Accord de Sous-Traitance (DPA)

Data Processing Agreement — Article 28 RGPD

Entre les soussignés

D'une part,

Et d'autre part,

Ci-après désignés individuellement une « Partie » et collectivement les « Parties ».

Préambule

Le Responsable de traitement utilise la Solution Krible, éditée par le Sous-traitant, dans le cadre de son activité professionnelle. Dans ce cadre, le Sous-traitant traite des données à caractère personnel pour le compte du Responsable de traitement.

Le présent Accord de Sous-Traitance (« DPA ») a pour objet de définir les conditions dans lesquelles le Sous-traitant s'engage à effectuer ces traitements, en conformité avec le Règlement (UE) 2016/679 du 27 avril 2016 (« RGPD ») et la loi n° 78-17 du 6 janvier 1978 modifiée.

Le présent DPA complète les Conditions Générales d'Utilisation et de Services souscrites par le Responsable de traitement. En cas de contradiction entre les deux textes sur les matières relevant du RGPD, le présent DPA prévaut.

Article 1 — Description du traitement

1.1 Nature et finalité

Le Sous-traitant traite les données à caractère personnel aux seules fins de :

• Fournir la Solution Krible et ses fonctionnalités (collecte documentaire, relances, analyse, synchronisation, agenda).
• Permettre au Responsable de traitement d'accomplir son activité professionnelle via la Solution.
• Assurer la sécurité, la maintenance, le support et l'évolution de la Solution.
• Répondre à ses obligations légales.

1.2 Durée

Le présent DPA prend effet à la souscription du Responsable de traitement à la Solution et s'applique pendant toute la durée du contrat, ainsi que pendant les périodes nécessaires à la restitution, à l'archivage ou à la suppression des données.

1.3 Catégories de personnes concernées

• Les personnes physiques dont les données sont renseignées ou traitées par le Responsable de traitement dans la Solution.
• Notamment : les clients finaux du Responsable de traitement (« Emprunteurs »), leurs co-emprunteurs, cautions, conjoints, ou toute autre personne physique dont les données sont nécessaires à la constitution du dossier.

1.4 Catégories de données

• Données d'identification (nom, prénom, date et lieu de naissance, nationalité, pièce d'identité).
• Données de contact (email, téléphone, adresse postale).
• Données de situation personnelle, familiale et matrimoniale.
• Données de situation professionnelle (statut, employeur, revenus).
• Données financières et patrimoniales (revenus, charges, crédits, relevés bancaires, avoirs, patrimoine).
• Données relatives au projet (nature, montant, plan de financement).
• Documents justificatifs associés.

Les traitements peuvent porter sur des données relevant de catégories particulières au sens de l'article 9 du RGPD uniquement si le Responsable de traitement le juge nécessaire et dispose d'une base légale appropriée.

1.5 Instructions

Les instructions du Responsable de traitement figurent dans les Conditions Générales, le présent DPA, la documentation de la Solution et, le cas échéant, les paramétrages choisis dans son espace. Toute instruction particulière complémentaire doit être formulée par écrit.

Article 2 — Obligations du Sous-traitant

2.1 Respect des instructions

Le Sous-traitant traite les données uniquement sur instruction documentée du Responsable de traitement et pour les seules finalités définies à l'article 1.1.

S'il considère qu'une instruction constitue une violation de la réglementation applicable à la protection des données, le Sous-traitant en informe immédiatement le Responsable de traitement.

2.2 Confidentialité

Le Sous-traitant garantit que les personnes autorisées à traiter les données sont tenues au respect de la confidentialité, qu'elles soient employées ou mandatées, au titre d'un engagement contractuel ou d'une obligation légale appropriée.

2.3 Sécurité

Le Sous-traitant met en œuvre les mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté au risque, conformément à l'article 32 du RGPD, parmi lesquelles :

• Chiffrement des données en transit (TLS 1.2 minimum) et au repos.
• Gestion stricte des accès, fondée sur le principe du moindre privilège.
• Authentification forte pour les accès sensibles.
• Journalisation des actions sensibles et revue régulière des journaux.
• Sauvegardes régulières, chiffrées et testées.
• Séparation des environnements (production, préproduction, développement).
• Veille de sécurité, mises à jour et application des correctifs.
• Procédures de gestion des incidents de sécurité.
• Sensibilisation et formation des personnels.

