Juridique
Date d’entrée en vigueur : 21 avril 2026
Dernière mise à jour : 21 avril 2026
Aidfine fournit un Addendum relatif au traitement des données aux clients professionnels ayant besoin de conditions applicables au traitement, en qualité de sous-traitant, des données personnelles contenues dans les Données Client traitées dans le cadre des Services.
Le présent DPA doit être lu conjointement avec les Conditions Générales et la Politique de Confidentialité.
Le présent Addendum relatif au traitement des données (« DPA ») s’applique lorsque, et uniquement dans la mesure où, Aidfine LLC (« Aidfine ») traite des Données Personnelles Client pour le compte d’un client professionnel (« Client ») dans le cadre des Services.
Le présent DPA a pour objet de compléter les Conditions Générales applicables, le bon de commande, le parcours de souscription, les conditions d’abonnement ou tout autre accord régissant l’utilisation des Services par le Client (collectivement, l’« Accord »).
Le présent DPA ne s’applique pas aux traitements pour lesquels Aidfine agit en qualité de responsable indépendant du traitement ou d’entreprise agissant pour son propre compte, notamment les traitements relatifs à l’administration des comptes, aux opérations de facturation et de paiement, à la prévention de la fraude, à la sécurité du service, à la conformité légale et aux opérations commerciales connexes réalisées en dehors du périmètre des Données Client traitées pour le compte du Client.
Entre les parties, le Client agit en qualité de responsable du traitement ou de client professionnel analogue en ce qui concerne les Données Personnelles Client, et Aidfine agit en qualité de sous-traitant ou de prestataire de services analogue, dans la mesure où Aidfine traite des Données Personnelles Client contenues dans les Données Client pour le compte du Client.
Le Client demeure responsable de la détermination des finalités du traitement, du choix des catégories de données personnelles soumises aux Services, de l’établissement d’une base légale appropriée et de la fourniture de toute information requise aux personnes concernées.
Aidfine agit en qualité de responsable indépendant du traitement ou d’entreprise agissant pour son propre compte pour les données qu’elle traite pour ses propres besoins, y compris les données relatives à l’administration des comptes, à la gestion des abonnements et de la facturation, aux opérations de paiement, à la prévention de la fraude, à la sécurité du service, à la gestion directe de la relation client et à la conformité légale.
L’utilisation des Services par le Client, la configuration administrative des Services, l’Accord, ainsi que les communications écrites et instructions de support du Client constituent ensemble les instructions documentées du Client à Aidfine pour le traitement des Données Personnelles Client au titre du présent DPA.
Aidfine traitera les Données Personnelles Client uniquement sur instructions documentées du Client, dans la mesure nécessaire pour fournir, sécuriser, soutenir, maintenir et améliorer les Services conformément à l’Accord, ou lorsque la loi applicable l’exige autrement.
Aidfine peut refuser ou suspendre toute instruction qui serait illégale, techniquement dangereuse, incompatible avec l’Accord, ou raisonnablement susceptible de compromettre la sécurité, l’intégrité ou le fonctionnement fiable des Services.
Aidfine limite l’accès aux Données Personnelles Client aux membres du personnel, prestataires et sous-traitants ultérieurs ayant un besoin légitime d’en connaître aux fins de fournir, soutenir, sécuriser ou exploiter légalement les Services.
Les personnes autorisées à traiter des Données Personnelles Client sont soumises à des obligations de confidentialité appropriées, qu’elles soient contractuelles, légales ou autrement juridiquement contraignantes.
Les accès liés au support, au dépannage, à la maintenance et à la sécurité sont limités à ce qui est raisonnablement nécessaire pour la finalité de service, de sécurité ou légale concernée.
