DPA — Accord de Traitement des Données
Version : 1.0 | Date d'entrée en vigueur : Janvier 2025
Entité : Taqt Solutions SAS — SIREN 810 794 966 — Aix-les-Bains (73)
Contact DPO : ce.serre@taqt.com — N° CNIL DPO-142046
En souscrivant aux services Taqt Solutions et en acceptant les Conditions Générales de Vente (CGV), le client (ci-après « le Client ») accepte les termes du présent Accord de Traitement des Données (ci-après « DPA »), conformément à l'article 28 du Règlement (UE) 2016/679 (RGPD).
1. Définitions et rôles
| Rôle | Entité | Définition RGPD |
|---|---|---|
| Responsable de traitement | Le Client | Détermine les finalités et les moyens du traitement des données de ses utilisateurs finaux |
| Sous-traitant | Taqt Solutions | Traite les données personnelles pour le compte du Client, sur instruction de celui-ci |
| Sous-traitants ultérieurs | AWS, GCP, Sentry, Twilio | Prestataires auxquels Taqt Solutions fait appel pour l'hébergement et l'exploitation des services |
2. Objet
Le présent DPA définit les conditions dans lesquelles Taqt Solutions traite des données personnelles pour le compte du Client dans le cadre de la plateforme Ubiqod. Il s'applique à tout client ayant souscrit à un ou plusieurs services Taqt Solutions.
Taqt Solutions ne traite les données personnelles que pour les finalités strictement nécessaires à l'exécution des services souscrits, sur instruction documentée du Client.
3. Services couverts
| Service | Finalité | Profil client |
|---|---|---|
| IoT Engine | Collecte et stockage des événements remontés par les capteurs IoT (TaqtOne, badges NFC, …) — traçabilité et alertes temps réel | Full Stack (IoT + Ubiqod) |
| Data Sharing Engine (Ubiqod) | Stockage des logs d'interactions, configuration des dispatches (webhooks, connecteurs, exports) | Tous les clients |
| Ubiqod View | Archivage long terme des données de pointage et de traçabilité pour consultation historique | Sur abonnement séparé |
4. Données traitées
| Service | Personnes concernées | Catégories de données |
|---|---|---|
| IoT Engine | Salariés, visiteurs, intervenants du Client identifiés via badge ou capteur | Identifiant d'événement, identifiant du device, horodatage, type d'événement, identifiant badge/utilisateur |
| Data Sharing Engine | Utilisateurs finaux du Client (selon le mode choisi : standard ou anonymisé) | Logs d'événements, horodatages, identifiant utilisateur — ou aucune donnée personnelle en mode anonymisé |
| Ubiqod View | Salariés, visiteurs, intervenants du Client | Nom, prénom, horodatage, site, type d'interaction |
Données sensibles : Taqt Solutions ne collecte pas de données relevant de l'article 9 RGPD dans le cadre de ses services standards. Le Client s'engage à ne pas utiliser la plateforme pour traiter de telles données sans accord préalable écrit de Taqt Solutions.
5. Obligations de Taqt Solutions
5.1 Traitement sur instruction
Taqt Solutions traite les données personnelles uniquement sur instruction documentée du Client. En cas d'obligation légale contraire, Taqt Solutions en informe le Client sauf interdiction légale.
5.2 Confidentialité
Les collaborateurs de Taqt Solutions ayant accès aux données personnelles sont soumis à une obligation contractuelle de confidentialité.
5.3 Sécurité
Taqt Solutions met en œuvre les mesures techniques et organisationnelles décrites dans son Plan d'Assurance Sécurité (PAS), notamment :
- Chiffrement AES-256 au repos, TLS 1.2 minimum en transit
- Accès infrastructure via tunnel sécurisé uniquement (AWS SSM / GCP IAP) — aucun port SSH exposé
- Contrôle d'accès RBAC, principe du moindre privilège
- Sauvegardes quotidiennes chiffrées, hébergées en Europe
- Détection d'intrusion
- Audit de sécurité et test d'intrusion annuels
5.4 Sous-traitants ultérieurs
Taqt Solutions fait appel aux sous-traitants listés à l'Article 7. En cas d'ajout ou de remplacement d'un sous-traitant, Taqt Solutions en informe le Client par email avec un préavis de 30 jours. Le Client dispose d'un droit d'opposition motivé dans ce délai.
