01 Contexte et relation
Le présent Accord de traitement des données (« DPA ») complète les Conditions d'utilisation conclues entre le Client (« Responsable du traitement ») et EDMA Group (« Sous-traitant ») et reflète l'accord des parties concernant le traitement des données à caractère personnel effectué par EDMA pour le compte du Responsable du traitement dans le cadre du Service.
Ce DPA est conçu pour satisfaire à l'article 28 du Règlement général sur la protection des données de l'UE et du Royaume-Uni (« RGPD ») ainsi qu'aux exigences équivalentes prévues par la législation applicable en matière de protection des données. Lorsque les Clauses contractuelles types de la Commission européenne (Module 2 : Responsable du traitement vers Sous-traitant) s'appliquent à un transfert de données à caractère personnel, ces Clauses sont incorporées par référence dans ce DPA et prévalent en cas de conflit.
02 Définitions
Les termes utilisés dans ce DPA ont les significations qui leur sont attribuées par le RGPD (notamment « données à caractère personnel », « traitement », « personne concernée », « responsable du traitement », « sous-traitant », « sous-traitant ultérieur » et « violation de données à caractère personnel ») et, le cas échéant, les termes équivalents du UK RGPD, du California Consumer Privacy Act (« CCPA ») et des autres lois applicables.
Données Client a la signification qui lui est attribuée dans les Conditions d'utilisation. Données personnelles Client désigne les Données Client qui constituent des données à caractère personnel au sens du droit applicable.
03 Objet et nature du traitement
Objet
EDMA traite les données personnelles du client afin de fournir le Service au Responsable du traitement conformément aux Conditions.
Durée
Pour la durée des Conditions d'utilisation et la fenêtre d'exportation des données post-résiliation définie dans les Conditions, plus toute durée de conservation imposée par la loi.
Nature et finalité du traitement
Hébergement, stockage, transmission, affichage, interrogation, indexation, recherche, analyse, calcul (y compris les cascades de règlement) et acheminement des données personnelles entre les contreparties dans le tenant du Responsable du traitement, pour les fonctions opérationnelles, financières et assistées par l'IA du Service.
Catégories de données personnelles
- données d'identification (noms, adresses e-mail professionnelles, intitulés de poste, organisations) des employés, fournisseurs, clients, financeurs et autres contreparties du Responsable du traitement ;
- données de contact (numéros de téléphone, adresses) ;
- données commerciales (détails des Commandes, données des Expéditions, métadonnées de documents, données financières) ;
- données de communications (messages échangés via les portails) ;
- données d'authentification (identifiants de compte, adresses IP, identifiants de session).
Le Service n'est pas conçu pour traiter des catégories particulières de données personnelles au sens de l'article 9 du GDPR (par ex. données de santé, biométriques, raciales ou religieuses) ni des données relatives aux condamnations pénales. Le Responsable du traitement s'engage à ne pas saisir de telles données dans le Service, sauf en cas de stricte nécessité et uniquement avec des garanties appropriées.
Catégories de personnes concernées
- employés, sous-traitants et utilisateurs autorisés du Responsable du traitement ;
- personnes physiques chez les fournisseurs, clients, prestataires logistiques et financeurs du Responsable du traitement ;
- toute autre personne physique dont le Responsable du traitement choisit d'introduire les données personnelles dans le Service.
04 Obligations du Responsable du traitement
Le Responsable du traitement est responsable de :
- l'établissement d'une base légale pour le traitement des données personnelles du client, y compris l'obtention des consentements nécessaires et la fourniture des informations requises aux personnes concernées ;
- l'exactitude, la qualité, la licéité et l'intégrité des données personnelles du client ;
- la configuration des contrôles d'accès, des droits des utilisateurs et des paramètres de visibilité des portails au sein du Service, conformément aux exigences du Responsable du traitement en matière de protection des données ;
- le traitement des demandes des personnes concernées lorsque EDMA les transmet en vertu du §9 et que le Responsable du traitement est le responsable compétent ;
- le respect du droit applicable en matière de protection des données en tant que responsable du traitement.
05 Obligations d'EDMA
EDMA, agissant en tant que Sous-traitant, s'engage à :
- traiter les Données Personnelles du Client uniquement sur la base d'instructions documentées émanant du Responsable du traitement, y compris les instructions implicites résultant de l'utilisation des fonctionnalités du Service par le Responsable du traitement, et dans la mesure requise par la loi applicable (auquel cas EDMA informera le Responsable du traitement de cette exigence légale avant le traitement, sauf si la loi interdit une telle notification pour des raisons importantes d'intérêt public) ;
- veiller à ce que les personnes autorisées à traiter les Données Personnelles du Client soient soumises à des obligations de confidentialité appropriées ;
- mettre en œuvre les mesures de sécurité techniques et organisationnelles décrites au §7 (l'Annexe II des SCCs est satisfaite par le §7) ;
- ne recourir à des sous-traitants ultérieurs que dans les conditions prévues au §6 ;
- assister le Responsable du traitement dans l'exécution de ses obligations relatives aux demandes des personnes concernées, à la sécurité, aux notifications de violations, aux analyses d'impact sur la protection des données et aux consultations préalables, en tenant compte de la nature du traitement et des informations disponibles pour EDMA ;
- à la demande du Responsable du traitement, supprimer ou restituer l'ensemble des Données Personnelles du Client à l'issue du Service, conformément au §12 ;
- mettre à la disposition du Responsable du traitement les informations nécessaires pour démontrer le respect de la présente DPA, sous réserve du §11.
