Accord de Traitement des Données (DPA)

"Données personnelles" : toute information se rapportant à une personne physique identifiée ou identifiable au sens de l'article 4(1) du RGPD.

"Données Client" : les données personnelles traitées par TrustData pour le compte du Client dans le cadre de la fourniture du Service, incluant les données des visiteurs des sites web et applications du Client.

"Traitement" : toute opération ou ensemble d'opérations effectuées sur des données personnelles au sens de l'article 4(2) du RGPD.

"Violation de données" : une violation de la sécurité entraînant la destruction, la perte, l'altération, la divulgation ou l'accès non autorisé à des données personnelles, au sens de l'article 4(12) du RGPD.

"Sous-traitant ultérieur" : tout sous-traitant engagé par TrustData pour traiter des Données Client pour le compte du Client.

"Service" : la plateforme SaaS TrustData accessible à l'adresse https://app.trustdata.tech.

Le présent DPA définit les conditions dans lesquelles TrustData, agissant en qualité de sous-traitant au sens de l'article 28 du RGPD, traite des données personnelles pour le compte du Client, agissant en qualité de responsable de traitement.

Le Client détermine les finalités et les moyens du traitement des données personnelles des visiteurs de ses sites web et applications.

TrustData traite les Données Client uniquement sur instruction documentée du Client, dans le cadre de la fourniture du Service et conformément au présent DPA.

Nature et finalité

Collecte, stockage, analyse statistique et restitution de données de navigation et de conversion des visiteurs des sites web et applications du Client, aux fins d'observabilité marketing, de mesure de performance et d'attribution multi-touch.

Types de données personnelles traitées

Personnes concernées : les visiteurs et utilisateurs des sites web et applications du Client.

Durée du traitement : toute la durée du contrat. À la résiliation, l'article 12 du présent DPA s'applique.

Le Client s'engage à :

• Disposer d'une base légale valide (article 6 du RGPD) pour la collecte des données via le Service
• Informer les personnes concernées via une politique de confidentialité conforme aux articles 13 et 14 du RGPD, incluant la mention de TrustData en tant que sous-traitant
• Recueillir, lorsque requis, le consentement préalable des personnes concernées avant le dépôt de cookies ou traceurs par le Service
• Réaliser, si nécessaire, une analyse d'impact (AIPD) conformément à l'article 35 du RGPD
• Répondre aux demandes d'exercice des droits des personnes concernées (articles 15 à 22 du RGPD)
• S'assurer que toute instruction donnée à TrustData est conforme à la législation applicable

5.1 Traitement sur instruction

TrustData traite les Données Client uniquement sur la base des instructions documentées du Client. TrustData ne traite pas les Données Client à des fins propres. Si TrustData estime qu'une instruction constitue une violation de la législation, elle en informe le Client sans délai.

5.2 Confidentialité

TrustData garantit que les personnes autorisées à traiter les Données Client sont soumises à une obligation de confidentialité contractuelle et ont reçu une formation appropriée en matière de protection des données.

5.3 Sécurité du traitement (Article 32 RGPD)

TrustData met en œuvre des mesures techniques et organisationnelles appropriées, notamment :

• Chiffrement des données en transit (TLS 1.2 minimum) et au repos
• Contrôle d'accès basé sur les rôles (RBAC) avec authentification forte
• Journalisation et surveillance des accès aux données
• Sauvegardes régulières et testées
• Segmentation réseau et protection par pare-feu
• Tests de sécurité périodiques

5.4 Assistance au Client

TrustData assiste le Client dans l'exécution de ses obligations relatives aux droits des personnes concernées et aux articles 32 à 36 du RGPD (sécurité, notification des violations, AIPD). Si TrustData reçoit directement une demande d'exercice de droits, elle la transmet au Client sans délai.

6.1 Autorisation générale

Le Client autorise TrustData à faire appel aux sous-traitants ultérieurs listés en Annexe 2 du présent DPA. TrustData s'assure que chaque sous-traitant est lié par des obligations de protection des données au moins aussi protectrices que celles du présent DPA (article 28, paragraphe 4, du RGPD).

6.2 Notification de changement

TrustData informe le Client de tout ajout ou remplacement de sous-traitant ultérieur au moins trente (30) jours avant la mise en œuvre du changement.

6.3 Droit d'opposition

Le Client dispose d'un délai de trente (30) jours pour s'opposer par notification écrite motivée. En cas de désaccord persistant, le Client peut résilier son abonnement sans pénalité.

6.4 Responsabilité

TrustData demeure pleinement responsable vis-à-vis du Client de l'exécution des obligations de ses sous-traitants ultérieurs.

7.1 Hébergement principal dans l'UE

Les Données Client sont hébergées sur des serveurs situés à Helsinki, Finlande (Union européenne), opérés par Hetzner Online GmbH. TrustData s'engage à maintenir l'hébergement principal des Données Client au sein de l'EEE.

7.2 Transferts encadrés

Certains sous-traitants ultérieurs sont situés aux États-Unis (Cloudflare, Stripe, Resend). Les transferts de données sont encadrés par les Clauses Contractuelles Types (CCT) adoptées par la Commission européenne (décision d'exécution 2021/914/UE du 4 juin 2021), conformément à l'article 46, paragraphe 2, point c), du RGPD.

7.3 Évaluation d'impact des transferts (TIA)

TrustData a réalisé une évaluation d'impact des transferts pour chaque sous-traitant situé hors EEE. Un résumé de ces évaluations est disponible sur demande à dpo@trustdata.tech.

