Contrat de sous-traitance des données (DPA)
Accord relatif au traitement de données à caractère personnel pour le compte du responsable du traitement conformément à l'art. 28 RGPD
Préambule
Le présent contrat précise les obligations des parties en matière de protection des données dans le cadre de l'utilisation existante des services de la société 121 Apps GmbH (ci-après le « sous-traitant ») par le client (ci-après le « responsable du traitement »). Il s'applique à toutes les activités dans le cadre desquelles le sous-traitant traite des données à caractère personnel pour le compte du responsable du traitement.
§ 1 Objet, nature, étendue, finalité & durée
(1) L'objet et la finalité du traitement résultent du contrat principal sous-jacent (utilisation du service concerné). Le sous-traitant traite les données exclusivement pour fournir les prestations convenues contractuellement et sur instruction documentée du responsable du traitement.
(2) Selon le service utilisé, le traitement comprend en particulier la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation, la consultation, l'interrogation, l'utilisation, la transmission, la limitation et l'effacement de données à caractère personnel.
(3) La durée du traitement correspond à la durée du contrat principal.
§ 2 Nature des données & catégories de personnes concernées
(1) Nature des données à caractère personnel : selon le service utilisé, p. ex. données de base (nom, e-mail, adresse), données de contact, données d'utilisation et de journalisation, ainsi que données de contenu saisies par le responsable du traitement (p. ex. réponses à des enquêtes, données de commandes et de prestataires).
(2) Les catégories particulières de données à caractère personnel (art. 9 RGPD) ne font pas l'objet du contrat, sauf si le responsable du traitement introduit lui-même de telles données dans les données de contenu ; dans ce cas, les exigences de protection renforcées s'appliquent en conséquence.
(3) Catégories de personnes concernées : p. ex. salariés, clients, prospects, participants à des enquêtes et prestataires du responsable du traitement.
§ 3 Obligations du sous-traitant
(1) Le sous-traitant ne traite les données que sur instruction documentée du responsable du traitement, sauf s'il est légalement tenu de procéder au traitement. Les instructions sont données sous forme de texte ou par écrit ; les instructions données oralement doivent être confirmées sans retard injustifié sous forme de texte ou par écrit. Chaque partie peut désigner des personnes habilitées à donner des instructions.
(2) Il garantit que les personnes autorisées à effectuer le traitement se sont engagées à respecter la confidentialité ou sont soumises à une obligation légale appropriée de confidentialité.
(3) Il met en œuvre toutes les mesures techniques et organisationnelles requises par l'art. 32 RGPD (§ 4 en liaison avec l'annexe 1).
(4) Il assiste le responsable du traitement, dans la mesure du possible, dans l'exécution des droits des personnes concernées (art. 12–23 RGPD) ainsi que des obligations prévues aux art. 32–36 RGPD (sécurité des données, notification des violations, analyse d'impact relative à la protection des données).
(5) Le sous-traitant informe le responsable du traitement sans retard injustifié lorsqu'une instruction enfreint, selon lui, des dispositions relatives à la protection des données.
§ 4 Mesures techniques et organisationnelles (art. 32)
Le sous-traitant maintient des mesures techniques et organisationnelles appropriées au sens de l'art. 32 RGPD, en particulier pour garantir la confidentialité, l'intégrité, la disponibilité et la résilience des systèmes, ainsi que pour vérifier régulièrement leur efficacité. Les mesures concrètes sont décrites à l'annexe 1 et font partie intégrante du présent contrat. Des modifications substantielles ne doivent pas descendre en dessous du niveau de protection convenu.
§ 5 Sous-traitants ultérieurs
(1) Le responsable du traitement accorde une autorisation générale pour le recours à des sous-traitants ultérieurs. Le sous-traitant informe le responsable du traitement en temps utile sous forme de texte des modifications envisagées (ajout ou remplacement). Le responsable du traitement peut s'opposer à une modification pour un motif important tenant à la protection des données dans un délai de quatre semaines à compter de l'information ; à défaut d'opposition, la modification est réputée approuvée.
(2) Le sous-traitant impose aux sous-traitants ultérieurs un niveau de protection des données équivalent (art. 28, par. 4 RGPD). Les sous-traitants ultérieurs actuellement engagés sont énumérés à l'annexe 2.
§ 6 Violations de données
Le sous-traitant notifie au responsable du traitement les violations de données à caractère personnel sans retard injustifié, et au plus tard dans les 24 heures suivant leur découverte, et l'assiste dans ses obligations de notification et de communication (art. 33, 34 RGPD), afin que le responsable du traitement puisse respecter son propre délai de 72 heures.
§ 7 Effacement & restitution
À l'issue du traitement, le sous-traitant efface les données, au choix du responsable du traitement, ou les restitue et supprime les copies existantes, sauf obligation légale de conservation. Le responsable du traitement a la possibilité d'exporter ses données jusqu'à la fin du contrat.
