Accord de Traitement des Données (DPA)
Le présent Accord de Traitement des Données (ci-après "DPA") est conclu entre le Client (ci-après "le Responsable de Traitement") et UNIVILE SAS, éditeur de MAFATE (ci-après "le Sous-traitant"), conformément à l'article 28 du RGPD.
Comment utiliser ce DPA : Ce document est automatiquement applicable à tout contrat d'utilisation de MAFATE. Vous pouvez le télécharger et l'annexer à vos registres de sous-traitants RGPD ou à votre documentation DORA. Pour un DPA personnalisé (avec clauses spécifiques), contactez dpo@mafate.io.
Article 1 - Objet et durée
Le présent DPA a pour objet de définir les conditions dans lesquelles UNIVILE SAS, en qualité de Sous-traitant, traite des données à caractère personnel pour le compte du Client, en qualité de Responsable de Traitement, dans le cadre de la fourniture du service MAFATE.
Le présent DPA entre en vigueur à la date d'acceptation des Conditions Générales d'Utilisation et de Vente et reste en vigueur pendant toute la durée du contrat, puis jusqu'à la suppression effective de toutes les données conformément à l'Article 9.
Article 2 - Nature et finalité du traitement
Dans le cadre de l'utilisation de MAFATE, UNIVILE SAS peut être amené à traiter les catégories de données suivantes pour le compte du Client :
| Nature des données | Finalité | Mode de traitement |
|---|---|---|
| Données chiffrées par le Client (ciphertext) | Stockage confidentiel, déchiffrement à la demande | MAFATE ne peut accéder au contenu - traitement cryptographique uniquement |
| Metadata des clés (noms, dates, paramètres) | Gestion du cycle de vie des clés | Stockage chiffré, accès restreint au tenant |
| Journaux d'opérations (user ID, action, timestamp) | Audit, conformité, sécurité | Stockage chiffré, chaîne HMAC immutable |
| Données de compte (email, nom, rôle) | Authentification, administration | Stockage chiffré, accès authentifié |
Catégorie particulière : MAFATE peut techniquement chiffrer des données de santé (Art. 9 RGPD) uniquement si le Client est titulaire d'un plan HDS ou a obtenu une autorisation expresse d'UNIVILE SAS par écrit. Par défaut, MAFATE n'est pas qualifié HDS.
Article 3 - Obligations du Sous-traitant (UNIVILE SAS)
Conformément à l'article 28(3) du RGPD, UNIVILE SAS s'engage à :
- Traiter uniquement sur instruction : Traiter les données personnelles uniquement sur instruction documentée du Responsable de Traitement, sauf obligation légale contraire.
- Confidentialité : Garantir que les personnes autorisées à traiter les données sont soumises à une obligation de confidentialité.
- Sécurité (Art. 32) : Mettre en œuvre les mesures techniques et organisationnelles décrites à l'Article 4 ci-dessous.
- Sous-traitants ultérieurs : Obtenir l'accord préalable du Responsable de Traitement avant tout recours à un nouveau sous-traitant ultérieur (voir Article 5).
- Droits des personnes : Aider le Responsable de Traitement à satisfaire les demandes d'exercice des droits des personnes concernées.
- Assistance : Aider le Responsable de Traitement à garantir le respect des obligations des articles 32 à 36 du RGPD.
- Suppression ou restitution : À l'issue des services, supprimer ou restituer toutes les données personnelles (voir Article 9).
- Audit : Mettre à disposition toutes les informations nécessaires pour démontrer le respect des obligations du présent article (voir Article 8).
