Data Processing Agreement (DPA)

Le présent DPA a pour objet d'encadrer les conditions dans lesquelles le Sous-traitant traite les données à caractère personnel transmises par le Responsable de traitement dans le cadre de l'utilisation du Service.

Nature du traitement : connexion aux bases sources fournies par le Responsable de traitement, lecture des données, transformation selon les règles d'anonymisation paramétrées par le Responsable de traitement, et écriture vers la base cible désignée par celui-ci. Le Sous-traitant ne conserve aucune copie complète des données sources au-delà de la durée d'exécution du job d'anonymisation.

Finalité du traitement : exclusivement la fourniture du Service d'anonymisation souscrit par le Responsable de traitement.

Durée du traitement : pour la durée du contrat de souscription, puis pendant les délais de conservation indiqués à l'article 9 ci-dessous.

Les catégories de personnes concernées et les catégories de données traitées sont déterminées exclusivement par le Responsable de traitement, en fonction du contenu des bases qu'il connecte au Service. Le Responsable de traitement est seul responsable de la légalité du traitement des données concernées, de la base juridique applicable, et de l'information préalable des personnes concernées.

Conformément à l'article 28 du RGPD, le Sous-traitant s'engage à :

• traiter les données à caractère personnel uniquement sur instruction documentée du Responsable de traitement, y compris en ce qui concerne les transferts vers un pays tiers ;
• garantir que les personnes autorisées à traiter les données s'engagent à respecter la confidentialité ou sont soumises à une obligation légale appropriée de confidentialité ;
• prendre toutes les mesures techniques et organisationnelles requises en application de l'article 32 du RGPD (cf. article 5) ;
• respecter les conditions de recours à un autre sous-traitant prévues à l'article 6 ;
• aider le Responsable de traitement à donner suite aux demandes d'exercice des droits des personnes concernées ;
• aider le Responsable de traitement à respecter ses obligations en matière de notification de violation, d'analyse d'impact et de consultation préalable ;
• mettre à la disposition du Responsable de traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues à l'article 28 du RGPD et permettre la réalisation d'audits dans les conditions prévues à l'article 10 ;
• informer immédiatement le Responsable de traitement si, selon lui, une instruction constitue une violation du RGPD ou d'autres dispositions de l'Union ou des États membres relatives à la protection des données.

Le Responsable de traitement s'engage à :

• documenter par écrit toute instruction concernant le traitement des données par le Sous-traitant ;
• veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le RGPD de son côté ;
• superviser le traitement, y compris en réalisant les audits prévus à l'article 10 ;
• s'assurer de la légalité du traitement effectué via le Service, notamment en ce qui concerne la base légale, l'information des personnes concernées et l'obtention éventuelle de leur consentement.

Le Sous-traitant met en œuvre les mesures techniques et organisationnelles appropriées suivantes, afin de garantir un niveau de sécurité adapté au risque :

• Chiffrement : TLS 1.3 en transit, AES-256-GCM au repos pour les données sensibles, gestion des clés via mécanisme à enveloppe.
• Pseudonymisation : par construction, le Service produit des bases anonymisées ou pseudonymisées selon les règles paramétrées par le Responsable de traitement.
• Contrôle d'accès : authentification multi-facteurs pour les comptes administrateurs, contrôle d'accès basé sur les rôles avec principe du moindre privilège.
• Isolation : séparation stricte des environnements de production, de test et de développement ; pour le plan Business, instance dédiée sur VPS isolé.
• Journalisation : traçabilité des accès et des opérations, supervision continue, alerting en cas d'anomalie.
• Continuité et résilience : sauvegardes chiffrées régulières, plan de continuité et de reprise d'activité testé périodiquement, RPO et RTO documentés.
• Gestion des vulnérabilités : mises à jour de sécurité régulières, programme de divulgation responsable, tests d'intrusion annuels.
• Sensibilisation du personnel : formation initiale et continue de l'ensemble du personnel aux exigences RGPD et aux bonnes pratiques de sécurité.

