retour à Juridique

Accord sur le traitement des données

Dernière mise à jour : 
2024-04-24

Botpress Accord sur le traitement des données (DPA)

La présente DPA complète le contrat conclu entre l'entité du groupe Botpress identifiée dans les conditions de service et le client et en fait partie intégrante. La présente DPA entre en vigueur dès qu'elle est incorporée par référence à cet accord.

1)Définitions

1.a Les termes en majuscules qui ne sont pas définis dans le présent document ont la signification qui leur est attribuée dans l'accord.

1.b Dans le présent DPA :

(a) "Accord" a la signification attribuée à ce terme dans les Conditions de service.

(b)"GroupeBotpress " : Botpress et ses filiales.

(c) "Informations personnelles californiennes" : données personnelles soumises à la protection de la CCPA.

(d) "Lois canadiennes sur la protection des données" : la Loi sur la protection des renseignements personnels et les documents électroniques, SC 2000, c 5 et la Loi sur la protection des renseignements personnels dans le secteur privé, CQLR c P-39.1, telles qu'elles peuvent être modifiées, remplacées ou annulées.

(e) "CCPA" : California Civil Code Sec. 1798.100 et seq. (également connu sous le nom de California Consumer Privacy Act of 2018).

(f) "Consommateur", "Entreprise", "Vendre" et "Prestataire de services" ont la signification qui leur est donnée dans la CCPA.

(g) "Responsable du traitement" : toute personne qui, seule ou conjointement avec d'autres, détermine les finalités et les moyens du traitement des données à caractère personnel.

(h) "Lois sur la protection des données" : toutes les législations mondiales applicables en matière de protection des données et de la vie privée qui s'appliquent à une partie à ce DPA, y compris, sans limitation, les lois européennes sur la protection des données, les lois canadiennes sur la protection des données et le CCPA, dans chaque cas tel qu'amendé, abrogé, consolidé ou remplacé de temps à autre.

(i) "Personne concernée" : la personne physique à laquelle se rapportent les données à caractère personnel.

(j) "Europe" : l'Union européenne, l'Espace économique européen et/ou leurs États membres, la Suisse et le Royaume-Uni.

(k) "Lois européennes sur la protection des données" : les lois sur la protection des données applicables en Europe, telles qu'elles peuvent être modifiées, annulées ou remplacées.

(l) "Données européennes" : les données à caractère personnel soumises à la protection des lois européennes sur la protection des données.

(m) "Affiliés autorisés" désigne les Affiliés du Client qui (i) sont autorisés à utiliser les Services Logiciels conformément à l'Accord, (ii) sont qualifiés de Contrôleurs des Données Personnelles traitées par Botpress, et (iii) sont soumis aux Lois Européennes sur la Protection des Données.

(n) Le terme "personne" doit être interprété au sens large et comprend toute personne physique, société, société à responsabilité limitée, société en commandite, société, association, partenariat, fiducie ou succession, coentreprise, entité gouvernementale ou subdivision politique de celle-ci, ou toute autre entité.

(o) "données à caractère personnel" : toute information concernant une personne physique identifiée ou identifiable.

(p) "Traitement" ou "processus" : toute opération ou ensemble d'opérations effectuées par un sous-traitant sur des données à caractère personnel, que ce soit ou non par des moyens automatisés ;

(q) "sous-traitant" : une personne qui traite des données à caractère personnel pour le compte d'un contrôleur.

(r) "Régulateur" désigne, le cas échéant, toute personne ou organisme chargé de l'application de la loi ou autre ayant une autorité réglementaire, de contrôle ou gouvernementale (que ce soit en vertu d'un régime légal ou autre) sur tout ou partie du traitement des données à caractère personnel dans le cadre de la fourniture ou de la réception des services, y compris, sans s'y limiter, les autorités européennes de contrôle de la protection des données ;

(s) "Violation de la sécurité" : une violation de la sécurité entraînant la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès accidentel ou illégal à des données à caractère personnel transmises, stockées ou traitées d'une autre manière par Botpress et/ou des sous-traitants dans le cadre de la fourniture des services, à l'exclusion des événements qui ne compromettent pas la sécurité des données à caractère personnel, y compris les tentatives de connexion infructueuses, les pings, les balayages de port, les attaques par déni de service et autres attaques de réseau sur les pare-feux ou les systèmes en réseau.