Article 4 - Mesures de sécurité (Art. 32 RGPD)
UNIVILE SAS met en œuvre les mesures techniques et organisationnelles suivantes :
Chiffrement
- AES-256-GCM pour les données au repos
- TLS 1.3 minimum pour les données en transit
- Envelope encryption avec HSM (PKCS#11)
- Clés de données (DEK) chiffrées par KEK HSM
Intégrité et confidentialité
- Isolation multi-tenant (VPC dédié)
- Principe du moindre privilège
- Journaux d'accès HMAC inaltérable
- Zéro accès opérateur aux données chiffrées
Disponibilité et résilience
- SLA 99,9% mensuel
- Backup chiffré sur OVH (France)
- RTO < 4h, RPO < 1h
- Programme de tests de restauration (résultats sur demande)
Gouvernance
- Authentification 2FA obligatoire (admin)
- Formation sécurité du personnel
- Tests de sécurité réguliers
- Procédure de gestion des incidents
Article 5 - Sous-traitants ultérieurs
UNIVILE SAS est autorisée à avoir recours aux sous-traitants ultérieurs suivants (autorisation générale préalable du Client au titre de l'article 28(2) RGPD) :
Scaleway SAS
Infrastructure cloud principale (calcul, stockage, réseau)
RGPD, droit français, hébergement France exclusivement
OVH SAS
Sauvegarde et backup secondaire
RGPD, droit français, hébergement France exclusivement
Stripe Payments Europe Ltd
Traitement des paiements uniquement (données de facturation)
RGPD, PCI DSS L1, pas de données chiffrées client
UNIVILE SAS informera le Responsable de Traitement de tout changement de sous-traitant ultérieur avec un préavis de 30 jours, permettant au Responsable de Traitement de s'y opposer.
Article 6 - Notification de violation de données
En cas de violation de la sécurité susceptible d'affecter des données personnelles du Client, UNIVILE SAS notifiera le Responsable de Traitement selon le calendrier suivant, conforme aux exigences NIS2 (Art. 23) et DORA (Art. 19) :
- Alerte initiale : 24 heures - notification de l'existence de l'incident avec premiers éléments
- Notification détaillée : 72 heures - évaluation de l'impact, nature et catégories de données, indicateurs de compromission
- Rapport final : 1 mois - cause profonde, mesures correctives, impact définitif
Pour les clients du secteur financier (entités assujetties DORA), une alerte initiale sera transmise dans les 4 heures suivant la détection (DORA Art. 19, RTS 2025/301).
La notification comprendra, dans la mesure du possible :
- La nature de la violation et les catégories de données concernées
- Le nombre approximatif de personnes et d'enregistrements concernés
- Les conséquences probables de la violation
- Les mesures prises ou envisagées pour y remédier
- Le nom et les coordonnées du point de contact
Il incombe au Responsable de Traitement d'évaluer si la violation doit faire l'objet d'une notification à la CNIL (Art. 33 RGPD) et/ou aux personnes concernées (Art. 34 RGPD).
Article 7 - Transferts de données hors UE
Aucun transfert hors Union européenne
UNIVILE SAS garantit qu'aucune donnée personnelle traitée dans le cadre du présent DPA n'est transférée en dehors de l'Union européenne. Scaleway et OVH hébergent exclusivement en France. Stripe Payments Europe Ltd opère depuis l'Irlande (UE).
Article 8 - Droit d'audit
UNIVILE SAS met à disposition du Responsable de Traitement toutes les informations nécessaires pour démontrer le respect des obligations du présent DPA, notamment :
- Le present DPA et la politique de sécurité (sur demande)
- Les rapports d'audit de sécurité (sur demande, sous NDA)
- L'accès aux journaux d'audit relatifs aux traitements du Client
- Les réponses aux questionnaires de due diligence (RSSI, DPO)
Des audits sur site peuvent être organisés avec un préavis de 30 jours minimum, aux frais du Client, et sous réserve que l'audit ne perturbe pas l'exploitation du service pour les autres clients.
Article 9 - Sort des données en fin de contrat
À la fin du contrat, quelle qu'en soit la cause, UNIVILE SAS procédera comme suit :
Période de grâce : le Client peut exporter ses journaux et metadata depuis l'interface. Les données chiffrées restent accessibles avec les clés existantes.
Suppression des données actives : toutes les données du tenant sont supprimées des serveurs principaux.
Suppression des sauvegardes : les backups OVH contenant les données du Client sont supprimés.
Certification de suppression : une attestation de suppression est disponible sur demande.
Les données de facturation et journaux de sécurité sont conservés conformément aux obligations légales applicables (voir Politique de Confidentialité, Article 6).
Article 10 - Droit applicable
Le présent DPA est soumis au droit français et s'interprète conformément au RGPD (Règlement UE 2016/679). En cas de litige, les parties s'engagent à une résolution amiable avant tout recours. La juridiction compétente est celle prévue aux CGU/CGV.
Besoin d'un DPA personnalisé ?
Ce DPA standard convient à la majorité des cas. Pour des besoins spécifiques (clauses sectorielles, audit contractuel, entités financières DORA), contactez notre DPO pour un DPA personnalisé.
Contacter le DPO - dpo@mafate.io