Si EDMA estime qu'une instruction du Responsable du traitement enfreint la législation applicable en matière de protection des données, EDMA en informera le Responsable du traitement sans délai injustifié.
06 Sous-traitants ultérieurs
Le Responsable du traitement autorise EDMA à faire appel aux sous-traitants ultérieurs listés ci-dessous pour traiter les Données Personnelles du Client. EDMA imposera à chaque sous-traitant ultérieur des obligations de protection des données au moins aussi contraignantes que celles prévues par la présente DPA.
Sous-traitants ultérieurs actuels
| Sous-traitant ultérieur | Finalité | Région |
|---|---|---|
| Amazon Web Services | Hébergement, calcul, stockage, bases de données | UE (Francfort ou Irlande) |
| Cloudflare | CDN, WAF, gestion des bots | Réseau edge mondial |
| Resend | Acheminement d'e-mails transactionnels | US / UE |
| Anthropic | Inférence IA (Atlas, Accounting AI) — points de terminaison enterprise sans conservation des données | US |
| OpenAI | Inférence IA de secours — points de terminaison enterprise sans conservation des données | US |
| Google Cloud (Vertex AI / Gemini) | Inférence IA de secours | UE / US |
| Stripe | Traitement des paiements | UE / US |
| Sentry | Surveillance des erreurs, données personnelles purgées à la source | UE / US |
La liste actualisée faisant foi est tenue à jour à l'adresse edma.trade/legal/dpa (cette page). EDMA peut faire appel à des sous-traitants supplémentaires moyennant un préavis d'au moins trente (30) jours adressé aux contacts administrateurs du Responsable du traitement. Le Responsable du traitement peut s'opposer à un nouveau sous-traitant pour des motifs légitimes liés à la protection des données pendant la période de préavis ; si EDMA ne peut pas donner suite à cette objection, le Responsable du traitement peut résilier la Période d'abonnement concernée avec remboursement au prorata des frais non utilisés.
07 Mesures de sécurité
EDMA met en œuvre les mesures techniques et organisationnelles suivantes (les « TOMs »), constituant l'Annexe II des SCCs le cas échéant.
Chiffrement
- TLS 1.2+ pour toutes les données en transit entre le client et le serveur, ainsi qu'entre le serveur et le sous-traitant ultérieur ;
- chiffrement AES-256 (ou supérieur) pour les données au repos dans les stockages primaires et de sauvegarde ;
- instantanés de base de données chiffrés ; gestion des clés via le KMS géré du fournisseur d'hébergement avec politique de rotation.
Contrôle des accès
- authentification multi-facteurs pour l'ensemble du personnel EDMA ayant accès aux environnements de production ;
- contrôle d'accès basé sur les rôles avec des paramètres par défaut à moindre privilège ;
- élévation juste-à-temps pour les opérations sensibles, avec journalisation d'audit ;
- séparation logique par tenant ; l'accès inter-tenant est refusé au niveau de la couche applicative.
Réseau & périmètre
- WAF et protection DDoS en amont des points d'accès publics ;
- connectivité réseau privée entre les couches applicative et données ;
- contrôles d'égress sur le trafic sortant de la production.
Développement logiciel
- revue de code obligatoire pour toutes les modifications en production ;
- analyse des dépendances et remédiation des vulnérabilités selon des SLAs définis ;
- gestion des secrets via le secret store du fournisseur d'hébergement ; aucun secret dans le code source.
Opérationnel
- journalisation structurée avec masquage des champs sensibles à la source ;
- surveillance continue et alertes pour les événements de sécurité ;
- tests d'intrusion annuels par un tiers ;
- procédures de réponse aux incidents avec des rôles définis et des chemins d'escalade ;
- procédures de sauvegarde et de reprise après sinistre avec RPO/RTO documentés.
Personnel
- vérifications des antécédents du personnel ayant accès à la production, dans les limites légales applicables ;
- formation à la sensibilisation à la sécurité à l'embauche et au moins annuellement par la suite ;
- obligations contractuelles de confidentialité imposées au personnel et aux sous-traitants ;
- accès révoqué sans délai en cas de départ.
