Accord sur le Traitement des Données (DPA) - TRACE.App

§ 1 Objet du traitement

1. Le présent contrat régit le traitement de données à caractère personnel par le Sous-traitant pour le compte du Responsable du traitement dans le cadre de l'utilisation de TRACE.App en tant que compte entreprise. Il porte notamment sur le traitement des données des salariés (p. ex. données de consommation énergétique, comportement d'utilisation, données de communication) dans le cadre de l'utilisation professionnelle de l'application.
2. Les activités de traitement sont consignées dans l'Annexe A du présent contrat, qui en fait partie intégrante.
3. Le présent DPA prévaut sur tout accord antérieur entre les parties relatif au traitement des données dans le cadre de TRACE.App.
4. Le présent DPA est consultable à l'adresse trace-electricity.com/fr/dpa-app/.
5. Le présent DPA s'applique exclusivement au traitement effectué dans le cadre de l'abonnement entreprise TRACE.App. Des accords séparés s'appliquent à TRACE.Parser et à TRACE.Konfigurator/Studio.

§ 2 Durée du traitement

1. Le traitement des données à caractère personnel s'effectue pendant la durée de l'abonnement entreprise TRACE.App entre le Responsable du traitement et le Sous-traitant.
2. À l'expiration de l'abonnement, les dispositions du § 8 du présent contrat relatives à la suppression et au retour des données s'appliquent.
3. Les obligations légales de conservation du Sous-traitant restent inchangées.

§ 3 Obligation d'agir sur instruction et interdiction de traitement propre

1. Le Sous-traitant traite les données à caractère personnel exclusivement sur instruction documentée du Responsable du traitement (le client entreprise), sauf s'il est tenu de le faire en vertu du droit de l'Union européenne ou des États membres. Dans ce cas, le Sous-traitant informe le Responsable du traitement de ces exigences légales avant le traitement, à moins que le droit concerné n'interdise une telle notification.
2. Interdiction de traitement propre : Le traitement des données de salariés transmises dans le cadre du présent DPA à des fins propres au Sous-traitant est expressément exclu. Les statistiques d'utilisation anonymisées non attribuables à des personnes individuelles (p. ex. taux d'utilisation agrégés de l'application au niveau de l'entreprise) sont exemptées de cette interdiction.
3. Les instructions sont en règle générale données par écrit (y compris par e-mail à privacy@trace-electricity.com). Les instructions orales sont immédiatement confirmées par écrit. Le Sous-traitant documente les instructions reçues et leur exécution.
4. Le Responsable du traitement est en droit de donner des instructions supplémentaires à tout moment. Le Sous-traitant est tenu d'informer immédiatement le Responsable du traitement s'il estime qu'une instruction viole des dispositions relatives à la protection des données.
5. Droit de suspension (en cas d'instructions illicites) : Si le Responsable du traitement donne une instruction que TRACE Electricity estime contraire au RGPD ou à d'autres règles applicables en matière de protection des données, TRACE Electricity est en droit et tenu de suspendre immédiatement l'exécution de cette instruction et d'en informer le Responsable du traitement par écrit. TRACE Electricity n'exécutera l'instruction qu'après confirmation écrite du Responsable du traitement attestant que l'instruction est licite et que TRACE Electricity est exonérée de toute responsabilité en découlant.
6. Le Responsable du traitement s'assure qu'il existe une base juridique appropriée pour la transmission des données de salariés à TRACE (p. ex. § 26 BDSG pour les salariés ou un consentement éclairé conformément à l'Art. 6 para. 1 lit. a RGPD).

§ 4 Nature des données à caractère personnel et catégories de personnes concernées

Catégories de personnes concernées

• Salariés du Responsable du traitement (employés) utilisant TRACE.App dans le cadre de l'abonnement entreprise professionnel
• Le cas échéant, d'autres personnes invitées par le Responsable du traitement (p. ex. freelances, stagiaires)

Catégories de données à caractère personnel

• Données de base : nom, adresse e-mail, hachage du mot de passe, informations de profil
• Données de consommation énergétique : relevés de consommation, coûts énergétiques, recommandations d'économies, données du foyer (dans la mesure où le salarié les a renseignées dans l'application)
• Données d'utilisation : horaires d'utilisation de l'application, fonctions consultées, données de session, informations sur les appareils
• Données de communication : notifications push (AWS SNS / service push), messages in-app
• Données de journaux techniques : adresse IP (anonymisée avant tout stockage permanent ; aucune adresse IP complète n'est conservée de manière persistante), horaires d'accès, rapports d'erreurs (max. 90 jours, puis suppression automatique)

Les catégories particulières de données à caractère personnel au sens de l'Art. 9 RGPD ne sont pas couvertes par l'objet du présent contrat et ne peuvent pas être traitées par le Responsable du traitement via l'application.