(t) "Services" : les services logiciels ou les services professionnels fournis par toute entité du groupe Botpress au client ou à ses sociétés affiliées.

(u) "Clauses contractuelles types" : les clauses contractuelles types annexées à la décision (UE) 2021/914 de la Commission européenne du 4 juin 2021, telles qu'elles peuvent être modifiées, annulées ou remplacées.

(v) "Sous-Traitant" signifie tout processeur engagé par Botpress ou Botpress Affiliés pour aider à remplir les obligations de Botpress en ce qui concerne la fourniture des Services dans le cadre de l'Accord. Les Sous-Traitants peuvent être des tiers ou des sociétés affiliées à Botpress , mais ne comprennent pas les personnes employées ou engagées par Botpress.

(w) "pays tiers" : une juridiction ou un destinataire : i) non reconnu par la Commission européenne comme assurant un niveau de protection adéquat des données à caractère personnel ; et ii) non couvert par un cadre approprié reconnu par les autorités ou juridictions compétentes comme assurant un niveau de protection adéquat des données à caractère personnel ;

(x) "Données d'utilisation" désigne les données relatives à l'utilisation du Logiciel par les Utilisateurs autorisés, qui peuvent contenir des Données personnelles lorsque l'identification des utilisateurs individuels est nécessaire, mais à l'exclusion de toutes les Données de conversation. Les Données d'Utilisation peuvent inclure des Données Personnelles concernant les employés et les sous-traitants du Client, mais pas les utilisateurs finaux interagissant avec les Bots du Client.

2. le rôle des parties

2.a Dans le cadre du traitement des données de conversation par le biais des services, les parties reconnaissent et acceptent que le client agisse en tant que contrôleur et que Botpress agisse en tant que sous-traitant.

2.b Si le client agit en tant que sous-traitant pour le compte d'un contrôleur, Botpress est considéré comme un sous-traitant secondaire du client.

2.c Botpress est un contrôleur en ce qui concerne les données d'utilisation.

3. respect des lois sur la protection des données

3.a Chaque partie effectue tout traitement de données à caractère personnel dans le respect de toutes les lois applicables en matière de protection des données.

3.b Botpress n'est pas responsable du respect des lois sur la protection des données applicables au client ou au secteur d'activité du client qui ne sont pas généralement applicables à Botpress.

3.c Si Botpress se rend compte qu'il ne peut pas traiter les données à caractère personnel conformément aux instructions du Client en raison d'une exigence légale en vertu de toute loi applicable, Botpress (i) notifiera rapidement au Client cette exigence légale dans la mesure permise par la loi applicable ; et (ii) si nécessaire, cessera tout traitement (autre que le simple stockage et le maintien de la sécurité des données à caractère personnel concernées) jusqu'à ce que le Client émette de nouvelles instructions en conformité avec la loi applicable. Si cette disposition est invoquée, Botpress ne sera pas responsable envers le Client en vertu de l'Accord pour tout manquement à l'exécution des Services logiciels ou des Services professionnels applicables jusqu'à ce que Botpress détermine raisonnablement que les instructions du Client sont légales.

4.Botpress Obligations

4.a Botpress ne traitera les données à caractère personnel qu'aux fins décrites dans le présent DPA ou comme convenu dans le cadre des instructions légales reçues du client, sauf si et dans la mesure où la loi applicable l'exige.

4.b Botpress mettra en œuvre et maintiendra des mesures techniques et organisationnelles appropriées pour protéger les données à caractère personnel contre les incidents de sécurité, y compris celles décrites à l'annexe 2 du présent DPA ("mesures de sécurité"). Botpress peut modifier ou mettre à jour les mesures de sécurité à sa discrétion, à condition qu'une telle modification ou mise à jour n'entraîne pas une dégradation matérielle de la protection offerte par les mesures de sécurité.

4.c Botpress traitera les données personnelles comme des informations confidentielles du client et veillera à ce que ses employés ou interlocuteurs autorisés à accéder aux données personnelles ou à les traiter soient soumis à des obligations de confidentialité appropriées (qu'elles soient contractuelles ou légales) en ce qui concerne ces données personnelles.

