Accord de Traitement des Données (DPA)
Le présent résumé décrit les engagements d'ERPResto en tant que sous-traitant (Processor) au sens de l'article 28 du RGPD, de la Loi 25 du Québec et du PIPEDA, pour le traitement des données personnelles que vous nous confiez dans le cadre du Service.
Note : Ce résumé est fourni à titre informatif. Pour obtenir le DPA complet (accord signable), contactez legal@erpresto.com.
1. Rôles des Parties
Vous (le Client) — Responsable du traitement (Controller) pour les Données Client saisies dans le Service (données employés, produits, stocks, ventes, RH, etc.).
ERPResto — Sous-traitant (Processor) pour les Données Client. ERPResto ne traite les Données Client que sur vos instructions documentées et aux fins de la fourniture du Service.
ERPResto — Responsable du traitement (Controller) pour les données de compte, facturation, sécurité et benchmarking (ce dernier uniquement sur consentement opt-in explicite).
2. Engagements du Sous-traitant
Instructions documentées
ERPResto traite les Données Client uniquement selon vos instructions documentées, sauf obligation légale contraire. Le contrat de service et les paramètres du compte constituent les instructions principales.
Confidentialité
Toutes les personnes autorisées à traiter les Données Client sont soumises à des obligations de confidentialité contractuelles ou légales.
Mesures de sécurité (Art. 32 RGPD)
Chiffrement AES-256-GCM au repos, TLS 1.3 en transit, hashage bcrypt pour mots de passe, isolation multi-tenant stricte, rate limiting, WAF, sauvegardes chiffrées quotidiennes, logs d'audit immutables, monitoring 24/7.
Sous-traitants ultérieurs
Liste disponible sur /subprocessors. Préavis de 30 jours avant tout changement. Droit d'objection.
Assistance aux droits des personnes
ERPResto vous assiste dans la réponse aux demandes d'exercice de droits (accès, rectification, effacement, portabilité) de vos utilisateurs et employés, dans la mesure du possible techniquement.
Notification de violation
En cas de violation de données personnelles, ERPResto vous notifie dans les 48 heuressuivant la découverte de l'incident, avec les informations requises par l'article 33 du RGPD.
Suppression ou restitution
À la fin du contrat, ERPResto supprime ou restitue les Données Client selon votre choix, dans un délai de 30 jours. Les obligations légales de conservation sont respectées.
Audit
ERPResto met à disposition les informations nécessaires pour démontrer la conformité et contribue aux audits et inspections menés par le Client ou son mandataire, sous réserve d'un préavis raisonnable et d'obligations de confidentialité.
3. Transferts Internationaux
Les Données Client sont hébergées principalement au Canada. Si des sous-traitants sont situés hors Canada/UE, les garanties suivantes s'appliquent :
- Clauses Contractuelles Types (CCT) approuvées par la Commission Européenne
- Transfer Impact Assessment (TIA) documenté
- Chiffrement des données en transit (TLS 1.3) et au repos (AES-256-GCM)
- Minimisation : seules les données strictement nécessaires sont transférées
4. Loi 25 du Québec — Dispositions Spécifiques
Conformément à la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (Loi 25) :
- Un responsable de la protection des renseignements personnels est désigné (dpo@erpresto.com)
- Des évaluations des facteurs relatifs à la vie privée (EFVP) sont réalisées pour les traitements à risque
- Les incidents de confidentialité sont signalés à la CAI et aux personnes concernées selon les exigences légales
- Un registre d'anonymisation est tenu pour tout processus de dé-identification utilisé dans le benchmarking
Obtenir le DPA complet
Pour recevoir le DPA complet sous forme d'accord signable (PDF), contactez :
- Email : legal@erpresto.com
- Objet : Demande DPA — [Nom de votre entreprise]
- Délai : Réponse sous 5 jours ouvrables