§ 5 Obligations du Sous-traitant

Le Sous-traitant s'engage vis-à-vis du Responsable du traitement notamment à :

1. Traiter les données à caractère personnel exclusivement sur instruction documentée du Responsable du traitement (§ 3 du présent contrat).
2. Astreindre les personnes chargées du traitement à la confidentialité ou s'assurer qu'elles sont soumises à une obligation légale appropriée de confidentialité.
3. Prendre toutes les mesures techniques et organisationnelles requises conformément à l'Art. 32 RGPD pour garantir la sécurité du traitement. La documentation complète des MTO (Mesures Techniques et Organisationnelles TRACE.App (MTO)) constitue l'Annexe B du présent DPA. Le Sous-traitant est en droit d'adapter les MTO, à condition que le niveau de protection ne soit pas réduit ; les modifications substantielles sont communiquées au Responsable du traitement.
4. Garantir les mesures de sécurité spécifiques à AWS, notamment : chiffrement de toutes les données en transit (TLS 1.2+) et au repos (AES-256) sur AWS eu-central-1 (Francfort) ; politiques IAM et politiques basées sur les ressources pour le contrôle des accès ; gestion sécurisée des jetons via Auth0 (tenant UE) et AWS Cognito ; vérification régulière des règles de sécurité et des droits d'accès.
5. Assister le Responsable du traitement dans l'accomplissement de ses obligations de réponse aux demandes des personnes concernées (§ 7).
6. Assister le Responsable du traitement dans le respect des obligations visées aux Art. 32 à 36 RGPD, notamment lors d'une éventuelle analyse d'impact relative à la protection des données (§ 14).
7. Après la fin de la prestation de traitement, supprimer ou restituer, au choix du Responsable du traitement, toutes les données à caractère personnel (§ 8).
8. Mettre à la disposition du Responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations découlant de l'Art. 28 RGPD et permettre des vérifications, y compris des inspections (§ 9).

§ 6 Sous-traitants ultérieurs

1. Le Responsable du traitement accorde par les présentes l'autorisation générale d'avoir recours aux sous-traitants ultérieurs suivants :

2. Le Sous-traitant informe le Responsable du traitement à l'avance et en temps utile (au moins 30 jours) par e-mail à l'adresse de contact enregistrée du Responsable du traitement de tout recours prévu à un nouveau sous-traitant ultérieur ou du remplacement de sous-traitants ultérieurs existants.
3. Le Responsable du traitement dispose d'un droit d'opposition à la modification. S'il ne s'y oppose pas dans les 30 jours suivant la réception de la notification, la modification est réputée approuvée. En cas d'opposition motivée, le Responsable du traitement bénéficie d'un droit de résiliation extraordinaire. Le Sous-traitant vérifiera alors si le sous-traitant ultérieur concerné peut être remplacé par un prestataire équivalent. En cas de résiliation suite à une opposition motivée, le Sous-traitant veille à ce que les données à caractère personnel du Responsable du traitement déjà traitées par le nouveau sous-traitant ultérieur soient immédiatement supprimées ou restituées conformément au § 8 après la prise d'effet de la résiliation.
4. Le Sous-traitant engage ses sous-traitants ultérieurs contractuellement aux mêmes obligations en matière de protection des données que celles convenues dans le présent contrat, notamment en ce qui concerne la mise en place de mesures techniques et organisationnelles adéquates.
5. Remarque : GA4, Hotjar et LinkedIn Insight Tag sont utilisés par TRACE Electricity GmbH en tant que Responsable du traitement indépendant à des fins de marketing sur le site web et ne font pas l'objet du présent DPA. Des précisions figurent dans la Politique de Confidentialité TRACE.App.

