retour à la page Légal

Accord de traitement des données

Dernière mise à jour :
2024-11-21

Accord de traitement des données (DPA) de Botpress

Ce DPA complète et fait partie intégrante du contrat conclu entre l’entité du groupe Botpress identifiée dans les Conditions d’utilisation et le Client. Ce DPA entre en vigueur dès son intégration par référence dans ce contrat.

1. Définitions

1.a Les termes commençant par une majuscule qui ne sont pas définis ici ont la signification qui leur est donnée dans le Contrat.

1.b Dans ce DPA :

(a) « Contrat » a la signification qui lui est attribuée dans les Conditions d’utilisation.

(b) « Groupe Botpress » désigne Botpress et toute société affiliée.

(c) « Informations personnelles californiennes » désigne les Données personnelles soumises à la protection du CCPA.

(d) « Législation canadienne sur la protection des données » désigne la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), L.C. 2000, ch. 5, et la Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ ch. P-39.1, telles que modifiées, remplacées ou abrogées.

(e) « CCPA » désigne le California Civil Code Sec. 1798.100 et suivants (également connu sous le nom de California Consumer Privacy Act de 2018).

(f) « Consommateur », « Entreprise », « Vendre » et « Fournisseur de services » ont la signification qui leur est donnée dans le CCPA.

(g) « Responsable du traitement » désigne toute Personne qui, seule ou conjointement avec d’autres, détermine les finalités et les moyens du Traitement des Données personnelles.

(h) « Législation sur la protection des données » désigne toute législation applicable dans le monde relative à la protection des données et à la vie privée qui s’applique à une partie à ce DPA, y compris, sans s’y limiter, la Législation européenne sur la protection des données, la Législation canadienne sur la protection des données et le CCPA, dans chaque cas telle que modifiée, abrogée, consolidée ou remplacée de temps à autre.

(i) « Personne concernée » désigne la personne physique à laquelle se rapportent les Données personnelles.

(j) « Europe » désigne l’Union européenne, l’Espace économique européen et/ou leurs États membres, la Suisse et le Royaume-Uni.

(k) « Législation européenne sur la protection des données » désigne la législation sur la protection des données applicable en Europe, telle que modifiée, remplacée ou abrogée.

(l) « Données européennes » désigne les Données personnelles soumises à la protection de la Législation européenne sur la protection des données.

(m) « Affiliés autorisés » désigne tout Affilié du Client qui (i) est autorisé à utiliser les Services logiciels conformément au Contrat, (ii) remplit les conditions de Responsable du traitement des Données personnelles traitées par Botpress, et (iii) est soumis à la Législation européenne sur la protection des données.

(n) « Personne » doit être interprété au sens large et inclut toute personne physique, société, société à responsabilité limitée, société en commandite, entreprise, association, partenariat, fiducie ou succession, coentreprise, entité gouvernementale ou subdivision politique de celle-ci, ou toute autre entité.

(o) « Données personnelles » désigne toute information se rapportant à une personne identifiée ou identifiable.

(p) « Traitement » ou « Traiter » désigne toute opération ou ensemble d’opérations effectuées par un Sous-traitant sur des Données personnelles, que ce soit ou non par des moyens automatisés ;

(q) « Sous-traitant » désigne une Personne qui Traite des Données personnelles pour le compte d’un Responsable du traitement.

(r) « Autorité de contrôle » désigne, le cas échéant, toute Personne ou agence de maintien de l’ordre ou autre organisme disposant d’une autorité réglementaire, de surveillance ou gouvernementale (qu’elle soit prévue par la loi ou non) sur tout ou partie du Traitement des Données personnelles dans le cadre de la fourniture ou de la réception des Services, y compris, sans s’y limiter, les autorités européennes de contrôle de la protection des données ;

(s) « Violation de sécurité » désigne une violation de la sécurité entraînant la destruction, la perte, l’altération, la divulgation non autorisée ou l’accès accidentel ou illicite à des Données personnelles transmises, stockées ou autrement Traitées par Botpress et/ou ses Sous-traitants dans le cadre de la fourniture des Services, à l’exclusion des événements qui ne compromettent pas la sécurité des Données personnelles, tels que les tentatives de connexion infructueuses, pings, scans de ports, attaques par déni de service et autres attaques réseau sur les pare-feux ou systèmes connectés.