Le Sous-traitant est autorisé à faire appel à des sous-traitants ultérieurs (ci-après « Sous-traitants ultérieurs ») pour mener des activités de traitement spécifiques, conformément à l'article 28.2 du RGPD. La liste des Sous-traitants ultérieurs autorisés au moment de la conclusion du présent DPA est mise à disposition sur demande adressée à dpo@anonyx.io.

Toute évolution de cette liste (ajout, remplacement ou suppression) est notifiée au Responsable de traitement par voie électronique avec un préavis minimum de trente (30) jours. Le Responsable de traitement dispose alors du droit de s'opposer à ce changement pour des motifs légitimes liés à la protection des données. En cas d'opposition motivée non résolue, chacune des parties pourra résilier le contrat sans pénalité.

Le Sous-traitant s'assure que les Sous-traitants ultérieurs présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées, par la conclusion d'un contrat ou autre acte juridique imposant des obligations équivalentes à celles fixées dans le présent DPA.

L'ensemble des traitements de données réalisés par le Sous-traitant dans le cadre du Service est effectué exclusivement sur le territoire de l'Union Européenne. Aucun transfert de données à caractère personnel n'est effectué en dehors de l'Union Européenne. Le Sous-traitant n'est pas soumis à des dispositions extraterritoriales tierces telles que l'US CLOUD Act ou équivalent. Cet engagement constitue une obligation essentielle du présent DPA, dont le manquement caractérisé peut justifier la résiliation immédiate par le Responsable de traitement.

En cas de violation de données à caractère personnel concernant les données traitées pour le compte du Responsable de traitement, le Sous-traitant notifie cette violation au Responsable de traitement dans un délai maximal de quarante-huit (48) heures à compter du moment où il en a connaissance, par e-mail à l'adresse de contact désignée et, à défaut, à l'adresse e-mail du compte principal. La notification comporte les éléments prévus à l'article 33.3 du RGPD (nature de la violation, catégories et nombre approximatif de personnes et d'enregistrements concernés, conséquences probables, mesures prises ou proposées) dans la mesure où ces éléments sont disponibles au moment de la notification.

Au terme du contrat de souscription, le Sous-traitant procède, au choix du Responsable de traitement et conformément à l'article 28.3.g du RGPD : (i) à la restitution des données à caractère personnel au Responsable de traitement, ou (ii) à leur suppression définitive. Cette restitution ou suppression intervient dans un délai maximal de trente (30) jours à compter du terme du contrat, sauf obligation légale contraire imposant la conservation des données. Le Sous-traitant communique au Responsable de traitement, sur demande, une attestation de destruction des données.

Le Sous-traitant met à la disposition du Responsable de traitement la documentation nécessaire pour démontrer le respect de ses obligations au titre du présent DPA, et notamment : rapports de certification (ISO 27001 prévue), rapports d'audit de sécurité, registre des activités de traitement, registre des Sous-traitants ultérieurs.

Le Responsable de traitement peut, à ses frais et sous réserve d'un préavis raisonnable de trente (30) jours minimum, réaliser ou faire réaliser par un tiers indépendant tenu à la confidentialité, un audit visant à vérifier le respect des obligations du Sous-traitant. Cet audit ne peut être réalisé plus d'une fois par an, sauf cas exceptionnel justifié par une violation suspectée, et doit être conduit dans des conditions qui n'entravent pas l'exécution normale du Service. Les frais d'audit sont à la charge du Responsable de traitement.

Le Sous-traitant a désigné un Délégué à la protection des données conformément à l'article 37 du RGPD. Il est joignable à l'adresse dpo@anonyx.io ou par courrier postal à l'adresse du siège social, à l'attention du DPO. Toute correspondance relative à l'application du présent DPA est adressée prioritairement à cette adresse.

Le présent DPA est régi par le droit français. Tout litige relatif à son interprétation, son exécution ou sa cessation relèvera de la compétence exclusive des tribunaux français du ressort du siège social du Sous-traitant, sous réserve des règles impératives de protection des données applicables.