§ 7 Droits des personnes concernées

1. Le Sous-traitant assiste le Responsable du traitement dans l'accomplissement de ses obligations de réponse aux demandes des personnes concernées (salariés) conformément aux Art. 15 à 22 RGPD, notamment en ce qui concerne les demandes d'accès, de rectification, d'effacement, de limitation, de portabilité des données et d'opposition.
2. Si des salariés du Responsable du traitement adressent directement des demandes relatives à leurs données traitées dans TRACE.App au Sous-traitant, celui-ci les transmet immédiatement au Responsable du traitement sans y répondre lui-même sur le fond. Le Responsable du traitement est responsable de la réponse en sa qualité de responsable du traitement au sens du droit de la protection des données.
3. Dans la mesure où les droits des personnes concernées peuvent être exercés directement via les fonctions d'auto-administration du compte de l'application (p. ex. suppression de données, mise à jour du profil), la mise en œuvre organisationnelle incombe au Responsable du traitement. Pour toute assistance technique supplémentaire, veuillez contacter privacy@trace-electricity.com.
4. Les prestations d'assistance allant au-delà du périmètre contractuel sont rémunérées de manière appropriée selon le temps passé.

§ 8 Suppression et restitution des données

1. Après résiliation définitive ou expiration de l'abonnement entreprise TRACE.App, le Sous-traitant supprime de manière irrévocable toutes les données à caractère personnel du Responsable du traitement (données de salariés) de l'ensemble des systèmes AWS et des services associés dans les 30 jours suivant la fin du contrat.
2. À la demande du Responsable du traitement, le Sous-traitant met les données traitées à disposition avant leur suppression dans un format lisible par machine (JSON ou CSV). L'export des données est fourni dans les 14 jours suivant la demande ; le lien de téléchargement est valable 30 jours. À l'expiration du délai ou après confirmation du Responsable du traitement qu'aucun export n'est souhaité, le délai de suppression de 30 jours commence à courir.
3. La suppression s'étend à toutes les copies créées dans le cadre du traitement des données, y compris les sauvegardes, dans la mesure où aucune obligation légale de conservation ne s'y oppose. Les données de facturation sont conservées conformément au § 147 AO et § 257 HGB pendant une durée pouvant aller jusqu'à 10 ans ; pour ces données, le traitement est limité jusqu'à l'expiration du délai de conservation.
4. À la demande, le Sous-traitant confirme la suppression complète par écrit par e-mail.
5. Délais de suppression : La suppression intervient dans les 30 jours civils suivant la fin du contrat ou sur demande écrite du Responsable du traitement. Les journaux systèmes sont supprimés après 90 jours au maximum ; les journaux d'audit de sécurité sont conservés pendant 12 mois (Art. 6(1)(c) RGPD en lien avec §§ 147 AO, 257 HGB), sauf si une obligation légale de conservation exige une durée plus longue. TRACE Electricity confirme au Responsable du traitement la suppression complète sur demande par écrit.

§ 9 Preuves et contrôles

1. Le Responsable du traitement a le droit de contrôler à tout moment le respect des dispositions légales en matière de protection des données et des engagements pris dans le présent contrat auprès du Sous-traitant et auprès des éventuels sous-traitants ultérieurs.
2. Les contrôles peuvent être effectués par :
   • Demande d'informations et de documentations (p. ex. Mesures Techniques et Organisationnelles MTO - TRACE.App actuelles, liste des sous-traitants ultérieurs)
   • Interrogation du délégué à la protection des données compétent ou des collaborateurs mandatés
   • Inspections sur place (avec un préavis raisonnable d'au moins 14 jours civils, le cas échéant après signature d'un accord de confidentialité). Les audits ont lieu au maximum une fois par an ; les certifications actuelles présentées [ISO 27001 — certification attendue T4 2026] sont considérées comme preuves équivalentes.
3. Au lieu d'une inspection sur place, le Sous-traitant peut transmettre au Responsable du traitement des certifications actuelles, des rapports d'audit (p. ex. certification ISO 27001 (en cours de préparation, finalisation attendue T4 2026). Jusqu'à la certification, les principales exigences de la norme ISO 27001 sont appliquées en tant que cadre de sécurité interne.), dans la mesure où ceux-ci sont disponibles, ou des preuves équivalentes (p. ex. déclaration sur l'état des MTO), à condition qu'ils couvrent l'objet du contrôle.
4. Les coûts des inspections sur place sont à la charge du Responsable du traitement, sauf si le Sous-traitant est responsable de violations substantielles du contrat ou de la protection des données.
5. Le Sous-traitant tient conformément à l'Art. 30 para. 2 RGPD un registre de toutes les catégories d'activités de traitement qu'il effectue pour le compte des responsables du traitement. Ce registre est mis à disposition sur demande du Responsable du traitement ou d'une autorité de contrôle compétente.

