Accord de traitement des données (DPA)
Cet accord encadre le traitement des données personnelles que le Client confie à Little Omega (l'Éditeur) dans le cadre de l'utilisation du service documents-securises.fr. Il fait partie intégrante des Conditions générales et s'applique automatiquement à tout Client disposant d'un abonnement actif.
Projet à faire relire juridiquement. Le texte ci-dessous est conforme à l'article 28 du RGPD dans sa structure ; les formulations exactes doivent être validées par un conseil avant d'être opposées commercialement. Une version signée PDF peut être fournie sur demande à dpo@documents-securises.fr.
1. Parties
Responsable de traitement (ci-après « le Client ») : toute personne morale ou physique ayant souscrit un abonnement au service documents-securises.fr.
Sous-traitant (ci-après « l'Éditeur ») : Little Omega, SASU au capital de 500 €, RCS Caen 853 999 597, siège social 15 allée des pommiers, 14440 Douvres-la-Délivrande.
2. Objet et durée
L'Éditeur traite des données personnelles pour le compte du Client pour les seules finalités de fourniture du service (transmission et collecte sécurisées de documents, authentification, facturation, journaux d'accès). Le présent accord s'applique pendant toute la durée de l'abonnement.
3. Nature et finalité du traitement
- Stockage chiffré des documents transmis par le Client et ses destinataires.
- Envoi de codes de vérification par email et SMS.
- Tenue d'un journal horodaté des accès (offre Professionnel).
- Gestion du compte et de la facturation.
4. Catégories de données et de personnes concernées
Données traitées : identification (nom, email, téléphone), contenu des documents transmis (chiffré de bout en bout, non lisible par l'Éditeur), métadonnées techniques (adresse IP, horodatage, type d'appareil).
Personnes concernées : collaborateurs du Client, destinataires des documents transmis, clients finaux du Client.
5. Instructions documentées
L'Éditeur ne traite les données personnelles que sur instructions documentées du Client — instructions résultant de la configuration du service et de l'usage qu'en fait le Client. L'Éditeur informe immédiatement le Client s'il considère qu'une instruction constitue une violation du RGPD.
6. Confidentialité
L'Éditeur garantit que les personnes autorisées à traiter les données personnelles sont liées par une obligation de confidentialité (contrat de travail, accords de confidentialité pour les prestataires).
7. Mesures de sécurité
L'Éditeur met en œuvre les mesures techniques et organisationnelles suivantes :
- Chiffrement de bout en bout hybride : clé symétrique AES-256-GCM unique par document, wrappée sous la clé publique RSA-4096 (OAEP) de chaque destinataire — la clé privée ne quitte jamais l'appareil.
- Chiffrement en transit (TLS 1.3) et au repos.
- Double vérification email + SMS avant remise d'un document.
- Journaux d'accès horodatés, conservés 12 mois minimum.
- Gestion des secrets d'infrastructure via SOPS + clés KMS.
- Moindre privilège sur les accès internes, revue régulière des droits.
- Sauvegardes chiffrées quotidiennes, rétention 30 jours.
- Procédure de réponse aux incidents documentée et testée.
La liste détaillée des pratiques de sécurité figure sur notre page Sécurité.
8. Notification des violations
En cas de violation de données à caractère personnel, l'Éditeur notifie le Client sans retard injustifié et au plus tard sous 72 heures après en avoir eu connaissance, conformément à l'article 33 du RGPD. La notification détaille la nature de la violation, les catégories et le nombre approximatif de personnes concernées, les conséquences probables et les mesures prises.
9. Assistance au Client
L'Éditeur assiste le Client pour répondre aux demandes d'exercice des droits des personnes concernées (accès, rectification, effacement, portabilité, opposition), pour la réalisation d'analyses d'impact (AIPD / DPIA) lorsque requises, et pour la consultation préalable de l'autorité de contrôle.
10. Sous-traitants ultérieurs
Le Client autorise expressément l'Éditeur à faire appel aux sous-traitants suivants pour la fourniture du service. Toute modification (ajout ou remplacement) est notifiée au Client au moins 30 jours avant prise d'effet ; le Client peut s'opposer pour motif légitime.
| Prestataire | Finalité | Localisation |
|---|---|---|
| Scaleway (SAS) | Hébergement applicatif | France |
| Cloudflare R2 | Stockage objet chiffré | UE |
| MongoDB Atlas | Base de données applicative | UE |
| LoginWith | Authentification | France |
| GoCardless | Prélèvement SEPA | Royaume-Uni / UE |
| Twilio | Envoi de SMS | Irlande (UE) |
| SendGrid (Twilio) | Emails transactionnels | Irlande (UE) |
| Sentry | Suivi d'erreurs techniques | UE |
| Matomo (auto-hébergé) | Mesure d'audience cookieless | France |
11. Transferts hors UE
L'ensemble des données est traité au sein de l'Union européenne. Lorsqu'un sous-traitant ultérieur est établi hors UE, le transfert est encadré par les clauses contractuelles types de la Commission européenne (article 46 du RGPD) ou par une décision d'adéquation.
12. Droit d'audit
L'Éditeur met à disposition du Client, sur demande motivée et sous réserve d'un préavis raisonnable, toute information nécessaire pour démontrer le respect de ses obligations. Un audit par un tiers indépendant mutuellement agréé peut être organisé, aux frais du Client, une fois par an maximum, dans la limite de ce qui est strictement nécessaire. L'Éditeur fournit les rapports d'audit externes qu'il détient (tests de pénétration, SOC) lorsqu'ils couvrent le périmètre demandé.
13. Restitution ou suppression des données
À la cessation du contrat, pour quelque motif que ce soit, l'Éditeur restitue les données personnelles au Client dans un format structuré, couramment utilisé et lisible par machine, puis les supprime définitivement (y compris des sauvegardes) dans un délai maximum de 90 jours — sauf obligation légale de conservation (archivage comptable, réquisitions judiciaires).
14. Responsable désigné
Pour toute question relative au présent accord, le point de contact est notre délégué à la protection des données : dpo@documents-securises.fr.
15. Droit applicable
Le présent accord est régi par le droit français. Tout litige relève de la compétence des tribunaux de Caen, sauf disposition d'ordre public contraire.