Accord de Traitement des Données (DPA)
Le présent Accord de Traitement des Données (ci-après "DPA") est conclu entre le Client (responsable de traitement) et TRUSTDATA, SARL au capital de 1 000,00 EUR, RCS Paris 931 119 333, 7 rue Cail, 75010 Paris, France (ci-après "TrustData" ou "le Sous-traitant").
Le présent DPA fait partie intégrante des Conditions Générales de Vente (CGV) et est automatiquement accepté lors de la souscription au Service. Il est établi conformément à l'article 28, paragraphe 3, du RGPD. Aucune signature séparée n'est requise. Ce document est public et peut être partagé avec des clients ou autorités de contrôle.
Article 1 — Définitions
"Données personnelles" : toute information se rapportant à une personne physique identifiée ou identifiable au sens de l'article 4(1) du RGPD.
"Données Client" : les données personnelles traitées par TrustData pour le compte du Client dans le cadre de la fourniture du Service, incluant les données des visiteurs des sites web et applications du Client.
"Traitement" : toute opération ou ensemble d'opérations effectuées sur des données personnelles au sens de l'article 4(2) du RGPD.
"Violation de données" : une violation de la sécurité entraînant la destruction, la perte, l'altération, la divulgation ou l'accès non autorisé à des données personnelles, au sens de l'article 4(12) du RGPD.
"Sous-traitant ultérieur" : tout sous-traitant engagé par TrustData pour traiter des Données Client pour le compte du Client.
"Service" : la plateforme SaaS TrustData accessible à l'adresse https://app.trustdata.tech.
Article 2 — Objet et rôle des parties
Le présent DPA définit les conditions dans lesquelles TrustData, agissant en qualité de sous-traitant au sens de l'article 28 du RGPD, traite des données personnelles pour le compte du Client, agissant en qualité de responsable de traitement.
Le Client détermine les finalités et les moyens du traitement des données personnelles des visiteurs de ses sites web et applications.
TrustData traite les Données Client uniquement sur instruction documentée du Client, dans le cadre de la fourniture du Service et conformément au présent DPA.
Article 3 — Description du traitement
Nature et finalité
Collecte, stockage, analyse statistique et restitution de données de navigation et de conversion des visiteurs des sites web et applications du Client, aux fins d'observabilité marketing, de mesure de performance et d'attribution multi-touch.
Types de données personnelles traitées
| Catégorie | Exemples |
|---|---|
| Données de navigation | Pages visitées, date et heure, durée de session |
| Données techniques | Adresse IP (anonymisée ou complète selon configuration), navigateur, OS, résolution |
| Données de géolocalisation | Pays, région, ville (dérivés de l'IP) |
| Données de conversion | Événements de conversion, valeurs de transaction, identifiants de commande |
| Données de source | Référent, paramètres UTM de campagne |
| Données d'interaction | Clics, scroll, événements personnalisés |
| Identifiants | Identifiants de cookies first-party, identifiants utilisateur (si configurés) |
Personnes concernées : les visiteurs et utilisateurs des sites web et applications du Client.
Durée du traitement : toute la durée du contrat. À la résiliation, l'article 12 du présent DPA s'applique.
Article 4 — Obligations du Client (Responsable de traitement)
Le Client s'engage à :
- Disposer d'une base légale valide (article 6 du RGPD) pour la collecte des données via le Service
- Informer les personnes concernées via une politique de confidentialité conforme aux articles 13 et 14 du RGPD, incluant la mention de TrustData en tant que sous-traitant
- Recueillir, lorsque requis, le consentement préalable des personnes concernées avant le dépôt de cookies ou traceurs par le Service
- Réaliser, si nécessaire, une analyse d'impact (AIPD) conformément à l'article 35 du RGPD
- Répondre aux demandes d'exercice des droits des personnes concernées (articles 15 à 22 du RGPD)
- S'assurer que toute instruction donnée à TrustData est conforme à la législation applicable
Article 5 — Obligations de TrustData (Sous-traitant)
5.1 Traitement sur instruction
TrustData traite les Données Client uniquement sur la base des instructions documentées du Client. TrustData ne traite pas les Données Client à des fins propres. Si TrustData estime qu'une instruction constitue une violation de la législation, elle en informe le Client sans délai.
5.2 Confidentialité
TrustData garantit que les personnes autorisées à traiter les Données Client sont soumises à une obligation de confidentialité contractuelle et ont reçu une formation appropriée en matière de protection des données.