Aidfine maintient des mesures techniques et organisationnelles conçues pour protéger les Données Personnelles Client contre tout accès, divulgation, altération, perte ou destruction non autorisé ou illicite, en tenant compte de la nature des Services et des risques présentés par le traitement.
des contrôles d’accès fondés sur les rôles et une gestion des accès selon le principe du moindre privilège pour les environnements clients et les accès opérationnels internes ;
des mesures d’authentification et de protection administrative, y compris des contrôles supplémentaires pour les accès sensibles ou administratifs lorsque cela est approprié, ainsi que l’authentification multifacteur pour les accès sensibles ou administratifs lorsque cela est applicable ;
le chiffrement en transit et le chiffrement au repos pour les systèmes et stockages traitant des Données Personnelles Client, selon ce qui est approprié pour l’environnement de service concerné ;
la surveillance de sécurité, la journalisation et les alertes opérationnelles destinées à soutenir l’intégrité du service, les investigations et la réponse aux incidents ;
des pratiques de développement sécurisé, une gestion contrôlée des changements et une séparation logique entre les environnements de production et de non-production ;
des mesures de sauvegarde, de reprise et de résilience conçues pour soutenir la continuité du service et la restauration de la disponibilité des données ; et
des processus internes documentés pour la gestion, l’escalade et la remédiation des incidents.
Des informations complémentaires concernant les mesures techniques et organisationnelles d’Aidfine sont résumées à l’Annexe II. Aucune méthode de transmission, de stockage ou de traitement n’est totalement sécurisée, et les mesures décrites dans le présent DPA sont destinées à être fondées sur les risques, raisonnables et commercialement crédibles, sans constituer des garanties absolues.
Le Client autorise de manière générale Aidfine à faire appel à des sous-traitants ultérieurs raisonnablement nécessaires pour fournir, soutenir, sécuriser ou maintenir les Services.
Aidfine imposera à ses sous-traitants ultérieurs des obligations écrites de protection des données et de confidentialité appropriées aux services qu’ils fournissent, exigeant la protection des Données Personnelles Client d’une manière matériellement conforme au présent DPA.
Aidfine demeure responsable de ses sous-traitants ultérieurs dans la mesure requise par la loi applicable.
Aidfine peut mettre à jour ses sous-traitants ultérieurs ou catégories de sous-traitants ultérieurs de temps à autre et fournira un préavis raisonnable des changements importants par des moyens raisonnables. Le Client peut s’opposer à un changement important pour des motifs raisonnables liés à la protection des données dans un délai de 15 jours suivant la notification.
Si les parties ne parviennent pas à résoudre de bonne foi une objection raisonnable, Aidfine peut proposer une alternative commercialement raisonnable ou, si aucune alternative raisonnable n’est disponible, permettre au Client de résilier les Services concernés.
Les services tiers sélectionnés, connectés ou instruits directement par le Client ne sont pas des sous-traitants ultérieurs d’Aidfine dans la mesure où ils opèrent dans le cadre de la relation, de la configuration ou des instructions propres du Client. De même, les relations avec des prestataires utilisés par Aidfine en sa qualité de responsable indépendant du traitement, y compris certaines opérations de facturation, paiement, prévention de la fraude, sécurité, site web ou conformité, sont exclues du champ du présent DPA, sauf dans la mesure où ces prestataires traitent des Données Personnelles Client pour le compte d’Aidfine en qualité de sous-traitant.
Aidfine peut traiter les Données Personnelles Client aux États-Unis et dans d’autres pays où Aidfine ou ses sous-traitants ultérieurs exercent leurs activités.
Lorsque la loi applicable l’exige pour les transferts internationaux de Données Personnelles Client, les parties conviennent que les Clauses Contractuelles Types de la Commission européenne, ainsi que tout mécanisme de transfert applicable au Royaume-Uni ou à la Suisse, s’appliqueront, complétés si nécessaire de manière raisonnable pour le scénario de transfert concerné.
Aidfine ne transférera pas les Données Personnelles Client d’une manière interdite par la législation applicable en matière de protection des données et maintiendra un cadre de transfert approprié aux Services et aux juridictions concernées.
Compte tenu de la nature du traitement, Aidfine fournira une assistance raisonnable au Client pour répondre aux demandes des personnes concernées souhaitant exercer leurs droits au titre de la législation applicable en matière de protection des données.
Si Aidfine reçoit directement une demande d’une personne concernée relative aux Données Personnelles Client, Aidfine peut rediriger le demandeur vers le Client ou notifier le Client, sauf si Aidfine en est légalement empêchée.
