Dernière mise à jour : 9 mars 2026
Accord de Traitement des Données
Cet Accord de Traitement des Données (« DPA ») fait partie des Conditions d'Utilisation (« Accord ») entre BrickGRC (« Sous-traitant », « nous ») et le Client (« Responsable du traitement », « vous ») et régit le traitement des données personnelles par BrickGRC pour le compte du Client dans le cadre de la plateforme BrickGRC. Ce DPA est conclu en application de l'article 28 du Règlement Général sur la Protection des Données (UE) 2016/679 (« RGPD »).
1. Définitions
« Responsable du traitement » désigne le Client, qui détermine les finalités et les moyens du traitement des données personnelles par l'utilisation de la plateforme BrickGRC.
« Sous-traitant » désigne BrickGRC, qui traite les données personnelles pour le compte du Responsable du traitement dans le cadre de la fourniture du Service.
« Personne concernée » désigne une personne physique identifiée ou identifiable dont les données personnelles sont traitées en vertu de ce DPA.
« Données personnelles » désigne toute information se rapportant à une Personne concernée telle que définie à l'article 4, paragraphe 1, du RGPD.
« Traitement » désigne toute opération ou ensemble d'opérations effectuées sur des données personnelles, que ce soit par des moyens automatisés ou non, tel que défini à l'article 4, paragraphe 2, du RGPD.
« Sous-traitant ultérieur » désigne tout tiers engagé par le Sous-traitant pour traiter des données personnelles pour le compte du Responsable du traitement.
« RGPD » désigne le Règlement Général sur la Protection des Données (UE) 2016/679 du Parlement européen et du Conseil.
Les termes en majuscules non définis dans ce DPA auront les significations qui leur sont attribuées dans l'Accord ou le RGPD, selon le cas.
2. Champ d'Application et Rôles
Le Client agit en tant que Responsable du traitement et BrickGRC agit en tant que Sous-traitant en ce qui concerne les données personnelles traitées via le Service. BrickGRC ne traitera les données personnelles que sur instructions documentées du Responsable du traitement, y compris les instructions énoncées dans ce DPA et l'Accord, sauf si le droit de l'Union européenne ou d'un État membre auquel le Sous-traitant est soumis l'exige. Dans ce cas, le Sous-traitant informera le Responsable du traitement de cette exigence légale avant le traitement, sauf si cette loi interdit une telle information pour des motifs importants d'intérêt public.
BrickGRC informera immédiatement le Responsable du traitement si, à son avis, une instruction du Responsable du traitement enfreint le RGPD ou d'autres dispositions applicables en matière de protection des données de l'Union européenne ou des États membres.
3. Types de Données Personnelles Traitées
Les catégories de données personnelles traitées en vertu de ce DPA peuvent inclure, selon l'utilisation du Service par le Responsable du traitement :
Données de Compte : Noms, adresses email, titres de poste, noms d'organisations et identifiants d'authentification des utilisateurs qui accèdent à la plateforme.
Données de Conformité : Informations contenues dans les engagements de conformité, éléments de travail, évaluations de maturité et enregistrements connexes pouvant inclure des données personnelles sur des individus au sein de l'organisation du Responsable du traitement.
Documents Téléchargés : Fichiers, politiques, procédures, documents de preuves et autres matériaux téléchargés par le Responsable du traitement pouvant contenir des données personnelles.
Données d'Interaction IA : Prompts, requêtes et contenus soumis aux fonctionnalités alimentées par l'IA telles que l'assistant de conformité, l'intelligence documentaire et la liaison automatique de preuves, pouvant inclure des données personnelles des enregistrements de conformité du Responsable du traitement.
Données de l'Annuaire des Employés : Si le Responsable du traitement utilise des intégrations de synchronisation d'annuaire des employés (par ex., via des Bricks de systèmes RH), les noms des employés, adresses email, départements, rôles et données organisationnelles connexes peuvent être traités.