7.4 Mesures supplémentaires

En complément des CCT : chiffrement des données en transit et au repos, minimisation des données transférées, évaluation de la législation locale applicable.

8.1 Délai

En cas de violation de données affectant les Données Client, TrustData en informe le Client sans délai indu et au plus tard dans les quarante-huit (48) heures après en avoir pris connaissance.

8.2 Contenu de la notification

La notification initiale comprend, dans la mesure des informations disponibles :

• La nature de la violation, les catégories et le nombre approximatif de personnes concernées
• Le nom et les coordonnées du DPO
• Les conséquences probables de la violation
• Les mesures prises ou proposées pour remédier à la violation

8.3 Mises à jour

TrustData fournit des mises à jour régulières au fur et à mesure que des informations complémentaires deviennent disponibles.

9.1 Droit d'audit

Le Client, ou un auditeur tiers mandaté et lié par des obligations de confidentialité, a le droit de vérifier le respect par TrustData de ses obligations au titre du présent DPA, conformément à l'article 28, paragraphe 3, point h), du RGPD.

9.2 Conditions de l'audit

• Notification écrite au moins trente (30) jours à l'avance
• Conduit pendant les heures ouvrables, avec perturbations minimales
• L'auditeur est lié par des obligations de confidentialité
• Sauf obligation légale, maximum un (1) audit par période de douze (12) mois

9.3 Moyens de démonstration de conformité

TrustData met à disposition : questionnaires de sécurité, documentation des mesures techniques et organisationnelles (Annexe 1), certifications et rapports d'audit tiers le cas échéant.

TrustData assiste le Client dans la gestion des demandes d'exercice des droits des personnes concernées (articles 15 à 22 du RGPD) par des mesures techniques et organisationnelles appropriées.

Si une personne concernée adresse directement à TrustData une demande d'exercice de droits, TrustData la transmet au Client sans délai.

Le Service met à disposition du Client des fonctionnalités permettant de répondre aux demandes des personnes concernées, notamment l'export et la suppression de données.

La responsabilité de chaque partie au titre du présent DPA est soumise aux limitations et exclusions prévues dans les CGV, sauf disposition contraire du RGPD.

Pour la responsabilité externe vis-à-vis des personnes concernées, l'article 82 du RGPD s'applique.

Le Client garantit TrustData contre toute réclamation résultant d'instructions du Client contraires à la législation applicable.

12.1 Durée

Le présent DPA entre en vigueur à la date d'acceptation des CGV et reste en vigueur tant que TrustData traite des Données Client pour le compte du Client.

12.2 Sort des données à la fin du contrat

À la résiliation, le Client dispose d'un délai de trente (30) jours pour exporter ses Données Client. À l'issue de ce délai, TrustData supprime l'intégralité des Données Client de manière irréversible, sauf obligation légale. Une confirmation écrite de suppression est fournie sur demande.

Les sauvegardes chiffrées peuvent être conservées jusqu'à soixante (60) jours après la résiliation, uniquement pour des raisons d'intégrité, avant suppression dans le cycle normal de rotation.

12.3 Survie

Les obligations de confidentialité et de protection des données survivent à la cessation du présent DPA.

Article 13 — DPO

Le Délégué à la Protection des Données de TrustData est joignable à : dpo@trustdata.tech — TRUSTDATA, 7 rue Cail, 75010 Paris.

Article 14 — Droit applicable

Le présent DPA est régi par le droit français. Tout litige est soumis à la compétence exclusive des tribunaux de commerce de Paris.

Article 15 — Dispositions diverses

En cas de conflit entre le présent DPA et les CGV, les dispositions du DPA prévalent pour tout ce qui concerne le traitement des données personnelles. Si une clause est déclarée nulle, les autres clauses restent en vigueur.

TrustData peut modifier le présent DPA pour se conformer à l'évolution de la législation, avec un préavis de trente (30) jours. La poursuite de l'utilisation du Service vaut acceptation.

TrustData maintient les mesures de sécurité suivantes pour protéger les Données Client :

Contrôle d'accès physique

Les serveurs sont hébergés dans les datacenters Hetzner à Helsinki, certifiés ISO/IEC 27001, avec contrôle d'accès par badge, vidéosurveillance et personnel de sécurité 24h/24.

Contrôle d'accès logique

Chiffrement

Sécurité réseau

• Segmentation réseau par VPC
• Pare-feu et groupes de sécurité configurés selon le principe du moindre accès
• Surveillance des anomalies réseau
• Protection DDoS via Cloudflare

Disponibilité et résilience

• Architecture redondante sans point unique de défaillance
• Sauvegardes régulières avec tests de restauration
• Plan de reprise d'activité (PRA) documenté
• Surveillance continue des systèmes 24h/24

Mesures organisationnelles

• Formation du personnel à la protection des données et à la sécurité
• Engagements de confidentialité contractuels pour tout le personnel
• Politique de sécurité de l'information documentée
• Revues périodiques des mesures de sécurité

Notes :

• Les Données Client (analytics) sont stockées exclusivement dans l'UE (Hetzner, Helsinki).
• Cloudflare traite des données de transit (CDN) pour le site vitrine uniquement. Les données d'analytics ne transitent pas par Cloudflare.
• Stripe traite uniquement les données de paiement du Client. Il ne traite pas les Données Client d'analytics.
• Resend traite les adresses email pour l'envoi d'emails transactionnels liés au Service.

La liste à jour des sous-traitants est disponible à l'adresse : https://www.trustdata.tech/legal/dpa