(t) « Services » désigne les Services logiciels ou Services professionnels fournis par toute entité du Groupe Botpress au Client ou à ses Affiliés.

(u) « Clauses contractuelles types » désigne les clauses contractuelles types annexées à la Décision (UE) 2021/914 de la Commission européenne du 4 juin 2021 ; telles que modifiées, remplacées ou abrogées.

(v) « Sous-traitant » désigne tout Sous-traitant engagé par Botpress ou ses Affiliés pour aider à remplir les obligations de Botpress concernant la fourniture des Services dans le cadre du Contrat. Les Sous-traitants peuvent inclure des tiers ou des Affiliés de Botpress mais n’incluent pas les personnes employées ou engagées par Botpress.

(w) « Pays tiers » désigne une juridiction ou un destinataire : (i) non reconnu par la Commission européenne comme offrant un niveau de protection adéquat pour les données personnelles ; et (ii) non couvert par un cadre approprié reconnu par les autorités ou juridictions compétentes comme offrant un niveau de protection adéquat pour les données personnelles ;

(x) « Données d’utilisation » désigne les données relatives à l’utilisation du Logiciel par les Utilisateurs autorisés, pouvant contenir des Données personnelles lorsque l’identification des utilisateurs individuels est nécessaire, à l’exclusion de toute Donnée de conversation. Les Données d’utilisation peuvent inclure des Données personnelles concernant les employés et sous-traitants du Client, mais pas celles des utilisateurs finaux interagissant avec les Bots du Client.

2. Rôle des parties

2.a Lors du Traitement des Données de conversation via les Services, les parties reconnaissent et conviennent que le Client agit en tant que Responsable du traitement et que Botpress agit en tant que Sous-traitant.

2.b Si le Client agit en tant que Sous-traitant pour le compte d’un Responsable du traitement, Botpress sera considéré comme un sous-traitant du Client.

2.c Botpress sera Responsable du traitement en ce qui concerne les Données d’utilisation.

3. Respect de la législation sur la protection des données

3.a Chaque partie doit effectuer tout traitement de Données personnelles en conformité avec toutes les lois applicables sur la protection des données.

3.b Botpress n’est pas responsable du respect des lois sur la protection des données applicables au Client ou à son secteur d’activité qui ne s’appliquent pas généralement à Botpress.

3.c Si Botpress apprend qu’il ne peut pas Traiter les Données personnelles conformément aux instructions du Client en raison d’une exigence légale en vertu de toute loi applicable, Botpress (i) en informera rapidement le Client dans la mesure permise par la loi applicable ; et (ii) le cas échéant, cessera tout Traitement (autre que le simple stockage et maintien de la sécurité des Données personnelles concernées) jusqu’à ce que le Client donne de nouvelles instructions conformes à la loi applicable. Si cette disposition est invoquée, Botpress ne sera pas responsable envers le Client au titre du Contrat pour tout manquement à fournir les Services logiciels ou professionnels concernés jusqu’à ce que Botpress détermine raisonnablement que les instructions du Client sont conformes à la loi.

4. Obligations de Botpress

4.a Botpress ne Traite les Données personnelles que dans les buts décrits dans ce DPA ou tels qu’autrement convenus dans le cadre d’instructions légales reçues du Client, sauf si la loi applicable en dispose autrement.

4.b Botpress mettra en œuvre et maintiendra des mesures techniques et organisationnelles appropriées pour protéger les Données personnelles contre les Incidents de sécurité, y compris celles décrites à l’Annexe 2 de ce DPA (« Mesures de sécurité »). Botpress peut modifier ou mettre à jour les Mesures de sécurité à sa discrétion, à condition que ces modifications n’entraînent pas une dégradation significative du niveau de protection offert.