08 Transferts internationaux
Lorsque des données à caractère personnel sont transférées depuis l'EEE, le Royaume-Uni ou la Suisse vers un pays ne bénéficiant pas d'une protection adéquate, les parties s'appuient sur :
- les clauses contractuelles types de la Commission européenne (2021/914, Module 2 : Responsable du traitement vers Sous-traitant) et l'addendum britannique lorsque le UK GDPR s'applique ;
- les mesures techniques et organisationnelles prévues au §7 en tant que garanties supplémentaires ;
- l'évaluation par le Responsable du traitement des risques liés au transfert, compte tenu du droit et de la pratique du pays de destination.
Lorsque EDMA fait appel à un sous-traitant ultérieur situé en dehors de l'EEE, EDMA s'assure que des garanties identiques ou équivalentes s'appliquent au transfert ultérieur.
09 Droits des personnes concernées
Si EDMA reçoit directement d'une personne concernée une demande relative aux Données personnelles du Client (p. ex. accès, rectification, effacement, limitation, portabilité, opposition), EDMA transmettra cette demande au Responsable du traitement sans délai injustifié et n'y répondra pas directement, sauf instruction du Responsable du traitement ou obligation légale.
EDMA assistera le Responsable du traitement, compte tenu de la nature du traitement et des informations dont EDMA dispose, pour répondre aux demandes des personnes concernées dans les délais légaux applicables. Cette assistance comprend la mise à disposition de mécanismes techniques permettant d'accéder aux données à caractère personnel, de les exporter ou de les supprimer au sein du Service.
10 Violation de données à caractère personnel
EDMA notifiera le Responsable du traitement sans délai injustifié et, en tout état de cause, dans un délai de 72 heures à compter du moment où EDMA prend connaissance d'une violation de données à caractère personnel affectant les Données personnelles du Client. La notification comprendra, dans la mesure où ces éléments sont alors connus :
- la nature de la violation, y compris les catégories et le nombre approximatif de personnes concernées et d'enregistrements affectés ;
- les conséquences probables ;
- les mesures prises ou envisagées pour remédier à la violation et en atténuer les effets ;
- les coordonnées pour obtenir des informations complémentaires.
EDMA communiquera des mises à jour au fur et à mesure de l'avancement de l'enquête et coopérera avec les obligations du Responsable du traitement en matière de réponse aux violations au titre du droit applicable. La notification adressée par EDMA au Responsable du traitement ne vaut pas reconnaissance de faute ou de responsabilité.
11 Audits et inspections
EDMA mettra à la disposition du Responsable du traitement, sur demande raisonnable et au maximum une fois par période de douze mois (sauf demande d'une autorité de contrôle ou suite à une violation de données à caractère personnel), les informations nécessaires pour démontrer la conformité avec le présent DPA. EDMA s'acquittera de cette obligation en fournissant :
- le présent DPA et la dernière version publiée des mesures de sécurité ;
- des synthèses des rapports d'audit indépendants de tiers lorsqu'ils sont disponibles ;
- des réponses à un questionnaire de sécurité raisonnable.
Lorsque ce qui précède s'avère insuffisant, un audit sur site peut être réalisé sous réserve (a) d'un préavis raisonnable ; (b) d'engagements de confidentialité ; (c) que les audits soient conduits pendant les heures ouvrables sans perturber de manière déraisonnable les opérations de EDMA ; et (d) que le Responsable du traitement assume ses propres frais, sauf si l'audit révèle un manquement substantiel. Les audits peuvent être conduits par un auditeur tiers indépendant agréé par les deux parties.
12 Restitution & suppression
À l'expiration de la Subscription Term, EDMA met à disposition une fenêtre d'export de 30 jours pendant laquelle le Responsable du traitement peut récupérer les Données personnelles du client dans un format structuré, couramment utilisé et lisible par machine. À l'issue de cette fenêtre, EDMA supprime les Données personnelles du client des systèmes actifs dans un délai de 30 jours et des sauvegardes conformément au cycle de conservation des sauvegardes documenté par EDMA (généralement dans les 90 jours), sauf obligation légale de conservation.
Sur demande écrite du Responsable du traitement avant l'expiration de la fenêtre d'export, EDMA fournit une attestation écrite de suppression.
13 Responsabilité & hiérarchie des normes
La responsabilité de chaque partie au titre de la présente DPA ou en lien avec celle-ci est soumise à la limitation de responsabilité prévue dans les Conditions d'utilisation. Dans la mesure où un plafond de responsabilité s'applique séparément à la responsabilité en matière de protection des données, il est défini dans les Conditions.
En cas de conflit entre la présente DPA et les Conditions, la présente DPA prévaut sur les questions relatives à la protection des données. Lorsque les Clauses contractuelles types sont incorporées, ces Clauses prévalent en cas de conflit.
La présente DPA peut être mise à jour pour refléter des modifications du droit applicable, des sous-traitants ou des mesures techniques. Les modifications substantielles sont notifiées aux contacts administrateurs du Responsable du traitement au moins trente (30) jours avant leur entrée en vigueur.