Journaux d'Audit : Enregistrements des actions des utilisateurs dans la plateforme, incluant les horodatages, adresses IP, identifiants utilisateurs et descriptions des activités réalisées.
4. Finalité du Traitement
BrickGRC traite les données personnelles uniquement dans le but de fournir les services de la plateforme BrickGRC comme décrit dans l'Accord, incluant : exploiter et maintenir la plateforme ; fournir des fonctionnalités de gestion de conformité, d'intelligence documentaire, de liaison de preuves, de notation de maturité et de génération de rapports ; fournir une assistance à la conformité par IA ; authentifier les utilisateurs et appliquer les contrôles d'accès ; générer des pistes d'audit ; effectuer des sauvegardes et assurer la continuité du service ; et fournir un support client.
BrickGRC ne traitera pas les données personnelles à d'autres fins que celles énoncées dans ce DPA et l'Accord, et ne vendra, ne louera ni n'exploitera commercialement les données personnelles de quelque autre manière.
5. Durée du Traitement
BrickGRC traitera les données personnelles pendant la durée de l'Accord, plus toute période de conservation nécessaire pour permettre au Responsable du traitement d'exporter ses données et pour que BrickGRC achève la suppression conformément à la Section 12 de ce DPA. Le traitement cessera à l'expiration ou à la résiliation de l'Accord, sous réserve des dispositions de suppression et de restitution des données énoncées ci-après.
6. Sous-Traitants Ultérieurs
Le Responsable du traitement accorde à BrickGRC une autorisation générale pour engager des sous-traitants ultérieurs pour l'aider dans la fourniture du Service. Une liste actuelle des sous-traitants ultérieurs est maintenue dans notre Politique de Confidentialité. BrickGRC veillera à ce que chaque sous-traitant ultérieur soit lié par des obligations de protection des données non moins protectrices que celles énoncées dans ce DPA.
BrickGRC notifiera le Responsable du traitement au moins 30 jours à l'avance de toute addition ou remplacement prévu d'un sous-traitant ultérieur, fournissant au Responsable du traitement des informations suffisantes pour évaluer le changement. La notification sera fournie par email à l'adresse associée au compte du Responsable du traitement.
Le Responsable du traitement peut s'opposer à la nomination d'un nouveau sous-traitant ultérieur en notifiant BrickGRC par écrit dans les 14 jours suivant la réception de la notification. L'objection doit être fondée sur des motifs raisonnables liés à la protection des données. À réception d'une objection, BrickGRC travaillera de bonne foi avec le Responsable du traitement pour résoudre la préoccupation. Si les parties ne parviennent pas à résoudre l'objection dans les 30 jours, le Responsable du traitement peut résilier le Service concerné sans pénalité en fournissant un avis écrit.
BrickGRC reste pleinement responsable envers le Responsable du traitement de l'exécution des obligations de chaque sous-traitant ultérieur en vertu de ce DPA. Lorsqu'un sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, BrickGRC sera responsable envers le Responsable du traitement des actes et omissions de ce sous-traitant ultérieur comme s'il s'agissait des siens.
7. Mesures de Sécurité
BrickGRC met en œuvre et maintient des mesures techniques et organisationnelles appropriées pour protéger les données personnelles contre le traitement non autorisé ou illicite, la perte accidentelle, la destruction ou les dommages. Ces mesures incluent, sans limitation :
Chiffrement au Repos : Les identifiants et secrets sensibles sont chiffrés à l'aide du chiffrement AES-256-GCM. Le stockage de la base de données est chiffré au niveau du système de fichiers.
Chiffrement en Transit : Toutes les données transmises entre le client et le Service sont protégées par TLS 1.2 ou supérieur. Les communications API avec les sous-traitants ultérieurs tiers sont chiffrées en transit.
Sécurité des Mots de Passe : Les mots de passe des utilisateurs sont hachés et salés à l'aide de la fonction de dérivation de clé scrypt. Les mots de passe en clair ne sont jamais stockés ni enregistrés.