4.c Botpress traitera les Données personnelles comme des informations confidentielles du Client et s’assurera que tout employé ou sous-traitant autorisé à accéder ou à Traiter les Données personnelles est soumis à des obligations de confidentialité appropriées (contractuelles ou légales) concernant ces Données personnelles.

4.d Botpress supprimera ou restituera toutes les Données à caractère personnel traitées conformément au présent DPA, à la résiliation ou à l’expiration du Contrat. Botpress peut conserver des copies des Données à caractère personnel si la loi applicable l’exige, ou si ces données ont été archivées sur des systèmes de sauvegarde, dans ce cas, les données seront isolées de manière sécurisée, protégées contre tout traitement ultérieur et supprimées conformément aux pratiques de suppression applicables.

5. Obligations du Client

5.a Il appartient au Client de s’assurer que son utilisation des Services logiciels ou du Logiciel est conforme à toutes les lois applicables en matière de protection des données, notamment en veillant à ce que (i) il soit autorisé à désigner Botpress pour traiter les Données à caractère personnel en son nom conformément au présent DPA, (ii) il ait le droit de transférer ou de donner accès à Botpress aux Données à caractère personnel pour traitement conformément aux termes du Contrat (y compris ce DPA), (iii) ses instructions concernant le traitement des Données à caractère personnel respectent les lois applicables, y compris les lois sur la protection des données ;

5.b Le Client doit informer Botpress sans délai par écrit s’il a des raisons de croire ou s’il a été informé que le traitement des Données à caractère personnel effectué par le Client via les Services est ou pourrait être en violation de la loi applicable, y compris des lois sur la protection des données.

5.c Il appartient au Client de déterminer si les mesures de sécurité mises en place par Botpress répondent de manière adéquate à ses obligations au titre des lois applicables sur la protection des données. Le Client doit également veiller à ce que son accès aux Services logiciels soit sécurisé et réservé au personnel autorisé.

6. Violation de la sécurité

6.a Botpress informera rapidement le Client s’il prend connaissance d’une violation de sécurité et fournira en temps utile les informations relatives à cette violation au fur et à mesure qu’elles seront connues ou raisonnablement demandées par le Client.

6.b Sur demande, Botpress fournira rapidement au Client une assistance raisonnable, si nécessaire, afin de permettre au Client de notifier une violation de sécurité aux autorités de contrôle et/ou aux personnes concernées, si une telle notification est requise par les lois sur la protection des données.

7. Sous-traitants

7.a Botpress peut faire appel à des sous-traitants pour traiter les Données à caractère personnel. Les sous-traitants actuels sont listés à l’Annexe 3 ; tout changement de sous-traitant sera notifié au Client.

7.b Botpress sélectionne des sous-traitants qui offrent des engagements de protection des données assurant au moins le même niveau de protection des Données à caractère personnel que ceux prévus dans ce DPA (y compris, le cas échéant, les Clauses Contractuelles Types), dans la mesure applicable à la nature des services fournis par ces sous-traitants. Botpress reste responsable du respect par chaque sous-traitant des obligations du présent DPA et de tout acte ou omission de ces sous-traitants entraînant une violation des obligations de Botpress au titre du présent DPA.

7.c Si Botpress traite des Données européennes pour le compte du Client, ce dernier peut s’opposer à un nouveau sous-traitant, pour des raisons valables liées à la protection des données. En cas d’opposition, Botpress s’engage à discuter de bonne foi afin de parvenir à une solution commercialement raisonnable. Si aucune solution n’est trouvée, Botpress pourra soit renoncer à nommer le nouveau sous-traitant, soit permettre au Client de résilier son abonnement à la partie des Services logiciels concernée par ce sous-traitant, sans responsabilité pour l’une ou l’autre des parties (mais sans préjudice des frais engagés avant la résiliation).

7.d Si la loi ou les Clauses Contractuelles Types l’exigent, Botpress fera des efforts raisonnables pour mettre à disposition du Client les informations nécessaires concernant ses accords avec les sous-traitants. Le Client accepte que certaines informations puissent être caviardées ou communiquées de manière confidentielle.

