Accord de traitement des données

Cet accord de traitement des données (« DPA ») s'applique lorsque vous (« Client », « Responsable de traitement ») utilisez les Services Kapsule Cloud pour traiter des informations personnelles concernant d'autres individus (« Personnes concernées »). Il fait partie intégrante des Conditions d'utilisation entre vous et Kapsule Group Limited (« Kapsule Cloud », « nous », « nos », « Sous-traitant »).

Cet accord de traitement des données reflète les exigences de la Privacy Act 2020 de la Nouvelle-Zélande. Si vous êtes soumis à d'autres lois applicables en matière de protection des données (par exemple, le Règlement général sur la protection des données (RGPD) de l'Union européenne, le RGPD du Royaume-Uni ou la Privacy Act 1988 australienne), les dispositions pertinentes du présent accord de traitement des données, lues conjointement avec notre Politique de confidentialité et notre Liste des sous-traitants, sont destinées à fournir une protection comparable à ces lois. Si des mesures contractuelles supplémentaires sont requises pour soutenir votre conformité avec une loi étrangère, nous examinerons ces demandes.

Si vous utilisez les Services uniquement pour traiter vos propres informations personnelles (et non les informations personnelles d'autres individus), cet accord de traitement des données ne s'applique pas ; seule la Politique de confidentialité s'applique.

Aux fins du présent DPA :

« Applicable Privacy Laws » désigne la Privacy Act 2020 et toute autre loi relative à la confidentialité ou à la protection des données applicable au traitement des données à caractère personnel par le Client au moyen des Services.

« Controller » (Responsable de traitement) désigne la personne physique ou morale qui détermine les finalités et les moyens du traitement des données à caractère personnel.

« Customer Personal Information » (Données à caractère personnel du Client) désigne les données à caractère personnel traitées par nous en votre nom au moyen des Services concernant les Data Subjects.

« Data Subject » (Personne concernée) désigne toute personne physique identifiée ou identifiable à laquelle se rapportent les Customer Personal Information.

« Notifiable Privacy Breach » (Violation de données notifiable) a la signification donnée à l'article 112 de la Privacy Act 2020 (une violation de données qui a causé ou est susceptible de causer un préjudice grave).

« Personal Information » (Données à caractère personnel) a la signification donnée dans la Privacy Act 2020.

« Processor » (Sous-traitant) désigne une personne qui traite des données à caractère personnel pour le compte du Responsable de traitement.

« Processing » (Traitement) désigne toute opération ou ensemble d'opérations effectuées sur des données à caractère personnel, réalisées ou non par des moyens automatisés.

« Sub-processor » (Sous-traitant) désigne un tiers auquel nous avons recours pour traiter les Customer Personal Information en notre nom.

« Standard Contractual Clauses » (Clauses contractuelles types) désigne les clauses de protection des données types adoptées par une autorité de protection des données reconnue (par exemple, les EU Standard Contractual Clauses de la Commission européenne) pour les transferts de données à caractère personnel en provenance d'une juridiction comportant des règles restrictives en matière de transferts transfrontaliers de données.

Les autres termes avec majuscules ont les significations qui leur sont données dans les Conditions d'utilisation.

#2.1 Rôles. En relation avec les Informations Personnelles du Client, vous êtes le Responsable du traitement et nous sommes le Sous-traitant. Vous êtes responsable de la licéité de votre collecte et de votre traitement des Informations Personnelles du Client, y compris de la fourniture de tous les avis de confidentialité requis, de l'obtention de tous les consentements requis, et du respect de toutes les Lois de Confidentialité Applicables dans vos relations avec les Personnes concernées.

#2.2 Instructions documentées. Nous traiterons les Informations Personnelles du Client uniquement : (a) selon les besoins pour fournir les Services conformément aux Conditions d'Utilisation ; (b) conformément à vos instructions raisonnables et documentées (les Conditions d'Utilisation, les choix de configuration que vous effectuez dans KPanel, et toute autre instruction écrite que vous nous adressez sont réputés être vos instructions documentées) ; et (c) selon les exigences légales qui nous sont applicables, auquel cas nous vous informerons de l'exigence légale avant le traitement, sauf si cette loi l'interdit pour des motifs importants d'intérêt public.