Contrôle d'Accès Basé sur les Rôles : La plateforme applique un contrôle d'accès basé sur les rôles (RBAC) avec cinq rôles distincts — Propriétaire, Administrateur, Auditeur, Éditeur et Observateur — chacun avec des permissions granulaires garantissant que les utilisateurs ne peuvent accéder qu'aux données et effectuer les actions appropriées à leur rôle.
Isolation Logique des Tenants : Les données de chaque organisation sont logiquement isolées au sein de la plateforme. Toutes les requêtes de base de données et opérations API sont limitées à l'organisation authentifiée, empêchant l'accès aux données entre tenants.
Verrouillage de Compte : Les comptes utilisateurs sont temporairement verrouillés après 5 tentatives d'authentification échouées consécutives pour protéger contre les attaques par force brute.
Authentification à Deux Facteurs : La plateforme prend en charge l'authentification à deux facteurs (2FA) utilisant des mots de passe à usage unique basés sur le temps (TOTP), fournissant une couche supplémentaire de sécurité du compte.
Revues de Sécurité : BrickGRC effectue des revues de sécurité régulières de son infrastructure, du code applicatif et des contrôles d'accès pour identifier et corriger les vulnérabilités potentielles.
Sauvegardes Chiffrées : Les sauvegardes de la base de données et du stockage de fichiers sont chiffrées et stockées de manière sécurisée. Les procédures de sauvegarde sont testées périodiquement pour assurer la récupérabilité des données.
BrickGRC évaluera régulièrement l'adéquation de ces mesures et les mettra à jour si nécessaire pour répondre aux risques de sécurité évolutifs et aux développements technologiques, en tenant compte de l'état de l'art, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement, ainsi que des risques pour les personnes concernées.
8. Droits des Personnes Concernées
BrickGRC assistera le Responsable du traitement dans l'accomplissement de ses obligations de répondre aux demandes des Personnes concernées exerçant leurs droits en vertu du RGPD, y compris les droits d'accès, de rectification, d'effacement, de limitation du traitement, de portabilité des données et d'opposition. Cette assistance sera fournie par des mesures techniques et organisationnelles appropriées, dans la mesure du possible.
Si BrickGRC reçoit une demande directement d'une Personne concernée relative aux données du Responsable du traitement, BrickGRC notifiera promptement le Responsable du traitement de la demande et ne répondra pas directement à la Personne concernée sauf autorisation du Responsable du traitement ou obligation légale.
9. Notification de Violation de Données
BrickGRC notifiera le Responsable du traitement sans délai injustifié et en tout état de cause dans les 72 heures suivant la prise de connaissance d'une violation de données personnelles affectant les données du Responsable du traitement. La notification sera faite à l'adresse email associée au compte du Responsable du traitement et, le cas échéant, via le système de notification de la plateforme.
La notification de violation comprendra, dans la mesure du raisonnablement disponible : une description de la nature de la violation de données personnelles, y compris les catégories et le nombre approximatif de Personnes concernées et d'enregistrements de données personnelles affectés ; le nom et les coordonnées du point de contact de BrickGRC pour plus d'informations ; une description des conséquences probables de la violation ; et une description des mesures prises ou proposées pour remédier à la violation, y compris les mesures pour atténuer ses éventuels effets négatifs.
Lorsqu'il n'est pas possible de fournir toutes les informations au moment de la notification initiale, BrickGRC fournira les informations par phases sans autre délai injustifié. BrickGRC coopérera avec le Responsable du traitement et prendra des mesures commerciales raisonnables pour aider à l'investigation, l'atténuation et la remédiation de la violation.
10. Transferts Internationaux de Données
L'infrastructure principale de BrickGRC est hébergée au sein de l'Union européenne, spécifiquement dans les centres de données Hetzner situés en Allemagne. Les données personnelles sont stockées et traitées au sein de l'UE/EEE par défaut.
