Accord de sous-traitance RGPD (DPA)

Préambule

Le présent Accord de sous-traitance (« DPA » — Data Processing Agreement) constitue l'annexe contractuelle requise par l'article 28 du Règlement (UE) 2016/679 du 27 avril 2016 (« RGPD »). Il encadre les traitements de données à caractère personnel réalisés par Axelo pour le compte d'un Client professionnel (B2B) dans le cadre des Services contractés.

Le DPA complète les CGV, les CGA SaaS et la Politique de Confidentialité. En cas de contradiction sur les questions de protection des données, le DPA prévaut.

Article 1 — Parties et qualification

Responsable de traitement — le Client, personne morale ou physique professionnelle ayant souscrit aux Services Axelo, qui détermine les finalités et les moyens du traitement des données personnelles de ses propres utilisateurs, clients, salariés ou contacts.

Sous-traitant — Axel REGNOULT, exerçant sous le nom commercial Axelo (SIRET 895 214 989 00017 — 128 rue de la Boétie, 75008 Paris, France — legal@web-agency.app), qui traite les données personnelles pour le compte du Responsable de traitement et exclusivement selon les instructions de ce dernier.

Article 2 — Objet, nature et durée du traitement

• Objet : fourniture des Services Axelo (création, hébergement, maintenance de sites internet, SaaS, prestations de développement, support technique) impliquant le traitement de données personnelles dont le Client est Responsable.
• Nature : opérations de collecte, enregistrement, organisation, structuration, conservation, consultation, modification, extraction, suppression, sauvegarde et destruction des données, ainsi que toute opération technique nécessaire à la fourniture des Services.
• Finalité : exécution du contrat principal et fourniture des Services au Responsable de traitement.
• Durée : pendant toute la durée du contrat principal et jusqu'au traitement des données conformément à l'article 11 du présent DPA.

Article 3 — Catégories de données et de personnes concernées

Les catégories de données traitées et de personnes concernées dépendent du paramétrage des Services par le Responsable. À titre indicatif, elles comprennent :

• Personnes concernées : utilisateurs, clients, prospects, salariés, contacts professionnels du Responsable de traitement.
• Catégories de données : identité (nom, prénom), coordonnées (email, téléphone, adresse postale), données de connexion (logs, adresse IP), données transactionnelles, données de navigation, contenus saisis dans les formulaires, métadonnées techniques.
• Catégories particulières : aucune donnée sensible au sens de l'article 9 du RGPD n'est traitée sauf instruction écrite expresse et préalable du Responsable, accompagnée d'une analyse d'impact (AIPD).

Article 4 — Instructions documentées du Responsable

Le Sous-traitant traite les données personnelles uniquement sur instruction documentée du Responsable (art. 28.3.a RGPD), y compris en ce qui concerne les transferts vers un pays tiers ou une organisation internationale.

Les instructions initiales du Responsable sont matérialisées par le contrat principal, les CGV, les CGA SaaS et le paramétrage choisi des Services. Toute instruction complémentaire est adressée par écrit à legal@web-agency.app.

Le Sous-traitant informe immédiatement le Responsable si, selon lui, une instruction constitue une violation du RGPD ou d'autres dispositions du droit de l'Union ou des États membres en matière de protection des données.

Article 5 — Confidentialité du personnel

Le Sous-traitant garantit que les personnes autorisées à traiter les données personnelles sont tenues à une obligation de confidentialité, contractuelle ou statutaire (art. 28.3.b RGPD), et qu'elles ont reçu la formation nécessaire en matière de protection des données.

Article 6 — Mesures techniques et organisationnelles

Conformément à l'article 32 du RGPD, le Sous-traitant met en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, notamment :

• Chiffrement : TLS 1.2+ en transit (HTTPS), AES-256 ou équivalent au repos pour les données stockées sur Google Cloud Platform (Firestore, Cloud Storage) ;
• Isolation : cloisonnement logique des données entre Clients, contrôles d'accès basés sur les rôles (RBAC), authentification forte (2FA) pour les comptes administrateurs ;
• Journalisation : traces d'accès et d'opérations conservées au minimum six (6) mois pour permettre la détection d'incidents et l'audit ;
• Sauvegardes : sauvegardes chiffrées quotidiennes avec rétention de trente (30) jours, restauration testée périodiquement ;
• Mises à jour : application régulière des correctifs de sécurité sur l'ensemble des composants logiciels ;
• Résilience : infrastructure Google Cloud europe-west4 redondée multi-zones (cf. PCA).

Article 7 — Sous-traitants ultérieurs

Le Responsable autorise, par les présentes, le Sous-traitant à recourir à des sous-traitants ultérieurs pour l'exécution des Services. Il s'agit d'une autorisation générale écrite au sens de l'art. 28.2 du RGPD.

