Annexe de sous-traitance RGPD

La présente annexe encadre les traitements de données personnelles réalisés par KORE pour le compte de l'utilisateur lorsque celui-ci utilise le service pour gérer ses propres clients, prospects, projets, devis, factures, fichiers, messages ou documents.

L'utilisateur agit comme responsable de traitement pour les données personnelles de ses clients, prospects et contacts.

KORE agit comme sous-traitant au sens de l'article 28 du RGPD pour ces données.

La sous-traitance dure aussi longtemps que l'utilisateur dispose d'un compte KORE actif ou que des données sont conservées pour permettre la reprise, l'export, la sécurité, le support ou le respect d'obligations légales.

KORE traite les données confiées par l'utilisateur afin de :

• héberger les informations dans l'espace de travail ;
• afficher et organiser clients, prospects, projets, devis, factures, fichiers et messages ;
• générer des documents, modèles, devis, factures ou mises en demeure ;
• permettre l'accès au portail client ;
• envoyer certains emails ou notifications ;
• sécuriser le service ;
• assurer le support et l'exploitation technique.

Les données peuvent inclure :

• identité et coordonnées de clients, prospects ou contacts ;
• informations de projet et de mission ;
• devis, factures, montants, statuts et échéances ;
• messages ;
• fichiers partagés ;
• documents générés ;
• logs techniques nécessaires au fonctionnement et à la sécurité.

Les personnes concernées peuvent être :

• clients finaux de l'utilisateur ;
• prospects ;
• contacts professionnels ;
• interlocuteurs comptables ou projet ;
• personnes invitées ou destinataires de documents.

KORE traite les données personnelles uniquement pour fournir le service, selon les paramètres configurés par l'utilisateur et les présentes conditions.

L'utilisateur est responsable de la licéité des données qu'il importe dans KORE et des instructions qu'il donne au service.

KORE limite l'accès aux données aux personnes et prestataires ayant besoin d'y accéder pour fournir, maintenir ou sécuriser le service.

KORE met en œuvre des mesures techniques et organisationnelles raisonnables, notamment :

• authentification utilisateur ;
• isolation logique des données par espace de travail ;
• politiques d'accès et contrôles applicatifs ;
• stockage privé pour les fichiers ;
• liens signés à durée limitée pour certains fichiers ;
• cookies de session HttpOnly ;
• journalisation technique adaptée ;
• restrictions d'accès serveur.

L'utilisateur autorise KORE à utiliser des sous-traitants ultérieurs nécessaires à la fourniture du service, notamment :

• Supabase ;
• Vercel ;
• Resend ;
• Stripe ;
• Upstash ;
• PostHog si activé ;
• Sentry pour le suivi des erreurs techniques.

KORE veille à ce que ces prestataires présentent des garanties adaptées au regard des traitements confiés.

KORE fournit une assistance raisonnable à l'utilisateur pour répondre aux demandes d'exercice de droits reçues de ses clients, prospects ou contacts, dans la mesure où ces demandes concernent des données traitées dans KORE.

En cas de violation de données personnelles affectant les données traitées pour le compte de l'utilisateur, KORE informera l'utilisateur dans les meilleurs délais après en avoir pris connaissance, afin de lui permettre de respecter ses propres obligations.

À la fin de l'accès au service, les données peuvent être conservées pendant une durée opérationnelle de 90 jours afin de permettre la reprise ou l'export.

Au-delà, les données peuvent être supprimées définitivement, sauf obligation légale contraire, demande spécifique ou nécessité de conservation liée à la sécurité ou à un litige.

L'utilisateur peut demander des informations raisonnables sur les mesures de sécurité et de sous-traitance mises en œuvre par KORE.

KORE ne prévoit pas d'audit physique illimité de ses systèmes ou de ceux de ses prestataires.

Pour toute question relative à la présente annexe : contact@kvlup.fr.