Keycafe

Keycafe — Avenant relatif au Traitement des Données (ATD)

Dernière mise à jour: 23 octobre 2025

Date d’effet: à la date d’acceptation par le Client des Conditions d’utilisation de Keycafe (les « Conditions »).
Parties: le « Client » et l’entité Keycafe contractante (« Keycafe ») au titre des Conditions.

  1. Intégration ; champ d’application

    Le présent Avenant est intégré par référence aux Conditions et s’applique chaque fois que Keycafe traite des données à caractère personnel pour le compte du Client en qualité de sous-traitant ou de prestataire/contractant au titre de la législation applicable en matière de protection des données. Aucune signature séparée n’est requise. En cas de conflit entre le présent Avenant et les Conditions concernant le traitement des données à caractère personnel, le présent Avenant prévaut.

  2. Définitions

    Les termes commençant par une majuscule qui ne sont pas définis ci-dessous ont le sens qui leur est donné dans les Conditions.

    • « Législation applicable en matière de protection des données » désigne l’ensemble des lois relatives à la vie privée, à la protection ou à la sécurité des données applicables au traitement des données à caractère personnel, notamment le RGPD de l’UE/EEE, le RGPD du Royaume-Uni, la LPD suisse, la CPRA/CCPA de Californie, la LPRPDE canadienne et les lois provinciales substantiellement similaires (y compris la PIPA de l’Alberta, la PIPA de la C.-B. et la loi québécoise du secteur privé), ainsi que toute autre législation nationale, étatique, provinciale ou sectorielle applicable.
    • « Données à caractère personnel du Client » désigne les données à caractère personnel traitées par Keycafe pour le compte du Client au titre des Conditions.
    • « traiter / traitement » a le sens prévu par la législation applicable en matière de protection des données.
    • « CCT » désigne les clauses contractuelles types de l’UE (Module 2, responsable → sous-traitant) adoptées par la Décision d’exécution (UE) 2021/914 de la Commission, telles que modifiées ou remplacées.
    • « Sous-traitant ultérieur » désigne un sous-traitant engagé par Keycafe pour traiter les données à caractère personnel du Client.
    • « Connaissance effective » désigne le moment où l’équipe de sécurité de Keycafe confirme, à l’issue d’une enquête raisonnable, qu’une violation de données à caractère personnel affectant les données à caractère personnel du Client s’est produite. Keycafe n’a aucune obligation de notifier le Client des incidents suspectés ou potentiels avant la Connaissance effective.
    • « Incident de sécurité » désigne un événement indésirable, soupçonné ou avéré, affectant des réseaux, systèmes ou installations et n’entraînant ni accès non autorisé ni divulgation, altération ou perte des données à caractère personnel du Client. Keycafe n’a pas d’obligation de notifier le Client des Incidents de sécurité, sans préjudice de la possibilité d’inclure, à sa discrétion, des statistiques ou synthèses de haut niveau dans des communications de transparence périodiques.
    • « Violation de données à caractère personnel » désigne une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de, ou l’accès non autorisé à, des données à caractère personnel du Client. Les tentatives infructueuses ou activités qui ne compromettent pas la sécurité (p. ex., pings, scans de ports, malwares bloqués, échecs de connexion, DDoS) ne constituent pas des violations de données à caractère personnel.

  3. Rôles ; instructions ; responsabilités du Client

    1. Rôles. Le Client est le responsable du traitement et Keycafe est le sous-traitant/prestataire pour les données à caractère personnel du Client.
    2. Instructions. Keycafe ne traite les données à caractère personnel du Client que sur instructions documentées du Client et dans la mesure nécessaire pour fournir et sécuriser les Produits décrits dans les Conditions. Keycafe informe le Client si une instruction semble contrevenir à la législation applicable en matière de protection des données.
    3. Responsabilités du Client. Le Client est responsable de l’exactitude, de la qualité et de la licéité des données à caractère personnel du Client, ainsi que de la fourniture des informations et de l’obtention des consentements requis pour le traitement par Keycafe.
    4. Données sensibles ; informations personnelles sensibles. Le Client ne soumet pas intentionnellement de catégories particulières de données au sens du RGPD, ni d’« informations personnelles sensibles » au sens de la CPRA (ou de lois similaires), sauf notification écrite préalable et mise en place de garanties appropriées ; les téléversements d’urgence sont notifiés promptement par la suite.
    5. Absence de conseil juridique. Keycafe ne fournit pas de conseil juridique ; le Client demeure seul responsable de la licéité des données à caractère personnel du Client, des informations et consentements requis, ainsi que de la légalité des instructions du Client.

