Article 28 du Règlement (UE) 2016/679 (RGPD). Annexé aux Conditions Générales d'Utilisation et réputé accepté par l'acceptation des CGU (Art. 1367 du Code civil — signature électronique simple).

Préambule

Le présent Contrat de Sous-traitance (ci-après le « DPA ») encadre le traitement de données à caractère personnel effectué par OWK SAS (ci-après « Conformitiel » ou « le Sous-traitant») pour le compte du Client (ci-après « le Responsable de traitement») dans le cadre de l'utilisation du service Conformitiel.

Il complète les Conditions Générales d'Utilisation (CGU) et la Politique de confidentialité, en application de l'Art. 28 du Règlement (UE) 2016/679 (« RGPD »).

Article 1 — Définitions

Les termes « données à caractère personnel », « traitement », « responsable de traitement », « sous-traitant », « personne concernée », « violation de données à caractère personnel » ont le sens qui leur est donné à l'Art. 4 du RGPD.

Article 2 — Objet et durée

Le DPA a pour objet de définir les conditions dans lesquelles le Sous-traitant s'engage à effectuer, pour le compte du Responsable de traitement, les opérations de traitement de données personnelles décrites à l'Annexe 1.

Le DPA prend effet à compter de l'acceptation des CGU par le Client. Il demeure en vigueur tant que des données personnelles sont traitées par le Sous-traitant pour le compte du Responsable de traitement, y compris pendant la période de conservation légale post-résiliation (5 ansen application de l'Art. L.561-12 du Code Monétaire et Financier).

Article 3 — Description du traitement

La nature, la finalité, les catégories de données et de personnes concernées sont détaillées en Annexe 1.

Article 4 — Obligations du Sous-traitant

Conformément à l'Art. 28.3 RGPD, le Sous-traitant s'engage à :

Traiter les données uniquement sur instructions documentéesdu Responsable de traitement, y compris pour les transferts hors UE, sauf si le droit de l'Union ou le droit français l'oblige à procéder autrement, auquel cas le Sous-traitant informe le Responsable de cette obligation juridique.
Garantir la confidentialité du personnelautorisé à traiter les données (engagement de confidentialité ou obligation légale appropriée).
Mettre en œuvre les mesures techniques et organisationnellesappropriées (Art. 32 RGPD) décrites à l'Annexe 2.
Respecter les conditions de sous-traitance ultérieure(voir Article 6) : toute sous-traitance fait l'objet d'une information préalable du Responsable avec un délai d'opposition de 30 jours.
Assister le Responsable dans la mise en œuvre des droits des personnes concernées (Art. 12 à 22 RGPD) et dans le respect de ses obligations (Art. 32 à 36 RGPD).
Supprimer ou restituer les données à la fin du contrat selon le choix du Responsable, sauf obligation légale de conservation (Art. L.561-12 CMF : 5 ans).
Mettre à disposition du Responsabletoutes les informations nécessaires pour démontrer le respect des obligations prévues à l'Art. 28 RGPD et permettre la réalisation d'audits dans les conditions de l'Article 9 ci-dessous.

Article 5 — Notification de violation de données

En cas de violation de données à caractère personnel, le Sous-traitant notifie le Responsable de traitement dans les meilleurs délais et au plus tard dans les 48 heures après en avoir pris connaissance.

La notification comporte :

La nature de la violation, les catégories et le nombre approximatif de personnes concernées
Les catégories et le nombre approximatif d'enregistrements concernés
Les conséquences probables de la violation
Les mesures prises ou proposées pour remédier à la violation et atténuer ses conséquences
Le nom et les coordonnées du DPO ou du point de contact

Cette notification permet au Responsable de traitement de procéder à sa propre notification à la CNIL dans le délai de 72 heures imposé par l'Art. 33 RGPD, et le cas échéant d'informer les personnes concernées en cas de risque élevé (Art. 34 RGPD).

Article 6 — Sous-traitance ultérieure

Le Responsable de traitement autorise le Sous-traitant à recourir aux sous-traitants ultérieurs listés à l'Annexe 3. La liste à jour est également publiée sur /sous-traitants.

Tout ajout, changement ou remplacement d'un sous-traitant ultérieur fait l'objet d'une information préalable du Responsable par email avec un délai d'opposition de 30 jours. En cas d'opposition motivée, les parties coopèrent pour trouver une solution. À défaut, le Responsable peut résilier le contrat sans frais.

Le Sous-traitant impose à chaque sous-traitant ultérieur des obligations contractuelles équivalentes aux présentes.

Article 7 — Transferts hors UE

Lorsqu'un transfert de données hors UE est nécessaire, le Sous-traitant le réalise uniquement vers des pays bénéficiant d'une décision d'adéquation ou sur la base :

des Clauses Contractuelles Types(Décision d'exécution UE 2021/914 du 4 juin 2021)
de la certification au Data Privacy Framework (Décision d'adéquation UE 2023/1795 du 10 juillet 2023)
ou de toute autre garantie appropriée au sens de l'Art. 46 RGPD

La liste des transferts hors UE par sous-traitant est tenue à jour sur la page /sous-traitants.

Article 8 — Coopération avec la CNIL

Le Sous-traitant coopère avec la CNIL et toute autre autorité de contrôle compétente, sur demande, dans l'exécution de leurs missions.