4.d Botpress supprimera ou retournera toutes les Données à caractère personnel traitées conformément au présent DPA, à la résiliation ou à l'expiration de l'Accord. Botpress peut conserver des copies des Données à caractère personnel lorsque la loi applicable l'exige, ou lorsque les Données à caractère personnel ont été archivées sur des systèmes de sauvegarde, ces données seront isolées et protégées en toute sécurité contre tout traitement ultérieur et supprimées conformément aux pratiques d'effacement applicables.

5. les obligations du client

5.a Le Client est tenu de s'assurer que son utilisation des Services logiciels ou du Logiciel est conforme à toutes les Lois sur la protection des données applicables, notamment en s'assurant (i) qu'il est autorisé à nommer Botpress pour traiter les données personnelles en son nom conformément au présent DPA, (ii) qu'il a le droit de transférer les données personnelles à Botpress , ou d'y donner accès, pour qu'elles soient traitées conformément aux termes de l'Accord (y compris le présent DPA), (iii) que les instructions du Client concernant le traitement des données personnelles sont conformes aux lois applicables, y compris les Lois sur la protection des données ;

5.b Le Client doit rapidement notifier par écrit à Botpress s'il a des raisons de croire ou s'il a été notifié que le traitement des données personnelles effectué par le Client par le biais des Services est ou peut être en violation de la loi applicable, y compris les lois sur la protection des données.

5.c Il incombe au client de déterminer si les mesures de sécurité mises en œuvre par Botpress répondent de manière adéquate aux obligations du client en vertu des lois applicables en matière de protection des données. Le Client est également responsable de s'assurer que son accès aux Services Logiciels est sécurisé et réservé au personnel autorisé.

6. violation de la sécurité

6.a Botpress informera rapidement le client s'il a connaissance d'une violation de la sécurité et fournira en temps utile les informations relatives à cette violation de la sécurité dès qu'elles seront connues ou raisonnablement demandées par le client.

6.b Sur demande, Botpress fournira rapidement au client l'assistance raisonnable nécessaire pour lui permettre de notifier une violation de la sécurité aux autorités de réglementation et/ou aux personnes concernées, si une telle notification est requise en vertu des lois sur la protection des données.

7. les sous-processeurs

7.a Botpress peut engager des Sous-Traitants pour traiter les Données Personnelles. Les Sous-Traitants actuels sont énumérés à l'Annexe 3, tout changement de Sous-Traitants sera notifié au Client.

7.b Botpress sélectionne des Sous-Traitants qui offrent des engagements en matière de protection des données qui assurent au moins le même niveau de protection des Données à caractère personnel que ceux figurant dans le présent DPA (y compris, le cas échéant, les Clauses contractuelles types), dans la mesure applicable à la nature des services fournis par ces Sous-Traitants. Botpress reste responsable du respect par chaque Sous-Traitant des obligations du présent DPA et de tout acte ou omission de ce Sous-Traitant entraînant une violation de l'une des obligations de Botpressau titre du présent DPA.

7.c Si Botpress traite des données européennes pour le compte du client, ce dernier peut s'opposer à un nouveau Sous-Traitant, pour des raisons raisonnables fondées sur la protection des données. Si une telle objection lui est notifiée, Botpress accepte de discuter de la question en toute bonne foi afin de parvenir à une résolution commercialement raisonnable. Si aucune résolution ne peut être trouvée, Botpress peut soit choisir de renoncer à la nomination du nouveau Sous-Traitant, soit permettre au Client de résilier son abonnement à la partie des Services Logiciels reposant sur ce nouveau Sous-Traitant sans responsabilité envers l'une ou l'autre partie (mais sans préjudice de tous les frais encourus avant la résiliation).

7.d Si la loi ou les Clauses Contractuelles Types l'exigent, Botpress fera des efforts raisonnables pour mettre à la disposition du Client les informations requises sur les accords de Botpressavec les Sous-Traitants. Le client accepte que certaines informations puissent être expurgées de ces accords ou fournies à titre confidentiel.

8. le transfert de données à caractère personnel

8.a Le traitement des données personnelles autres que les données européennes par les entités du groupe Botpress aura lieu dans toute juridiction où ce traitement est autorisé par les lois applicables de la juridiction chargée de la protection de la vie privée.