§ 10 Violations de données et obligations de notification

1. Le Sous-traitant notifie au Responsable du traitement les violations de données à caractère personnel (violations de données) conformément à l'Art. 33 para. 2 RGPD immédiatement, au plus tard dans les 24 heures après en avoir pris connaissance. La notification est faite par e-mail à l'adresse de contact enregistrée du Responsable du traitement. La responsabilité de la notification à l'autorité de contrôle compétente (Art. 33 para. 1 RGPD, délai : 72 heures) et de la communication aux personnes concernées (Art. 34 RGPD) incombe au Responsable du traitement. Les informations manquantes ou incomplètes sont communiquées immédiatement, au plus tard dans les 72 heures suivant la notification initiale (Art. 33 para. 2 RGPD).
2. La notification initiale doit au moins contenir :
   • Une description de la nature de la violation (dans la mesure où elle est connue), y compris les services AWS concernés et les SDK utilisés
   • Le nombre approximatif de personnes concernées (salariés) et d'enregistrements
   • Les conséquences probables de la violation
   • Les mesures déjà prises ou proposées pour remédier à la violation et minimiser les risques
3. Les demandes des autorités de contrôle relatives au traitement effectué pour le compte du Responsable du traitement sont immédiatement transmises au Responsable du traitement par le Sous-traitant sans y répondre lui-même sur le fond, sauf obligation légale en sens contraire.
4. Les modifications substantielles du présent contrat, notamment les modifications de la liste des sous-traitants ultérieurs, sont communiquées au Responsable du traitement conformément au § 6 para. 2.

§ 11 Fin de la mission

1. Après la fin de la mission, le Sous-traitant doit restituer ou, après confirmation préalable, supprimer (§ 8) tous les documents en sa possession, les résultats de traitement et d'utilisation créés ainsi que les stocks de données liés à la relation contractuelle, au choix du Responsable du traitement.
2. Le Sous-traitant est tenu de maintenir la confidentialité des données qui lui ont été confiées même après la fin du contrat.
3. Les documentations servant à prouver le bon traitement des données sont conservées par le Sous-traitant au-delà de la fin du contrat conformément aux délais légaux de conservation et peuvent lui être remises sur demande.

§ 12 Dispositions finales

1. Le présent contrat est soumis au droit de la République fédérale d'Allemagne, à l'exclusion de la Convention des Nations Unies sur les contrats de vente internationale de marchandises. Le tribunal exclusivement compétent pour tous les litiges découlant du présent contrat ou en rapport avec celui-ci est Hambourg, Allemagne, sous réserve des dispositions légales impératives.
2. Si des dispositions du présent contrat sont ou deviennent en tout ou partie inefficaces, cela n'affecte pas la validité des autres dispositions. Les parties s'engagent à remplacer la disposition inefficace par une disposition valide se rapprochant le plus possible de l'objectif économique de la disposition inefficace.
3. Les modifications et compléments du présent contrat et de ses annexes requièrent la forme textuelle (l'e-mail suffit). Cela vaut également pour la suppression de cette exigence de forme.
4. Dans la mesure où des dispositions du présent contrat sont incompatibles avec les exigences du RGPD, les exigences du RGPD priment.
5. Chaque partie est responsable des violations en matière de protection des données dont elle est responsable. Dans la mesure où une personne concernée demande réparation à une partie conformément à l'Art. 82 RGPD pour un dommage qu'elle n'a pas causé ou pas causé seule, l'autre partie est tenue d'indemniser la partie ayant effectué le paiement à proportion de sa part de responsabilité respective.
6. TRACE Electricity GmbH désigne comme interlocuteur pour les questions relatives à la protection des données : privacy@trace-electricity.com. Des informations complémentaires figurent dans la Politique de Confidentialité TRACE.App ainsi que dans la politique de confidentialité générale.

§ 13 Transferts vers pays tiers

1. Le stockage et le traitement primaires des données s'effectuent sur l'infrastructure AWS dans la région eu-central-1 (Francfort, Allemagne) et relèvent ainsi du droit de l'Union européenne. Aucun transfert vers un pays tiers au sens des Art. 44 et suivants RGPD n'est prévu pour le fonctionnement normal.
2. Auth0 (Okta EMEA Limited) est exploité exclusivement dans le tenant UE (eu.auth0.com, AWS eu-west-1, Irlande). Aucun transfert vers un pays tiers n'est effectué pour le traitement d'authentification.
3. Cloudflare Germany GmbH agit en tant qu'entité UE ; aucun transfert vers un pays tiers via Cloudflare n'est nécessaire pour la fourniture des services CDN. Dans le cas où Cloudflare, Inc. (USA) en tant que société mère aurait accès aux données, des garanties telles que les EU-SCCs 2021/914 et l'EU-U.S. DPF (Cloudflare, Inc. est certifiée) sont également convenues.
4. Le Sous-traitant informe immédiatement le Responsable du traitement de toute modification substantielle des garanties relatives aux transferts vers des pays tiers.

