Accord de traitement des données (DPA)
Annexe RGPD aux CGV ATICSIS, conforme à l'article 28 du Règlement (UE) 2016/679. Encadre la sous-traitance des données personnelles que le Client confie à ATICSIS.
1. Objet et périmètre
Le présent DPA encadre le traitement par ATICSIS, en qualité de sous-traitant (« le Sous-traitant »), des données à caractère personnel saisies, importées, ou produites par le Client (« le Responsable de traitement ») dans le cadre de l'utilisation de la plateforme.
Sont expressément exclues du présent DPA les données pour lesquelles ATICSIS agit en qualité de responsable de traitement (relation commerciale, facturation, support, sécurité, marketing) et qui sont régies par la Politique de confidentialité.
2. Nature, finalité, durée et catégories
| Élément | Description |
|---|---|
| Nature du traitement | Hébergement, stockage, structuration, indexation, affichage, sauvegarde, restitution, suppression, export des données saisies dans la plateforme. |
| Finalité | Permettre au Client de tenir ses registres réglementaires (DUERP, registre de sécurité, permis de feu, plans de prévention, vérifications périodiques, signatures électroniques, etc.). |
| Durée | Toute la durée du contrat principal, augmentée de la période de restitution / suppression de 90 jours suivant la résiliation. |
| Catégories de personnes concernées | Salariés, prestataires, sous-traitants, intervenants externes, signataires, visiteurs, ou toute personne dont les données sont enregistrées dans les registres tenus par le Client. |
| Catégories de données | Identité, coordonnées professionnelles, fonction, données relatives à la santé au travail (DUERP), formations, habilitations, photographies, signatures électroniques, traces d'audit. Aucune catégorie particulière de données au sens de l'article 9 RGPD ne devrait être traitée, sauf instruction expresse du Client. |
3. Obligations du Sous-traitant
ATICSIS s'engage à :
- Traiter les données uniquement sur instructions documentées du Responsable de traitement, y compris pour les transferts de données, sauf obligation légale ;
- Garantir la confidentialité des données et s'assurer que les personnes autorisées à les traiter sont soumises à une obligation de confidentialité ;
- Mettre en œuvre les mesures techniques et organisationnelles appropriées au sens de l'article 32 du RGPD, décrites à l'article 6 ;
- Aider le Responsable de traitement, dans la mesure du possible et compte tenu de la nature du traitement, à répondre aux demandes d'exercice de droits des personnes concernées, ainsi qu'à respecter ses obligations relatives à la sécurité, aux notifications de violation et aux analyses d'impact ;
- Notifier au Responsable de traitement toute violation de données dans un délai maximal de 72 heures après en avoir pris connaissance ;
- Mettre à disposition du Responsable de traitement toute information nécessaire à démontrer le respect des obligations définies au présent DPA, et permettre la réalisation d'audits dans les conditions prévues à l'article 8 ;
- À la fin du contrat, restituer les données au Responsable de traitement et les supprimer des systèmes du Sous-traitant, sauf obligation légale de conservation.
4. Obligations du Responsable de traitement
Le Client, en tant que responsable de traitement, s'engage à :
- Ne saisir, importer ou produire dans la plateforme que des données licites, pertinentes et nécessaires aux finalités poursuivies, en respectant le principe de minimisation ;
- Disposer d'une base légale appropriée pour chaque traitement, et le cas échéant recueillir le consentement requis ;
- Respecter ses obligations d'information vis-à-vis des personnes concernées, en leur communiquant les mentions requises par les articles 13 et 14 du RGPD (y compris l'identité du sous-traitant ATICSIS) ;
- Donner au Sous-traitant des instructions licites, claires et documentées ;
- Ne pas confier au Sous-traitant des catégories particulières de données au sens de l'article 9 du RGPD sans information écrite préalable ;
- Tenir un registre de ses traitements (article 30 RGPD) ;
- Notifier le cas échéant la CNIL et les personnes concernées en cas de violation, le Sous-traitant l'assistant dans cette démarche.
5. Sous-traitance ultérieure
Le Client autorise ATICSIS, par les présentes, à recourir aux sous-traitants ultérieurs (sub-processors) suivants pour la fourniture du Service :
| Sous-traitant | Finalité | Localisation |
|---|---|---|
| IONOS SE | Hébergement et sauvegarde | France |
| Stripe Payments Europe Ltd | Traitement des paiements | UE / USA (CCT) |
| PayPal (Europe) S.à.r.l. | Traitement des paiements (à venir) | UE |
| Yousign / Universign / Certigna | Signature électronique avancée/qualifiée | France / UE |
| Brevo | Envoi de courriels transactionnels | France |
ATICSIS notifie au Client tout changement substantiel (ajout, remplacement) de sous-traitant ultérieur avec un préavis minimum de 30 jours. Le Client peut s'opposer de manière motivée dans ce délai. En cas d'opposition non résolue, le Client peut résilier le contrat sans pénalité.