5.3 Sécurité du traitement (Article 32 RGPD)
TrustData met en œuvre des mesures techniques et organisationnelles appropriées, notamment :
- Chiffrement des données en transit (TLS 1.2 minimum) et au repos
- Contrôle d'accès basé sur les rôles (RBAC) avec authentification forte
- Journalisation et surveillance des accès aux données
- Sauvegardes régulières et testées
- Segmentation réseau et protection par pare-feu
- Tests de sécurité périodiques
5.4 Assistance au Client
TrustData assiste le Client dans l'exécution de ses obligations relatives aux droits des personnes concernées et aux articles 32 à 36 du RGPD (sécurité, notification des violations, AIPD). Si TrustData reçoit directement une demande d'exercice de droits, elle la transmet au Client sans délai.
Article 6 — Sous-traitants ultérieurs
6.1 Autorisation générale
Le Client autorise TrustData à faire appel aux sous-traitants ultérieurs listés en Annexe 2 du présent DPA. TrustData s'assure que chaque sous-traitant est lié par des obligations de protection des données au moins aussi protectrices que celles du présent DPA (article 28, paragraphe 4, du RGPD).
6.2 Notification de changement
TrustData informe le Client de tout ajout ou remplacement de sous-traitant ultérieur au moins trente (30) jours avant la mise en œuvre du changement.
6.3 Droit d'opposition
Le Client dispose d'un délai de trente (30) jours pour s'opposer par notification écrite motivée. En cas de désaccord persistant, le Client peut résilier son abonnement sans pénalité.
6.4 Responsabilité
TrustData demeure pleinement responsable vis-à-vis du Client de l'exécution des obligations de ses sous-traitants ultérieurs.
Article 7 — Transferts de données hors UE/EEE
7.1 Hébergement principal dans l'UE
Les Données Client sont hébergées sur des serveurs situés à Helsinki, Finlande (Union européenne), opérés par Hetzner Online GmbH. TrustData s'engage à maintenir l'hébergement principal des Données Client au sein de l'EEE.
7.2 Transferts encadrés
Certains sous-traitants ultérieurs sont situés aux États-Unis (Cloudflare, Stripe, Resend). Les transferts de données sont encadrés par les Clauses Contractuelles Types (CCT) adoptées par la Commission européenne (décision d'exécution 2021/914/UE du 4 juin 2021), conformément à l'article 46, paragraphe 2, point c), du RGPD.
7.3 Évaluation d'impact des transferts (TIA)
TrustData a réalisé une évaluation d'impact des transferts pour chaque sous-traitant situé hors EEE. Un résumé de ces évaluations est disponible sur demande à [email protected].
7.4 Mesures supplémentaires
En complément des CCT : chiffrement des données en transit et au repos, minimisation des données transférées, évaluation de la législation locale applicable.
Article 8 — Notification des violations de données
8.1 Délai
En cas de violation de données affectant les Données Client, TrustData en informe le Client sans délai indu et au plus tard dans les quarante-huit (48) heures après en avoir pris connaissance.
8.2 Contenu de la notification
La notification initiale comprend, dans la mesure des informations disponibles :
- La nature de la violation, les catégories et le nombre approximatif de personnes concernées
- Le nom et les coordonnées du DPO
- Les conséquences probables de la violation
- Les mesures prises ou proposées pour remédier à la violation
8.3 Mises à jour
TrustData fournit des mises à jour régulières au fur et à mesure que des informations complémentaires deviennent disponibles.
Article 9 — Audit et contrôle
9.1 Droit d'audit
Le Client, ou un auditeur tiers mandaté et lié par des obligations de confidentialité, a le droit de vérifier le respect par TrustData de ses obligations au titre du présent DPA, conformément à l'article 28, paragraphe 3, point h), du RGPD.
9.2 Conditions de l'audit
- Notification écrite au moins trente (30) jours à l'avance
- Conduit pendant les heures ouvrables, avec perturbations minimales
- L'auditeur est lié par des obligations de confidentialité
- Sauf obligation légale, maximum un (1) audit par période de douze (12) mois
9.3 Moyens de démonstration de conformité
TrustData met à disposition : questionnaires de sécurité, documentation des mesures techniques et organisationnelles (Annexe 1), certifications et rapports d'audit tiers le cas échéant.
Article 10 — Droits des personnes concernées
TrustData assiste le Client dans la gestion des demandes d'exercice des droits des personnes concernées (articles 15 à 22 du RGPD) par des mesures techniques et organisationnelles appropriées.
Si une personne concernée adresse directement à TrustData une demande d'exercice de droits, TrustData la transmet au Client sans délai.
Le Service met à disposition du Client des fonctionnalités permettant de répondre aux demandes des personnes concernées, notamment l'export et la suppression de données.
Article 11 — Responsabilité et indemnisation
La responsabilité de chaque partie au titre du présent DPA est soumise aux limitations et exclusions prévues dans les CGV, sauf disposition contraire du RGPD.
Pour la responsabilité externe vis-à-vis des personnes concernées, l'article 82 du RGPD s'applique.
Le Client garantit TrustData contre toute réclamation résultant d'instructions du Client contraires à la législation applicable.