Le Client demeure responsable de l’évaluation et de la réponse aux demandes des personnes concernées en qualité de responsable du traitement, sauf dans la mesure où la loi applicable exige expressément qu’Aidfine agisse différemment.
Aidfine notifiera le Client sans retard injustifié après avoir pris connaissance d’une violation confirmée de données personnelles affectant les Données Personnelles Client traitées au titre du présent DPA.
La notification d’Aidfine peut inclure les informations disponibles à ce moment concernant la nature de l’incident, les catégories de Données Personnelles Client concernées, l’impact probable, ainsi que les mesures de remédiation ou d’atténuation prises ou proposées.
Les informations peuvent être fournies par étapes à mesure qu’elles deviennent raisonnablement disponibles. Le Client demeure responsable de déterminer si des notifications aux autorités de contrôle, régulateurs, personnes concernées ou tiers sont requises par la loi applicable.
Pendant la durée de l’Accord, et pendant toute période limitée de récupération postérieure à la résiliation mise à disposition au titre de l’Accord, le Client peut récupérer ou exporter les Données Client en utilisant les fonctionnalités disponibles des Services ou tout autre support standard de sortie proposé par Aidfine.
Après la résiliation ou l’expiration, les Données Personnelles Client peuvent d’abord devenir inaccessibles avant que leur suppression complète ne soit achevée. La suppression peut intervenir de manière asynchrone au moyen de processus opérationnels ordinaires, y compris des flux de travail au niveau du stockage, des tâches de suppression en file d’attente, une gestion des archives et la rotation des sauvegardes.
Aidfine peut conserver les Données Personnelles Client dans la mesure requise par la loi applicable ou raisonnablement nécessaire à des fins légitimes de sécurité, de prévention de la fraude, de continuité d’activité, de résolution des litiges, de conservation légale ou de conformité. Toute donnée conservée restera soumise à des garanties appropriées aussi longtemps qu’elle sera conservée.
Aidfine peut satisfaire aux droits d’audit et d’information du Client en fournissant d’abord une documentation raisonnable et des éléments de conformité, y compris des résumés de sécurité, des informations sur les politiques, des informations sur les sous-traitants ultérieurs et des réponses à des questionnaires de due diligence raisonnables.
Lorsque des vérifications supplémentaires sont requises par la loi applicable ou raisonnablement justifiées au regard du risque de traitement du Client, tout audit complémentaire doit être limité, contrôlé, non perturbateur et soumis à des restrictions de confidentialité appropriées.
Aucun droit d’audit au titre du présent DPA n’oblige Aidfine à divulguer son code source, des détails de vulnérabilités qui augmenteraient matériellement le risque de sécurité, des secrets d’affaires, des informations tarifaires internes ou des données relatives à d’autres clients.
Sauf exigence légale ou déclenchement par un incident confirmé affectant matériellement les Données Personnelles Client, toute activité d’audit approfondie sera limitée à une fois par an au maximum et pendant les heures normales de bureau.
Le présent DPA a vocation à faire partie de l’Accord lorsqu’il est incorporé par référence ou autrement convenu entre Aidfine et le Client.
En cas de conflit entre le présent DPA et l’Accord, le présent DPA prévaudra uniquement en ce qui concerne le traitement des Données Personnelles Client régi par le présent DPA.
Les limitations de responsabilité, exclusions et dispositions de répartition des risques prévues dans l’Accord s’appliquent au présent DPA dans toute la mesure permise par la loi applicable.
Aucune disposition du présent DPA n’étend les obligations d’Aidfine au-delà du périmètre du traitement des Données Personnelles Client pour lequel Aidfine agit en qualité de sous-traitant ou de prestataire de services analogue au titre de l’Accord.
Objet et durée. Aidfine traite les Données Personnelles Client dans la mesure nécessaire pour fournir, sécuriser, soutenir, maintenir et administrer les Services pendant la durée de l’Accord, ainsi que pendant toute période limitée de récupération, suppression, sauvegarde, conservation légale ou sécurité autorisée par l’Accord ou la loi applicable.
