Accord sur le traitement des données personnelles (DPA)

Data Processing Agreement — Annexe 1 aux Conditions Générales d'Utilisation

ENTRE LES SOUSSIGNÉS :

Le Responsable de traitement (ci-après « le Client »)

Dénomination sociale, forme juridique, siège social, n° SIREN et représentant légal tels que renseignés lors de l'inscription au Service.

ET

Le Sous-traitant (ci-après « NIS2facile » ou « FXB SOLUTIONS »)

FXB SOLUTIONS — EURL au capital de 10 000 euros
Siège social : 25 rue des Bergeronnettes, 45520 Chevilly, France
RCS Orléans n° 825 105 935
TVA intracommunautaire : FR37 825 105 935
Représentée par Monsieur François-Xavier Bazantay, Gérant
Email : dpo@nis2facile.fr

PRÉAMBULE

(A) Le Client a souscrit un abonnement à la plateforme SaaS NIS2facile (accessible à https://app.nis2facile.fr), service d'aide à la gouvernance, au risque et à la conformité cybersécurité, selon les Conditions Générales d'Utilisation (ci-après « CGU »).

(B) Dans le cadre de l'exécution du Service, NIS2facile traite des données à caractère personnel pour le compte du Client.

(C) Le présent accord (ci-après « DPA ») définit les conditions dans lesquelles NIS2facile agit en qualité de sous-traitant au sens de l'article 4.8 du Règlement (UE) 2016/679 du 27 avril 2016 (ci-après « RGPD »), pour le compte du Client, responsable de traitement au sens de l'article 4.7 du RGPD.

(D) Le DPA est conclu en application de l'article 28 du RGPD et constitue l'Annexe 1 aux CGU, dont il fait partie intégrante. En cas de contradiction entre le DPA et les CGU, les stipulations du DPA prévalent pour les traitements de données personnelles.

Article 1 — Définitions

« Données Personnelles » : toute information se rapportant à une personne physique identifiée ou identifiable traitée par le Sous-traitant pour le compte du Responsable dans le cadre du Service (art. 4.1 RGPD).

« Instruction documentée » : toute instruction écrite du Client relative au traitement, incluant les CGU, le présent DPA et toute instruction complémentaire transmise par écrit.

« Personne Concernée » : personne physique dont les Données Personnelles sont traitées.

« Responsable de traitement » : le Client.

« Sous-traitant » : NIS2facile (FXB SOLUTIONS).

« Sous-traitant ultérieur » : sous-traitant recruté par NIS2facile (liste en Annexe B).

« Violation de Données » : violation de sécurité entraînant destruction, perte, altération, divulgation non autorisée ou accès non autorisé à des Données Personnelles (art. 4.12 RGPD).

Article 2 — Objet et champ d'application

2.1 Le DPA régit les traitements de Données Personnelles réalisés par le Sous-traitant pour le compte du Responsable dans le cadre du Service.

2.2 Il ne s'applique pas aux traitements pour lesquels NIS2facile agit en qualité de responsable de traitement (gestion comptes utilisateurs, facturation, logs d'audit, simulateur public), régis par la politique de confidentialité.

Article 3 — Nature, finalités et caractéristiques du traitement

3.1 Finalités

Le Sous-traitant traite les Données Personnelles uniquement pour :

— héberger et exploiter le Contenu Client saisi dans la plateforme (évaluations, scores, plans d'action, commentaires) ;

— stocker et organiser les documents de preuves téléversés ;

— permettre la consultation, l'édition, le partage et l'export par les utilisateurs autorisés ;

— réaliser les sauvegardes et restaurations conformément aux engagements de sécurité.

3.2 Catégories de Données Personnelles

Données d'identification : noms, prénoms, fonctions, emails professionnels (dans évaluations, responsables d'actions, commentaires).

Données figurant dans les preuves téléversées : organigrammes, listes, rapports pouvant contenir des noms, fonctions, emails.

Métadonnées : horodatage, auteur des modifications.