Le Sous-traitant peut faire évoluer ces mesures afin de maintenir un niveau de sécurité adapté à l'évolution des risques et des technologies.

2.4 Sous-traitance ultérieure

Le Responsable de traitement autorise le Sous-traitant à recourir à des sous-traitants ultérieurs pour la fourniture de certains services concourant à la Solution, selon les catégories suivantes :

• Hébergement et infrastructure cloud au sein de l'Union européenne.
• Stockage chiffré de fichiers au sein de l'Union européenne.
• Envoi de messages transactionnels (email, SMS).
• Fourniture de modèles d'intelligence artificielle.
• Outils de monitoring, de supervision et de support.

La liste nominative et à jour des sous-traitants ultérieurs, incluant leur identité, leur pays d'établissement et la nature du service fourni, est tenue à la disposition du Responsable de traitement sur simple demande adressée à contact@sdss.fr.

En cas de changement envisagé concernant l'ajout ou le remplacement d'un sous-traitant ultérieur, le Sous-traitant en informe le Responsable de traitement par tout moyen, avec un préavis raisonnable avant la prise d'effet, afin de permettre au Responsable de traitement d'exprimer d'éventuelles objections. En cas d'objection légitime, le Responsable de traitement peut, si aucune solution alternative n'est trouvée dans un délai raisonnable, résilier le contrat relatif au service concerné.

Le Sous-traitant s'assure contractuellement que ses propres sous-traitants présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées, et leur impose des obligations équivalentes à celles du présent DPA.

2.5 Transferts hors Union européenne

Le Sous-traitant privilégie des sous-traitants ultérieurs établis et traitant les données dans l'Union européenne. En cas de transfert exceptionnel hors de l'Espace Économique Européen, le Sous-traitant s'assure que ce transfert est encadré par l'un des mécanismes prévus par le RGPD.

2.6 Assistance au Responsable de traitement

Compte tenu de la nature du traitement, le Sous-traitant apporte au Responsable de traitement, par des mesures techniques et organisationnelles appropriées et dans la mesure du possible, son assistance pour :

• Répondre aux demandes d'exercice de droits des personnes concernées.
• Garantir le respect des obligations prévues aux articles 32 à 36 du RGPD (sécurité, notification de violation, analyse d'impact, consultation préalable).

2.7 Notification des violations

Le Sous-traitant notifie au Responsable de traitement, dans les meilleurs délais et au plus tard soixante-douze (72) heures après en avoir pris connaissance, toute violation de données à caractère personnel affectant les données traitées pour son compte.

La notification comprend, dans la mesure du possible : la description de la nature de la violation, les catégories et le nombre approximatif de personnes et d'enregistrements concernés, les conséquences probables, les mesures prises ou envisagées pour y remédier, le point de contact.

2.8 Tenue d'un registre

Le Sous-traitant tient un registre de toutes les catégories d'activités de traitement effectuées pour le compte de ses Responsables de traitement, conformément à l'article 30.2 du RGPD.

2.9 Audit

Le Sous-traitant met à la disposition du Responsable de traitement toutes les informations nécessaires pour démontrer le respect de ses obligations au titre du présent DPA.

Le Responsable de traitement peut demander un audit, une fois par an au maximum, sous réserve d'un préavis raisonnable (au moins trente jours) et à ses frais. L'audit peut être réalisé par un tiers indépendant soumis à une obligation de confidentialité, acceptable par les deux Parties. Il doit se dérouler pendant les heures ouvrées, sans perturber l'exploitation, et couvrir uniquement les éléments nécessaires à la vérification de la conformité du traitement.

