Accord de Traitement des Données.

Ce DPA est conclu entre le Contrôleur (le client professionnel utilisant zlabz.io pour traiter des données relatives à ses propres utilisateurs, employés ou sous-traitants) et zlabz.io, exploité par le propriétaire du domaine zlabz.io, agissant en tant que Processeur. Pour les utilisateurs finaux consommateurs qui s'inscrivent directement sur zlabz.io, nous agissons en tant que Contrôleur — ce DPA ne s'applique pas à cette relation ; notre Politique de Confidentialité s'applique.

L'objet du traitement est les données personnelles que le Contrôleur télécharge, crée ou soumet autrement via le service zlabz.io (par exemple, texte de paragraphe, métadonnées de projet, identifiants d'utilisateur final). Le traitement est limité à ce qui est nécessaire pour fournir, sécuriser et soutenir le service.

• Durée : tant que le Contrôleur a un abonnement actif ou un essai, plus une période raisonnable post-résiliation pour la suppression et la conservation légale.
• Nature : stockage, hébergement, transmission, rendu et récupération des données du Contrôleur au sein de l'application zlabz.io.
• Catégories de sujets de données : les utilisateurs finaux, employés ou sous-traitants du Contrôleur qui interagissent avec le service pour le compte du Contrôleur.
• Catégories de données personnelles : identifiants de compte (email, nom), contenu soumis à l'éditeur, métadonnées d'utilisation — comme documenté dans notre Politique de Confidentialité et liste des sous-traitants.

• Traiter les données personnelles uniquement sur les instructions documentées du Contrôleur (l'utilisation normale du service constitue de telles instructions).
• S'assurer que les personnes autorisées à traiter les données personnelles sont tenues par la confidentialité.
• Mettre en œuvre des mesures de sécurité techniques et organisationnelles appropriées (voir section suivante).
• Aider le Contrôleur à répondre aux demandes des sujets de données et, le cas échéant, aux DPIA et consultations préalables avec les autorités de contrôle.
• Mettre à disposition les informations nécessaires pour démontrer la conformité et permettre des audits raisonnables (généralement via des questionnaires écrits ou des rapports de fournisseurs, compte tenu de la nature de l'infrastructure partagée du service).

• Chiffrement en transit (HTTPS / TLS) sur tous les points d'extrémité.
• Chiffrement au repos via les paramètres par défaut de la base de données Convex.
• Authentification gérée par Clerk — les mots de passe ne sont jamais stockés par zlabz.io.
• Principe du moindre privilège sur le code côté serveur, scoping par utilisateur Convex, et pas de chemins d'accès aux données inter-locataires.
• Les données de paiement sont strictement hors de portée — la gestion des cartes est déléguée à Dodo Payments (PCI DSS Niveau 1).

Le Contrôleur donne une autorisation générale pour l'utilisation des sous-traitants listés sur zlabz.io/subprocessors. Nous donnerons un préavis d'au moins 14 jours pour toute addition ou changement de sous-traitant, pendant lequel le Contrôleur peut s'opposer. Si le Contrôleur s'oppose raisonnablement, les parties discuteront d'un remède ; si aucun n'est trouvé, le Contrôleur peut résilier le service affecté.

Nous fournissons des points d'extrémité en libre-service dans /settings pour que les utilisateurs finaux puissent exporter leurs données (Article 20 du RGPD) et supprimer leurs comptes (Article 17). Pour les demandes initiées par le Contrôleur, nous assisterons dans les capacités techniques du service, et transmettrons toute demande reçue directement par nous au Contrôleur sans retard injustifié.

En cas de violation de données personnelles affectant les données du Contrôleur, nous notifierons le Contrôleur sans retard injustifié et en tout cas dans les 72 heures après en avoir pris connaissance, avec la nature de la violation, les catégories affectées, les conséquences probables et les mesures correctives prises.

Lorsque des données personnelles sont transférées en dehors de l'EEE / Royaume-Uni, nous nous appuyons sur les Clauses Contractuelles Types (CCT) incluses par défaut dans le DPA de chaque fournisseur (voir /subprocessors) et appliquons des mesures supplémentaires si nécessaire. Nous ne transférerons pas de données vers une juridiction ne disposant pas d'une protection adéquate sans un mécanisme de transfert valide.

À la résiliation de l'accord de service principal ou sur demande écrite, nous supprimerons ou retournerons toutes les données personnelles du Contrôleur dans les 30 jours, sauf si la conservation est requise par la loi (par exemple, les registres de facturation pour la conformité fiscale). Le Contrôleur peut déclencher une exportation à tout moment avant la résiliation via /api/user/export ou notre équipe de support pour des ensembles de données plus volumineux.

La responsabilité en vertu de ce DPA est soumise aux limitations et exclusions définies dans les Conditions de Service, sauf lorsque cette limitation n'est pas autorisée par la loi sur la protection des données applicable. Rien ici n'exclut la responsabilité qui ne peut être légalement exclue.

Les avis, demandes des sujets de données, rapports de violation et demandes de signature de DPA peuvent être envoyés via notre canal de support. Nous répondons sous deux jours ouvrés.