8.b Le traitement des données européennes a lieu exclusivement :

a) En Europe ;

b) dans une juridiction qui assure un niveau de protection adéquat en vertu d'une décision de la Commission européenne basée sur les lois applicables en matière de protection des données ;

c) dans toute juridiction, par une organisation ou une entité offrant des garanties appropriées, y compris par le biais des clauses contractuelles types ;

d) dans toute juridiction, avec le consentement écrit du client ou de la personne concernée.

8.c Lorsque le traitement des données européennes a lieu dans un pays tiers, les parties sont réputées avoir conclu les clauses contractuelles types uniquement en ce qui concerne les données à caractère personnel et le traitement en question. Les parties conviennent qu'aux fins des Clauses contractuelles types :

a) Si le client est un contrôleur et que Botpress est un sous-traitant, le module 2 (du contrôleur au sous-traitant) s'applique.

b) Si le client est un sous-traitant et que Botpress est un sous-traitant secondaire, le module 3 (sous-traitant à sous-traitant) s'applique.

c) En ce qui concerne les données d'utilisation, le module 1 (contrôleur à contrôleur) s'applique.

d) à la clause 7 des clauses contractuelles types, la clause d'amarrage facultatif ne s'applique pas ;

e) à la clause 9 des clauses contractuelles types, l'option 2 s'applique et le délai de notification écrite préalable des changements de sous-traitants est de 10 jours ;

f) à la clause 11 des clauses contractuelles types, la langue optionnelle ne s'applique pas ;

g) à la clause 17 (option 1), les clauses contractuelles types sont régies par le droit irlandais ;

h) dans la clause 18(b) des clauses contractuelles types, les litiges seront résolus devant les tribunaux irlandais ;

i)Botpress sera l'"importateur de données" et le client sera l'"exportateur de données" (en son nom et au nom des affiliés autorisés) ;

j) les informations pertinentes figurant aux annexes 1 et 2 du présent DPA sont réputées figurer dans les annexes des clauses contractuelles types ;

k) si et dans la mesure où les clauses contractuelles types sont en contradiction avec une disposition du présent DPA, les clauses contractuelles types prévaudront dans la mesure de cette contradiction.

8.d Transferts en Suisse et au Royaume-Uni. Dans la mesure où un transfert de Données à caractère personnel entre le Client et Botpress et/ou un Sous-traitant est soumis aux Lois sur la protection des données de la Suisse ou du Royaume-Uni, les Clauses contractuelles types sont réputées être modifiées pour refléter les exigences des Lois sur la protection des données applicables en Suisse et au Royaume-Uni, y compris les références à la législation, à la loi applicable et aux autorités et tribunaux compétents.

9. traitement de l'ACCP

9.a Lors du traitement des données personnelles californiennes conformément aux instructions du client, les parties reconnaissent et acceptent que le client est une entreprise et que Botpress est un prestataire de services au sens de la loi sur la protection des données personnelles. Les parties conviennent que Botpress traitera les données personnelles californiennes en tant que prestataire de services dans le seul but de fournir les services logiciels et les services professionnels dans le cadre de l'accord (l'"objectif commercial") ou dans le cadre de ce qui est autorisé par la loi sur la protection des données.

10. demandes de tiers

10.a Le Client est responsable de répondre à toute demande d'une personne concernée ou d'un régulateur concernant ses données personnelles et le Client doit utiliser les fonctions disponibles des Services logiciels pour récupérer les informations pertinentes sur le traitement des données personnelles.

10.b Si le client n'est pas en mesure de répondre de manière indépendante à une demande émanant d'une personne concernée ou d'un organisme de réglementation ("demande"), Botpress fournira une assistance raisonnable au client, afin de répondre à toute demande relative au traitement des données à caractère personnel dans le cadre de l'accord. Sauf si et dans la mesure où une demande est fondée sur le non-respect par Botpress de ses obligations en vertu du présent DPA, le client remboursera à Botpress les dépenses raisonnables qu'il aura engagées pour fournir une assistance au client.

10.c Si une demande ou une autre communication concernant le traitement de données à caractère personnel en vertu de l'Accord est adressée directement à Botpress, Botpress en informera rapidement le Client et conseillera à la personne concernée ou à l'autorité de régulation de soumettre sa demande directement au Client. Le Client sera seul responsable de la réponse substantielle à toute demande ou communication impliquant des données à caractère personnel.