8. Transfert de Données à caractère personnel

8.a Le traitement des Données à caractère personnel autres que les Données européennes par les entités du groupe Botpress aura lieu dans toute juridiction où ce traitement est autorisé par les lois applicables de la juridiction de confidentialité.

8.b Le traitement des Données européennes s’effectuera exclusivement :

a) En Europea;

b) dans une juridiction offrant un niveau de protection adéquat selon une décision de la Commission européenne fondée sur les lois applicables en matière de protection des donnéesa;

c) dans toute juridiction, par une organisation ou entité offrant des garanties appropriées, notamment via les Clauses Contractuelles Typesa;

d) dans toute juridiction, avec le consentement écrit du Client ou de la personne concernéea;

8.c Lorsque le traitement de Données européennes a lieu dans un pays tiers, les parties sont réputées avoir conclu les Clauses Contractuelles Types uniquement pour les Données à caractère personnel et le traitement concernés. Les parties conviennent que, pour les besoins des Clauses Contractuelles Types :

a) Si le Client est un Responsable de traitement et Botpress un Sous-traitant, le Module 2 (Responsable à Sous-traitant) s’appliquera.

b) Si le Client est un Sous-traitant et Botpress un sous-traitant ultérieur, le Module 3 (Sous-traitant à Sous-traitant) s’appliquera.

c) Concernant les Données d’utilisation, le Module 1 (Responsable à Responsable) s’appliquera.

d) À la clause 7 des Clauses Contractuelles Types, la clause d’adhésion optionnelle ne s’appliquera pas ;

e) À la clause 9 des Clauses Contractuelles Types, l’option 2 s’appliquera et le délai de préavis écrit pour les changements de sous-traitant sera de 10 jours ;

f) À la clause 11 des Clauses Contractuelles Types, la formulation optionnelle ne s’appliquera pas ;

g) À la clause 17 (option 1), les Clauses Contractuelles Types seront régies par le droit irlandais ;

h) À la clause 18(b) des Clauses Contractuelles Types, les litiges seront tranchés par les tribunaux irlandais ;

i) Botpress sera « importateur de données » et le Client sera « exportateur de données » (pour lui-même et ses Affiliés autorisés) ;

j) Les informations pertinentes figurant à l’Annexe 1 et à l’Annexe 2 du présent DPA seront réputées incluses dans les annexes des Clauses Contractuelles Types ;

k) Si et dans la mesure où les Clauses Contractuelles Types sont en conflit avec une disposition du présent DPA, les Clauses Contractuelles Types prévaudront dans la mesure de ce conflit.

8.d Transferts vers la Suisse et le Royaume-Uni. Dans la mesure où un transfert de Données à caractère personnel entre le Client et Botpress et/ou un sous-traitant est soumis aux lois suisses ou britanniques sur la protection des données, les Clauses Contractuelles Types seront réputées modifiées pour refléter les exigences des lois suisses et britanniques applicables, y compris les références à la législation, au droit applicable et aux autorités et juridictions compétentes.

9. Traitement au titre du CCPA

9.a Lors du traitement des Informations personnelles californiennes conformément aux instructions du Client, les parties reconnaissent et conviennent que le Client est une Entreprise et Botpress un Prestataire de services au sens du CCPA. Les parties conviennent que Botpress traitera les Informations personnelles californiennes en tant que Prestataire de services uniquement dans le but d’exécuter les Services logiciels et les Services professionnels prévus au Contrat (la « Finalité commerciale ») ou tel qu’autorisé par le CCPA.

10. Demandes de tiers

10.a Il appartient au Client de traiter toute demande d’une personne concernée ou d’une autorité de contrôle concernant ses Données à caractère personnel, et d’utiliser les fonctionnalités des Services logiciels pour récupérer les informations pertinentes sur le traitement des Données à caractère personnel.