3.3 Catégories de Personnes Concernées

Employés et collaborateurs du Client utilisant la plateforme ; personnes mentionnées dans le Contenu Client (responsables, contacts internes).

3.4 Données sensibles

Le Sous-traitant n'est pas destiné à traiter des données sensibles (art. 9 RGPD) ni des données relatives aux condamnations pénales (art. 10 RGPD). Le Client s'engage à ne pas les intégrer sans nécessité absolue et information préalable écrite au Sous-traitant, accompagnée de mesures de protection supplémentaires convenues.

Article 4 — Durée du traitement

Le DPA entre en vigueur à l'acceptation des CGU et reste applicable tant que le Sous-traitant traite des Données Personnelles pour le Client (durée d'abonnement + 30 jours post-résiliation pour accès lecture seule). Les obligations de confidentialité et de sécurité survivent à la fin du contrat.

Article 5 — Obligations du Sous-traitant

5.1 Traitement sur instruction documentée

Le Sous-traitant ne traite les Données Personnelles que sur instruction documentée du Client (CGU + DPA + instructions écrites complémentaires). Il informe immédiatement le Client si une instruction enfreint le RGPD.

5.2 Confidentialité

Le Sous-traitant veille à ce que les personnes autorisées à traiter les Données soient soumises à une obligation de confidentialité.

5.3 Sécurité du traitement

Le Sous-traitant met en œuvre les mesures techniques et organisationnelles décrites en Annexe A. Ces mesures sont revues régulièrement et adaptées à l'état de l'art.

5.4 Sous-traitance ultérieure

5.4.1. Le Client autorise les sous-traitants ultérieurs listés en Annexe B à la date de signature.

5.4.2. Tout ajout ou remplacement est notifié au Client par email (à l'Administrateur du compte) avec 30 jours de préavis.

5.4.3. Le Client peut s'opposer pour motif légitime dans les 15 jours. À défaut d'opposition ou d'accord alternatif, le changement est réputé accepté.

5.4.4. Le Sous-traitant impose contractuellement aux sous-traitants ultérieurs les mêmes obligations que celles du présent DPA. Il reste pleinement responsable de leur exécution.

5.5 Assistance au Responsable

5.5.1. Droits des personnes : assistance technique pour répondre aux demandes d'exercice des droits (accès, rectification, effacement, portabilité, opposition, limitation). Si demande reçue directement, le Sous-traitant la transmet au Client sans délai et n'y répond pas sans instruction.

5.5.2. Notification violations : notification au Client dans les 48 heures suivant la prise de connaissance (détails en 5.6).

5.5.3. AIPD : fourniture des informations nécessaires si le Client doit réaliser une analyse d'impact.

5.6 Notification des Violations de Données

5.6.1. Notification au Client ≤ 48 heures après prise de connaissance, par courrier électronique à l'adresse de l'Administrateur du compte, avec copie à dpo@nis2facile.fr.

5.6.2. Contenu minimal : nature de la violation ; catégories et nombre approximatif de Personnes Concernées et d'enregistrements ; conséquences probables ; mesures prises ou envisagées.

5.6.3. Informations complémentaires transmises dès disponibles.

5.6.4. Coopération pour atténuer les conséquences.

5.6.5. En cas de violation majeure (exfiltration de données, compromission de l'infrastructure multi-tenant), le Sous-traitant active sa procédure d'escalade interne et propose un appel téléphonique au Client dans les 4 heures ouvrées suivant la prise de connaissance.

5.7 Suppression ou restitution en fin de contrat

À la fin du contrat, sur instruction du Client (demande écrite à dpo@nis2facile.fr dans les 30 jours post-résiliation) : restitution au format JSON + PDF ; ou suppression définitive (processus décrit dans la politique de confidentialité).

Les données de facturation sont conservées 10 ans (obligation légale). Sur demande, attestation de suppression délivrée.