Article 3 — Obligations du Responsable de traitement

Le Responsable de traitement s'engage à :

• Documenter par écrit toute instruction complémentaire adressée au Sous-traitant.
• Veiller, préalablement et pendant toute la durée du traitement, au respect des obligations prévues par le RGPD à sa charge.
• S'assurer qu'il dispose d'une base légale appropriée pour chaque traitement mis en œuvre via la Solution.
• Informer les personnes concernées du traitement réalisé via la Solution, du rôle du Sous-traitant et de leurs droits.
• Ne pas confier au Sous-traitant, via la Solution, de données pour lesquelles il ne dispose pas des droits nécessaires.
• Coopérer avec le Sous-traitant en cas d'incident de sécurité, d'audit ou de demande d'autorité.
• Respecter les durées de conservation prévues par la réglementation qui lui est applicable. Le Responsable de traitement reconnaît qu'il lui appartient d'exporter ou d'archiver ses données au-delà des durées contractuelles de conservation prévues dans la Solution (article 5 ci-dessous).

Article 4 — Droits des personnes concernées

Dans la mesure du possible, le Sous-traitant aide le Responsable de traitement à s'acquitter de son obligation de donner suite aux demandes d'exercice des droits des personnes concernées (accès, rectification, effacement, limitation, portabilité, opposition).

Si une personne concernée adresse directement au Sous-traitant une demande relative à ses données, le Sous-traitant la transmet sans délai au Responsable de traitement, qui demeure seul en charge de la réponse.

Article 5 — Conservation des données

Le Sous-traitant conserve les données traitées pour le compte du Responsable de traitement pendant toute la durée de l'Abonnement. À la cessation de l'Abonnement, les données sont conservées pendant une durée supplémentaire de deux (2) ans, sauf instruction contraire du Responsable de traitement ou obligation légale particulière.

Le Responsable de traitement est expressément informé que la durée de conservation contractuelle ci-dessus peut être inférieure à certaines durées légales ou réglementaires qui lui sont applicables. Il lui appartient en conséquence d'exporter et/ou d'archiver par ses propres moyens les données nécessaires au respect de ses obligations propres (notamment les obligations prudentielles, comptables, fiscales ou relatives à la lutte contre le blanchiment). Le Sous-traitant ne saurait être tenu responsable des conséquences d'une destruction des données conforme aux durées contractuelles.

Au terme des durées mentionnées ci-dessus, ou à la demande du Responsable de traitement à l'issue de son Abonnement, le Sous-traitant procède, selon le choix du Responsable de traitement :

• À la suppression sécurisée des données.
• À leur retour au Responsable de traitement dans un format structuré et couramment utilisé.

Sous réserve des obligations légales imposant au Sous-traitant de conserver certaines données.

Article 6 — Responsabilité

Chaque Partie est responsable des dommages causés par son propre manquement aux obligations qui lui incombent au titre du RGPD et du présent DPA.

La responsabilité totale du Sous-traitant au titre du présent DPA est soumise au plafond de responsabilité prévu dans les Conditions Générales d'Utilisation et de Services applicables entre les Parties.

Article 7 — Durée — Résiliation

Le présent DPA prend effet à la date de souscription du Responsable de traitement à la Solution et demeure en vigueur pendant toute la durée du contrat principal.

À l'extinction du contrat, le présent DPA continue à s'appliquer aux obligations qui, par leur nature, doivent lui survivre, notamment la confidentialité, la sécurité, la restitution et la suppression des données.

Article 8 — Dispositions finales

8.1 Hiérarchie

En cas de contradiction entre le présent DPA, les Conditions Générales d'Utilisation et de Services, et tout autre document contractuel relatif à la protection des données à caractère personnel, le présent DPA prévaut.

8.2 Modifications

Toute modification du présent DPA rendue nécessaire par une évolution réglementaire, jurisprudentielle ou technique est notifiée au Responsable de traitement avec un préavis de trente (30) jours avant sa prise d'effet.

8.3 Droit applicable et juridiction

Le présent DPA est soumis au droit français. Tout litige relatif à son interprétation ou à son exécution relève de la compétence exclusive des Tribunaux de Marseille, après tentative préalable de résolution amiable.