11. l'audit relatif aux données à caractère personnel

11.a Sur demande et moyennant un préavis raisonnable adressé à Botpress, le Client est autorisé à effectuer, à ses propres frais, les vérifications nécessaires pour s'assurer que les données à caractère personnel traitées par Botpress pour le compte du Client le sont conformément aux instructions de ce dernier. À la demande du Client, Botpress permettra l'audit et l'inspection du traitement effectué par Botpress. Cet audit peut être effectué par le client et/ou un tiers (choisi par le client et raisonnablement accepté par Botpress) agissant pour le compte du client. Le client prend toutes les mesures nécessaires pour éviter de causer des dommages ou des perturbations aux locaux, à l'équipement, au personnel et aux activités des entités du groupe Botpress .

11.b Le client et Botpress conviennent à l'avance de la nature, de la portée et de la durée de tout audit effectué par le client, et le client rembourse à Botpress tous les coûts raisonnables liés à un tel audit, qui peuvent être estimés à la demande du client avant le début de l'audit. Dans la mesure du possible, les exigences du client en matière d'audit seront satisfaites par des rapports d'audit de tiers fournis par Botpress, s'ils sont disponibles.

11.c Si Botpress traite des données européennes pour le compte du client, Botpress fournira au client, sur demande raisonnable, (à titre confidentiel) (i) un résumé de ses rapports de tests de sécurité et (ii) des réponses écrites à toutes les demandes raisonnables d'informations formulées par le client et nécessaires pour confirmer que Botpress respecte le présent RGPD, à condition que le client n'exerce pas ce droit plus d'une fois par année civile, à moins qu'il n'ait des motifs raisonnables de soupçonner Botpressde ne pas se conformer au RGPD.

12. limitation de la responsabilité

12.a La responsabilité de Botpresset de ses sociétés affiliées, prise dans son ensemble, découlant de ou liée à ce DPA (et à tout autre DPA entre les parties) et aux Clauses contractuelles standard (le cas échéant), qu'elle soit contractuelle, délictuelle ou en vertu de toute autre théorie de la responsabilité, sera limitée au montant total des frais payés par le client à Botpress en contrepartie des services au cours de la période de 12 mois précédant la survenance de l'événement donnant lieu à la responsabilité.

13. la compétence

Sauf disposition contraire des lois applicables en matière de protection des données, le présent DPA est régi et interprété conformément aux lois applicables à l'accord et tout litige concernant le présent accord est résolu par les tribunaux compétents de la juridiction indiquée dans la proposition.

Dans la mesure où les lois sur la protection des données exigent que le présent DPA soit régi par les lois d'un État membre de l'Union européenne, le présent DPA est régi par les lois de l'Irlande et les litiges concernant le présent accord sont résolus par les tribunaux irlandais.

14. général

14.a Priorité. En cas de contradiction entre l'une des dispositions du présent DPA et toute autre disposition de l'Accord, les dispositions du DPA prévalent toujours, sauf si et dans la mesure où il est expressément stipulé qu'une autre disposition de l'Accord prévaut ou qu'une disposition du présent DPA doit être écartée ou modifiée.

14.b Modifications. Botpress peut modifier la présente DPA pour refléter les changements dans ses pratiques de traitement des données. Toute modification autre que celles visant à clarifier le langage (qui seront régulièrement communiquées au client) sera soumise au client et ne s'appliquera pas à moins d'être acceptée par le client. Si une modification de la présente DPA est requise par la loi applicable, le client s'engage à

a la possibilité d'accepter cette modification ou de résilier son abonnement aux services logiciels.

14.c Divisibilité. Si certaines dispositions de ce DPA sont jugées invalides ou inapplicables, la validité et l'applicabilité des autres dispositions de ce DPA n'en seront pas affectées.

Annexe 1 - Détails du traitement

Identification du contrôleur

Le client

Personne de contact : la personne identifiée dans la proposition acceptée par le client. Identification du sous-traitant

Si le client est situé au Canada : Technologies Botpress Inc.

Si le client est situé ailleurs : Botpress, Inc.