Article 6 — Obligations du Responsable de traitement

Le Client s'engage à : fournir des instructions licites et documentées ; garantir la base légale du traitement ; informer les Personnes Concernées ; répondre aux demandes d'exercice de droits (avec assistance du Sous-traitant) ; notifier CNIL et Personnes Concernées si violation (art. 33/34 RGPD).

Article 7 — Transferts internationaux

7.1. Aucune Donnée Personnelle n'est transférée hors de l'Union européenne.

7.2. Tous les traitements ont lieu en France (OVH Gravelines / Roubaix).

7.3. Les sous-traitants ultérieurs listés en Annexe B opèrent dans l'UE.

7.4. Tout transfert futur hors UE nécessitera : notification préalable au Client ; garanties appropriées (clauses contractuelles types, décision d'adéquation, etc.) ; documentation mise à disposition.

Article 8 — Droit d'audit

8.1. Le Client peut auditer le respect du DPA et de l'article 28 RGPD une fois par an, avec préavis écrit de trente (30) jours.

8.2. Conditions : pendant heures ouvrables ; aux frais du Client ; par auditeur indépendant non concurrent ; périmètre limité aux traitements pour le Client ; confidentialité des informations du Sous-traitant et de ses autres clients préservée.

8.3. Alternative : communication de rapports d'audit tiers (pentests, certifications).

8.4. Audit exceptionnel : en cas de violation de Données Personnelles avérée affectant le Client ou d'incident de sécurité majeur, le Client peut demander un audit exceptionnel avec un préavis réduit de sept (7) jours, limité au périmètre de l'incident. Cet audit exceptionnel ne se substitue pas à l'audit annuel prévu au paragraphe 8.1.

8.5. Non-conformité → mesures correctives dans délai convenu.

Article 9 — Responsabilité

La responsabilité des Parties est encadrée par les CGU. Le Sous-traitant répond des dommages causés par un traitement non conforme à ses obligations de sous-traitant ou effectué hors instructions licites (art. 82 RGPD). Chaque Partie est responsable des violations qui lui sont imputables. Le plafond contractuel prévu aux CGU s'applique, sauf faute lourde ou intentionnelle.

Article 10 — Durée et résiliation

Le DPA suit la durée du contrat d'abonnement + 30 jours post-résiliation. Les obligations de confidentialité, sécurité et audit survivent.

Article 11 — Dispositions finales

Hiérarchie : DPA prévaut sur CGU pour les données personnelles.

Modification : avenant écrit obligatoire.

Droit applicable : droit français.

Juridiction : Tribunal de commerce d'Orléans.

ANNEXE A — Mesures techniques et organisationnelles de sécurité

A.1 Chiffrement

Transit : TLS 1.3 (HSTS, objectif A+ SSL Labs). Repos : chiffrement disques OVH + AES-256-GCM pour secrets. Sauvegardes : GPG + Object Lock S3 immuable. Mots de passe : Argon2id (1 s, 64 MiB, 4 threads).

A.2 Contrôle d'accès

RBAC strict (3 rôles : Administrateur, Contributeur, Lecteur). MFA TOTP obligatoire sur option administrateur. Sessions : 15 min (access token) + refresh 7 jours (rotation). Isolation multi-tenant : filtrage systématique par organization_id, Row-Level Security PostgreSQL.

A.3 Protection malveillante

ClamAV sur tous fichiers téléversés. Validation MIME + liste blanche d'extensions. Limite 20 Mo/fichier.

A.4 Journalisation

Audit complet (connexion, modification, suppression). Conservation : 117 % actifs + 36 mois archivés. Anonymisation à la suppression du compte.

A.5 Sauvegardes

Quotidiennes chiffrées + WAL continu (Point-In-Time Recovery). Rétention 30 jours. Test trimestriel de restauration.

A.6 Infrastructure

Hébergement France (OVH Gravelines / Roubaix). Protection DDoS OVH Anti-DDoS. Reverse proxy Traefik + en-têtes sécurité (CSP, X-Frame-Options, Strict-Transport-Security, etc.).

ANNEXE B — Sous-traitants ultérieurs autorisés