§ 8 Justificatifs & contrôles
(1) Le sous-traitant met à la disposition du responsable du traitement les informations nécessaires pour démontrer le respect des obligations prévues à l'art. 28 RGPD. Cette démonstration peut également être apportée au moyen de certificats, attestations ou rapports actuels de tiers indépendants appropriés.
(2) Les vérifications allant au-delà (y compris les contrôles sur place) sont effectuées moyennant un préavis raisonnable, en règle générale de deux semaines, au maximum une fois par an ainsi que, de manière ponctuelle, en cas de soupçon concret, pendant les heures ouvrables habituelles et sans perturbation disproportionnée de l'exploitation. Les coûts d'un contrôle sur place initié par le responsable du traitement sont à la charge de celui-ci, sauf si le contrôle révèle un manquement significatif du sous-traitant.
§ 9 Transfert vers des pays tiers
Le traitement a lieu, par principe, exclusivement au sein de l'UE ou de l'EEE. Un transfert vers un pays tiers ne s'effectue que dans le respect des conditions des art. 44 et suivants du RGPD. La seule exception actuelle est le traitement des paiements via Stripe, dans le cadre duquel un transfert vers les États-Unis ne peut être totalement exclu et qui est fondé sur les clauses contractuelles types de l'UE (art. 46 RGPD). Au-delà, aucun transfert vers des pays tiers n'a lieu.
§ 10 Responsabilité & dispositions finales
(1) La responsabilité est régie par l'art. 82 RGPD. Dans les rapports entre les parties, les dispositions du contrat principal relatives à la responsabilité s'appliquent en complément.
(2) En cas de contradiction entre le présent DPA et le contrat principal, les dispositions du présent DPA prévalent pour les questions relatives à la protection des données.
(3) Le droit allemand s'applique. Le for exclusif est, dans la mesure permise par la loi, Munich.
(4) Les modifications et compléments du présent contrat requièrent la forme textuelle. Si une disposition est invalide, le contrat demeure valable pour le surplus.
(5) Le présent DPA fait partie intégrante de la relation contractuelle avec le contrat principal. Il est conclu par voie électronique, le responsable du traitement l'acceptant lors de la souscription d'un abonnement payant — dans le cadre du processus de commande et de paiement via Stripe ou par confirmation dans son compte client. Conformément à l'art. 28, par. 9 RGPD, une signature manuscrite n'est pas requise ; la forme électronique suffit.
Annexe 1 — Mesures techniques et organisationnelles (art. 32 RGPD)
Le sous-traitant met en œuvre les mesures suivantes. Cette liste doit être rapprochée de la pratique effectivement mise en œuvre avant utilisation.
1. Confidentialité
- Contrôle de l'accès physique : exploitation dans les centres de données de la société Alfahosting GmbH (Halle/Saale) et de la société Hetzner Online GmbH (Gunzenhausen) avec contrôle d'accès physique sécurisé (notamment sécurisation des accès et vidéosurveillance).
- Contrôle de l'accès aux systèmes : comptes utilisateurs individuels, mots de passe sécurisés, authentification multifacteur pour les accès administratifs, verrouillages automatiques de session.
- Contrôle de l'accès aux données : concept d'habilitation fondé sur les rôles selon le principe du moindre privilège, journalisation des accès administratifs.
- Contrôle de la séparation : séparation logique par client des données des différents responsables du traitement ; séparation des environnements de production, de test et de développement.
- Chiffrement : chiffrement TLS de la transmission des données ; chiffrement des données sensibles au repos ainsi que stockage chiffré des identifiants et des jetons.
2. Intégrité
- Contrôle des saisies : journalisation de la création, de la modification et de la suppression ; traçabilité via des journaux d'audit.
- Contrôle des transmissions : transmission exclusivement via des connexions chiffrées.
3. Disponibilité et résilience
- sauvegardes régulières et chiffrées et procédure de rétablissement de la disponibilité après un incident ;
- surveillance des systèmes, protection contre les surcharges et les attaques (notamment pare-feu, protection anti-DDoS), mises à jour de sécurité en temps utile.
4. Procédures de vérification, d'analyse et d'évaluation régulières
- vérification régulière de l'efficacité des mesures ; revues de protection des données et de sécurité ; contrôle des sous-traitants ultérieurs ;
- protection des données dès la conception et par défaut (art. 25 RGPD).
Annexe 2 — Sous-traitants ultérieurs
À la date du présent contrat, les sous-traitants ultérieurs suivants sont engagés :
- Alfahosting GmbH, Halle (Saale), Allemagne — hébergement / centre de données (UE).
- Hetzner Online GmbH, Gunzenhausen, Allemagne — hébergement / centre de données (UE).
- Stripe Payments Europe Ltd., Dublin, Irlande — traitement des paiements ; un transfert vers les États-Unis n'est pas exclu et est fondé sur les clauses contractuelles types de l'UE.
- Sendinblue GmbH (Brevo), Cologne, Allemagne — envoi d'e-mails et de notifications (UE).
Dernière mise à jour : 6 juillet 2026