Disposition de secours (décision d'adéquation DPF) : Dans la mesure où une décision d'adéquation de la Commission européenne existe pour des pays destinataires individuels (notamment l'EU-U.S. Data Privacy Framework pour les États-Unis), le transfert s'effectue en priorité sur cette base. Si une décision d'adéquation devient caduque, les clauses contractuelles types mentionnées ci-dessus s'appliquent automatiquement en tant que garantie de substitution (fallback). Les parties coopèrent alors immédiatement pour convenir de garanties de transfert alternatives appropriées.

§ 14 Assistance lors de l'analyse d'impact relative à la protection des données (AIPD)

1. Conformément à l'Art. 28 para. 3 lit. f RGPD, le Sous-traitant assiste le Responsable du traitement dans la réalisation d'une analyse d'impact relative à la protection des données (AIPD) conformément à l'Art. 35 RGPD, si le Responsable du traitement l'estime nécessaire pour l'utilisation professionnelle de TRACE.App.
2. Cette assistance comprend notamment :
   • La mise à disposition d'informations sur les opérations de traitement dans TRACE.App (y compris l'infrastructure AWS, les flux de données, les sous-traitants ultérieurs utilisés)
   • La mise à disposition de la documentation MTO (Mesures Techniques et Organisationnelles MTO - TRACE.App) comme base pour l'évaluation des risques
   • La réponse aux questions sur le périmètre de traitement, les catégories de données et l'infrastructure de traitement
   • L'assistance à l'évaluation de la nécessité d'une consultation préalable de l'autorité de contrôle conformément à l'Art. 36 RGPD
3. Les prestations d'assistance allant au-delà d'une simple mise à disposition d'informations sont rémunérées de manière appropriée selon le temps passé, après accord préalable.
4. Les demandes d'assistance pour l'AIPD sont à adresser à : privacy@trace-electricity.com.

§ 15 — Mesures Techniques et Organisationnelles (Annexe B)

Les mesures techniques et organisationnelles (Art. 32 RGPD) prises par le Sous-traitant pour protéger les données à caractère personnel sont décrites intégralement dans l'Annexe B du présent contrat. L'Annexe B fait partie intégrante du présent Accord sur le Traitement des Données. Le Sous-traitant est en droit de faire évoluer ces mesures, à condition que le niveau de protection convenu ne soit pas réduit. Les modifications substantielles sont communiquées immédiatement au Responsable du traitement. Les MTO actuelles sont consultables à l'adresse : trace-electricity.com/fr/tom-app/

§ 16 — Cessation d'activité et insolvabilité

(1) En cas d'insolvabilité, de liquidation ou de cessation définitive de l'activité du Sous-traitant, toutes les données à caractère personnel du Responsable du traitement stockées chez le Sous-traitant lui sont restituées immédiatement, au plus tard dans les 30 jours civils, dans un format lisible par machine (JSON ou CSV) ou supprimées de manière irrévocable sur instruction documentée du Responsable du traitement.

(2) Le Sous-traitant informera immédiatement le Responsable du traitement d'une cessation d'activité imminente afin de permettre une migration ordonnée des données.

(3) Cette disposition s'applique en complément des clauses contractuelles types (clause 8.5 des SCC 2021/914).

§ 17 Responsabilité

(1) Les dispositions relatives à la responsabilité du contrat principal (Conditions d'Utilisation TRACE.App) s'appliquent mutatis mutandis au présent DPA.

(2) Si les deux parties sont tenues responsables pour la même violation en matière de protection des données (Art. 82 RGPD), chaque partie supporte la responsabilité à proportion de sa part de responsabilité respective. Les parties s'indemnisent mutuellement en cas de responsabilité excédentaire.

(3) Le Sous-traitant (TRACE) est responsable envers le Responsable du traitement des dommages résultant d'une violation fautive et avérée des obligations du présent DPA. Le plafond de responsabilité correspond à la rémunération versée au cours des 12 derniers mois.

Annexe A — Description de l'activité de traitement

La présente annexe décrit conformément à l'Art. 28 para. 3 RGPD l'objet du traitement des données pour le compte du Responsable du traitement dans le cadre de TRACE.App (abonnements entreprises).