Contrat de sous-traitance de données à caractère personnel
Au titre de l'article 28 du RGPD — Version 1.1
Télécharger le PDFPréambule
Le présent contrat a pour objet de définir les conditions dans lesquelles Ahmed Bellafkih, micro-entrepreneur exerçant sous le nom commercial Garante (le Sous-traitant) s'engage à effectuer, pour le compte du cabinet DPO (le Responsable de traitement), les opérations de traitement de données à caractère personnel nécessaires à la fourniture du Service, conformément aux dispositions de l'article 28 du RGPD.
Article 1 — Définitions
- Données personnelles : toute information se rapportant à une personne physique identifiée ou identifiable (art. 4(1) RGPD).
- Traitement : toute opération appliquée à des données personnelles (art. 4(2) RGPD).
- Violation de données : violation de la sécurité entraînant la destruction, la perte, l'altération ou la divulgation non autorisée de données (art. 4(12) RGPD).
- Sous-traitant ultérieur : tout sous-traitant recruté par Garante pour mener des activités de traitement spécifiques.
- DSAR : demande d'exercice de droits au sens des articles 15 à 22 du RGPD.
Article 2 — Objet
Le présent contrat définit les obligations respectives des Parties en matière de protection des données personnelles traitées par le Sous-traitant pour le compte du Responsable de traitement dans le cadre de la fourniture du Service Garante.
Le Sous-traitant s'engage à traiter les données personnelles uniquement pour les finalités décrites en annexe et conformément aux instructions documentées du Responsable de traitement.
Article 3 — Durée
Le présent contrat prend effet à la date de sa signature et demeure en vigueur pendant toute la durée du contrat principal d'abonnement au Service. Les obligations de confidentialité et les dispositions relatives au sort des données survivent à l'expiration du contrat.
Article 4 — Obligations du Sous-traitant
4.1 Traitement sur instruction documentée
Le Sous-traitant ne traite les données personnelles que sur instruction documentée du Responsable de traitement, sauf obligation légale. Le Sous-traitant informe immédiatement le Responsable si une instruction constitue une violation du RGPD.
4.2 Obligation de confidentialité
Les personnes autorisées à traiter les données s'engagent à respecter la confidentialité et reçoivent la formation nécessaire. Seules les personnes ayant besoin d'accéder aux données y ont effectivement accès (principe du moindre privilège).
4.3 Sécurité du traitement
Le Sous-traitant met en oeuvre les mesures techniques et organisationnelles appropriées conformément à l'article 32 du RGPD, notamment :
- Chiffrement des données en transit (TLS 1.2/1.3) et au repos (AES-256-GCM)
- Garantie de confidentialité, intégrité, disponibilité et résilience des systèmes
- Procédures de restauration en cas d'incident
- Tests réguliers des mesures de sécurité
- Zero Data Retention (ZDR) sur les services d'IA (Mistral AI)
4.4 Sous-traitance ultérieure
Le Responsable de traitement autorise de manière générale le recours à des sous-traitants ultérieurs. Tout changement est notifié 30 joursavant sa mise en oeuvre. Le Responsable peut s'y opposer. Les mêmes obligations de protection s'appliquent aux sous-traitants ultérieurs.
4.5 Assistance pour l'exercice des droits
Le Sous-traitant aide le Responsable de traitement à répondre aux demandes d'exercice de droits (articles 15 à 22 du RGPD) : accès, rectification, effacement, limitation, portabilité, opposition.
4.6 Assistance AIPD et consultation préalable
Le Sous-traitant aide le Responsable de traitement à réaliser les analyses d'impact (AIPD) et à procéder à la consultation préalable de la CNIL le cas échéant (articles 35 et 36 du RGPD).
4.7 Notification des violations de données
Le Sous-traitant notifie le Responsable de traitement dans un délai maximum de 24 heuresaprès avoir pris connaissance d'une violation. La notification comprend : nature de la violation, catégories de données et personnes concernées, conséquences probables et mesures prises.