Personne de contact :

Jean-Bernard Perrron

[email protected]

Catégories de personnes concernées

Le client peut soumettre des données personnelles dans le cadre de l'utilisation du service logiciel, dont l'étendue est déterminée et contrôlée par le client à sa seule discrétion, sous réserve des conditions de service applicables, et qui peuvent inclure, sans s'y limiter, des données personnelles relatives aux catégories suivantes de personnes concernées :

  • Les personnes qui utilisent le logiciel pour le compte du client
  • Utilisateurs finaux des robots clients

Catégories de données à caractère personnel

Le Client peut soumettre des Données Personnelles aux Services Logiciels et peut autoriser les Utilisateurs Finaux à soumettre des Données Personnelles aux Services Logiciels, dont l'étendue est déterminée et contrôlée par le Client à sa seule discrétion, sous réserve des conditions de service applicables.

Le service logiciel n'est pas conçu pour traiter des données sensibles, et il incombe au client de déterminer si le service logiciel est adapté au traitement de données sensibles.

Botpress traitera les coordonnées des utilisateurs autorisés (nom, courriel, téléphone) et les données d'utilisation et de comportement concernant l'utilisation des produits à des fins d'assistance technique et de statistiques.

Nature du traitement

  • Stockage et autres traitements nécessaires pour fournir, maintenir et améliorer les services fournis au client ;
  • Divulgation conformément à l'accord (y compris le présent DPA) et/ou à la législation applicable ;
  • Botpress traitera les données à caractère personnel dans la mesure où cela est nécessaire pour fournir les services conformément à l'accord et selon les instructions données par le client dans le cadre de son utilisation des services.
  • Botpress Traite les données d'utilisation pour fournir une assistance technique et à des fins statistiques (pour l'amélioration et le développement des produits).

Durée de conservation des données à caractère personnel

Sous réserve de l'obligation de Botpressde supprimer ou de renvoyer les données au client, dans le cadre de l'accord, Botpress traitera les données à caractère personnel pendant la durée de l'accord, sauf accord écrit contraire.

Annexe 2 - Mesures de sécurité

1. la gouvernance

Botpress met en œuvre des politiques et des procédures appropriées concernant les données à caractère personnel, y compris :

  • Procédures de sécurité de l'information ;
  • Politiques relatives à l'utilisation des données à caractère personnel ;
  • Procédure de signalement des incidents liés à la sécurité et à la protection de la vie privée ;
  • Mécanismes d'évaluation des risques ;
  • Procédures d'audit interne ;
  • Mesures contractuelles ;

2. l'accès des utilisateurs

  • Les fonctions et responsabilités des utilisateurs de Botpress et des profils d'utilisateurs ayant accès aux données à caractère personnel et aux systèmes d'information sont clairement définies.
  • Botpress adopte des mesures pour informer ses utilisateurs des règles de sécurité qui affectent l'exercice de leurs fonctions et des conséquences en cas de violation de ces règles.
  • Les protocoles en clair ne sont pas utilisés pour accéder aux données à caractère personnel ou les transférer. Seul le protocole SSL est accepté pour ces opérations.
  • Botpress assure la sécurité des processus et des procédures de traitement ou d'élimination des supports physiques ou des équipements susceptibles de contenir des données à caractère personnel.
  • Les données à caractère personnel sont physiquement séparées, ou logiquement séparées si elles se trouvent dans une base de données ou un environnement virtuel, des autres données de Botpress . Si les données à caractère personnel ne sont pas physiquement séparées des autres données, systèmes ou applications non liés au client, Botpress utilise des contrôles de sécurité appropriés, y compris des contrôles d'accès.

3. le contrôle d'accès

Botpress maintient les serveurs, les bases de données pertinentes et les autres composants matériels et/ou logiciels qui stockent les données à caractère personnel dans un centre de données sécurisé dont l'accès est contrôlé et surveillé afin de n'admettre que le personnel autorisé.