#2.3 Instructions incompatibles. Nous vous informerons si, selon notre opinion raisonnable, une instruction de votre part enfreint une Loi de Confidentialité Applicable. Nous pouvons refuser de traiter les Informations Personnelles du Client lorsque cela nous mettrait en violation d'une Loi de Confidentialité Applicable.

#3.1 Nous garantissons que toute personne autorisée à traiter les Informations Personnelles du Client en notre nom est liée par des obligations de confidentialité, que ce soit par contrat ou par la loi, et est informée du caractère confidentiel de l'information.

#3.2 L'accès aux Informations Personnelles du Client est limité selon le principe du besoin de connaître et est protégé par des contrôles d'accès, une authentification multifacteur obligatoire, et un enregistrement des audit.

#4.1 Nous mettrons en œuvre et maintiendrons des mesures techniques et organisationnelles appropriées pour protéger les Données Personnelles du Client contre le traitement non autorisé ou illégal, la perte accidentelle, la destruction ou l'endommagement. Les mesures actuelles sont résumées dans l'Annexe B de ce Contrat de Traitement de Données et sur kapsulecloud.com/legal/security.

#4.2 Nous examinerons et mettrons régulièrement à jour nos mesures de sécurité en tenant compte de l'état de l'art, des coûts de mise en œuvre, de la nature, de l'étendue, du contexte et des finalités du traitement, ainsi que du risque pour les droits et libertés des Personnes Concernées.

#4.3 Nous ne réduirons pas matériellement la protection globale sans vous en donner préavis.

#5.1 Autorisation. Vous nous autorisez à engager les Sous-traitants énumérés à l'adresse kapsulecloud.com/legal/sub-processors pour traiter les Données personnelles du Client.

#5.2 Conditions applicables aux Sous-traitants. Nous conclurons un contrat écrit avec chaque Sous-traitant qui impose des obligations en matière de protection des données au moins aussi protectrices que celles du présent DPA, y compris des obligations de confidentialité, de sécurité et de traitement limité.

#5.3 Notification des nouveaux Sous-traitants. Nous vous notifierons tout nouveau Sous-traitant qui traitera les Données personnelles du Client au moins trente (30) jours avant que ce Sous-traitant ne commence le traitement. La notification se fera par courrier électronique et par affichage sur la page des Sous-traitants.

#5.4 Opposition. Vous pouvez vous opposer sur la base de motifs raisonnables (par exemple, une préoccupation documentée concernant la sécurité, la conformité ou la juridiction du Sous-traitant proposé) en envoyant un courrier électronique à [email protected] dans le délai de 30 jours. Si nous ne pouvons pas raisonnablement tenir compte de votre opposition (par exemple, en changeant de Sous-traitant ou en modifiant la configuration), vous pouvez résilier le Service concerné et recevoir un remboursement au prorata de tous les Frais prépayés pour la portion inutilisée du cycle de facturation pertinent.

#5.5 Responsabilité à l'égard des Sous-traitants. Nous restons responsables envers vous des actes et omissions de nos Sous-traitants concernant les Données personnelles du Client comme s'il s'agissait des nôtres.

#6.1 Nous fournirons, compte tenu de la nature du traitement, une assistance raisonnable pour vous aider à répondre aux demandes des personnes concernées visant à exercer leurs droits en vertu des Lois applicables en matière de protection des données, y compris les droits d'accès, de rectification, de suppression, de limitation et de portabilité.

#6.2 Si nous recevons une demande d'une personne concernée qui se rapporte à votre utilisation des Services, nous : (a) renvoyons la personne concernée à vous (le Responsable du traitement) ; et (b) sauf si cela est légalement interdit, vous notifions la demande sans délai excessif.

#6.3 L'assistance est fournie par le biais des fonctionnalités d'accès, d'export et de suppression de KPanel lorsque celles-ci sont suffisantes, et par le biais d'un support manuel lorsque les fonctionnalités techniques ne peuvent pas satisfaire à la demande.

#6.4 Nous pouvons facturer un honoraire raisonnable pour l'assistance manuelle qui dépasse matériellement le support habituel, lorsque la demande est manifestement infondée ou excessive.

#7.1 Notification. Nous vous notifierons de toute Violation de la Vie Privée Notifiable confirmée affectant les Données Personnelles du Client sans retard injustifié, et en tout état de cause dans les soixante-douze (72) heures suivant le moment où nous en avons connaissance.

