Accord de traitement de données. Signé en quelques minutes.

Dans notre engagement standard, le client agit comme responsable de traitement et DPP Automate comme sous-traitant. Lorsque nous engageons un tiers pour traiter pour notre compte — par exemple notre fournisseur d’authentification ou notre hébergeur de base — ce tiers agit comme sous-traitant ultérieur. Le DPA fixe la relation contractuelle entre responsable et sous-traitant et lie nos sous-traitants ultérieurs à des obligations équivalentes par des accords en cascade. L’accord s’applique à toutes les données personnelles que le client nous confie via la plateforme, l’API, le support et tout import structuré que nous traitons pour son compte.

Le DPA s’ouvre sur les mentions exigées par l’article 28(3) : l’objet (exploitation de la plateforme de passeports produits numériques pour le client), la durée (la durée de l’accord de services sous-jacent), la nature et la finalité du traitement (stocker, interroger et servir les données produit et de conformité), les catégories de données personnelles et de personnes concernées, et les obligations et droits du responsable. Ce sont les cinq éléments que tout régulateur et tout service achats vérifie en premier ; nous les gardons en première page de l’annexe, pas enterrés dans une planche — faciles à vérifier avant signature.

Les catégories de personnes concernées sont typiquement les collaborateurs du client qui opèrent la plateforme, les fournisseurs du client qui répondent aux questionnaires de déclaration matière, et — uniquement lorsque la réglementation en périmètre l’implique — les personnes nommément citées dans la documentation de conformité. Les catégories de données personnelles se limitent aux identifiants de compte, aux données de contact professionnelles et aux métadonnées opérationnelles requises pour attribuer les actions dans le journal d’audit. Nous ne traitons aucune donnée sensible, aucune condamnation ni aucune donnée d’enfant. Tout ce qui dépasse exige un avenant écrit au DPA avant ingestion.

Le DPA accorde une autorisation générale écrite de recourir à des sous-traitants ultérieurs et liste l’ensemble actuel dans une annexe maintenue en temps réel plus bas sur cette page. Nous notifions par écrit au moins trente jours avant l’ajout ou le remplacement d’un sous-traitant. Le client peut s’y opposer pendant ce délai pour des motifs raisonnables liés à la protection des données : nous retirons alors le changement ou, s’il est essentiel à l’exploitation, nous accordons un droit de résiliation sans pénalité de la portion de services affectée. Chaque sous-traitant est lié à des obligations équivalentes.

Notre position par défaut est l’hébergement intégral en UE. Les données personnelles client sont hébergées à Francfort avec un réplica à Amsterdam ; en exploitation normale, elles ne sortent jamais de l’UE/EEE. Lorsqu’un sous-traitant est établi hors UE — par exemple notre fournisseur d’authentification basé aux États-Unis — le transfert est régi par les Clauses Contractuelles Types de l’UE (décision d’exécution 2021/914), Module 2, complétées par un Transfer Impact Assessment documenté. Les CCT sont jointes en annexe au DPA — le responsable dispose du texte contraignant dans sa copie contre-signée.

Le personnel ayant accès aux données personnelles client est soumis à des obligations de confidentialité écrites qui survivent à la fin de l’engagement. Les mesures techniques et organisationnelles sont documentées dans une annexe dédiée et s’alignent sur les contrôles validés par notre rapport SOC 2 Type II annuel et notre certification ISO 27001. L’ensemble couvre la gestion des accès avec autorisation par rôle et jetons à courte durée de vie, le chiffrement en transit et au repos, la segmentation réseau, la gestion des vulnérabilités, la journalisation et la supervision, et un plan de réponse aux incidents documenté. L’annexe est mise à jour à chaque évolution du jeu de contrôles.

Les personnes concernées adressent leurs demandes au responsable, pas à nous. Si une demande nous parvient par erreur, nous la transférons sans agir. Nous fournissons des outils et des API documentées qui permettent au responsable de satisfaire les droits d’accès, de rectification, d’effacement, de limitation, de portabilité et d’opposition sans avoir à ouvrir de ticket de support manuel. Lorsque le responsable a tout de même besoin d’une intervention humaine — par exemple pour localiser un artefact entre plusieurs environnements — nous répondons dans le délai que le responsable fixe par écrit, sans coût supplémentaire.

Nous notifions le responsable de toute violation de données personnelles l’affectant sans délai indu et en tout état de cause dans les vingt-quatre heures suivant la prise de connaissance. La notification initiale contient la nature de la violation, les catégories et le nombre approximatif de personnes et d’enregistrements concernés, les conséquences probables et les mesures prises ou proposées. Lorsque l’information complète n’est pas disponible, la notification initiale désigne un point de contact unique et s’engage sur un rythme de relances. Notre runbook de réponse à incident est revu et exercé trimestriellement et est disponible pour le responsable sous NDA.

La conformité est démontrée en premier lieu par nos attestations annuelles tierces — SOC 2 Type II et ISO 27001 — mises à disposition du responsable sous NDA. Lorsque le régulateur ou le SMSI interne du responsable exige un audit sur site ou à distance au-delà des attestations, nous accueillons un audit par période de douze mois sans coût supplémentaire, avec couverture raisonnable des coûts pour les audits additionnels. Les audits sont coordonnés avec un préavis raisonnable et menés sans compromettre la confidentialité des autres clients ni l’intégrité de l’environnement de production.

À la résiliation ou à l’expiration de l’accord de services, nous restituons ou supprimons toutes les données personnelles client dans les trente jours suivant la demande écrite du responsable. Le responsable choisit l’option. Une fois l’option appliquée, nous émettons une attestation écrite de suppression — précisant les données, environnements et systèmes affectés. Les bandes de sauvegarde et les journaux d’audit immuables sont conservés pour la période fixée par la réglementation en périmètre — typiquement dix ans pour ESPR — puis supprimés selon le même calendrier documenté. Ces obligations de conservation survivent à la résiliation.