10.b Si le Client n’est pas en mesure de traiter lui-même une demande d’une personne concernée ou d’une autorité de contrôle (« Demande »), Botpress fournira une assistance raisonnable au Client afin de répondre à toute demande relative au traitement des Données à caractère personnel dans le cadre du Contrat. Sauf si la demande résulte d’un manquement de Botpress à ses obligations au titre du présent DPA, le Client remboursera à Botpress les frais raisonnables engagés pour cette assistance.

10.c Si une Demande ou toute autre communication concernant le traitement des Données à caractère personnel dans le cadre du Contrat est adressée directement à Botpress, Botpress en informera rapidement le Client et conseillera à la personne concernée ou à l’autorité de contrôle de soumettre sa Demande directement au Client. Le Client sera seul responsable de répondre de manière substantielle à toute Demande ou communication impliquant des Données à caractère personnel.

11. Audit relatif aux données à caractère personnel

11.a Sur demande et moyennant un préavis raisonnable à Botpress, le Client est autorisé, à ses propres frais, à effectuer les vérifications nécessaires pour s'assurer que les Données personnelles traitées par Botpress pour le compte du Client le sont conformément aux instructions du Client. À la demande du Client, Botpress autorisera l'audit et l'inspection des traitements réalisés par Botpress. Cet audit peut être mené par le Client et/ou un tiers (choisi par le Client et raisonnablement accepté par Botpress) agissant pour le compte du Client. Le Client prendra toutes les mesures nécessaires pour éviter de causer tout dommage ou perturbation aux locaux, équipements, personnel et activités des entités du groupe Botpress.

11.b Le Client et Botpress devront convenir à l'avance de la nature, de la portée et de la durée de tout audit réalisé par le Client, et le Client remboursera à Botpress tous les frais raisonnables liés à cet audit, lesquels pourront être estimés à la demande du Client avant le début de l'audit. Dans la mesure du possible, toute exigence d'audit du Client sera satisfaite par des rapports d'audit tiers fournis par Botpress, si ceux-ci sont disponibles.

11.c Si Botpress traite des Données européennes pour le compte du Client, Botpress fournira au Client, sur demande raisonnable (et de manière confidentielle) (i) un résumé de ses rapports de tests de sécurité et (ii) des réponses écrites à toutes les demandes raisonnables d'information formulées par le Client, nécessaires pour confirmer la conformité de Botpress au présent DPA, à condition que le Client n'exerce pas ce droit plus d'une fois par an, sauf s'il existe des motifs raisonnables de soupçonner une non-conformité de Botpress au DPA.

12. Limitation de responsabilité

12.a La responsabilité de Botpress et de ses Affiliés, prise globalement, résultant de ou liée à ce DPA (et à tout autre DPA entre les parties) ainsi qu'aux Clauses Contractuelles Types (le cas échéant), que ce soit en vertu d'un contrat, d'un délit ou de toute autre théorie de responsabilité, sera limitée au montant total des Frais payés par le Client à Botpress en contrepartie des Services au cours des 12 mois précédant l'événement ayant donné lieu à la responsabilité.

13. Juridiction

Sauf si les lois applicables en matière de protection des données en disposent autrement, ce DPA sera régi et interprété conformément aux lois applicables à l'Accord et tout litige relatif à cet Accord sera soumis aux tribunaux compétents de la juridiction indiquée dans la Proposition.

Dans la mesure où les lois sur la protection des données exigent que ce DPA soit régi par les lois d'un État membre de l'Union européenne, ce DPA sera régi par le droit irlandais et les litiges relatifs à cet Accord seront soumis aux tribunaux irlandais.

14. Dispositions générales

14.a Prévalence. En cas d'incohérence entre une disposition du présent DPA et toute autre disposition de l'Accord, les dispositions du DPA prévaudront toujours, sauf indication expresse qu'une autre disposition de l'Accord prévaut ou qu'une disposition du DPA doit être écartée ou modifiée.

