Accord de traitement des données (DPA)
Accord de traitement des données conformément à l'article 28 du RGPD. Cet accord est opposable contractuellement et signable par votre direction juridique.
1. Parties
Responsable de traitement : vous (ou votre organisation), ci-après le Client.
Sous-traitant : OVHcloud SAS, 2 rue Kellermann, 59100 Roubaix, France, ci-après nous.
2. Objet
Le présent DPA encadre les traitements de données à caractère personnel que nous effectuons pour votre compte dans le cadre de la fourniture de paas.di2amp, conformément à l'article 28 du Règlement (UE) 2016/679 (RGPD).
3. Nature et finalité du traitement
| Type | Données concernées | Finalité |
|---|---|---|
| Hébergement | Vos données applicatives (bases, fichiers, logs) | Exécution de vos applications |
| Sauvegarde | Snapshots quotidiens des bases addons | Récupération en cas d'incident |
| Métriques | CPU, RAM, requêtes, latence | Observabilité, facturation à l'usage |
| Audit logs | Actions sur les ressources, IP source, identifiant | Sécurité, traçabilité, conformité réglementaire |
4. Personnes concernées
Selon votre usage, les personnes concernées peuvent être : vos employés (administrateurs ou développeurs ayant un compte sur la plateforme), vos utilisateurs finaux (dont les données transitent par vos applications), vos clients ou prospects (dans vos bases de données).
5. Localisation des données
Toutes les données sont hébergées dans nos datacenters en France (Roubaix, Gravelines, Strasbourg). Aucun transfert hors UE n'est effectué dans le cadre de la fourniture du service.
6. Engagements
Nous nous engageons à :
- Traiter vos données uniquement sur instruction écrite de votre part (l'usage normal du service constitue cette instruction)
- Garantir la confidentialité par engagement contractuel de notre personnel
- Mettre en œuvre les mesures techniques et organisationnelles décrites en annexe (chiffrement, isolation, audit)
- Vous notifier sans délai (et sous 24 h maximum) toute violation de données
- Mettre à votre disposition les éléments nécessaires pour démontrer le respect du RGPD
- Vous assister dans l'exercice des droits des personnes concernées
- Supprimer ou retourner les données en fin de contrat selon votre choix
7. Sous-traitants ultérieurs
La liste de nos sous-traitants ayant techniquement accès à vos données est publiée et tenue à jour sur la page hébergement. Toute modification (ajout, retrait, changement de localisation) est notifiée 30 jours à l'avance.
8. Notification d'incident
En cas de violation de données affectant vos données, nous vous notifions par email aux contacts de sécurité enregistrés sous 24 h maximum, avec :
- Description de la violation
- Catégories et nombre approximatif de personnes concernées
- Conséquences probables
- Mesures prises et à prendre
9. Audit
Vous pouvez auditer notre conformité aux engagements pris dans le présent DPA :
- En consultant nos rapports d'audit (ISO 27001, et à venir SOC 2 Type II)
- Sur demande spécifique, plan Entreprise, par audit sur site avec préavis de 30 jours, frais à votre charge sauf découverte de non-conformité matérielle
10. Suppression et restitution
À la fin du contrat ou sur votre demande, vous choisissez :
- Restitution : export en formats standard (SQL dump, S3 sync, JSON), puis suppression
- Suppression directe : suppression cryptographique sous 24 h, opposable
11. Délégué à la protection des données
Notre DPO est joignable à dpo@di2amp.com. Le vôtre, si vous en avez désigné un, doit être notifié à la même adresse.