#7.2 Contenu de la notification. La notification comprendra, dans la mesure où elle est connue et raisonnablement disponible au moment de la notification : (a) la nature de la violation, y compris, si possible, les catégories et le nombre approximatif de Personnes Concernées et de dossiers affectés ; (b) les conséquences probables de la violation ; (c) les mesures que nous avons prises ou proposons de prendre pour remédier à la violation et atténuer ses effets négatifs possibles ; et (d) le point de contact pour de plus amples informations.

#7.3 Mises à jour ultérieures. Si certaines informations ne sont pas disponibles au moment de la notification initiale, nous les fournirons lors de mises à jour ultérieures dès que possible.

#7.4 Coopération. Nous coopérerons raisonnablement avec vous dans le cadre de toute enquête requise, notification aux autorités, notification aux Personnes Concernées affectées et mesures correctives.

#7.5 Responsabilité du Client. Vous restez responsable de l'évaluation de la question de savoir si une violation constitue une Violation de la Vie Privée Notifiable selon votre loi applicable et de la réalisation des notifications nécessaires auprès du Bureau du Commissaire à la Vie Privée, des Personnes Concernées affectées ou d'autres organismes de régulation. Nous vous fournirons les informations dont vous avez raisonnablement besoin pour ce faire.

#8.1 Informations. Nous mettrons à votre disposition les informations nécessaires pour démontrer la conformité avec le présent DPA, y compris la Déclaration de sécurité disponible sur kapsulecloud.com/legal/security, la liste des Sous-traitants, et tous rapports d'audit tiers ou certifications que nous détenons (le cas échéant).

#8.2 Audit sur site. Dans le cas où les informations visées à la clause 8.1 ne suffiraient pas à démontrer la conformité concernant une question particulière que vous auriez soulevée par écrit, vous pouvez procéder à un audit de notre conformité avec le présent DPA aux conditions suivantes : (a) les audits sont menés à vos frais (y compris nos frais raisonnables d'assistance) ; (b) vous nous donnez au moins trente (30) jours de préavis écrit ; (c) les audits se déroulent pendant nos heures d'ouverture normales ; (d) les audits sont menés au maximum une fois au cours d'une période de douze (12) mois quelconque, sauf après une Violation de données à caractère personnel notifiée confirmée vous affectant, auquel cas un audit supplémentaire peut être mené sur préavis raisonnable ; (e) l'audit n'interfère pas déraisonnablement avec nos opérations et ne compromet pas la confidentialité des informations d'autres clients ; (f) l'auditeur doit être qualifié, indépendant de nos concurrents, et lié par des obligations de confidentialité selon des modalités acceptables pour nous ; (g) nous pouvons, à notre option, satisfaire à nos obligations d'audit en fournissant des copies de rapports d'audit tiers ou de certifications (le cas échéant) ou en répondant à un questionnaire de sécurité.

#8.3 Vous nous fournirez une copie de tout rapport d'audit et de tous les résultats, et nous déploierons des efforts raisonnables pour traiter les résultats matériels dans un délai convenu.

#9.1 Vous reconnaissez que certains de nos Sous-traitants sont situés en dehors de la Nouvelle-Zélande. Les emplacements actuels sont énumérés à kapsulecloud.com/legal/sub-processors.

#9.2 Lorsque des Informations personnelles du Client sont transférées en dehors de la Nouvelle-Zélande, nous nous assurons que des garanties comparables s'appliquent, notamment : (a) en veillant à ce que le Sous-traitant soit soumis à une loi sur la protection des données qui, selon notre appréciation, offre des protections comparables à la Privacy Act 2020 ; ou (b) en concluant des garanties contractuelles avec le Sous-traitant qui exigent des protections comparables (par exemple, en référence aux Clauses contractuelles types le cas échéant) ; ou (c) en obtenant votre autorisation expresse pour le transfert.

#9.3 En concluant le présent DPA, vous autorisez les transferts décrits à la clause 7 de la Politique de confidentialité et à la clause 5 du présent DPA, sur la base des garanties énoncées à la clause 9.2.

#10.1 Pendant la durée des Services, vous pouvez exporter les informations personnelles du client via KPanel en utilisant nos outils d'export standard (CSV, JSON, téléchargement d'archive, ou vidage de base de données, selon le type de données).

