Accord de Sous-traitance RGPD (DPA)

📋 Document Contractuel

Cet accord définit les obligations respectives du Client (Responsable de traitement) et d'ADC360 (Sous-traitant) concernant le traitement des données personnelles dans le cadre du service.

1. Parties au Contrat

1.1 Responsable de Traitement (Client)

L'organisation cliente souscrivant au service ADC360, agissant en qualité de responsable de traitement au sens de l'article 4.7 du RGPD.

1.2 Sous-traitant (ADC360)

[Nom de l'auto-entreprise], micro-entrepreneur
SIRET : [Numéro SIRET]
Adresse : [Adresse complète]
Email : [Adresse email de contact]
Représentant : [Prénom NOM]

2. Objet et Durée

2.1 Objet

Le présent accord définit les conditions dans lesquelles ADC360 traite les données personnelles pour le compte du Client dans le cadre du service de génération d'arbres des causes.

2.2 Durée

Cet accord prend effet à la souscription du service et demeure en vigueur pendant toute la durée du contrat principal, incluant la période de restitution/suppression des données.

3. Nature des Traitements

3.1 Finalités du Traitement

  • Fourniture du service SaaS ADC360
  • Génération d'arbres des causes à partir de récits d'accidents
  • Stockage et gestion des données d'analyse
  • Support technique et assistance utilisateur
  • Sauvegarde et archivage des données

3.2 Catégories de Données Traitées

  • Données d'identification : Nom, prénom, fonction, coordonnées professionnelles
  • Données d'accidents : Récits, circonstances, témoignages, analyses
  • Données techniques : Logs de connexion, données d'usage
  • Données sensibles potentielles : Informations relatives à la santé dans le contexte des accidents

3.3 Personnes Concernées

  • Utilisateurs du service (employés du Client)
  • Personnes impliquées dans les accidents analysés
  • Témoins et intervenants mentionnés dans les récits

4. Obligations du Sous-traitant

4.1 Traitement Conforme

ADC360 s'engage à :

  • Traiter les données uniquement sur instruction documentée du Client
  • Ne pas utiliser les données à ses propres fins
  • Respecter les finalités définies dans cet accord
  • Ne pas transférer les données sans autorisation écrite

4.2 Confidentialité

ADC360 garantit que les personnes autorisées à traiter les données s'engagent à respecter la confidentialité ou sont soumises à une obligation légale appropriée de confidentialité.

4.3 Sécurité

ADC360 met en œuvre les mesures techniques et organisationnelles appropriées :

  • Chiffrement : Données chiffrées en transit (HTTPS/TLS) et au repos
  • Accès : Contrôle d'accès strict et authentification forte
  • Sauvegarde : Sauvegardes chiffrées et régulières
  • Surveillance : Monitoring des accès et détection d'anomalies
  • Mise à jour : Correctifs de sécurité appliqués régulièrement

4.4 Notification des Violations

En cas de violation de données personnelles, ADC360 s'engage à notifier le Client dans les 48 heures suivant la découverte, en précisant :

  • La nature de la violation
  • Les catégories et nombre approximatif de personnes concernées
  • Les conséquences probables de la violation
  • Les mesures prises ou envisagées

5. Sous-traitance Ultérieure

5.1 Autorisation

Le Client autorise ADC360 à recourir à des sous-traitants ultérieurs pour les services suivants :

  • Hébergement : [Nom de l'hébergeur] (UE)
  • Sauvegarde : [Nom du prestataire de sauvegarde] (le cas échéant)

5.2 Garanties

ADC360 s'engage à imposer aux sous-traitants ultérieurs les mêmes obligations de protection des données que celles définies dans le présent accord.

5.3 Modification

Tout changement de sous-traitant ultérieur sera notifié au Client avec un préavis de [Durée du préavis] jours, permettant au Client de s'y opposer.

6. Exercice des Droits des Personnes

6.1 Assistance

ADC360 assiste le Client dans le traitement des demandes d'exercice des droits des personnes concernées (accès, rectification, effacement, portabilité, limitation, opposition).

6.2 Délais

ADC360 répond aux demandes d'assistance du Client dans un délai de [Délai] jours ouvrés suivant la réception de la demande.

6.3 Moyens Techniques

Le service ADC360 intègre des fonctionnalités permettant au Client d'exercer directement certains droits via l'interface (export, suppression, modification).

7. Analyse d'Impact et Consultation

ADC360 fournit toute assistance raisonnablement nécessaire au Client pour la réalisation d'analyses d'impact sur la protection des données (AIPD) et les consultations préalables auprès de l'autorité de contrôle.

8. Localisation et Transferts

8.1 Localisation

Les données sont traitées et stockées exclusivement dans l'Union Européenne, sur les serveurs de [Nom de l'hébergeur] situés en [Pays UE].

8.2 Interdiction de Transfert

Aucun transfert de données personnelles vers des pays tiers à l'Union Européenne n'est autorisé sans accord écrit préalable du Client et mise en place de garanties appropriées.

9. Audit et Contrôle

9.1 Documentation

ADC360 tient à disposition du Client la documentation nécessaire pour démontrer le respect des obligations définies dans le présent accord.

9.2 Audit

Le Client peut procéder à des audits ou mandater un auditeur indépendant, moyennant :

  • Préavis de [Durée du préavis] jours
  • Respect des contraintes de sécurité et de confidentialité d'ADC360
  • Fréquence raisonnable (maximum une fois par an sauf incident)

10. Durée de Conservation et Restitution

10.1 Conservation

Les données sont conservées pendant la durée strictement nécessaire aux finalités du traitement, selon les paramètres définis par le Client dans son interface.

10.2 Fin de Contrat

À l'expiration du contrat, ADC360 s'engage à, au choix du Client :

  • Restituer toutes les données dans un format structuré et lisible
  • Supprimer définitivement toutes les données et leurs copies

10.3 Délais

La restitution ou suppression intervient dans un délai maximum de [Durée] jours suivant la fin du contrat, sauf obligation légale de conservation.

11. Responsabilité

11.1 Répartition

  • Client (Responsable de traitement) : Finalités, licéité, information des personnes, exercice des droits
  • ADC360 (Sous-traitant) : Sécurité, confidentialité, instructions, assistance

11.2 Sanctions RGPD

Chaque partie assume la responsabilité des sanctions qui lui sont imputables en cas de violation de ses obligations respectives.

12. Modifications et Résiliation

12.1 Modifications

Toute modification du présent accord doit faire l'objet d'un avenant écrit accepté par les deux parties.

12.2 Résiliation

En cas de violation substantielle des obligations de protection des données, chaque partie peut résilier l'accord moyennant un préavis de [Durée du préavis] jours.

13. Contact DPO

Pour toute question relative au présent accord ou à la protection des données :

Délégué à la Protection des Données (DPO) :
[Si applicable : Nom et coordonnées du DPO]
ou
Contact Data Protection :
Email : [Adresse email DPO/contact]
Téléphone : [Numéro de téléphone]

14. Droit Applicable

Le présent accord est soumis au droit français et au Règlement Général sur la Protection des Données (RGPD). En cas de litige, les tribunaux français sont compétents.

✅ Acceptation

En souscrivant au service ADC360, le Client accepte automatiquement les termes du présent Accord de Sous-traitance RGPD. Une copie signée peut être fournie sur demande.

Version : [Numéro de version]
Date d'entrée en vigueur : [Date d'entrée en vigueur]
Dernière mise à jour : [Date de mise à jour]