  4. Confidentialité du personnel

    Keycafe s’assure que les membres de son personnel autorisés à traiter les données à caractère personnel du Client sont liés par une obligation de confidentialité et reçoivent une formation appropriée en matière de protection de la vie privée et de sécurité.

  5. Sécurité

    Keycafe met en œuvre des mesures techniques et organisationnelles appropriées destinées à protéger les données à caractère personnel du Client contre la destruction, la perte, l’altération, la divulgation non autorisée ou l’accès non autorisé, accidentels ou illicites. Ces mesures incluent des contrôles d’accès, le chiffrement lorsque cela est approprié, la journalisation et la surveillance, la gestion des vulnérabilités, les sauvegardes et la sécurité physique, telles que décrites à l’Annexe II (Mesures de sécurité). Keycafe évalue et met à jour ces mesures compte tenu de la nature du traitement et du niveau de risque.

  6. Sous-traitants ultérieurs

    1. Recours ; obligations en cascade. Le Client autorise Keycafe à recourir à des Sous-traitants ultérieurs pour fournir les Produits. Keycafe impose à ces derniers des obligations en cascade (flow-down) en matière de protection des données au moins aussi protectrices que celles du présent Avenant.
    2. Liste et notification. La liste des Sous-traitants ultérieurs et les modalités de notification de Keycafe figurent à l’Annexe 6 (Sous-traitants) des Conditions. La publication d’une mise à jour sur la liste identifiée à l’Annexe 6 vaut notification de modification. Le Client peut écrire à privacy@keycafe.com pour rejoindre la liste de notification par e-mail facultative mentionnée à l’Annexe 6.
    3. Objection (motifs restreints) ; recours. Dans les 14 jours suivant la notification, le Client peut s’y opposer uniquement pour des motifs raisonnables et dûment étayés en matière de protection des données. Keycafe peut répondre à l’objection en retirant ou remplaçant le Sous-traitant ultérieur ou en proposant une alternative raisonnable. Si le différend n’est pas résolu après discussions de bonne foi, le Client peut résilier uniquement la fonctionnalité concernée (et non l’ensemble du Service) et recevoir un remboursement au prorata des frais prépayés non utilisés pour cette fonctionnalité. L’absence d’objection dans le délai de 14 jours vaut consentement.
    4. Responsabilité ; remédiation. Keycafe demeure responsable de la performance de ses Sous-traitants ultérieurs dans la même mesure que pour ses propres actes. Lorsque la non-conformité d’un Sous-traitant ultérieur affecte les Services, la ré-exécution ou la correction par Keycafe ou le Sous-traitant ultérieur constitue l’unique et exclusif recours du Client au titre de cette non-conformité, sans préjudice du droit de résiliation prévu au point (c).

  7. Assistance ; violations ; AIPD ; demandes des autorités

    1. Demandes des personnes concernées. Eu égard à la nature du traitement, Keycafe fournit une assistance raisonnable via les fonctionnalités produit et l’assistance afin d’aider le Client à répondre aux demandes de droits des personnes concernées. Toute assistance allant au-delà des fonctionnalités produit, excessive ou répétitive, peut être facturée en régie (au temps passé et aux frais).
    2. Incidents de sécurité. Keycafe notifie le Client sans retard indu et, lorsque cela est possible, dans les 72 heures suivant la Connaissance effective d’une violation de données à caractère personnel affectant les données à caractère personnel du Client, en fournissant les informations alors disponibles, puis des mises à jour. Il est précisé que les tentatives infructueuses ou activités ne compromettant pas la sécurité ne constituent pas une violation de données à caractère personnel. La notification ou la réponse de Keycafe ne vaut ni reconnaissance de faute ni admission de responsabilité.
    3. AIPD et consultations. Keycafe fournit des informations raisonnables pour soutenir les analyses d’impact relatives à la protection des données (AIPD) du Client et ses consultations avec les autorités de contrôle, dans la mesure où le traitement par Keycafe est en cause ; les travaux excédant des efforts raisonnables peuvent être facturés au temps passé.
    4. Demandes des autorités publiques et de contrôle. Keycafe ne répond à aucune demande émanant d’un gouvernement, d’une force de l’ordre ou d’une autorité de contrôle relative aux données à caractère personnel du Client, sauf pour en accuser réception et rediriger l’autorité vers le Client, à moins d’y être légalement tenu. Lorsque cela est permis, Keycafe informe promptement le Client de la demande, en évalue la légalité et ne divulgue que le minimum d’informations requis. Keycafe documente son évaluation et ses réponses et les met à disposition du Client sur demande.

