Addendum sur

la protection des données

1.1. Objet de la sous-traitance

Pour les activités de traitement de données pour lesquelles CAPSTON AI agit en tant que sous-traitant pour le compte de ses clients, les engagements suivants s’appliquent :

• Nature des données traitées

  • Données à caractère personnel des collaborateurs autorisés du client (nom, prénom, adresse e-mail, mot de passe) pour se connecter et utiliser les fonctionnalités liées aux extensions WordPress Boost SEO.

  • Données à caractère personnel des personnes figurant sur les pages web analysées par les outils d’IA de CAPSTON AI (nom, prénom, coordonnées, etc.).

  • Aucune donnée à caractère personnel sensible n’est collectée.

• Finalité du traitement
  Fourniture de services d’indexation de pages et d’optimisation de leurs performances SEO.

• Durée du traitement
  Les données sont traitées pendant toute la durée de la relation contractuelle entre CAPSTON AI et le client.

1.2. Respect des instructions du client

CAPSTON AI garantit que tout traitement est effectué conformément au RGPD et aux instructions documentées du client, qui correspondent à l’objet du contrat (c’est-à-dire le forfait de services souscrit). Toute instruction supplémentaire doit être donnée par écrit, en précisant la finalité et le fonctionnement pertinents. La mise en œuvre de telles instructions peut nécessiter l’acceptation d’un devis supplémentaire par le client.

CAPSTON AI informera le client dans un délai de cinq (5) jours à compter du moment où elle prend connaissance du fait qu’une instruction du client enfreindrait les lois applicables en matière de protection des données. De plus, si CAPSTON AI est légalement tenue de transférer des données à caractère personnel vers un pays tiers ou à une organisation internationale en vertu du droit de l’Union ou de l’État membre, elle notifiera au client cette obligation légale, à moins que le droit ne l’interdise pour des motifs importants d’intérêt public.

1.3. Confidentialité et sécurité
Les données à caractère personnel sont protégées par des mesures techniques et organisationnelles appropriées, y compris le chiffrement en transit et au repos. Ces mesures sont détaillées dans un document dédié, dont la dernière version est mise à la disposition du client sur demande.

Si le client estime que les mesures de CAPSTON AI sont insuffisantes au regard du RGPD, CAPSTON AI mettra en œuvre à ses propres frais toutes les mesures correctives nécessaires rapidement après la notification, selon un calendrier convenu avec le client et approuvé par celui-ci. En cas de désaccord persistant ou de non-correction, le client peut résilier son abonnement par lettre recommandée avec accusé de réception, sans préavis et sans préjudice des autres droits.

CAPSTON AI est responsable uniquement des mesures de sécurité sous son contrôle ; le client reste responsable de la sécurité et de la confidentialité de ses propres systèmes informatiques.

1.4. Accès limité
CAPSTON AI veille à ce que son personnel autorisé à traiter des données à caractère personnel s’engage à la confidentialité et reçoive une formation appropriée en matière de protection des données. Seuls les employés qui ont besoin d’accéder aux données à caractère personnel pour exercer leurs fonctions ont un tel accès.

1.5. Protection de la vie privée dès la conception et par défaut
CAPSTON AI s’engage à mettre en œuvre les principes de protection des données dès la phase de conception et par défaut.

1.6. Gestion des incidents
CAPSTON AI notifiera au client sans délai indu toute violation de données à caractère personnel. Une violation de données à caractère personnel désigne toute destruction, perte, altération, divulgation non autorisée ou accès non autorisé à des données à caractère personnel, de manière accidentelle ou illicite.

Dans la mesure du possible, dans les vingt-quatre (24) heures suivant la notification de la violation, CAPSTON AI fournira au client :

• Catégories et nombre approximatif de personnes concernées.

• Catégories et nombre approximatif d’enregistrements de données à caractère personnel concernés.

• Description des conséquences probables de la violation.

• Description des mesures prises ou proposées pour remédier à tout effet négatif et l’atténuer.

1.7. Coopération
CAPSTON AI transmettra au client, sans délai indu, toute demande, réclamation ou plainte concernant les activités sous-traitées. En tant que responsable du traitement, le client reste responsable de la réponse aux demandes des personnes concernées ; CAPSTON AI ne répondra pas directement, mais aidera le client si nécessaire.

Sur demande écrite, CAPSTON AI fournira toutes les informations utiles en sa possession pour aider le client à remplir ses obligations de responsable du traitement, y compris pour toute analyse d’impact requise. Elle fournira également au client des documents et des preuves pour démontrer la conformité et pour se défendre contre les actions de tiers ou d’autorités de contrôle.

1.8. Sous-traitants
Le client reconnaît et accepte que CAPSTON AI puisse engager des sous-traitants (« les « sous-traitants » ») pour des tâches de traitement spécifiques. Une liste des sous-traitants est disponible sur demande écrite. CAPSTON AI notifiera au client par écrit avant d’ajouter ou de remplacer un sous-traitant, en détaillant les activités de traitement, l’identité, les coordonnées et les dates du contrat. Le client dispose de quinze (15) jours à compter de la réception pour s’y opposer ; en l’absence d’objection, CAPSTON AI peut procéder.

CAPSTON AI veille à ce que chaque sous-traitant fournisse des garanties suffisantes de mesures techniques et organisationnelles appropriées. CAPSTON AI reste entièrement responsable envers le client de tout manquement à la conformité d’un sous-traitant.

1.9. Transferts en dehors de l’UE
L’utilisation de sous-traitants par CAPSTON AI peut impliquer des transferts de données à caractère personnel en dehors de l’UE. Ces transferts seront régis par des mesures garantissant la conformité au RGPD, notamment :

• Une décision d’adéquation en vigueur de la Commission européenne ; ou

• Des clauses contractuelles types adoptées par la Commission européenne.
  Si nécessaire, CAPSTON AI adoptera des garanties techniques ou organisationnelles supplémentaires.

1.10. Délégué à la protection des données (DPO)
Lors de la signature du présent addendum, CAPSTON AI fournira au client le nom et les coordonnées de son délégué à la protection des données, s’il est désigné en vertu de l’article 37 du RGPD.

1.11. Registre des activités de traitement
CAPSTON AI tient un registre écrit de toutes les activités de sous-traitance en vertu de l’article 30 du RGPD, y compris :

• Les noms et coordonnées du client, de tout sous-traitant et, le cas échéant, du DPO de CAPSTON AI ;

• La liste des activités de sous-traitance ;

• Une description générale des mesures de sécurité techniques et organisationnelles ;

• Les détails de tout transfert vers des pays tiers ou des organisations internationales et les garanties associées.

1.12. Suppression ou restitution des données
Lors de la résiliation du contrat, CAPSTON AI, au choix du client :

• Détruira toutes les données à caractère personnel sous-traitées ;

• Restituera toutes les données à caractère personnel sous-traitées ; ou

• Restituera les données à un sous-traitant désigné par le client.

Le client doit informer CAPSTON AI par écrit dans les quinze (15) jours suivant la fin du contrat ; à défaut, CAPSTON AI détruira les données, sauf si la conservation est légalement requise. Toutes les données restituées seront accompagnées de la suppression de toutes les copies existantes dans les systèmes de CAPSTON AI, avec une preuve de destruction sur demande.

1.13. Obligations du client
Le client, en tant que responsable du traitement, reste entièrement responsable de l’origine et de la licéité des données à caractère personnel et de l’information des personnes concernées. CAPSTON AI ne saurait être tenue responsable des violations du RGPD imputables exclusivement au client.

Le client désignera une personne de contact pour toutes les notifications et demandes en vertu du présent addendum ; à défaut, le signataire du présent addendum sera considéré comme la personne de contact.