Personnelles » désigne toute information relative à une personne physique identifiée ou identifiable que GeniusBooks traite pour le compte du Client.
• « Lois de protection des données » désigne toutes les lois applicables relatives à la protection des données et à la vie privée, y compris le RGPD (UE 2016/679), le UK RGPD et toute législation nationale d'application.
• « Traitement » désigne toute opération effectuée sur les Données Personnelles, y compris la collecte, le stockage, l'utilisation, la divulgation ou la suppression.
• « Sous-traitant ultérieur » désigne tout tiers engagé par GeniusBooks pour traiter des Données Personnelles pour le compte du Client.
• « Personne concernée » désigne la personne physique identifiée ou identifiable à laquelle se rapportent les Données Personnelles.
• « Clauses Contractuelles Types » ou « CCT » désigne les clauses contractuelles types pour le transfert de données personnelles approuvées par la Commission européenne (Décision 2021/914).

3. Rôles des parties

Le Client est le Responsable de traitement qui détermine les finalités et les moyens du traitement des Données Personnelles soumises au Service (par ex., noms de clients, factures, registres financiers de QuickBooks).

GeniusBooks est le Sous-traitant qui traite les Données Personnelles uniquement pour le compte et selon les instructions documentées du Client pour fournir le Service.

4. Détails du traitement

• Objet : Fourniture du service d'assistant comptable IA GeniusBooks.
• Durée : Pour la durée de l'Accord plus toute période de conservation requise par la loi.
• Nature et finalité : Traitement des données QuickBooks du Client (y compris les Données Personnelles des clients du Client) pour effectuer les tâches comptables selon les instructions du Client via le Service.
• Types de Données Personnelles : Noms, adresses e-mail, adresses postales, numéros de téléphone, données de transactions financières, détails de factures et autres informations contenues dans le compte QuickBooks du Client.
• Catégories de Personnes concernées : Employés, clients, fournisseurs et prestataires du Client dont les données sont stockées dans QuickBooks.

5. Obligations du Sous-traitant

GeniusBooks s'engage à :

• Traiter les Données Personnelles uniquement sur instructions documentées du Client, sauf si la loi applicable l'exige (auquel cas nous informerons le Client avant le traitement, sauf interdiction légale).
• Veiller à ce que les personnes autorisées à traiter les Données Personnelles soient liées par des obligations de confidentialité.
• Mettre en œuvre des mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté au risque, tel que décrit à l'Annexe II (Mesures de sécurité).
• Ne pas engager un autre sous-traitant ultérieur sans autorisation écrite préalable du Client, sous réserve de la Section 7.
• Assister le Client, compte tenu de la nature du traitement, pour répondre aux demandes des Personnes concernées d'exercer leurs droits.
• Assister le Client pour assurer le respect des obligations relatives à la sécurité, la notification de violation, les analyses d'impact et la consultation préalable.
• Au choix du Client, supprimer ou restituer toutes les Données Personnelles à la fin de l'Accord, et supprimer les copies existantes sauf si la conservation est requise par la loi.
• Mettre à la disposition du Client toutes les informations nécessaires pour démontrer la conformité à ce DPA et permettre les audits décrits à la Section 9.

6. Obligations du Responsable de traitement

Le Client s'engage à :

• S'assurer qu'il dispose d'une base légale pour traiter les Données Personnelles et pour donner instruction à GeniusBooks de les traiter en son nom.
• Fournir toutes les notifications nécessaires et obtenir tous les consentements requis des Personnes concernées conformément aux Lois de protection des données.
• S'assurer que les instructions données à GeniusBooks sont conformes aux lois applicables.
• Être responsable de l'exactitude, de la qualité et de la légalité des Données Personnelles soumises au Service.

7. Sous-traitants ultérieurs

Le Client donne une autorisation écrite générale à GeniusBooks pour engager des sous-traitants ultérieurs pour l'aider à fournir le Service. Une liste à jour est tenue à /legal/subprocessors.

GeniusBooks notifiera le Client au moins 30 jours à l'avance de toute addition ou remplacement prévu de sous-traitants ultérieurs en mettant à jour la page Sous-traitants et, lorsque le Client s'est inscrit aux notifications, par e-mail.

Si le Client s'oppose raisonnablement à un nouveau sous-traitant ultérieur pour des motifs de protection des données, il doit en notifier GeniusBooks par écrit dans les 14 jours suivant la notification. Les parties discuteront de l'objection de bonne foi. Si l'objection ne peut être résolue, le Client peut résilier le composant de Service concerné sans pénalité.

GeniusBooks imposera à chaque sous-traitant ultérieur des obligations contractuelles non moins protectrices que ce DPA.

8. Transferts internationaux de données

Dans la mesure où le traitement implique un transfert de Données Personnelles depuis l'EEE, le Royaume-Uni ou la Suisse vers un pays ne faisant pas l'objet d'une décision d'adéquation, les parties conviennent que ce transfert sera régi par les Clauses Contractuelles Types (Module Deux : Responsable de traitement à Sous-traitant) telles qu'énoncées à l'Annexe III.

Pour les transferts depuis le Royaume-Uni, l'Addendum britannique sur le transfert international de données aux CCT de l'UE s'applique.

GeniusBooks mettra en œuvre des mesures supplémentaires appropriées lorsque nécessaire pour garantir que les données transférées bénéficient d'un niveau de protection essentiellement équivalent à celui au sein de l'EEE/Royaume-Uni.