  8. Droit d’audit et d’information

    Sur demande écrite, au plus une fois par période de 12 mois (sauf demande justifiée d’une autorité de contrôle ou postérieure à une violation), Keycafe fournit des rapports d’audit ou des certifications de tiers à jour (p. ex., SOC/ISO), des politiques et des synthèses de sécurité suffisants pour satisfaire aux obligations d’audit prévues par le présent Avenant et les CCT. Si, après examen, le Client estime raisonnablement ces informations insuffisantes, le Client peut conduire (ou mandater un auditeur indépendant convenu d’un commun accord) un audit sur site des systèmes et installations pertinents, avec un préavis de 30 jours, limité à un (1) jour ouvrable, durant les heures ouvrées, et limité aux systèmes qui traitent les données à caractère personnel du Client. L’accès sur site est conditionné à la signature par l’auditeur d’un accord de confidentialité au moins aussi protecteur que l’Accord et à la formalisation d’un plan d’audit écrit (périmètre, éléments de preuve, calendrier). Les audits sont soumis à la confidentialité, aux impératifs de sécurité et à des frais raisonnables au temps passé pour la supervision et le support. Des audits mandatés par une autorité de contrôle ou postérieurs à une violation peuvent avoir lieu selon les besoins. Les informations et résultats d’audit peuvent être partagés avec une autorité de contrôle compétente sur demande.

  9. Transferts internationaux

    1. UE/EEE. Lorsque des données à caractère personnel du Client sont transférées vers Keycafe dans un pays ne bénéficiant pas d’une décision d’adéquation, les CCT (Module 2) sont intégrées par référence et réputées conclues par les Parties dès l’acceptation des Conditions par le Client. Les Annexes I/II/III des CCT sont satisfaites par les Annexes I/II/III du présent Avenant. La Clause 7 (Clause d’adhésion) des CCT s’applique.
    2. Royaume-Uni. Pour les transferts depuis le Royaume-Uni, l’IDTA/Annexe britannique aux CCT est intégrée et réputée conclue à l’acceptation des Conditions ; les tableaux complétés sont satisfaits par les Annexes I à III et par les détails figurant dans les Conditions.
    3. Suisse. Pour les transferts suisses, les CCT s’appliquent telles que modifiées par les lignes directrices du PFPDT (les références au RGPD incluent la LPD suisse ; l’autorité de contrôle compétente est le PFPDT).
    4. Mesures supplémentaires. Keycafe met en œuvre des mesures supplémentaires lorsque la loi l’exige et notifie le Client s’il ne peut plus se conformer aux CCT/à l’IDTA.
    5. Localisation des données. Le traitement peut intervenir dans toute juridiction où Keycafe ou ses Sous-traitants ultérieurs opèrent, sous réserve du présent Article 9 et de la législation applicable en matière de protection des données.
    6. Adéquation Canada (à titre informatif). Lorsque Keycafe agit via une entité au Canada soumise à la LPRPDE, l’adéquation UE/R.-U. pour les transferts vers le Canada peut s’appliquer. Le présent considérant n’a pas pour objet de limiter ni de remplacer les CCT/l’Annexe britannique, qui demeurent applicables pour d’autres emplacements et pour les transferts ultérieurs.

  10. Restitution et suppression

    À la cessation ou à l’expiration des services concernés, au choix écrit du Client dans les 30 jours, Keycafe permet l’export en libre-service ou fournit autrement les données à caractère personnel du Client dans un format couramment utilisé et lisible par machine (sans ETL personnalisé ni extraction spécifique), ou les supprime/anonymise. Si le Client ne choisit pas la restitution dans ce délai, Keycafe supprime/anonymise dans les 90 jours, sous réserve d’obligations légales de conservation. La suppression des sauvegardes s’effectue par écrasement selon le cycle de rétention standard ; aucune purge anticipée n’est requise. Keycafe peut conserver des données désidentifiées ou agrégées à des fins commerciales légitimes.

  11. Dispositions CPRA/CCPA pour les prestataires (États-Unis)

    Pour les Informations personnelles californiennes, Keycafe agit en tant que prestataire/contractant et : (i) ne vend ni ne partage ces Informations personnelles ; (ii) ne les conserve, n’utilise ou ne divulgue pas en dehors des finalités commerciales de fourniture des Produits (y compris pour maintenir/améliorer la sécurité et selon ce qu’autorise la loi) ; (iii) ne les combine pas avec d’autres données sauf si la CPRA l’autorise (par exemple pour détecter des incidents de sécurité ou améliorer les services) ; (iv) impose ces restrictions aux Sous-traitants ultérieurs ; et (v) certifie comprendre ces obligations et s’y conformer.