14.b Modifications. Botpress peut modifier ce DPA pour refléter les évolutions de ses pratiques de traitement des données. Toute modification autre que des clarifications de langage (qui seront communiquées régulièrement au Client) sera soumise au Client et ne s'appliquera que si elle est acceptée par le Client. Si une modification de ce DPA est requise par la législation applicable, le Client aura la possibilité d'accepter cette modification ou de résilier son abonnement aux Services logiciels.

14.c  Divisibilité. Si une disposition de ce DPA est jugée invalide ou inapplicable, la validité et l’applicabilité des autres dispositions n’en seront pas affectées.


Annexe 1 – Détails du traitement

Identification du responsable de traitement

Le Client

Personne de contacta: la personne identifie9e dans la Proposition accepte9e par le Client.

Identification du sous-traitant

Si le Client est situé au Canada : Technologies Botpress Inc. Si le Client est situé ailleurs : Botpress, Inc.

Personne de contacta:

Jean-Bernard Perron [email protected]

Catégories de personnes concernées

Le Client peut soumettre des Données personnelles dans le cadre de l'utilisation du Service logiciel, l'étendue de ces données étant déterminée et contrôlée par le Client à sa seule discrétion, sous réserve des conditions d'utilisation applicables, et pouvant inclure, sans s'y limiter, des Données personnelles relatives aux catégories suivantes de personnes concernées :

  • Personnes utilisant le Logiciel pour le compte du Client
  • Utilisateurs finaux des Bots du Client

Catégories de Données personnelles

Le Client peut soumettre des Données personnelles aux Services logiciels et peut permettre aux Utilisateurs finaux de soumettre des Données personnelles aux Services logiciels, l'étendue de ces données étant déterminée et contrôlée par le Client à sa seule discrétion, sous réserve des conditions d'utilisation applicables.

Le Service logiciel n'est pas conçu pour le traitement de données sensibles. Il appartient au Client de déterminer si les Services logiciels sont adaptés au traitement de telles données.

Botpress traitera les informations de contact des Utilisateurs autorisés (nom, e-mail, téléphone) ainsi que des données d'utilisation et comportementales relatives à l'utilisation du produit, à des fins de support technique et de statistiques.

Nature du traitement

  • Stockage et autres traitements nécessaires pour fournir, maintenir et améliorer les Services fournis au Client ;
  • Divulgation conformément à l'Accord (y compris ce DPA) et/ou en vertu des lois applicables ;
  • Botpress traitera les Données personnelles selon ce qui est nécessaire pour fournir les Services conformément à l'Accord, et selon les instructions supplémentaires du Client dans le cadre de son utilisation des Services.
  • Botpress traite les Données d'utilisation pour fournir un support technique et à des fins statistiques (pour l'amélioration et le développement du produit).

Durée de conservation des Données personnelles

Sous réserve de l'obligation de Botpress de supprimer ou de restituer les données au Client, conformément à l'Accord, Botpress traitera les Données personnelles pendant la durée de l'Accord, sauf accord écrit contraire.

Annexe 2 – Mesures de sécurité

1. Gouvernance

Botpress met en œuvre des politiques et procédures appropriées concernant les Données personnelles, notamment :

  • Procédures de sécurité de l'information ;
  • Politiques relatives à l'utilisation des Données personnelles ;
  • Procédure de signalement des incidents de sécurité et de confidentialité ;
  • Mécanismes d'évaluation des risques ;
  • Procédures d'audit interne ;
  • Mesures contractuelles ;

2. Accès utilisateur

  • Les fonctions et responsabilités des utilisateurs de Botpress et des profils utilisateurs ayant accès aux Données personnelles et aux systèmes d'information sont clairement définies.
  • Botpress prend des mesures pour informer ses utilisateurs des règles de sécurité applicables à l'exercice de leurs fonctions et des conséquences en cas de non-respect de ces règles.
  • Les protocoles en clair ne sont pas utilisés pour accéder ou transférer des Données personnelles. Seul le protocole SSL est accepté pour ces opérations.
  • Botpress garantit la sécurité des processus et procédures de gestion ou d'élimination des supports physiques ou équipements susceptibles de contenir des Données personnelles.
  • Les Données personnelles sont physiquement séparées, ou séparées logiquement si elles sont stockées dans une base de données ou un environnement virtuel, des autres données de Botpress. Si les Données personnelles ne sont pas physiquement séparées des autres données, systèmes ou applications non liés au Client, Botpress applique des mesures de sécurité appropriées, notamment des contrôles d'accès.

