Accord de Sous-Traitance des Données (DPA)

Le présent Accord de Sous-Traitance des Données (Data Processing Agreement - DPA) est conclu entre Groupe J, en tant que sous-traitant, et le Client, en tant que responsable du traitement, conformément à l'article 28 du Règlement Général sur la Protection des Données (RGPD).

1. Définitions

• "Responsable du traitement" : Le Client (Agence) utilisant ArchiCollab
• "Sous-traitant": Groupe J, éditeur d'ArchiCollab
• "Données personnelles" : Toute information relative à une personne physique identifiée ou identifiable
• "Traitement" : Toute opération effectuée sur des données personnelles
• "Violation de données" : Destruction, perte, altération, divulgation non autorisée ou accès non autorisé aux données
• "Services" : La plateforme ArchiCollab et ses fonctionnalités

2. Objet et durée

2.1 Objet

Le présent DPA définit les conditions dans lesquelles le Sous-traitant traite les données personnelles pour le compte du Responsable du traitement dans le cadre de la fourniture des Services ArchiCollab.

2.2 Durée

Le présent DPA entre en vigueur à la date de souscription aux Services et reste valable pendant toute la durée du contrat principal, sauf résiliation anticipée.

3. Nature et finalité du traitement

3.1 Types de données traitées

• Données d'identification (nom, prénom, email) des utilisateurs
• Données professionnelles (fonction, agence)
• Documents PDF et annotations
• Commentaires et communications sur les projets
• Métadonnées de connexion et d'utilisation

3.2 Finalités du traitement

• Fourniture de la plateforme collaborative ArchiCollab
• Gestion des accès et permissions
• Stockage et partage sécurisé de documents
• Facilitation de la collaboration sur les projets
• Support technique et maintenance

3.3 Catégories de personnes concernées

• Employés du Responsable du traitement
• Clients du Responsable du traitement
• Partenaires et sous-traitants invités sur les projets

4. Obligations du Sous-traitant

4.1 Traitement conforme aux instructions

Le Sous-traitant s'engage à traiter les données personnelles uniquement sur instruction documentée du Responsable du traitement, sauf obligation légale contraire.

4.2 Confidentialité

Le Sous-traitant garantit que les personnes autorisées à traiter les données personnelles s'engagent à respecter la confidentialité ou sont soumises à une obligation légale appropriée de confidentialité.

4.3 Sécurité du traitement

Le Sous-traitant met en œuvre les mesures techniques et organisationnelles appropriées, notamment :

• Chiffrement des données en transit (HTTPS/TLS)
• Authentification forte via OAuth 2.0
• Contrôles d'accès basés sur les rôles
• Sauvegardes régulières
• Surveillance et journalisation des accès
• Tests de sécurité périodiques

4.4 Sous-traitance ultérieure

Le Sous-traitant peut faire appel aux sous-traitants ultérieurs suivants :

• Neon (USA) - Base de données PostgreSQL
• Vercel (USA) - Hébergement application et API
• Cloudflare (USA/UE) - Sécurité et CDN
• Resend(USA) - Envoi d'emails transactionnels

Le Responsable du traitement autorise ces sous-traitants ultérieurs. Toute modification sera notifiée avec un préavis raisonnable permettant au Responsable de s'opposer.

4.5 Transferts internationaux

Les transferts vers les États-Unis sont encadrés par :

• Les clauses contractuelles types de la Commission européenne
• Le Data Privacy Framework (lorsque applicable)
• Des mesures supplémentaires de protection si nécessaire

4.6 Assistance au Responsable

Le Sous-traitant assiste le Responsable du traitement, dans la mesure du possible et moyennant des coûts raisonnables, pour :

• Répondre aux demandes d'exercice des droits des personnes concernées
• Garantir le respect des obligations de sécurité
• Notifier les violations de données
• Réaliser des analyses d'impact si nécessaire

5. Droits et obligations du Responsable

5.1 Instructions légitimes

Le Responsable du traitement garantit que ses instructions respectent la législation applicable en matière de protection des données.

5.2 Base légale

Le Responsable du traitement confirme disposer d'une base légale appropriée pour le traitement des données personnelles confiées au Sous-traitant.

5.3 Information des personnes

Le Responsable du traitement reste responsable d'informer les personnes concernées du traitement de leurs données conformément aux articles 13 et 14 du RGPD.

6. Gestion des violations de données

6.1 Notification

En cas de violation de données, le Sous-traitant notifie le Responsable du traitement dans les meilleurs délais et au plus tard sous 48 heures après en avoir pris connaissance.

6.2 Contenu de la notification

La notification comprend :

• La nature de la violation
• Les catégories et le nombre approximatif de personnes concernées
• Les conséquences probables
• Les mesures prises ou proposées pour remédier à la violation

6.3 Documentation

Le Sous-traitant documente toute violation et les mesures prises, cette documentation étant mise à disposition du Responsable du traitement.

7. Audit et contrôle

7.1 Droit d'audit

Le Responsable du traitement peut, moyennant un préavis raisonnable de 30 jours et pendant les heures ouvrables, réaliser ou faire réaliser des audits pour vérifier le respect du présent DPA.

7.2 Modalités

• Maximum un audit par période de 12 mois (sauf incident)
• Frais à la charge du Responsable du traitement
• Respect de la confidentialité et non-perturbation des activités
• Possibilité de fournir des certifications existantes en lieu d'audit

8. Retour et suppression des données

8.1 À la fin du contrat

À la résiliation du contrat, le Sous-traitant, selon le choix du Responsable du traitement :

• Retourne toutes les données personnelles au format convenu
• Supprime toutes les copies existantes
• Fournit une attestation de suppression

8.2 Délai de conservation

Les données sont conservées pendant 30 jours après la résiliation pour permettre leur récupération, sauf demande contraire du Responsable du traitement.

9. Responsabilité et indemnisation

9.1 Responsabilité

Chaque partie est responsable des dommages causés par ses manquements au RGPD ou au présent DPA, dans les limites prévues au contrat principal.

9.2 Indemnisation

Chaque partie indemnise l'autre pour les dommages résultant de ses propres manquements, y compris les amendes administratives qui en découlent directement.

10. Dispositions finales

10.1 Modifications

Toute modification du présent DPA doit être convenue par écrit entre les parties.

10.2 Droit applicable

Le présent DPA est régi par le droit français et le RGPD.

10.3 Hiérarchie contractuelle

En cas de contradiction, le présent DPA prévaut sur les CGU/CGV pour les aspects relatifs à la protection des données.

11. Contact DPO

Pour toute question relative au présent DPA ou au traitement des données :

• DPO Groupe J : dpo@archicollab.com
• Adresse : 2A rue Pasteur, 57360 Amnéville, France