  12. Responsabilité ; primauté

    La responsabilité au titre du présent Avenant est soumise aux limitations et exclusions prévues dans les Conditions, et non additionnelle à celles-ci. Rien dans le présent Avenant n’a pour objet d’étendre la responsabilité de Keycafe au-delà des Conditions. Pour éviter toute ambiguïté, les crédits de service et autres remèdes exclusifs prévus par les Conditions demeurent applicables.

  13. Droit applicable ; hiérarchie des documents

    Le présent Avenant suit les stipulations des Conditions relatives au droit applicable et au règlement des litiges. En cas de conflit au sujet du traitement des données à caractère personnel, le présent Avenant prévaut ; pour le reste, les Conditions prévalent.

  14. Durée

    Le présent Avenant reste en vigueur tant que Keycafe traite des données à caractère personnel du Client pour le compte du Client au titre des Conditions.

  15. Dispositions survivantes

    Les Articles 4, 5, 6 (dans la mesure où leurs obligations, de par leur nature, survivent), 7(d), 8, 9, 10, 12, 13, ainsi que les Annexes I à III, survivent à la cessation.

Annexe I — Détails du traitement (art. 28 et CCT)

  1. Parties et contacts

    • Exportateur des données (responsable): le Client (contact: tel qu’indiqué dans le compte du Client).
    • Importateur des données (sous-traitant): Keycafe (contact: privacy@keycafe.com).

  2. Description du traitement

    • Objet: fourniture, exploitation et support des Produits au titre des Conditions.
    • Durée: la durée de l’abonnement et toute période de transition/de conservation visée à l’Article 10.
    • Nature et finalité: hébergement, stockage, transmission, gestion des accès, journaux de télémétrie, support et sécurité des Produits.
    • Catégories de personnes concernées: employés/mandataires du Client; utilisateurs finaux du Client; invités/visiteurs désignés par le Client.
    • Catégories de données à caractère personnel: données d’identification et de contact (p. ex., nom, e-mail, téléphone); identifiants de compte; journaux des appareils et d’utilisation; événements d’accès/de transaction; localisation/GPS facultative lorsque activée ; toute autre donnée à caractère personnel que le Client choisit de soumettre.
    • Données sensibles: non anticipées ; si le Client soumet des données sensibles, les Parties mettent en place des garanties appropriées.
    • Fréquence des transferts: continue selon les besoins.
    • Instructions de traitement: telles qu’énoncées dans les Conditions, le présent Avenant et les configurations/demandes documentées du Client.
    • Conservation: conformément à l’Article 10.

  3. Autorité de contrôle compétente

    • Pour les CCT UE: l’autorité compétente de l’exportateur au titre du RGPD.
    • Pour les transferts suisses: le PFPDT.
    • Pour les transferts britanniques: l’ICO (selon l’Annexe britannique).

Annexe II — Mesures techniques et organisationnelles de sécurité

Keycafe maintient des mesures appropriées au regard des risques, notamment:

  • Contrôles d’accès: contrôle d’accès basé sur les rôles, MFA pour les accès privilégiés, moindre privilège, revues périodiques des accès.
  • Chiffrement: chiffrement en transit ; chiffrement au repos pour les principales bases de données, lorsque cela est approprié ; politiques de gestion des clés.
  • Sécurité réseau et infrastructure: segmentation, pare-feu, protections DDoS, normes de configuration sécurisée (baselines), gestion des vulnérabilités et application de correctifs.
  • Sécurité applicative: SDLC sécurisé, relectures de code, gestion des dépendances, gestion des secrets, journalisation/surveillance.
  • Sécurité opérationnelle: plan de réponse aux incidents, supervision des événements de sécurité, tests de sauvegarde/restauration, gestion des changements.
  • Sécurité physique: utilisation de centres de données offrant des protections conformes aux pratiques du secteur.
  • Personnel et formation: vérifications d’antécédents lorsque la loi le permet ; formation à la confidentialité, à la sécurité et à la protection des données.
  • Gestion des risques tiers: diligence raisonnable et engagements contractuels pour les Sous-traitants ultérieurs ; réévaluations périodiques.
  • Tests et audits: penetration tests d’intrusion et/ou évaluations indépendantes adaptés au profil de risque.

Annexe III — Sous-traitants ultérieurs

Voir l’Annexe 6 (Sous-traitants) des Conditions. Pour éviter toute ambiguïté, la publication d’une mise à jour sur la liste identifiée à l’Annexe 6 vaut notification de modification. Les droits d’objection et recours sont ceux décrits aux Articles 6(c) à 6(d) du présent Avenant.

Conclusion. Les Parties conviennent que le présent Avenant (y compris les CCT et/ou l’IDTA intégrés) est réputé conclu par les Parties et devient effectif à compter de l’acceptation des Conditions par le Client.

Fermer