3. Contrôle d'accès

Botpress conserve les serveurs, bases de données concernées et autres composants matériels et/ou logiciels stockant des Données personnelles dans un centre de données sécurisé, avec un accès contrôlé et surveillé pour n'admettre que le personnel autorisé.

Botpress applique des mesures efficaces de contrôle d'accès logique sur tous les systèmes utilisés pour créer, transmettre ou traiter des Données personnelles, notamment :

  • Authentification de l'utilisateur, qui doit utiliser des identifiants uniques (« ID utilisateur ») et des noms.
  • Une politique de mot de passe suffisamment complexe et robuste.
  • Les droits/privilèges d'accès des utilisateurs aux ressources d'information contenant des Données personnelles doivent être accordés selon le principe du besoin d'en connaître, en fonction des missions et responsabilités de l'utilisateur.
  • L'accès des utilisateurs aux systèmes informatiques permettant d'accéder aux Données personnelles doit être supprimé immédiatement lors du départ de l'utilisateur ou si celui-ci change de poste et que le nouvel emploi ne nécessite pas cet accès.
  • Les mots de passe par défaut et les paramètres de sécurité doivent être modifiés dans les produits/applications tiers utilisés pour traiter les Données personnelles.
  • Les prestataires de services tiers doivent être soumis à des exigences et obligations de sécurité équivalentes à celles des utilisateurs autorisés de Botpress lors du traitement des Données personnelles.
  • Revalidation annuelle de la justification des comptes utilisateurs et des autorisations associées ayant accès aux informations personnelles.

4. Architecture de sécurité réseau

Botpress applique des mesures efficaces de contrôle d'accès réseau sur tous les systèmes utilisés pour créer, transmettre ou traiter des Données personnelles, comprenant notamment :

  • Des pare-feu sont opérationnels en permanence et installés à la frontière du réseau, entre le réseau interne (privé) de Botpress et le réseau public (Internet).
  • Des systèmes de détection et de prévention d'intrusion, correctement configurés et surveillés, sont utilisés sur le réseau Botpress.
  • Seuls les services/processus et ports nécessaires à l'exécution des programmes courants sont activés sur les bases de données et autres systèmes d'information utilisés pour traiter les Données Personnelles. Tous les autres services/processus sur l'hôte sont désactivés.
  • Tous les systèmes d'information, dépôts et autres systèmes utilisés pour traiter des Données Personnelles doivent être physiquement situés dans un centre de données sécurisé et utilisés dans le but de protéger les systèmes d'information.
  • Des canaux sécurisés (par exemple, TLS, SFTP, SSH, IPSEC, etc.) doivent être utilisés de manière systématique pour les communications avec le centre de données Botpress.

5. Contrôles de gestion des vulnérabilités

Botpress applique des contrôles efficaces de gestion des vulnérabilités sur tous les systèmes utilisés pour créer, transmettre ou traiter des Données Personnelles, comprenant notamment :

  • Déploiement de dispositifs de prévention et de détection réseau pour filtrer les courriels de phishing et les logiciels malveillants avant qu'ils n'atteignent les postes de travail gérés par Botpress et ayant un accès direct ou indirect aux Données Personnelles.
  • Déploiement de logiciels de prévention et de détection antivirus et antimalware sur tous les postes de travail gérés par Botpress et traitant des Données Personnelles.
  • Maintenir un processus et une pratique standard de gestion des correctifs afin d'assurer la protection de tous les appareils utilisés pour accéder, traiter ou stocker des Données Personnelles.
  • Les appareils et documents contenant des Données Personnelles doivent permettre l'identification des informations consultées, être inventoriés et accessibles uniquement aux utilisateurs autorisés conformément au document de sécurité.
  • Mise en place de mesures pour prévenir le vol, la perte ou l'accès non autorisé aux Données Personnelles lors des opérations de transmission et de transfert.