À la date des présentes, les principaux sous-traitants ultérieurs sont :

• Google Ireland Limited / Google Cloud EMEA Limited (Dublin, Irlande) — hébergement, calcul, base de données, stockage (région europe-west4, Pays-Bas) ;
• Cloudflare, Inc. (San Francisco, USA — entité EU : Cloudflare Germany GmbH) — CDN, protection DDoS, DNS managé ;
• Stripe Payments Europe, Ltd. (Dublin, Irlande) — traitement des paiements par carte bancaire ;
• Resend, Inc. ou prestataire équivalent — envoi de courriers électroniques transactionnels (région UE).

Le Sous-traitant informe le Responsable de tout projet d'ajout ou de remplacement d'un sous-traitant ultérieur par notification écrite au moins trente (30) jours avant la date d'effet. Le Responsable dispose de ce délai pour formuler une objection motivée. À défaut d'objection dans le délai, l'ajout est réputé accepté. En cas d'objection persistante, le Responsable peut résilier le contrat principal sans pénalité dans les conditions prévues par les CGV.

Le Sous-traitant impose à chaque sous-traitant ultérieur, par contrat, des obligations de protection des données équivalentes à celles du présent DPA. Il demeure pleinement responsable de l'exécution par le sous-traitant ultérieur de ses obligations.

Article 8 — Droits des personnes concernées

Le Sous-traitant assiste le Responsable, par des mesures techniques et organisationnelles appropriées, dans la mesure du possible, pour permettre au Responsable de répondre aux demandes d'exercice des droits des personnes concernées (accès, rectification, effacement, limitation, portabilité, opposition, retrait du consentement).

Lorsqu'une demande est adressée directement au Sous-traitant, celui-ci la transmet sans délai au Responsable et n'y répond pas sans instruction écrite de ce dernier.

Article 9 — Notification d'incident

Conformément à l'article 33.2 du RGPD, le Sous-traitant notifie au Responsable toute violation de données à caractère personnel dans les meilleurs délais, et au plus tard soixante-douze (72) heures après en avoir pris connaissance.

La notification est adressée par courrier électronique à l'adresse de contact renseignée par le Responsable et précise, dans la mesure du possible :

• la nature de la violation et les catégories et nombre approximatif de personnes et d'enregistrements concernés ;
• les conséquences probables de la violation ;
• les mesures prises ou envisagées pour y remédier, y compris pour en atténuer les éventuels effets négatifs ;
• les coordonnées du point de contact pour obtenir plus d'informations.

Article 10 — Audit

Le Sous-traitant met à la disposition du Responsable toutes les informations nécessaires pour démontrer le respect des obligations de l'article 28 du RGPD et permettre la réalisation d'audits, y compris des inspections, par le Responsable ou par un auditeur tiers indépendant qu'il aura mandaté.

Les audits sont organisés à la demande écrite du Responsable, avec un préavis raisonnable d'au moins trente (30) jours, dans les locaux ou par voie documentaire, et dans la limite d'un (1) audit par an sauf incident avéré. Les frais d'audit sont à la charge du Responsable, sauf si l'audit révèle un manquement substantiel du Sous-traitant à ses obligations.

L'auditeur tiers signe préalablement un engagement de confidentialité. L'audit ne peut porter atteinte à la confidentialité des données des autres clients du Sous-traitant.

Article 11 — Sort des données en fin de contrat

À l'issue de la prestation, et au choix du Responsable formulé par écrit dans un délai de trente (30) jours à compter de la fin du contrat, le Sous-traitant :

• restitue au Responsable l'ensemble des données personnelles dans un format ouvert et exploitable ; ou
• supprime de manière irréversible l'ensemble des données personnelles et des copies existantes.

À défaut d'instruction écrite du Responsable dans le délai imparti, le Sous-traitant procède à la suppression irréversible. Les sauvegardes sont écrasées par rotation selon le cycle défini dans la PCA.

Le Sous-traitant peut conserver certaines données strictement nécessaires au respect d'une obligation légale (comptabilité, lutte contre le blanchiment, etc.), pour la durée prévue par la loi.

Article 12 — Registre des activités (RGPD art. 30)

Le Sous-traitant tient un registre des activités de traitement réalisées pour le compte du Responsable, conforme à l'article 30.2 du RGPD. Ce registre est mis à disposition du Responsable et de l'autorité de contrôle (CNIL) à leur demande écrite.

Article 13 — Transferts hors UE

Les traitements principaux sont réalisés au sein de l'Espace économique européen (région Google Cloud europe-west4, Pays-Bas).

Les éventuels transferts vers les États-Unis (Cloudflare, support technique Google, etc.) sont encadrés par le Data Privacy Framework (DPF) UE — États-Unis adopté en juillet 2023, complété par les Clauses Contractuelles Types (CCT) de la Commission européenne du 4 juin 2021 lorsque le sous-traitant ultérieur n'est pas certifié DPF.

Article 14 — Droit applicable et juridiction

Le présent DPA est régi par le droit français et par le RGPD. Tout litige relatif à son interprétation ou à son exécution relève de la compétence exclusive du Tribunal de commerce de Paris, nonobstant pluralité de défendeurs ou appel en garantie.

Les personnes concernées disposent du droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL).