Accord de traitement des données (DPA)

Dernière mise à jour : 2026-04-12

Notice juridique. Ce document modèle doit être examiné par un conseil juridique qualifié avant tout déploiement commercial. Les valeurs fictives (raison sociale, SIRET, adresse, contact DPO) doivent être remplacées par les informations réelles avant publication.

1. Objet

Le présent Accord de traitement des données (« DPA ») fait partie intégrante du contrat conclu entre Certyneo SAS (« Sous-traitant ») et son Client (« Responsable du traitement ») dans le cadre de l'utilisation de la plateforme de signature électronique Certyneo, et définit les conditions dans lesquelles le Sous-traitant traite les Données personnelles pour le compte du Responsable du traitement conformément à l'article 28 du RGPD.

2. Définitions

« Données personnelles », « Traitement », « Responsable du traitement », « Sous-traitant », « Personne concernée » et « Autorité de contrôle » ont la signification définie à l'article 4 du RGPD.

3. Objet, durée et nature du traitement

Objet : traitement des Données personnelles nécessaire à la fourniture de la plateforme Certyneo.
Durée : pour la durée du contrat principal, augmentée de toute période de conservation légalement imposée.
Nature et finalité : hébergement, collecte de signatures, génération de pistes d'audit, stockage et remise de documents signés.
Catégories de personnes concernées : employés, clients, fournisseurs et signataires du Responsable du traitement.
Catégories de Données personnelles : données d'identification, données de contact, données de signature, journaux techniques.

4. Obligations du Sous-traitant

  • Traiter les Données personnelles uniquement sur instructions documentées du Responsable du traitement.
  • Veiller à ce que les personnes autorisées à traiter les données soient soumises à une obligation de confidentialité.
  • Mettre en œuvre des mesures techniques et organisationnelles de sécurité appropriées (art. 32 du RGPD).
  • Assister le Responsable du traitement dans le traitement des demandes des personnes concernées.
  • Notifier le Responsable du traitement dans les meilleurs délais de toute violation de données personnelles (art. 33).
  • Assister dans la réalisation d'analyses d'impact et de consultations préalables le cas échéant (art. 35-36).
  • Au choix du Responsable du traitement, supprimer ou restituer l'ensemble des Données personnelles à la fin des prestations.

5. Sous-traitants ultérieurs

Le Responsable du traitement autorise le Sous-traitant à faire appel à des sous-traitants ultérieurs, sous réserve d'une obligation d'information préalable et du droit de s'y opposer pour des motifs raisonnables. Une liste actualisée des sous-traitants ultérieurs est disponible sur demande. Les sous-traitants ultérieurs sont liés par des obligations équivalentes en matière de protection des données via des contrats écrits.

6. Transferts internationaux

Lorsque des Données personnelles sont transférées hors de l'EEE, le Sous-traitant met en place des garanties appropriées, notamment les Clauses Contractuelles Types adoptées par la Commission européenne en 2021.

7. Droits d'audit

Le Responsable du traitement a le droit, à ses frais et sous réserve d'un préavis écrit de 30 jours, d'auditer la conformité du Sous-traitant au présent DPA une fois par an, ou plus fréquemment à la suite d'une violation de Données personnelles. Les audits peuvent être réalisés par le biais d'attestations tierces (par exemple ISO 27001, SOC 2) afin de limiter les perturbations.

8. Responsabilité

La responsabilité de chaque partie au titre du présent DPA est soumise aux limitations prévues dans le contrat principal, sans préjudice des droits des personnes concernées en vertu de l'article 82 du RGPD.