Botpress emploie des mesures efficaces de contrôle d'accès logique sur tous les systèmes utilisés pour créer, transmettre ou traiter des données à caractère personnel, ces mesures comprenant, mais sans s'y limiter, les éléments suivants

  • Authentification de l'utilisateur, qui doit utiliser des identifiants uniques ("ID utilisateur") et des noms.
  • Une stratégie de mot de passe suffisamment complexe et robuste.
  • Les droits d'accès/privilèges des utilisateurs aux ressources d'information contenant des données à caractère personnel doivent être accordés en fonction du besoin d'en connaître, compte tenu des fonctions et responsabilités de l'utilisateur.
  • L'accès des utilisateurs aux systèmes informatiques permettant l'accès aux données à caractère personnel est supprimé immédiatement après le départ de l'utilisateur ou si l'utilisateur change d'emploi et que son nouvel emploi ne nécessite pas d'accès.
  • Les mots de passe et les paramètres de sécurité par défaut doivent être modifiés dans les produits/applications tiers utilisés pour prendre en charge les données à caractère personnel.
  • Les fournisseurs de services tiers sont soumis à des exigences et obligations de sécurité équivalentes à celles des utilisateurs autorisés de Botpress lorsqu'ils traitent des données à caractère personnel.
  • Revalidation annuelle de la justification des comptes d'utilisateurs et des autorisations d'accès aux informations personnelles qui y sont associées.

4. l'architecture de sécurité du réseau

Botpress utilise des mesures efficaces de contrôle d'accès au réseau sur tous les systèmes utilisés pour créer, transmettre ou traiter des données à caractère personnel, ces mesures incluant, mais sans s'y limiter :

  • Les pare-feu sont opérationnels en permanence et sont installés au périmètre du réseau entre le réseau interne (privé) de Botpress et le réseau public (Internet).
  • Des systèmes de détection et de prévention des intrusions correctement configurés et contrôlés sont utilisés sur le réseau Botpress .
  • Seuls les services/processus et ports nécessaires à l'exécution des programmes de routine sont activés sur la base de données et les autres systèmes d'information utilisés pour le traitement des données à caractère personnel. Tous les autres services/processus sur l'hôte sont désactivés.
  • Tous les systèmes d'information, référentiels et autres systèmes utilisés pour traiter les données à caractère personnel doivent être physiquement situés dans un environnement de centre de données contrôlé et utilisés dans le but de protéger les systèmes d'information.
  • ● Des canaux sécurisés (par exemple, TLS, SFTP, SSH, IPSEC, etc.) doivent être utilisés systématiquement pour les communications avec le centre de données Botpress .

5. les contrôles de la gestion de la vulnérabilité

Botpress utilise des contrôles efficaces de la gestion de la vulnérabilité sur tous les systèmes utilisés pour créer, transmettre ou traiter des données à caractère personnel, ces mesures comprenant, sans s'y limiter, les éléments suivants

  • Déploiement de dispositifs de prévention et de détection du réseau pour aider à filtrer les courriels d'hameçonnage et les logiciels malveillants avant qu'ils n'atteignent les postes de travail gérés par Botpress et ayant un accès direct ou indirect aux données à caractère personnel.
  • Déploiement de logiciels de prévention et de détection de virus et de logiciels malveillants sur tous les postes de travail gérés par Botpress et traitant des données à caractère personnel.
  • Maintenir un processus et une pratique standard de gestion des correctifs afin de garantir la protection de tous les dispositifs utilisés pour accéder aux données à caractère personnel, les traiter ou les stocker.
  • Les appareils et documents contenant des données personnelles doivent permettre d'identifier les informations consultées, être inventoriés et accessibles uniquement aux utilisateurs autorisés à accéder aux données conformément au document de sécurité.
  • Mesures visant à prévenir le vol, la perte ou l'accès non autorisé aux données à caractère personnel pendant les opérations de transmission et de transfert.

6. sauvegarde, récupération et disponibilité des données

Botpress met en œuvre les plans de reprise après sinistre et de continuité des activités suivants afin de réduire au maximum les temps d'arrêt et les pertes de données.

