DÉCOUVREZ MATPROOF SUR VOTRE STACK — RÉSERVEZ UNE DÉMO DE 30 MINUTES

Accord de traitement des données (DPA)

Clauses contractuelles types conformément à l’Art. 28 GDPR

Dernière mise à jour : 20 mai 2026

Le présent Accord de traitement des données (« DPA ») fait partie intégrante des Conditions générales d’utilisation entre vous (le « Responsable du traitement ») et VantarGroup LLC (le « Sous-traitant ») et régit le traitement des données personnelles conformément au Règlement général sur la protection des données (GDPR).

1. Parties et champ d’application

Le présent DPA s’applique lorsque le Responsable du traitement utilise les services Matproof pour traiter des données personnelles. Le Sous-traitant s’engage à traiter les données personnelles uniquement sur instructions documentées du Responsable du traitement.

2. Objet et durée

L’objet du traitement des données est la fourniture de la plateforme d’automatisation de la conformité Matproof. La durée correspond à celle du contrat de service.

3. Nature et catégories de données

Types de données personnelles traitées :

  • Données des employés (noms, adresses e-mail, intitulés de poste)
  • Informations de compte utilisateur
  • Documentation de conformité et d’audit
  • Enregistrements de communication

Catégories de personnes concernées : employés, prestataires et utilisateurs autorisés du Responsable du traitement.

4. Obligations du Sous-traitant (Art. 28 GDPR)

Le Sous-traitant s’engage à :

  • Traiter les données personnelles uniquement sur instructions documentées du Responsable du traitement
  • S’assurer que les personnes autorisées à traiter les données sont soumises à une obligation de confidentialité
  • Mettre en œuvre des mesures techniques et organisationnelles de sécurité appropriées
  • Ne faire appel à des sous-traitants ultérieurs qu’avec le consentement écrit préalable
  • Assister le Responsable du traitement dans le respect des droits des personnes concernées
  • Assister dans les notifications de violation de sécurité et les analyses d’impact
  • Supprimer ou restituer les données personnelles à la fin des services
  • Mettre à disposition toutes les informations nécessaires pour démontrer la conformité

5. Mesures techniques et organisationnelles

Le Sous-traitant met en œuvre les mesures de sécurité suivantes :

  • Chiffrement des données au repos et en transit (AES-256, TLS 1.3)
  • Contrôles d’accès et authentification (MFA, RBAC)
  • Évaluations de sécurité et tests d’intrusion réguliers
  • Procédures de réponse aux incidents et de continuité d’activité
  • Résidence des données UE (toutes les données stockées dans des centres de données allemands)
  • Contrôles de sécurité conformes ISO 27001 et tests d’intrusion annuels

6. Sous-traitants ultérieurs

Le Responsable du traitement autorise le Sous-traitant à faire appel aux sous-traitants ultérieurs suivants :

  • Neon (hébergement PostgreSQL – UE)
  • Upstash (mise en cache Redis – UE)
  • AWS (stockage de fichiers – région UE)
  • Resend (envoi d’e-mails – UE)

Le Sous-traitant informera le Responsable du traitement de tout changement de sous-traitants ultérieurs avec un préavis d’au moins 30 jours. Le Responsable du traitement peut s’opposer aux nouveaux sous-traitants ultérieurs.

7. Droits des personnes concernées

Le Sous-traitant assistera le Responsable du traitement pour répondre aux demandes des personnes concernées (accès, rectification, effacement, limitation, portabilité, opposition) dans les 72 heures suivant la réception de ces demandes.

8. Notification de violation de données personnelles

Le Sous-traitant notifiera le Responsable du traitement sans délai injustifié (dans les 24 heures) après avoir eu connaissance d’une violation de données personnelles affectant les données du Responsable du traitement.

9. Droits d’audit

Le Responsable du traitement peut auditer la conformité du Sous-traitant au présent DPA une fois par an moyennant un préavis raisonnable. Le rapport SOC 2 Type II du Sous-traitant peut satisfaire cette exigence.

10. Suppression ou restitution des données

À l’issue des services, le Sous-traitant supprimera ou restituera l’ensemble des données personnelles au Responsable du traitement dans un délai de 30 jours, sauf si le droit de l’UE ou d’un État membre en exige la conservation prolongée. Le format de la restitution (p. ex. export JSON, CSV) est précisé par le Responsable dans sa demande ; à défaut, le format standard fourni par le Sous-traitant s’applique. Les copies de sauvegarde sont écrasées dans le cadre du cycle régulier de sauvegarde (au plus tard sous 90 jours).

11. Transferts internationaux de données (transferts vers des pays tiers)

Dans la mesure où le Sous-traitant fait appel à des sous-traitants ultérieurs établis ou traitant des données en dehors de l’UE/EEE (en particulier États-Unis, Royaume-Uni et filiales européennes de groupes américains), il fonde les transferts sur les garanties suivantes au titre des Art. 44 et suivants RGPD : (a) pour le Royaume-Uni, sur la décision d’adéquation de l’UE du 28 juin 2021 ; (b) pour les États-Unis et autres pays tiers, sur les Clauses Contractuelles Types de l’UE (décision d’exécution 2021/914, Module 2 ou 3 selon la configuration) ; (c) à titre complémentaire, sur des mesures techniques et organisationnelles supplémentaires incluant le chiffrement en transit et au repos, la pseudonymisation lorsque possible, des accords de non-rétention des données avec les fournisseurs d’IA ainsi qu’une limitation contractuelle des finalités. Le Sous-traitant tient, pour chaque sous-traitant ultérieur en pays tiers, une Analyse d’Impact des Transferts (TIA) qui peut être mise à disposition, sous une forme synthétique appropriée, sur demande.

12. Responsabilité

La responsabilité des parties au titre ou à l’occasion du présent DPA est régie par les stipulations du contrat principal entre le Responsable du traitement et le Sous-traitant. À titre complémentaire : les réclamations en dommages-intérêts entre les parties résultant de violations du présent DPA ne sont affectées par une éventuelle limitation de responsabilité prévue au contrat principal que dans la mesure permise par l’Art. 82 RGPD et tout autre droit impératif. Dans la relation externe vis-à-vis des personnes concernées, chaque partie est responsable de manière autonome au titre de l’Art. 82 RGPD ; dans la relation interne, les parties supportent chacune la part correspondant à leur degré de faute.

Questions ou demandes de DPA

Pour les demandes de signature de DPA ou toute question, veuillez contacter :

E-mail : legal@matproof.com