Article 5 — Obligations du Responsable de traitement
Le Responsable de traitement s'engage à fournir des instructions licites, documenter ses instructions, respecter ses propres obligations RGPD, informer les personnes concernées et garantir le fondement juridique de chaque traitement.
Article 6 — Localisation et transferts
Les données sont traitées et hébergées exclusivement au sein de l'Union européenne. Aucun transfert hors UE/EEE n'est effectué.
| Sous-traitant | Localisation |
|---|---|
| Hetzner Online GmbH | Allemagne (UE) |
| Mistral AI SAS | France (UE) |
| Brevo (Sendinblue SAS) | France (UE) |
| bunny.net d.o.o. | Slovénie (UE) |
Article 7 — Droit d'audit
Le Sous-traitant met à disposition du Responsable de traitement toutes les informations nécessaires pour démontrer le respect de ses obligations. Le Responsable peut réaliser des audits avec un préavis de 15 jours ouvrables.
Article 8 — Responsabilité
Chaque Partie est responsable du dommage causé par un traitement non conforme au RGPD. Le Sous-traitant n'est responsable que s'il n'a pas respecté ses obligations spécifiques ou a agi en dehors des instructions documentées du Responsable.
Article 9 — Confidentialité
Les obligations de confidentialité s'appliquent pendant la durée du contrat et 5 ansaprès sa cessation. Le Sous-traitant ne peut divulguer les données qu'aux personnes habilitées et ne peut les utiliser à d'autres fins que la fourniture du Service.
Article 10 — Sort des données en fin de contrat
À l'expiration du contrat, le Sous-traitant restitue les données dans un format structuré (JSON, CSV) sous 30 jours, puis procède à leur suppression sous 60 jours. Un certificat de suppression est remis sur demande.
Annexes
Annexe 1 — Description du traitement
| Nature | Collecte, conservation, organisation, extraction, consultation, communication, suppression |
| Finalités | DSAR, registre Art. 30, audit sous-traitants, violations, documents RGPD, emails transactionnels, rapports |
| Données traitées | Identité demandeurs DSAR, pièces d'identité (30j max), données data discovery, registre, sous-traitants, violations, comptes utilisateurs, logs |
| Personnes concernées | Demandeurs DSAR, contacts sous-traitants, utilisateurs de la plateforme |
| Conservation | Pièces identité : 30j · Dossiers DSAR : durée contrat + 5 ans · Logs : 12 mois · Comptes : durée + 2 ans |
Annexe 2 — Sous-traitants ultérieurs autorisés
| Sous-traitant | Service | Localisation | Garanties |
|---|---|---|---|
| Mistral AI SAS | IA / LLM | France (UE) | ZDR active |
| Hetzner Online GmbH | Hébergement | Allemagne (UE) | ISO 27001, SOC 1/2 |
| Brevo (Sendinblue SAS) | Emails transactionnels | France (UE) | DPA signé |
| bunny.net d.o.o. | CDN / DNS / WAF | Slovénie (UE) | DPA signé |
Annexe 3 — Mesures techniques et organisationnelles (résumé)
- Chiffrement : TLS 1.2/1.3 en transit, AES-256-GCM au repos, bcrypt pour les mots de passe
- Contrôle d'accès : multi-tenancy cabinet_id, 4 rôles, JWT 15min, 2FA TOTP, rate limiting
- Intégrité : sauvegardes quotidiennes chiffrées, script de restauration testé
- Traçabilité : logs d'audit DSAR, vault, IA, HTTP, emails
- Validation : schémas Zod, Prisma ORM paramétré, CORS restreint
- Gestion des secrets : Infisical vault, rotation automatique toutes les 5 minutes
- Pièces d'identité : MinIO chiffré, 30 jours max, suppression automatique
Article 12 — Droit applicable
Le présent contrat est régi par le droit français. Tout différend sera soumis à la compétence exclusive des tribunaux de Paris.
Note : Ce document est un résumé structuré du DPA complet. Le contrat de sous-traitance intégral, incluant les 5 annexes détaillées, est fourni lors de la souscription à Garante et fait partie intégrante des CGUV.
Contrat de sous-traitance — Garante — Version 1.0 — 12 mars 2026