demi
+49 176 4294 8750

Mesures Techniques et Organisationnelles (MTO)

demi Technologies GmbH | Annexe au contrat de co-développement | En date du : 3 mai 2026

1. Activités de traitement

Activité de traitementFinalité
Exploitation de la plateforme & haute disponibilité
  • - Hébergement & stockage (BDD, fichiers, sauvegardes)
  • - Exécution de la logique applicative/backend (incl. inférence IA, requêtes API)
  • - Intégrations e-mail, calendrier & autres API
  • - Services de messagerie transactionnelle (e-mails système, webhooks, notifications push)
  • - Réplication des données & basculement régional
Garantir la fonctionnalité, la performance, la haute disponibilité et le débogage de la plateforme
Sécurité, authentification & conformité
  • - Authentification utilisateur / SSO / gestion des jetons
  • - Journalisation & monitoring (logs, métriques)
  • - Chiffrement & gestion des clés (KMS, TLS, rotation des clés)
  • - Analyse de contenu/malwares, journaux d'abus/limitation de débit
  • - Gestion du consentement et des préférences e-mail
Contrôle d'accès, sécurité informatique, prévention des fraudes, preuve des mesures techniques/organisationnelles & conformité marketing
Support & droits des personnes concernées
  • - Système de support/tickets
  • - Journalisation des workflows DSAR
  • - Export de données & mise à disposition via API (JSON/CSV, webhooks)
Résolution de problèmes, support utilisateur, portabilité des données, exécution/documentation des droits des personnes concernées (Art. 15–20 RGPD)
Facturation & exécution du contrat
  • - Agrégation des données de facturation & d'utilisation (mesurage API, compteurs de sessions)
  • - Gestion des licences & des rôles
Facturation à la consommation, pistes d'audit, exécution du contrat
Développement produit & analytique
  • - Analyse des usages & de la télémétrie (agrégés/anonymisés)
  • - Tests d'utilisabilité, benchmarking, entraînement de modèles IA
Amélioration du produit, planification des capacités, assurance qualité
Réponse aux incidents & preuve juridique
  • - Instantanés d'incident/forensiques, copies de journaux
  • - Sauvegardes chiffrées passivement
Investigation des incidents de sécurité, défense juridique, établissement de preuves (Art. 33/34 RGPD)
Hébergement & stockage de bases de données, fichiers et sauvegardesExploitation des services de la plateforme, sécurité des données, débogage
Fonctions de recherche & d'analyse (Customer Search, Channel Search)
  • - Interrogation de sources publiques
  • - Agrégation et préparation assistées par IA
  • - Stockage temporaire au sein de l'instance de la plateforme
Recherche de marché et d'entreprise ; soutien des activités commerciales du partenaire de co-développement
Enrichissement des données
  • - Transmission aux services tiers spécialisés (sous-traitants ultérieurs) des données de contact et d'entreprise téléchargées par le partenaire de co-développement
  • - Compléments de coordonnées, d'intitulés de poste, d'appartenance à une entreprise et de résultats de validation
  • - Retour des données enrichies dans l'instance de la plateforme
Qualification et enrichissement des contacts professionnels ; soutien des activités de vente et de marketing du partenaire de co-développement ; validation des e-mails pour éviter les échecs de livraison

2. Mesures MTO conformément à l'Art. 32 RGPD

Catégorie de mesureDescription
Contrôle d'accès physiqueMesures visant à empêcher l'accès physique non autorisé aux installations de traitement des données (centres de données, salles serveurs)
Contrôle d'accès aux systèmesMesures visant à empêcher l'utilisation non autorisée des systèmes de traitement des données (authentification, politiques de mots de passe, MFA, SSO)
Contrôle d'accès aux donnéesMesures garantissant que les personnes autorisées ne peuvent accéder qu'aux données qui leur sont attribuées (RBAC, moindre privilège, journaux d'audit)
Contrôle des transfertsMesures visant à empêcher la lecture, la copie, la modification ou la suppression non autorisées lors de la transmission électronique (TLS 1.2+, VPN, chiffrement)
Contrôle des saisiesMesures garantissant la traçabilité de qui a saisi, modifié ou supprimé quelles données et quand (pistes d'audit, versionnage)
Contrôle des missionsMesures garantissant que les données personnelles ne sont traitées que conformément aux instructions du responsable du traitement (DPA, contrôle des sous-traitants ultérieurs)
Contrôle de disponibilitéMesures protégeant les données personnelles contre la destruction ou la perte (sauvegardes, redondance, reprise après sinistre, basculement régional)
SéparabilitéMesures pour le traitement séparé des données collectées à des fins différentes (séparation des locataires, séparation logique des données par locataire)
PseudonymisationDans la mesure du possible : traitement des données personnelles de manière à ce qu'elles ne puissent plus être attribuées à une personne spécifique sans recours à des informations supplémentaires
ChiffrementChiffrement des données personnelles au repos (AES-256) et en transit (TLS 1.2+) ; gestion des clés via KMS
Résilience des systèmesLa capacité des systèmes à rétablir rapidement la disponibilité des données personnelles et l'accès à celles-ci en cas d'incident technique
Révision régulièreProcédures d'examen, d'évaluation et de vérification réguliers de l'efficacité des mesures techniques et organisationnelles (tests de pénétration, audits de sécurité)