Questions fréquentes (cadre contractuel & conformité)
1) Qui est Responsable de traitement et qui est Sous‑traitant ?
Client : Responsable de traitement (finalités, bases légales, durées, information).
Hamilton Apps : Sous‑traitant, agit sur instruction documentée du Client.
2) Où sont hébergées les données en mode SaaS ?
En Union européenne, chez des datacenters partenaires durcis. Les informations d’hébergement sont précisées contractuellement.
3) Quelles catégories de données sont traitées ?
Données d’identification et de contact des utilisateurs/visiteurs (et métadonnées d’usage).
Éventuellement pièces jointes / habilitations si la fonctionnalité est activée par le Client.
Pas de catégories particulières par défaut ; le Client évite d’en collecter sauf nécessité dûment justifiée.
4) Quelle est la base légale à retenir ?
Déterminée par le Client selon l’usage (ex. intérêt légitime, exécution d’un contrat). L’application n’impose pas de base légale unique.
5) Quelles sont les durées de conservation ?
Fixées par le Client. L’application permet de configurer des politiques de purge et des exports. Les sauvegardes sont gérées selon une rétention opérationnelle documentée.
6) Comment gérer les droits des personnes (accès, effacement, etc.) ?
Le Client traite la demande (recherche/export, rectification/effacement). Hamilton Apps assiste le Client pour exécuter l’instruction (journalisation des actions).
7) Sous‑traitants ultérieurs : qui sont‑ils et comment sont‑ils encadrés ?
Liste des sous‑traitants (catégorie/fonction, pays, finalité) communiquée au Client. Hamilton Apps impose des obligations équivalentes (confidentialité, sécurité) et informe en cas d’évolution.
8) Y a‑t‑il des transferts hors UE ?
Par défaut non nécessaires. Si un transfert est requis (ex. service tiers du Client), mise en place de garanties appropriées (ex. Clauses Contractuelles Types) et mesures complémentaires selon le contexte.
9) Que se passe‑t‑il en cas de violation de données ?
Hamilton Apps, en qualité de Sous‑traitant, notifie le Client sans délai indû après connaissance, avec description, périmètre et mesures prises.
Le Client évalue la notification à l’autorité compétente (72 h maximum selon RGPD art. 33) et la communication aux personnes concernées.
10) Traçabilité & audit
Journalisation des opérations pertinentes (administration, intégrations, accès).
Droit d’audit Client encadré (préavis, périmètre, fréquence) selon le DPA.
11) Sécurité & chiffrement
TLS 1.2+ pour les flux, et chiffrement au repos en SaaS. Pour l’On‑prem, le Client applique les bonnes pratiques (ex. TDE/disques chiffrés).
Voir l’article Chiffrement & gestion des secrets pour le détail.
12) Fin de contrat : restitution et suppression
À la fin du contrat : restitution des données au Client sur demande, puis effacement des copies résiduelles et remise d’un certificat de destruction.