Nature et finalité du traitement. Le traitement peut inclure la collecte, le téléversement, le stockage, l’organisation, l’examen, la transformation, la récupération, l’affichage, l’analyse, le rapprochement, le reporting, l’accès support, le dépannage, la surveillance de sécurité et la suppression des Données Personnelles Client dans le cadre des Services.
Les catégories de personnes concernées peuvent inclure les utilisateurs autorisés du Client, administrateurs, personnels financiers et comptables, employés, contractants, contreparties, fournisseurs, bénéficiaires, payeurs et autres personnes dont les données personnelles apparaissent dans les Données Client soumises aux Services.
Les types de données personnelles peuvent inclure les noms, coordonnées professionnelles, rôles et identifiants de compte, contenus de fichiers téléversés, données de tableurs, références de transactions, descriptions, dates, montants, soldes, résultats de rapports, commentaires, contenus de support et toute autre donnée personnelle incluse par ou pour le compte du Client dans les Données Client.
Aidfine maintient des mesures conçues pour protéger les Données Personnelles Client d’une manière appropriée aux Services et aux risques présentés par le traitement. Ces mesures peuvent inclure les catégories de contrôles suivantes :
des contrôles d’identité et d’accès, y compris des permissions fondées sur les rôles, une administration selon le principe du moindre privilège, des pratiques de revue des accès et des garanties supplémentaires pour les fonctions sensibles ou administratives ;
des protections d’authentification et de session, y compris des contrôles des identifiants, des protections de gestion de session et l’authentification multifacteur pour les accès sensibles ou administratifs lorsque cela est applicable ;
des protections réseau et de transport, y compris le chiffrement en transit et des canaux de communication sécurisés entre les composants du service et les utilisateurs ;
des protections de stockage, y compris le chiffrement au repos pour les systèmes et stockages traitant des Données Personnelles Client, selon ce qui est approprié pour l’environnement de production concerné ;
des pratiques de journalisation, de surveillance et d’alerte destinées à soutenir la détection d’activités anormales, les investigations et la sécurité du service ;
une séparation des environnements et des pratiques de développement sécurisé destinées à séparer la production des flux de test ou de développement et à réduire le risque opérationnel ;
des contrôles de sauvegarde, de résilience et de reprise destinés à soutenir la continuité d’activité et la restauration de la disponibilité du service ;
des mesures de confidentialité du personnel, de formation et de traitement interne appropriées aux opérations du service ; et
des processus de réponse aux incidents et de remédiation destinés à soutenir l’escalade, le confinement, l’investigation et les actions correctives.
Aidfine peut utiliser des sous-traitants ultérieurs ou des prestataires agissant côté sous-traitant dans des catégories raisonnablement nécessaires à l’exploitation des Services. Selon le déploiement et la configuration du service, ces catégories peuvent inclure :
des fournisseurs d’infrastructure cloud et d’hébergement applicatif ;
des fournisseurs de stockage objet ou de stockage de fichiers utilisés pour stocker les contenus téléversés et les sorties générées ;
des fournisseurs d’envoi d’e-mails et de communications utilisés pour soutenir les communications liées au service lorsqu’ils traitent des Données Personnelles Client pour le compte d’Aidfine ;
des outils de surveillance opérationnelle, de journalisation, de support et de réponse aux incidents utilisés dans le cadre de l’exploitation et de la sécurité des Services ;
des fournisseurs de lutte contre les abus, de vérification ou de support sécurité lorsqu’ils traitent des Données Personnelles Client pour le compte d’Aidfine dans le cadre des Services.
Les intégrations dirigées par le Client et les services tiers choisis ou activés directement par le Client ne sont pas considérés comme des sous-traitants ultérieurs d’Aidfine dans la mesure où ils opèrent selon la configuration, la relation ou les conditions contractuelles propres du Client.
Les prestataires engagés par Aidfine en sa qualité de responsable indépendant du traitement, y compris certains prestataires liés à la facturation, aux paiements, à la prévention de la fraude, au site web et aux opérations corporate, sont exclus du champ de la présente Annexe, sauf dans la mesure où ils traitent des Données Personnelles Client pour le compte d’Aidfine en qualité de sous-traitant.
