1) Rôles & responsabilités
Client : Responsable de traitement (finalités, bases légales, durées de conservation, information des personnes, tenue du registre, notifications à l’autorité).
Hamilton Apps : Sous‑traitant (traitements selon instruction documentée du Client, confidentialité, sécurité, assistance RGPD, sous‑traitance ultérieure encadrée, fin de contrat : restitution/destruction).
2) Contrat de sous‑traitance (DPA)
Le DPA précise notamment :
Objet & durée des traitements, catégories de données et de personnes.
Mesures techniques & organisationnelles (sécurité, journalisation, sauvegardes).
Confidentialité (obligation du personnel habilité) et assistance au Client (exercice des droits, sécurité, audits).
Sous‑traitants ultérieurs : information/préavis et obligations équivalentes.
Fin de contrat : restitution sur demande, puis effacement certifié des données.
3) Localisation des données & sous‑traitants
Hébergement de production dans l’UE (SaaS) chez des prestataires d’infrastructure qualifiés.
Liste à jour des sous‑traitants (catégorie/fonction, pays, finalité) : fournie sur demande contractuelle et notifiée en cas d’évolution.
4) Droits des personnes concernées
Accès, rectification, effacement, limitation, opposition, portabilité.
Hamilton Apps assiste le Client pour traiter les demandes (recherche/export, effacement, journalisation des actions).
Information et modalités de contact (DPO/référent) à communiquer par le Client aux personnes concernées.
5) Conservation, purge & archivage
Le Client définit les durées de conservation ; l’application permet des politiques de purge et exports (journalisés).
Sauvegardes : conservées pour la durée opérationnelle prévue ; effacement conforme en fin de rétention.
6) Violations de données (data breach)
En tant que sous‑traitant, Hamilton Apps notifie le Client sans délai indû après prise de connaissance, avec description de l’incident, données/volumétrie estimées, mesures prises et points de contact.
Le Client évalue la notification éventuelle à l’autorité compétente (≤ 72 h selon art. 33 RGPD) et la communication aux personnes.
7) Transferts hors UE
Par défaut, aucun transfert hors UE n’est nécessaire pour l’exploitation SaaS.
Si un transfert est requis (ex. service externe choisi par le Client), mise en place de garanties appropriées : Clauses Contractuelles Types (SCC), évaluation du pays tiers, mesures complémentaires.
8) Accountability : preuves & audits
Registre des traitements (Client) ; dossier de preuves (mesures, sauvegardes, journaux, procédures).
Droit d’audit Client encadré (préavis/périmètre/fréquence) ; rapports de tests ou attestations fournis selon le DPA.
9) Checklist de mise en conformité (projet)
Identifier finalités & bases légales par produit (Visitor/Meeting/Deskbooking).
Renseigner le registre et la notice d’information (dont durées & contact RGPD).
Valider le DPA et la liste des sous‑traitants.
Paramétrer politiques de purge et export RGPD (sur demande d’accès/effacement).
Définir la procédure violation (critères, contacts, chaînes d’escalade).
Tester restauration & restitution de données (sortie de contrat).
Pré‑requis
DPA signé et coordonnées DPO/référent échangées.
Décisions Client : bases légales, durées de conservation, mentions d’information, canal de contact.
Liens croisés
Conformité & sécurité → mesures techniques/organisationnelles, sauvegardes.
Chiffrement & secrets → TLS, LDAPS, stockage chiffré, gestion des clés.
Disponibilité & continuité → SLO/SLA, PRA/PCA, sauvegardes.
Intégrations Entreprise → Microsoft 365/Graph, SSO, contrôle d’accès.