5.5 Assistance aux droits des personnes concernées
Taqt Solutions assiste le Client dans le respect des droits des personnes concernées (RGPD Art. 15-22) :
- Accès : transmission des données sur demande sous 30 jours
- Rectification : modification sur instruction du Client
- Effacement : suppression sur demande du Client (voir Article 6)
- Portabilité : export CSV/Excel disponible à tout moment via app.ubiqod.com/view
- Opposition : traitement sur instruction du Client
5.6 Notification des violations de données
En cas de violation de données personnelles, Taqt Solutions notifie le Client sous 48 heures après en avoir pris connaissance, afin de lui permettre de respecter son obligation de notification à la CNIL dans le délai légal de 72 heures (RGPD Art. 33).
La notification précise la nature de la violation, les catégories et le nombre approximatif de personnes et d'enregistrements concernés, les conséquences probables et les mesures prises ou envisagées.
5.7 Assistance AIPD
Lorsque la nature du traitement le requiert, Taqt Solutions fournit au Client toute information nécessaire à la réalisation d'une analyse d'impact (AIPD, RGPD Art. 35).
5.8 Droit d'audit
Taqt Solutions permet des audits dans les conditions suivantes :
- Préavis écrit de 30 jours minimum
- Frais d'audit à la charge du Client
- Périmètre limité aux traitements couverts par le présent DPA
- Signature préalable d'un accord de confidentialité par l'auditeur mandaté
6. Conservation et suppression des données
| Service | Rétention | Suppression |
|---|---|---|
| IoT Engine | Durée du contrat | Dans les 30 jours suivant la fin du contrat |
| Logs DSE | 45 jours | Automatique à l'échéance |
| Ubiqod View | Durée de l'abonnement | Sur demande expresse ou dans les 30 jours suivant la fin du contrat |
Le Client peut demander un export de ses données avant suppression. Taqt Solutions fournit une confirmation écrite de suppression sur demande.
7. Sous-traitants ultérieurs autorisés
| Sous-traitant | Rôle | Données hébergées | Localisation |
|---|---|---|---|
| Amazon Web Services (AWS) | Infrastructure IoT Engine + Ubiqod View | Événements IoT, données Ubiqod View | Europe — Paris (eu-west-3) et Irlande (eu-west-1) |
| Google Cloud Platform (GCP) | Infrastructure Data Sharing Engine | Logs d'interactions clients | Europe — Belgique (europe-west1) et Finlande (europe-north1) |
| Sentry | Monitoring des erreurs applicatives | Traces d'erreurs anonymisées | Europe |
| Twilio | Notifications email et SMS | Adresse email / numéro de téléphone (si configuré) | Europe |
Taqt Solutions a conclu un accord de traitement des données (DPA) avec chacun de ces sous-traitants.
Aucun transfert de données personnelles vers un pays hors de l'Espace Économique Européen n'est effectué.
8. Localisation des données
| Service | Hébergement principal | Sauvegarde |
|---|---|---|
| IoT Engine | AWS Paris — eu-west-3 | AWS Irlande — eu-west-1 |
| Data Sharing Engine | GCP Belgique — europe-west1 | GCP Finlande — europe-north1 |
| Ubiqod View | AWS S3 Paris | AWS S3 Irlande |
Toutes les données sont hébergées exclusivement en Europe (EEE).
9. Obligations du Client
En tant que responsable de traitement, le Client s'engage à :
- Disposer d'une base légale valide (RGPD Art. 6) et informer ses utilisateurs finaux du traitement de leurs données (Art. 13/14)
- Transmettre à Taqt Solutions uniquement les données strictement nécessaires aux services souscrits
- Ne pas utiliser la plateforme pour traiter des données sensibles (Art. 9) sans accord préalable
- Transmettre sans délai à Taqt Solutions toute demande d'exercice de droits reçue d'une personne concernée
- Documenter ce DPA dans son propre registre des traitements (Art. 30)
10. Modifications du DPA
Taqt Solutions se réserve le droit de modifier le présent DPA pour refléter des évolutions réglementaires ou des changements de services. En cas de modification substantielle :
- Le Client est notifié par email avec un préavis de 30 jours
- La nouvelle version est publiée sur cette page avec une date d'entrée en vigueur
- Les versions antérieures restent accessibles dans l'historique ci-dessous
- La poursuite de l'utilisation des services vaut acceptation de la nouvelle version
11. Contact et exercice des droits
Pour toute question relative au présent DPA ou pour exercer vos droits :
DPO Taqt Solutions — Claude-Emmanuel Serre
Email : ce.serre@taqt.com
N° enregistrement CNIL : DPO-142046
Pour les demandes d'effacement ou d'export de données, adresser la demande à ce.serre@taqt.com en précisant le nom du compte client.
Historique des versions
| Version | Date | Modifications |
|---|---|---|
| 1.0 | Janvier 2025 | Version initiale |
Taqt Solutions SAS — SIREN 810 794 966 — Aix-les-Bains (73)
Établi conformément au RGPD Art. 28 — Règlement (UE) 2016/679