6. Sauvegarde, récupération et disponibilité des données

Botpress met en œuvre les plans suivants de reprise après sinistre et de continuité d'activité afin de minimiser le temps d'arrêt maximal et la perte de données.

  • Botpress met en place des fonctions de reprise après sinistre visant à restaurer la fonctionnalité du système contenant des Données Personnelles dans un délai convenu entre les parties ou, à défaut, dans un délai raisonnable compte tenu de la nature des Données Personnelles.
  • Botpress veille systématiquement à ce que les Données Personnelles ne soient accessibles que par le personnel autorisé de Botpress (par exemple, les sauvegardes externes sont systématiquement chiffrées).
  • Pour réduire les risques liés aux menaces environnementales, aux dangers et aux possibilités d'accès non autorisé, les équipements doivent être situés à l'écart des zones à forte probabilité de risques environnementaux et complétés par des équipements redondants situés à une distance raisonnable.
  • Des mécanismes de sécurité et des redondances doivent être mis en place pour protéger les équipements contre les interruptions de services publics (par exemple, pannes de courant, coupures réseau, etc.).
  • Des politiques et procédures de conservation et de stockage des données doivent être établies et des mécanismes de sauvegarde ou de redondance mis en œuvre afin de garantir la conformité aux exigences réglementaires, légales, contractuelles ou commerciales. Les tests de restauration des sauvegardes sur disque ou sur bande doivent être réalisés à intervalles planifiés.

7. Audit de sécurité

Botpress applique des contrôles sur tous les systèmes utilisés pour créer, transmettre ou traiter des Données Personnelles, ces contrôles comprenant notamment :

  • Analyses de vulnérabilité ou audits réalisés par des tiers sur les dispositifs d'infrastructure exposés au public contenant des Données Personnelles.
  • Tests d'intrusion réalisés par des tiers sur les systèmes Botpress qui stockent et traitent des Données Personnelles.
  • Évaluations périodiques par des tiers lorsque des applications ou processus traitent des informations financières.
  • Botpress s'engage à traiter toutes les vulnérabilités identifiées lors des tests d'intrusion et à informer le Client des actions correctives.

8. Formation et sensibilisation

Botpress met en place un programme de sensibilisation à la sécurité pour ses employés et prestataires qui interagissent avec les systèmes traitant des Données personnelles, comprenant :

  • Botpress veille à ce que son personnel comprenne les menaces et enjeux liés à la gestion des risques d'information concernant les Services Botpress ainsi que les politiques pertinentes de gestion des risques d'information.
  • Le personnel de Botpress reçoit une formation et des mises à jour régulières sur les politiques et procédures pertinentes de gestion des risques d'information, selon un schéma de classification standard et les procédures appropriées.
  • Le personnel des sous-traitants est informé du schéma de classification des risques d'information de Botpress et des procédures appropriées.
  • Des politiques et procédures doivent être établies pour éliminer les documents visibles contenant des données sensibles lorsqu'un espace de travail est inoccupé et pour imposer la déconnexion des sessions de travail après une période d'inactivité.

Annexe 3 – Sous-traitants

Botpress tient à jour une liste des Sous-traitants sur son Trust Center. Sauf indication contraire, toutes les données sont traitées aux États-Unis.

Exécuter l'Accord de Traitement des Données
Tous les systèmes sont opérationnels
SOC 2
Certifié
RGPD
Conforme
© 2025
Hub
Intégrations
Canaux
LLMs
Ressources
Contacter le service commercial
Documentation
Trouver un expert
Vidéos
Témoignages clients
Référence API
Blog
Statut
Ressources v12
Rejoignez la plus grande communauté de créateurs de bots.
Partenaires et affiliés
Discord
Entreprise
À propos
Carrières
Mentions légales
Confidentialité