Article 12 — Durée et fin du traitement
12.1 Durée
Le présent DPA entre en vigueur à la date d'acceptation des CGV et reste en vigueur tant que TrustData traite des Données Client pour le compte du Client.
12.2 Sort des données à la fin du contrat
À la résiliation, le Client dispose d'un délai de trente (30) jours pour exporter ses Données Client. À l'issue de ce délai, TrustData supprime l'intégralité des Données Client de manière irréversible, sauf obligation légale. Une confirmation écrite de suppression est fournie sur demande.
Les sauvegardes chiffrées peuvent être conservées jusqu'à soixante (60) jours après la résiliation, uniquement pour des raisons d'intégrité, avant suppression dans le cycle normal de rotation.
12.3 Survie
Les obligations de confidentialité et de protection des données survivent à la cessation du présent DPA.
Articles 13 à 15 — Dispositions finales
Article 13 — DPO
Le Délégué à la Protection des Données de TrustData est joignable à : [email protected] — TRUSTDATA, 7 rue Cail, 75010 Paris.
Article 14 — Droit applicable
Le présent DPA est régi par le droit français. Tout litige est soumis à la compétence exclusive des tribunaux de commerce de Paris.
Article 15 — Dispositions diverses
En cas de conflit entre le présent DPA et les CGV, les dispositions du DPA prévalent pour tout ce qui concerne le traitement des données personnelles. Si une clause est déclarée nulle, les autres clauses restent en vigueur.
TrustData peut modifier le présent DPA pour se conformer à l'évolution de la législation, avec un préavis de trente (30) jours. La poursuite de l'utilisation du Service vaut acceptation.
Annexe 1 — Mesures techniques et organisationnelles (Art. 32 RGPD)
TrustData maintient les mesures de sécurité suivantes pour protéger les Données Client :
Contrôle d'accès physique
Les serveurs sont hébergés dans les datacenters Hetzner à Helsinki, certifiés ISO/IEC 27001, avec contrôle d'accès par badge, vidéosurveillance et personnel de sécurité 24h/24.
Contrôle d'accès logique
| Mesure | Description |
|---|---|
| Authentification | Authentification forte obligatoire pour tous les accès aux systèmes de production |
| Contrôle d'accès | Accès basé sur les rôles (RBAC), principe du moindre privilège |
| Journalisation | Enregistrement de toutes les tentatives de connexion et des modifications de droits |
| Gestion des mots de passe | Politique de complexité, verrouillage automatique après inactivité |
| Accès production | Restreint à un groupe limité de personnel autorisé |
Chiffrement
| Périmètre | Mesure |
|---|---|
| En transit | TLS 1.2 minimum pour toutes les communications (HTTPS) |
| Au repos | Chiffrement des données stockées (chiffrement de disque) |
| Sauvegardes | Chiffrées et stockées dans un emplacement géographiquement distinct au sein de l'UE |
Sécurité réseau
- Segmentation réseau par VPC
- Pare-feu et groupes de sécurité configurés selon le principe du moindre accès
- Surveillance des anomalies réseau
- Protection DDoS via Cloudflare
Disponibilité et résilience
- Architecture redondante sans point unique de défaillance
- Sauvegardes régulières avec tests de restauration
- Plan de reprise d'activité (PRA) documenté
- Surveillance continue des systèmes 24h/24
Mesures organisationnelles
- Formation du personnel à la protection des données et à la sécurité
- Engagements de confidentialité contractuels pour tout le personnel
- Politique de sécurité de l'information documentée
- Revues périodiques des mesures de sécurité
Annexe 2 — Liste des sous-traitants ultérieurs
| Sous-traitant | Fonction | Localisation des données | Garanties de transfert |
|---|---|---|---|
| Hetzner Online GmbH | Hébergement de l'application et des Données Client | Helsinki, Finlande (UE) | Données dans l'UE — pas de transfert hors EEE |
| Cloudflare, Inc. | CDN, protection DDoS, DNS du site vitrine | États-Unis | CCT (décision 2021/914/UE) |
| Stripe, Inc. | Traitement des paiements et facturation | États-Unis | CCT (décision 2021/914/UE) |
| Resend | Envoi d'emails transactionnels | États-Unis | CCT (décision 2021/914/UE) |
Notes :
- Les Données Client (analytics) sont stockées exclusivement dans l'UE (Hetzner, Helsinki).
- Cloudflare traite des données de transit (CDN) pour le site vitrine uniquement. Les données d'analytics ne transitent pas par Cloudflare.
- Stripe traite uniquement les données de paiement du Client. Il ne traite pas les Données Client d'analytics.
- Resend traite les adresses email pour l'envoi d'emails transactionnels liés au Service.
La liste à jour des sous-traitants est disponible à l'adresse : https://www.trustdata.tech/legal/dpa