ATICSIS impose contractuellement à chacun de ses sous-traitants ultérieurs des obligations de protection des données au moins équivalentes à celles définies au présent DPA.
6. Mesures techniques et organisationnelles (TOMs)
ATICSIS met en œuvre les mesures suivantes, conformément à l'article 32 du RGPD :
6.1 Mesures techniques
- Chiffrement des flux : TLS 1.2 minimum, TLS 1.3 par défaut ;
- Chiffrement au repos : AES-256 sur les données sensibles ;
- Hashage robuste des mots de passe (bcrypt / argon2) ;
- Architecture multi-tenant avec isolation logique stricte par identifiant client ;
- Sauvegardes automatiques quotidiennes, conservées 30 jours, en France ;
- Pare-feu applicatif (WAF) et protection anti-DDoS de l'hébergeur ;
- Mises à jour de sécurité régulières ;
- Anti-malware et surveillance des systèmes.
6.2 Mesures organisationnelles
- Politique de gestion des accès fondée sur le principe du moindre privilège ;
- Engagement de confidentialité signé par chaque collaborateur ;
- Formation régulière des équipes à la sécurité et au RGPD ;
- Procédure interne de gestion des incidents et violations ;
- Plan de continuité et de reprise d'activité (PCA / PRA) ;
- Journalisation des accès aux données sensibles, audit-trail horodaté ;
- Vérifications régulières de l'application des mesures.
7. Notification de violation
En cas de violation de données à caractère personnel, ATICSIS notifie au Responsable de traitement, dans les 72 heures suivant la prise de connaissance de la violation, les informations nécessaires à la satisfaction de ses obligations (articles 33 et 34 RGPD) :
- Description de la nature de la violation ;
- Catégories et nombre approximatif de personnes concernées ;
- Catégories et nombre approximatif d'enregistrements concernés ;
- Description des conséquences probables ;
- Description des mesures prises ou envisagées pour y remédier et en atténuer les effets ;
- Coordonnées du point de contact auprès duquel obtenir plus d'informations.
La notification se fait à l'adresse de contact privacy désignée par le Client, ou à défaut à l'adresse de l'administrateur principal du compte.
8. Audit
Le Client peut, à ses frais et sous réserve d'un préavis raisonnable d'au moins 30 jours, demander une fois par année civile la réalisation d'un audit destiné à vérifier le respect par ATICSIS de ses obligations au titre du présent DPA. L'audit peut prendre la forme :
- De la communication par ATICSIS des rapports d'audit, certifications et attestations dont elle dispose (priorisé) ;
- D'un questionnaire écrit préalablement validé ;
- À défaut, d'un audit sur site réalisé par le Client ou un tiers indépendant lié par un accord de confidentialité, dans des conditions ne perturbant pas l'activité d'ATICSIS et n'exposant pas les données d'autres clients.
Les conclusions de l'audit sont confidentielles. Les frais de l'audit sont à la charge exclusive du Client, sauf en cas de manquements graves avérés de la part d'ATICSIS.
9. Assistance aux droits des personnes
ATICSIS met à disposition du Responsable de traitement, dans le cadre du Service, des fonctionnalités permettant l'exercice des droits des personnes concernées (accès, rectification, effacement, portabilité). Pour les demandes complexes ou non couvertes par les outils standards, ATICSIS apporte son assistance dans des délais raisonnables et facture à son tarif horaire les prestations excédant le périmètre standard.
10. Transferts de données hors UE
Aucun transfert de données hors de l'Union européenne n'est réalisé par défaut, l'hébergement étant assuré en France. Lorsqu'un transfert intervient via un sous-traitant ultérieur (par exemple Stripe pour les paiements), il est encadré par les Clauses Contractuelles Types (CCT) adoptées par la Commission européenne dans sa décision 2021/914, complétées le cas échéant par des mesures supplémentaires (chiffrement, pseudonymisation, évaluations d'impact des transferts).
11. Sort des données à la fin du contrat
À la fin de la prestation de services, ATICSIS, au choix du Responsable de traitement :
- Renvoie au Responsable les données au format export (le Client peut à tout moment exporter ses données pendant la période de restitution de 90 jours suivant la résiliation) ;
- Détruit les données à l'issue de cette période de 90 jours, ou plus tôt sur demande expresse, et détruit les copies existantes (sauf obligation légale de conservation, notamment factures et données comptables conservées 10 ans).
ATICSIS atteste sur demande de la suppression effective.
12. Responsabilité
La responsabilité respective des Parties au titre du présent DPA est limitée dans les conditions prévues à l'article 17 des CGV, sauf en cas de manquement aux obligations impératives du RGPD. Chaque Partie supporte les amendes administratives qui lui sont personnellement imposées par les autorités de contrôle.
13. Articulation avec les CGV
Le présent DPA prévaut sur toute disposition contraire des CGV s'agissant exclusivement du traitement des données à caractère personnel pour le compte du Client. Pour toute autre matière, les CGV s'appliquent.
14. Contact privacy
Pour toute question relative au présent DPA : privacy@aticsis.fr