Lorsque des données personnelles sont transférées à des sous-traitants ultérieurs situés en dehors de l'UE/EEE (par exemple, à des fournisseurs d'IA pour des fonctionnalités alimentées par l'IA), BrickGRC veillera à ce que des garanties appropriées soient en place conformément au Chapitre V du RGPD, y compris l'utilisation de Clauses Contractuelles Types (CCT) adoptées par la Commission européenne, de décisions d'adéquation ou d'autres mécanismes de transfert approuvés.
Lorsque le Responsable du traitement configure son propre fournisseur d'IA tiers via le système Bricks, le Responsable du traitement reconnaît que les transferts de données vers ce fournisseur sont régis par le propre accord du Responsable du traitement avec le fournisseur, et le Responsable du traitement est responsable de s'assurer que des garanties de transfert appropriées sont en place.
11. Droits d'Audit
BrickGRC mettra à la disposition du Responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations énoncées dans ce DPA et permettra et contribuera aux audits, y compris les inspections, menés par le Responsable du traitement ou un auditeur mandaté par le Responsable du traitement.
Les audits seront menés sous réserve des conditions suivantes : le Responsable du traitement fournira au moins 30 jours de préavis écrit de son intention de mener un audit ; les audits seront menés pendant les heures de bureau normales de BrickGRC ; le Responsable du traitement et ses auditeurs concluront des obligations de confidentialité appropriées (NDA) avant l'audit ; les audits seront menés de manière à minimiser la perturbation des opérations de BrickGRC ; et le Responsable du traitement supportera les coûts de l'audit sauf si l'audit révèle un non-respect matériel de la part de BrickGRC.
BrickGRC peut satisfaire les demandes d'audit en fournissant au Responsable du traitement des certifications pertinentes, des rapports d'audit ou des résumés d'évaluations indépendantes de tiers, le cas échéant, que le Responsable du traitement peut accepter en lieu et place d'un audit sur site à sa discrétion.
12. Suppression et Restitution des Données
À l'expiration ou à la résiliation de l'Accord, BrickGRC fournira au Responsable du traitement une période de 30 jours pendant laquelle le Responsable du traitement peut exporter toutes les données personnelles de la plateforme en utilisant les outils d'exportation disponibles. BrickGRC fera des efforts raisonnables pour aider le Responsable du traitement dans l'exportation des données sur demande.
Après l'expiration de la période d'exportation de 30 jours, BrickGRC supprimera toutes les données personnelles dans un délai de 90 jours, y compris toutes les copies stockées dans les systèmes de production, les sauvegardes et les environnements de reprise après sinistre, sauf si la conservation est exigée par le droit applicable de l'Union européenne ou d'un État membre. Lorsque la conservation est légalement requise, BrickGRC informera le Responsable du traitement de la base juridique et limitera le traitement dans la mesure requise par cette obligation légale.
BrickGRC fournira une confirmation écrite de la suppression des données sur demande du Responsable du traitement.
13. Confidentialité
BrickGRC veillera à ce que les personnes autorisées à traiter les données personnelles se soient engagées à la confidentialité ou soient soumises à une obligation légale de confidentialité appropriée. L'accès aux données personnelles sera limité au personnel qui a besoin d'y accéder pour exercer ses fonctions dans le cadre de la fourniture du Service.
14. Analyses d'Impact sur la Protection des Données
BrickGRC fournira une assistance raisonnable au Responsable du traitement pour les analyses d'impact sur la protection des données et les consultations préalables avec les autorités de contrôle, dans la mesure requise en vertu des articles 35 et 36 du RGPD, en tenant compte de la nature du traitement et des informations disponibles pour BrickGRC.
15. Droit Applicable
Ce DPA est régi et interprété conformément aux lois de la République portugaise et aux dispositions applicables du RGPD. Tout litige découlant de ce DPA sera soumis à la juridiction exclusive des tribunaux de Lisbonne, Portugal, sans préjudice des droits des Personnes concernées ou des autorités de contrôle en vertu du RGPD.
16. Contact
Pour toute question concernant cet Accord de Traitement des Données ou les questions de protection des données, veuillez nous contacter à [email protected].