Accord de Sous-traitance RGPD (DPA)

Data Processing Agreement - Article 28 RGPD

Dernière mise à jour : 4 janvier 2026

Document juridiquement contraignant. En utilisant DigiTran, vous acceptez les termes de cet accord de sous-traitance.

Préambule

Le présent accord s'inscrit dans le cadre de l'article 28 du Règlement Général sur la Protection des Données (RGPD).

Parties :

  • Le Responsable de traitement : Le Cabinet client utilisant DigiTran (ci-après "le Client")
  • Le Sous-traitant : DigiTran (ci-après "le Sous-traitant")

Article 1 - Objet et durée

1.1 Objet

Le Sous-traitant s'engage à traiter les données à caractère personnel pour le compte du Responsable de traitement, uniquement dans le cadre de la fourniture du service SaaS DigiTran.

1.2 Durée

Le présent accord prend effet dès la souscription au service et reste en vigueur pendant toute la durée du contrat commercial.

Article 2 - Nature des opérations

Nature du traitement Hébergement et gestion d'une plateforme SaaS de gestion de registres RGPD
Finalités
  • Hébergement des données du registre RGPD (Article 30)
  • Gestion des traitements de données personnelles
  • Traçabilité des actions (journal de mission)
  • Génération de documents (PDF, Word, Excel)
Personnes concernées
  • Utilisateurs du service (consultants RGPD)
  • Entreprises clientes des cabinets
  • Personnes mentionnées dans les registres RGPD
Catégories de données
  • Données d'identification (nom, prénom, email)
  • Données de connexion (logs)
  • Données des entreprises (raison sociale, SIRET, contacts)
  • Contenus des registres RGPD saisis par le Client

Article 3 - Obligations du Sous-traitant

Le Sous-traitant s'engage à :

  1. Traiter les données uniquement sur instruction documentée du Responsable
  2. Garantir la confidentialité des données et s'assurer que les personnes autorisées sont soumises à une obligation de confidentialité
  3. Mettre en œuvre des mesures techniques et organisationnelles appropriées (voir Article 5)
  4. Respecter les conditions de recours à un sous-traitant ultérieur (voir Article 4)
  5. Aider le Responsable à répondre aux demandes d'exercice des droits des personnes
  6. Aider le Responsable à garantir le respect de ses obligations (sécurité, notification de violation, AIPD)
  7. Supprimer ou restituer les données à la fin du contrat
  8. Mettre à disposition toutes les informations nécessaires pour démontrer la conformité

Article 4 - Sous-traitants ultérieurs

4.1 Sous-traitants autorisés

Le Responsable de traitement autorise le Sous-traitant à recourir aux sous-traitants suivants :

Sous-traitant Service Localisation
IONOS Hébergement infrastructure Union européenne
IONOS Emails transactionnels (SMTP) Union européenne

4.2 Notification des changements

Le Sous-traitant informera le Client de tout changement concernant l'ajout ou le remplacement de sous-traitants ultérieurs avec un préavis de 30 jours.

Article 5 - Mesures de sécurité

Le Sous-traitant met en œuvre les mesures de sécurité suivantes :

5.1 Mesures techniques

  • ✅ Chiffrement des communications (HTTPS/TLS 1.2+)
  • ✅ Chiffrement des mots de passe (hashing PBKDF2/bcrypt)
  • ✅ Authentification forte
  • ✅ Journalisation des accès et actions
  • ✅ Sauvegardes quotidiennes chiffrées
  • ✅ Cloisonnement des données (multi-tenant)
  • ✅ Pare-feu et protection anti-intrusion

5.2 Mesures organisationnelles

  • ✅ Accès limité au strict nécessaire (principe du moindre privilège)
  • ✅ Obligation de confidentialité du personnel
  • ✅ Procédure de notification de violation de données
  • ✅ Tests de sécurité réguliers
  • ✅ Plan de continuité d'activité

5.3 Localisation

Toutes les données sont hébergées en France / Union Européenne.

Aucun transfert hors UE.

Article 6 - Violation de données

En cas de violation de données personnelles, le Sous-traitant s'engage à :

  1. Notifier le Client dans les 48 heures suivant la découverte de la violation
  2. Fournir toutes les informations nécessaires au Client pour notifier la CNIL si requis
  3. Documenter l'incident (nature, données concernées, mesures correctives)
  4. Coopérer pleinement avec le Client dans la gestion de l'incident

Article 7 - Assistance au Responsable

7.1 Droits des personnes

Le Sous-traitant met à disposition du Client les outils nécessaires pour répondre aux demandes d'exercice des droits (accès, rectification, effacement, portabilité).

7.2 Analyse d'impact (AIPD)

Le Sous-traitant fournira au Client, sur demande, les informations nécessaires pour réaliser une AIPD.

Article 8 - Sort des données en fin de contrat

À la fin du contrat, le Client peut choisir :

  • Export des données : Le Client dispose d'un délai de 30 jours après résiliation pour exporter ses données (format PDF, Word, Excel, JSON)
  • Suppression définitive : Après ce délai, ou sur demande explicite, toutes les données sont supprimées de manière irréversible sous 30 jours

Exception : Les données de facturation sont conservées 10 ans (obligation légale).

Article 9 - Audit et contrôle

Le Client a le droit de :

  • Demander des informations sur les mesures de sécurité mises en œuvre
  • Réaliser des audits (ou faire réaliser par un tiers mandaté)
  • Consulter les logs d'accès à ses données

Les audits doivent être notifiés avec un préavis de 15 jours.

Article 10 - Responsabilité

Le Sous-traitant est responsable des dommages causés par un traitement non conforme au RGPD ou aux instructions du Responsable de traitement.

Le Sous-traitant ne peut être tenu responsable que des traitements qu'il a effectivement réalisés.

Article 11 - Droit applicable

Le présent accord est régi par le droit français et le Règlement (UE) 2016/679 (RGPD).

Tout litige sera soumis aux tribunaux compétents de Sète.

Document téléchargeable :

Télécharger le DPA (PDF)