Accord de sous-traitance des données personnelles

Conclu en application de l'article 28 du Règlement (UE) 2016/679 (RGPD)

Entre les parties

Le responsable de traitement : le conseiller utilisateur du service Glyphe, ci-après « le Responsable de traitement », tel qu'identifié lors de la souscription de son abonnement.

Le sous-traitant :

• JAZZY CONSULTING SAS, éditrice du service Glyphe
• SIRET : 990 017 022 00015
• 13 rue Bleue, 75009 Paris
• Représentée par Julien Zakoian, Président

ci-après « le Sous-traitant ».

L'acceptation des conditions générales d'utilisation du service Glyphe emporte acceptation du présent accord.

1. Objet

Le présent accord définit les conditions dans lesquelles le Sous-traitant traite, pour le compte du Responsable de traitement, les données personnelles des clients de ce dernier, dans le cadre de l'utilisation du service Glyphe.

Le détail du traitement (nature, finalité, durée, catégories de données et de personnes concernées) figure en Annexe 1.

2. Durée

Le présent accord s'applique pendant toute la durée de l'abonnement du Responsable de traitement au service Glyphe. Il prend fin avec la résiliation de cet abonnement, sous réserve des obligations relatives au sort des données prévues à l'article 10.

3. Instructions documentées

Le Sous-traitant traite les données personnelles uniquement sur instruction documentée du Responsable de traitement, y compris en ce qui concerne les transferts éventuels. Le paramétrage du service par le Responsable de traitement et les présentes constituent ces instructions. Le Sous-traitant informe le Responsable de traitement si une instruction lui paraît constituer une violation du RGPD.

4. Confidentialité

Le Sous-traitant veille à ce que les personnes autorisées à traiter les données s'engagent à en respecter la confidentialité, ou soient soumises à une obligation légale appropriée de confidentialité.

5. Sécurité

Le Sous-traitant met en œuvre les mesures techniques et organisationnelles appropriées prévues à l'article 32 du RGPD, décrites en Annexe 3, afin de garantir un niveau de sécurité adapté au risque.

6. Sous-traitants ultérieurs

Le Responsable de traitement autorise le Sous-traitant à recourir aux sous-traitants ultérieurs listés en Annexe 2 pour l'exécution du service.

Le Sous-traitant informe le Responsable de traitement de tout changement prévu concernant l'ajout ou le remplacement d'un sous-traitant ultérieur, par une mise à jour de l'Annexe 2 et une notification, laissant ainsi au Responsable de traitement la possibilité de s'y opposer dans un délai raisonnable. Le Sous-traitant impose aux sous-traitants ultérieurs les mêmes obligations de protection des données que celles prévues au présent accord.

7. Droit des personnes concernées

Le Sous-traitant aide le Responsable de traitement, par des mesures techniques et organisationnelles appropriées, à s'acquitter de son obligation de donner suite aux demandes d'exercice des droits des personnes concernées (accès, rectification, effacement, portabilité, opposition, limitation). Lorsqu'une demande est adressée directement au Sous-traitant, celui-ci la transmet au Responsable de traitement.

8. Assistance et notification des violations

Le Sous-traitant aide le Responsable de traitement à garantir le respect des obligations prévues aux articles 32 à 36 du RGPD, compte tenu de la nature du traitement et des informations à sa disposition. Le Sous-traitant notifie au Responsable de traitement toute violation de données personnelles dans les meilleurs délais après en avoir pris connaissance, en fournissant les éléments utiles à la déclaration éventuelle auprès de la CNIL.

9. Audit

Le Sous-traitant met à la disposition du Responsable de traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues à l'article 28 du RGPD et pour permettre la réalisation d'audits, y compris des inspections, dans des conditions raisonnables et après préavis.

10. Sort des données en fin de contrat

Au terme de la prestation, et selon le choix du Responsable de traitement, le Sous-traitant supprime ou restitue les données personnelles, puis détruit les copies existantes, sauf obligation légale de conservation. À défaut d'instruction contraire, les données sont supprimées dans un délai de 30 jours suivant la résiliation de l'abonnement.

Annexe 1 : Description du traitement

• Objet : gestion de la conformité documentaire des clients du Responsable de traitement (KYC, LCB-FT, documents réglementaires).
• Nature des opérations : collecte, enregistrement, organisation, structuration, conservation, extraction par reconnaissance automatique, génération de documents, consultation, suppression.
• Finalité : permettre au Responsable de traitement de remplir ses obligations réglementaires de conseil et de conformité.
• Durée : durée de l'abonnement, puis suppression conformément à l'article 10.
• Catégories de données : identité (nom, prénom, date de naissance, nationalité), coordonnées (adresse, email, téléphone), documents d'identité, justificatifs de domicile, avis d'imposition, relevé d'identité bancaire, données patrimoniales et financières.
• Catégories de personnes concernées : les clients et prospects du Responsable de traitement.

Annexe 2 : Liste des sous-traitants ultérieurs

Stripe et Google Analytics ne figurent pas dans cette annexe car ils ne traitent pas les données des clients du conseiller : Stripe traite les données de facturation du conseiller, et Google Analytics ne concerne que la mesure d'audience du site vitrine.

Annexe 3 : Mesures techniques et organisationnelles

• Chiffrement des communications (TLS)
• Chiffrement au repos AES-256 (SSE-S3) des documents stockés dans Scaleway Object Storage
• Chiffrement AES-256-GCM des données personnelles sensibles enregistrées en base de données
• Mots de passe hachés (bcrypt)
• Authentification par jetons signés (JWT)
• Isolation logique des données par conseiller
• Hébergement en France
• Liens de collecte à durée limitée et révocables
• Journalisation des accès et conservation limitée des journaux (12 mois)