  • Botpress met en œuvre des fonctions de reprise après sinistre conçues pour rétablir la fonctionnalité du système contenant des données à caractère personnel dans un délai convenu par les parties ou, à défaut, dans un délai raisonnable compte tenu de la nature des données à caractère personnel.
  • Botpress veille systématiquement à ce que les données à caractère personnel ne soient accessibles qu'au personnel autorisé de Botpress (par exemple, les sauvegardes externes sont systématiquement cryptées).
  • Pour réduire les risques liés aux menaces environnementales, aux dangers et aux possibilités d'accès non autorisé, les équipements doivent être situés à l'écart des lieux soumis à une forte probabilité de risques environnementaux et complétés par des équipements redondants situés à une distance raisonnable.
  • Des mécanismes de sécurité et des redondances doivent être mis en œuvre pour protéger l'équipement contre les pannes de service public (par exemple, les pannes de courant, les interruptions de réseau, etc.)
  • Des politiques et des procédures de conservation et de stockage des données doivent être établies et des mécanismes de sauvegarde ou de redondance doivent être mis en œuvre pour garantir le respect des exigences réglementaires, statutaires, contractuelles ou commerciales. Des tests de récupération des sauvegardes sur disque ou sur bande doivent être effectués à intervalles planifiés.

7. audit de sécurité

Botpress emploie des contrôles sur tous les systèmes utilisés pour créer, transmettre ou traiter des données à caractère personnel, ces contrôles incluant, mais sans s'y limiter :

  • les analyses de vulnérabilité ou les audits effectués par des tiers sur les dispositifs d'infrastructure (publics) tournés vers l'extérieur et contenant des données à caractère personnel.
  • Des tests de pénétration effectués par des tiers sur les systèmes Botpress qui stockent et traitent les données à caractère personnel.
  • Évaluation périodique par un tiers lorsque des applications ou des processus soutiennent l'information financière.
  • Botpress s'engage à traiter toutes les vulnérabilités identifiées à la suite de tests de pénétration et à notifier au client les mesures correctives prises.

8. formation et sensibilisation

Botpress met en œuvre un programme de sensibilisation à la sécurité pour ses employés et ses prestataires de services qui interagissent avec les systèmes traitant les données à caractère personnel, y compris :

  • Botpress veille à ce que son personnel comprenne les menaces et les préoccupations en matière de gestion des risques liés à l'information concernant les services Botpress , ainsi que les politiques pertinentes de gestion des risques liés à l'information.
  • Botpress le personnel reçoit une formation et des mises à jour régulières sur les politiques et procédures de gestion des risques liés à l'information, sur le système de classification standard de la gestion des risques et sur les procédures appropriées.
  • Le personnel des sous-traitants doit être informé du système de classification de la gestion des risques liés à l'information de Botpress et des procédures appropriées.
  • Des politiques et des procédures doivent être établies pour effacer les documents visibles contenant des données sensibles lorsqu'un espace de travail est laissé sans surveillance et pour appliquer la déconnexion de la session du poste de travail pendant une période d'inactivité.

Annexe 3 - Sous-traitants Sauf indication contraire, le lieu du traitement est : USA.

Amazon Web Services

  • AWS héberge nos services en nuage et toutes les données des clients.
  • AWS traite des informations analytiques sur l'utilisation des services en nuage Botpress .

Google Analytics

  • Google Analytics traite des informations analytiques sur l'utilisation des services cloud de Botpress .

Freshdesk

  • Freshdesk fournit des services d'assistance.
  • Freshdesk traite toutes les données fournies par les utilisateurs à des fins d'assistance technique.

Hotjar

  • Nous utilisons les services Hotjar sur le service.
  • Hotjar fournit des informations sur le comportement des visiteurs du service.

OpenAI

  • OpenAI est utilisé pour traiter les entrées de texte de l'utilisateur afin de générer des réponses textuelles.

Mixpanel

  • Mixpanel est utilisé pour collecter des données analytiques sur les produits et l'utilisation du site web, afin d'améliorer le service.

Intercom

  • Intercom est utilisé pour fournir une assistance en direct aux visiteurs du service et du site web.
Signature de l'accord sur le traitement des données
Tous les systèmes sont opérationnels
SOC 2
Certifié
GDPR
Conforme à la loi
© 2024
Plate-forme
Tarification
Agent Studio
Moteur autonome
Bases de connaissances
Tableaux
Hub
Intégrations
Canaux de messagerie
LLMs
Ressources
S'adresser au service des ventes
Documentation
Trouver un expert
Vidéos
Témoignages de clients
Référence API
Blog
Statut
Ressources v12
Communauté
Soutien communautaire
Devenir partenaire
Devenir ambassadeur
Devenir affilié
Evénements
Entreprise
A propos de
Carrières
Actualités et presse
Juridique
Politique de Privacy
© Botpress 2024