9. Audits

GeniusBooks mettra à la disposition du Client les informations raisonnablement nécessaires pour démontrer la conformité à ce DPA.

Le Client (ou son auditeur tiers désigné, sous obligations de confidentialité) peut effectuer un audit des activités de traitement de GeniusBooks au maximum une fois par an, avec un préavis écrit d'au moins 30 jours, pendant les heures normales de bureau et d'une manière qui minimise les perturbations.

GeniusBooks peut satisfaire les demandes d'audit en fournissant : (a) des certifications ou rapports d'audit pertinents (par ex., SOC 2) ; (b) des réponses écrites aux demandes d'information raisonnables ; ou (c) un accès d'audit sur site ou à distance lorsque (a) et (b) sont insuffisants.

Le Client supportera ses propres frais d'audit. Si l'audit révèle une non-conformité matérielle, GeniusBooks supportera les frais d'audit raisonnables et remédiera rapidement.

10. Notification de violation de données personnelles

GeniusBooks notifiera le Client sans retard injustifié (et en tout état de cause dans les 72 heures) après avoir pris connaissance d'une violation de Données Personnelles affectant les données du Client.

La notification comprendra : (a) une description de la nature de la violation, y compris les catégories et le nombre approximatif de Personnes concernées et d'enregistrements affectés ; (b) les conséquences probables ; (c) les mesures prises ou proposées pour atténuer la violation ; et (d) un point de contact pour plus d'informations.

GeniusBooks coopérera avec le Client et prendra des mesures raisonnables pour assister dans l'investigation, l'atténuation et la remédiation de la violation.

11. Analyses d'impact sur la protection des données

GeniusBooks fournira une assistance raisonnable au Client pour les analyses d'impact sur la protection des données et les consultations préalables avec les autorités de contrôle, dans la mesure requise par les Lois de protection des données et compte tenu de la nature du traitement et des informations disponibles pour GeniusBooks.

12. Durée et résiliation

Ce DPA reste en vigueur pendant la durée de l'Accord. À la fin de l'Accord, GeniusBooks, au choix écrit du Client, supprimera ou restituera toutes les Données Personnelles dans les 30 jours et certifiera la suppression par écrit, sauf si la loi applicable exige le maintien du stockage.

Les dispositions de ce DPA qui, par leur nature, doivent survivre à la résiliation survivront, y compris les Sections 5, 9, 10 et 13.

13. Responsabilité

La responsabilité de chaque partie en vertu de ce DPA est soumise aux limitations de responsabilité énoncées dans l'Accord.

En aucun cas la responsabilité globale de l'une ou l'autre partie pour toutes les réclamations au titre de ce DPA ne dépassera les limitations fixées dans l'Accord.

Annexe I — Description du traitement

• Responsable de traitement : Client (l'entité ayant accepté les Conditions d'utilisation).
• Sous-traitant : Om369 LLC-FZ (opérant sous le nom GeniusBooks), Émirats arabes unis.
• Contact : privacy@geniusbooks.ai.
• Objet : Assistance comptable alimentée par l'IA via l'intégration QuickBooks Online.
• Activités de traitement : Réception, mise en cache, analyse et transmission des données QuickBooks pour répondre aux demandes comptables en langage naturel du Client via l'IA ; gestion de session ; facturation.
• Types de données : Noms, e-mails, adresses, numéros de téléphone, registres financiers (factures, dépenses, paiements), identifiants bancaires/de compte.
• Personnes concernées : Clients finaux, fournisseurs, employés et prestataires du Client dont les données sont dans QuickBooks.
• Durée : Durée de l'Accord plus 30 jours pour la suppression.

Annexe II — Mesures techniques et organisationnelles

• Chiffrement : AES-256 au repos, TLS 1.2+ en transit.
• Contrôle d'accès : Accès basé sur les rôles, moindre privilège, MFA pour l'accès administratif.
• Authentification : OAuth 2.0 pour l'intégration QuickBooks — aucun mot de passe stocké.
• Journalisation et surveillance : Journaux d'audit pour tous les accès aux données ; détection d'anomalies.
• Minimisation des données : Seules les données nécessaires à la tâche demandée sont accédées ; pas de téléchargements en masse.
• Réponse aux incidents : Plan de réponse aux incidents documenté ; notification de violation dans les 72 heures.
• Personnel : Accords de confidentialité pour tout le personnel ; formation régulière de sensibilisation à la sécurité.
• Gestion des sous-traitants ultérieurs : Due diligence, garanties contractuelles et revue périodique.
• Continuité d'activité : Sauvegardes régulières, tests de reprise après sinistre.
• Suppression : Purge automatique des données de session ; suppression de compte sur demande dans les 30 jours.

Annexe III — Clauses Contractuelles Types

Lorsque des Données Personnelles sont transférées depuis l'EEE vers un pays sans décision d'adéquation, les parties incorporent par référence les Clauses Contractuelles Types adoptées par la Commission européenne (Décision d'exécution 2021/914), Module Deux (Responsable de traitement à Sous-traitant).

Pour les transferts depuis le Royaume-Uni, l'Addendum britannique sur le transfert international de données (tel qu'émis par l'ICO du Royaume-Uni) complète les CCT.

Les détails des Annexes I et II de ce DPA servent d'Annexes I et II des CCT. L'autorité de contrôle compétente est l'autorité de protection des données de l'État membre de l'UE dans lequel le Responsable de traitement est établi, ou lorsque le Responsable de traitement n'est pas établi dans l'EEE, l'autorité de l'État membre où se trouvent les Personnes concernées.