Accord de traitement des données (DPA)

01Définitions

Les termes « données à caractère personnel », « traitement », « responsable de traitement », « sous-traitant », « personne concernée » et « violation de données » ont le sens qui leur est donné par le RGPD. Les termes en majuscule non définis ici renvoient aux définitions des CGV.

02Objet et répartition des rôles

Le présent DPA régit les traitements effectués par le Sous-traitant pour le compte du Responsable de traitement dans le cadre de la fourniture du Service Ma Belle Note.

Les parties conviennent de la répartition suivante :

• Le Client est Responsable de traitement des données relatives aux avis clients qu'il agrège via le Service, aux messages issus de ses formulaires privés et à toute donnée de ses clients finaux qu'il injecte dans le Service.
• Le Sous-traitant est Sous-traitant au sens de l'article 28 du RGPD pour l'ensemble de ces données.
• Le Sous-traitant reste Responsable de traitement autonome pour les données relatives à la gestion du compte du Client, à la facturation, à la sécurité et à la performance du Service (cf. Politique de confidentialité).

03Description du traitement (Annexe 1)

04Obligations du Sous-traitant

Le Sous-traitant s'engage à :

• traiter les données uniquement sur instruction documentée du Responsable de traitement, instructions réputées données par la configuration du Compte et par l'utilisation du Service conforme aux CGV ;
• garantir la confidentialité des données et veiller à ce que les personnes autorisées à les traiter soient soumises à une obligation de confidentialité appropriée ;
• mettre en œuvre les mesures de sécurité techniques et organisationnelles décrites en Annexe 2 ;
• ne recourir à un sous-traitant ultérieur qu'avec l'accord général écrit du Responsable de traitement, dans les conditions décrites ci-après ;
• assister le Responsable de traitement dans la réponse aux demandes d'exercice de droits des personnes concernées ;
• assister le Responsable de traitement dans la conduite d'analyses d'impact relatives à la protection des données (DPIA) et de consultations préalables auprès d'une autorité de contrôle, lorsque la fourniture du Service le justifie ;
• à la fin du traitement, selon le choix du Responsable de traitement, supprimer ou restituer les données, sauf obligation légale de conservation ;
• mettre à disposition toutes les informations nécessaires pour démontrer le respect des obligations du présent DPA et permettre la réalisation d'audits.

05Mesures de sécurité (Annexe 2)

Le Sous-traitant met en œuvre les mesures suivantes, revues périodiquement :

• Chiffrement : TLS 1.2+ en transit, AES-256 au repos sur les bases de données et les sauvegardes, hachage des mots de passe (bcrypt/Argon2).
• Contrôle d'accès : authentification forte des membres de l'équipe, principe du moindre privilège, revue trimestrielle des droits, journalisation des accès aux données clients.
• Cloisonnement : isolation logique entre environnements (développement, préproduction, production) ; cloisonnement par tenant des données clients.
• Sauvegardes : sauvegardes quotidiennes chiffrées, conservées 30 jours, testées périodiquement par exercices de restauration.
• Supervision et détection : supervision 24/7 des composants critiques, alertes automatisées sur anomalies, conservation des logs de sécurité pendant 12 mois.
• Plan de continuité et reprise : RPO cible ≤ 24 heures, RTO cible ≤ 4 heures pour les composants critiques.
• Développement sécurisé : revue de code obligatoire, analyse statique et dynamique, gestion des dépendances, tests d'intrusion annuels.
• Sensibilisation : formation annuelle du personnel à la protection des données et à la sécurité de l'information.

06Sous-traitants ultérieurs (Annexe 3)

Le Responsable de traitement autorise, par le présent DPA, le recours aux sous-traitants ultérieurs listés ci-dessous, chacun encadré par un contrat imposant des obligations de protection équivalentes.

Le Sous-traitant notifie au Responsable de traitement tout ajout ou remplacement de sous-traitant ultérieur au moins 30 jours avant son entrée en vigueur. Le Responsable de traitement peut, dans ce délai, s'opposer au changement pour un motif légitime et documenté. En cas d'opposition, les parties recherchent de bonne foi une solution. Faute d'accord dans un délai de 15 jours, le Responsable de traitement peut résilier le Service sans pénalité.

07Transferts internationaux

Certains sous-traitants ultérieurs sont établis hors de l'Union européenne. Les transferts qui en découlent sont encadrés par :

• une décision d'adéquation de la Commission européenne lorsqu'elle est applicable (p. ex. EU-US Data Privacy Framework pour les organisations certifiées) ;
• à défaut, les clauses contractuelles types de la Commission européenne (décision 2021/914) dans leur module approprié (responsable-à-sous-traitant ou sous-traitant-à-sous-traitant), signées avec chaque sous-traitant concerné ;
• des mesures supplémentaires techniques et organisationnelles (chiffrement, minimisation, pseudonymisation lorsque possible) ;
• une analyse d'impact des transferts (TIA) documentée pour chaque sous-traitant non couvert par une décision d'adéquation.

Les TIA et CCT sont mises à disposition du Responsable de traitement sur demande motivée.

08Notification de violation de données

En cas de violation de données à caractère personnel dans le périmètre du présent DPA, le Sous-traitant notifie le Responsable de traitement sans retard injustifié, et en tout état de cause dans un délai de 72 heures après en avoir pris connaissance. La notification indique la nature de la violation, les catégories de données et de personnes concernées, les conséquences probables et les mesures prises ou envisagées.

Le Sous-traitant assiste le Responsable de traitement dans les notifications éventuelles à l'autorité de contrôle et aux personnes concernées.

09Droit des personnes concernées

Le Sous-traitant met à disposition du Responsable de traitement, dans le Service, des outils permettant de répondre aux demandes d'accès, de rectification, d'effacement, de limitation, de portabilité et d'opposition formulées par les personnes concernées (ex. : export JSON/CSV, suppression ciblée d'un auteur d'avis, masquage d'un contenu).

Si une personne concernée s'adresse directement au Sous-traitant, ce dernier redirige la demande vers le Responsable de traitement sous 7 jours ouvrés et lui fournit les informations nécessaires au traitement de la demande.

10Audit

Le Responsable de traitement peut, au maximum une fois par an et sous réserve d'un préavis raisonnable (15 jours), demander un audit documentaire de la conformité du Sous-traitant au présent DPA. Un audit sur site peut être organisé en cas d'incident majeur ou d'exigence légale spécifique, aux frais du Responsable de traitement, après signature d'un accord de confidentialité.

À défaut, le Sous-traitant met à disposition les attestations de ses audits externes pertinents (rapports de pentest, certifications en cours, due diligence des sous-traitants ultérieurs).

11Fin du traitement — restitution et suppression

Au terme du Service, quelle qu'en soit la cause, le Sous-traitant met à disposition du Responsable de traitement un export structuré de ses données pendant 30 jours. À l'issue de ce délai, les données sont supprimées des systèmes de production dans un délai maximal de 30 jours supplémentaires, et des sauvegardes dans le cycle de rotation naturel (jusqu'à 30 jours au-delà).

Les obligations légales de conservation (comptabilité, fraude, réquisitions en cours) prévalent sur la suppression.

12Responsabilité et durée

La responsabilité de chaque partie au titre du présent DPA est encadrée par les limitations prévues dans les CGV. Le DPA entre en vigueur à la date de souscription de l'abonnement et demeure applicable pendant toute la durée du traitement, y compris après la fin du Service pour les obligations qui survivent (confidentialité, suppression, notification de violation détectée a posteriori).

Pour toute question relative au DPA, contactez [email protected].