#10.2 À la résiliation des Services et à votre option, nous procéderons à : (a) la mise à disposition des informations personnelles du client pour export pendant trente (30) jours suivant la résiliation (la « Période de grâce ») ; et (b) par la suite, la suppression permanente des informations personnelles du client des systèmes actifs.

#10.3 Les copies de sauvegarde chiffrées seront purgées lors du prochain cycle de rotation planifié, au plus tard trente (30) jours après la suppression des systèmes actifs.

#10.4 Nous pouvons conserver les informations personnelles du client après la résiliation lorsque cela est requis par la loi (par exemple, les dossiers de facturation et fiscaux en vertu du Tax Administration Act 1994, ou pour défendre une réclamation judiciaire). Toute conservation de cette nature sera limitée au minimum nécessaire, et les informations resteront soumises aux obligations de confidentialité et de sécurité énoncées dans ce Contrat de traitement de données.

#11.1 Les dispositions relatives à la responsabilité dans les Conditions d'utilisation (y compris la limitation de responsabilité à la clause 16) s'appliquent au présent DPA.

#11.2 Sans préjudice de la clause 11.1, aucune disposition du présent DPA ne limite la responsabilité d'une partie en cas de fraude, de fausse déclaration frauduleuse, de mauvaise conduite intentionnelle, ou de toute responsabilité qui ne peut pas légalement être limitée en vertu des Lois applicables en matière de protection des données.

#11.3 Si nous encourons une sanction réglementaire du fait de, ou en relation avec, votre manquement à vos obligations en vertu du présent DPA ou des Lois applicables en matière de protection des données, le montant de cette sanction sera traité comme un préjudice récupérable auprès de vous, sous réserve des limites énoncées dans les Conditions d'utilisation.

#11.4 Les crédits de service selon le SLA ne sont pas des crédits en vertu du présent DPA.

#12.1 Le présent DPA entre en vigueur à la date à laquelle vous commencez à utiliser les Services (ou le 15 mai 2026, selon la date la plus tardive) et continue jusqu'à la résiliation des Services et l'accomplissement de nos obligations de suppression en vertu de la clause 10.

#12.2 Nous pouvons mettre à jour le présent DPA de temps à autre pour refléter les changements dans la législation ou dans nos opérations. Les modifications matérielles seront notifiées au moins trente (30) jours à l'avance.

#13.1 En cas de conflit entre ce DPA et les Conditions d'utilisation ou la Politique de confidentialité concernant le traitement des Données personnelles du Client, ce DPA prévaut.

#13.2 En cas de conflit entre ce DPA et une disposition obligatoire applicable d'une Loi applicable en matière de protection des données, la disposition obligatoire prévaut dans la mesure du conflit.

Responsable de la protection des données

Kapsule Group Limited, Christchurch, New Zealand.

E-mail : [email protected]

A.1 Objet. Fourniture d'hébergement infonuagique, d'enregistrement de domaines, d'hébergement de courrier électronique et de services connexes tels que décrits dans les Conditions d'utilisation.

A.2 Durée. Pour la durée des Services, plus la Période de grâce et toute rétention requise par la loi tel que prévu à la clause 10.

A.3 Nature et objet. Stockage, transmission, sauvegarde, sécurité, réplication, indexation, conversion de format (à des fins de compatibilité technique), prévention des abus, facturation et tout autre traitement nécessaire au fonctionnement des Services.

A.4 Catégories d'informations personnelles du client. Déterminées et téléchargées par vos soins. Peuvent inclure : noms, coordonnées de contact (courrier électronique, téléphone, adresse), identifiants de compte, informations de vérification d'identité, informations de paiement, données transactionnelles, adresses IP, identifiants d'appareils, photos et autres images, contenu de sites Web et d'applications, contenu de courrier électronique, métadonnées de messages, enregistrements de gestion des relations client, communications d'assistance, et toute autre information personnelle que vous choisissez de traiter via les Services.

A.5 Catégories de personnes concernées. Déterminées par vos soins. Peuvent inclure : vos employés, prestataires, mandataires, clients, clients potentiels, fournisseurs, membres, utilisateurs finaux, donateurs et tout autre individu dont les informations personnelles que vous choisissez de traiter via les Services.

A.6 Catégories spéciales. Vous ne devez pas télécharger vers les Services d'informations personnelles sensibles ou de catégories spéciales (telles que les informations sur la santé, les informations biométriques, les antécédents pénaux, les convictions religieuses, l'orientation sexuelle ou l'adhésion à un syndicat) sans notre accord préalable écrit portant sur les mesures de sauvegarde supplémentaires appropriées. Si vous téléchargez de telles informations sans notre accord, vous êtes responsable de la licéité de cette action et nous indemnisez à l'égard de tout sinistre connexe.

A.7 Fréquence et durée du traitement. Continu, pour la durée des Services.

Nous mettons en œuvre les mesures techniques et organisationnelles suivantes, que nous pouvons mettre à jour de temps à autre pour maintenir ou améliorer la protection globale :

B.1 Politiques et gouvernance de sécurité de l'information. Politiques documentées de sécurité de l'information et de confidentialité, examinées au moins une fois par an. Délégué à la protection des données désigné responsable de la conformité. Formation du personnel en matière de confidentialité et de sécurité lors de l'intégration et annuellement par la suite. Vérifications des antécédents du personnel ayant accès aux systèmes de production, si la loi le permet.

B.2 Contrôles d'accès. Contrôles d'accès stricts basés sur les rôles selon les principes du privilège minimum. Authentification à deux facteurs obligatoire pour tout le personnel ayant accès aux systèmes de production. Examens d'accès périodiques et révocation rapide en cas de changement de rôle ou de départ. Séparation des environnements de production et de non-production. Journalisation des accès privilégiés.

B.3 Chiffrement et protection des données. Chiffrement TLS (au moins TLS 1.2) pour toutes les données en transit. Chiffrement au repos pour les sauvegardes hors site (restic) et pour les magasins de données sensibles. Sauvegardes chiffrées restic hors site stockées dans Cloudflare R2 (région Océanie). Gestion sécurisée des clés avec copies hors ligne des clés de récupération principales.

B.4 Sécurité des réseaux et des systèmes. Segmentation du réseau entre les environnements clients. Pare-feu d'applications web et protection contre les attaques DDoS via Cloudflare. Mise à jour régulière des systèmes d'exploitation, des runtimes et des applications. Analyse des vulnérabilités de l'infrastructure exposée à Internet. Tests de pénétration périodiques.

B.5 Journalisation, surveillance et réponse aux incidents. Journalisation centralisée des accès, des modifications et des événements de sécurité. Surveillance 24h/24 et 7j/7 de la santé de la plateforme et des signaux de sécurité. Plan de réponse aux incidents documenté avec des niveaux de gravité définis et des voies d'escalade. Procédure de notification des violations de confidentialité notifiables alignée sur la Privacy Act 2020 et la clause 7 du présent DPA.

B.6 Sauvegarde, continuité d'activité et récupération après sinistre. Sauvegardes quotidiennes chiffrées hors site des données de site client et des données de courrier électronique. Conservation des sauvegardes hors site d'au moins trente (30) jours, avec une conservation plus longue selon les Plans supérieurs. Procédures de récupération après sinistre documentées et runbooks. Tests de restauration réguliers.

B.7 Personnel et sous-traitants. Engagements de confidentialité pour tout le personnel. Contrats écrits avec tous les sous-traitants imposant des protections au moins aussi protectrices que ce DPA. Examen annuel des sous-traitants pour confirmer leur adéquation continue.

B.8 Sécurité physique. Serveurs de production exploités dans des centres de données de niveau III ou équivalent avec accès physique contrôlé, sécurité 24h/24, contrôles environnementaux et suppression d'incendie.

B.9 Sécurité des applications. Cycle de vie du développement logiciel sécurisé, incluant l'examen du code, l'analyse des dépendances et les tests de pré-lancement. Utilisation de la gestion des secrets (aucun secret dans le code source). Examen du code obligatoire pour les modifications de production.

B.10 Ségrégation et suppression des données. Ségrégation logique des données client. Procédures de suppression des données documentées alignées sur la clause 10 du présent DPA. Procédures documentées pour traiter les demandes d'accès, de correction et de suppression des personnes concernées.

Une version plus détaillée de ces mesures est publiée à l'adresse kapsulecloud.com/legal/security et est mise à jour de temps à autre.