Article 9 — Droit d'audit

Le Responsable de traitement bénéficie d'un droit d'audit exercé aux conditions suivantes :

Un (1) audit par an maximum, sauf incident de sécurité grave imputable au Sous-traitant
Préavis écrit de 60 jours
Engagement de confidentialité couvrant toute information technique ou commerciale obtenue
Frais d'audit supportés par le Responsable, sauf manquement avéré du Sous-traitant auquel cas les frais raisonnables sont pris en charge par ce dernier
Possibilité pour le Sous-traitant de proposer en lieu et place, à sa discrétion, un rapport d'audit indépendant récent (ex. SOC 2 Type II, ISO 27001)

Article 10 — Assistance à l'AIPD et consultation préalable

Le Sous-traitant assiste raisonnablement le Responsable dans la réalisation d'Analyses d'Impact relatives à la Protection des Données (AIPD) au sens de l'Art. 35 RGPD et, si nécessaire, dans la consultation préalable de l'autorité de contrôle (Art. 36 RGPD).

Article 11 — Responsabilité et assurance

Chaque partie assume les conséquences de ses manquements dans les conditions prévues par les Articles 82 et 83 RGPD ainsi que par les CGU.

Le Sous-traitant a souscrit une assurance de Responsabilité Civile Professionnelle auprès de Assurup, pour le compte de Hiscox, pour un montant de 200 000 €.

Article 12 — Droit applicable et juridiction

Le présent DPA est régi par le droit français. Tout différend relatif à son interprétation ou son exécution relève de la compétence exclusive du Tribunal Judiciaire de Grasse, conformément à l'Art. 48 du Code de procédure civile applicable entre professionnels.

Article 13 — Annexes

Les annexes suivantes font partie intégrante du présent DPA :

Annexe 1 — Description du traitement
Annexe 2 — Mesures techniques et organisationnelles (Art. 32 RGPD)
Annexe 3 — Liste des sous-traitants ultérieurs (voir /sous-traitants)
Annexe 4 — Renvoi aux Clauses Contractuelles Types UE 2021/914 (Module 3 — sous-traitant → sous-traitant ultérieur hors UE)

Annexe 1 — Description du traitement

Nature du traitement	Collecte, structuration, consultation, mise à jour, criblage, archivage de données personnelles à des fins de conformité LCB-FT
Finalité	Respect par le Responsable de traitement de ses obligations de vigilance LCB-FT au titre des Articles L.561-1 et suivants du Code Monétaire et Financier
Catégories de données	Données d'identification (nom, prénom, date de naissance, nationalité, adresse), données professionnelles (fonction, SIREN, ORIAS, Barreau), données financières (capital, CA public), données concernant les mesures de sanctions (pénales, financières internationales)
Catégories de personnes concernées	Dirigeants de personnes morales, bénéficiaires effectifs (Art. L.561-2-2 CMF), clients et prospects du Responsable de traitement, tiers criblés
Durée du traitement	Durée de l'abonnement + 5 ans après fin de la relation d'affaires (Art. L.561-12 CMF)

Annexe 2 — Mesures techniques et organisationnelles (Art. 32 RGPD)

Chiffrement : TLS 1.3 en transit (HTTPS forcé, HSTS), AES-256 au repos sur les bases de données
Authentification forte : MFA TOTP, magic-link par email, SSO SAML 2.0 (plan Structure+)
Hachage sécurisé: bcrypt coût 12 pour les mots de passe, SHA-256 pour l'intégrité documentaire
Horodatage qualifié : RFC 3161 via FreeTSA (autorité de confiance autrichienne) pour chaque rapport généré
Journal d'audit immuable : chaîne SHA-256 détectant toute altération, chaque action utilisateur tracée
Isolation multi-tenant stricte: toutes les requêtes filtrées par organizationId, impossibilité d'accéder aux données d'une autre organisation
Séparation des environnements : prod, préprod, dev cloisonnés
Sauvegardes chiffrées : quotidiennes, conservées 30 jours, restauration testée trimestriellement
Gestion des accès : principe du moindre privilège, traçabilité 12 mois, RBAC à 4 rôles + overrides
Revues de sécurité: applicatives régulières, tests d'intrusion annuels par un tiers qualifié
Hébergement: exclusivement en France, dans les datacenters OVH de Strasbourg (UE). Aucune donnée personnelle n'est stockée hors UE par l'hébergeur.
Sensibilisation : formation sécurité régulière des collaborateurs
Gestion des incidents : procédure de notification sous 48h au Responsable de traitement, runbook documenté

Les mesures sont actualisées en fonction de l'état de l'art.

Annexe 3 — Sous-traitants ultérieurs

La liste à jour des sous-traitants ultérieurs, avec leur localisation et les garanties applicables, est publiée sur : https://conformitiel.fr/sous-traitants

Annexe 4 — Renvoi aux Clauses Contractuelles Types UE 2021/914

Pour tout transfert de données hors UE vers un sous-traitant ultérieur, les Clauses Contractuelles Types approuvées par la Décision d'exécution (UE) 2021/914 du 4 juin 2021, Module 3 (sous-traitant → sous-traitant), s'appliquent et sont réputées incorporées par référence aux présentes.

Le texte intégral des SCC est disponible sur eur-lex.europa.eu.

Contrat de Sous-traitance RGPD (DPA)