NIS2 & DORA en vigueur. EU AI Act arrive — réservez une démo

Accord de traitement des données (DPA)

Clauses contractuelles types conformément à l’Art. 28 GDPR

Dernière mise à jour : 6 février 2026

Le présent Accord de traitement des données (« DPA ») fait partie intégrante des Conditions générales d’utilisation entre vous (le « Responsable du traitement ») et VantarGroup LLC (le « Sous-traitant ») et régit le traitement des données personnelles conformément au Règlement général sur la protection des données (GDPR).

1. Parties et champ d’application

Le présent DPA s’applique lorsque le Responsable du traitement utilise les services Matproof pour traiter des données personnelles. Le Sous-traitant s’engage à traiter les données personnelles uniquement sur instructions documentées du Responsable du traitement.

2. Objet et durée

L’objet du traitement des données est la fourniture de la plateforme d’automatisation de la conformité Matproof. La durée correspond à celle du contrat de service.

3. Nature et catégories de données

Types de données personnelles traitées :

  • Données des employés (noms, adresses e-mail, intitulés de poste)
  • Informations de compte utilisateur
  • Documentation de conformité et d’audit
  • Enregistrements de communication

Catégories de personnes concernées : employés, prestataires et utilisateurs autorisés du Responsable du traitement.

4. Obligations du Sous-traitant (Art. 28 GDPR)

Le Sous-traitant s’engage à :

  • Traiter les données personnelles uniquement sur instructions documentées du Responsable du traitement
  • S’assurer que les personnes autorisées à traiter les données sont soumises à une obligation de confidentialité
  • Mettre en œuvre des mesures techniques et organisationnelles de sécurité appropriées
  • Ne faire appel à des sous-traitants ultérieurs qu’avec le consentement écrit préalable
  • Assister le Responsable du traitement dans le respect des droits des personnes concernées
  • Assister dans les notifications de violation de sécurité et les analyses d’impact
  • Supprimer ou restituer les données personnelles à la fin des services
  • Mettre à disposition toutes les informations nécessaires pour démontrer la conformité

5. Mesures techniques et organisationnelles

Le Sous-traitant met en œuvre les mesures de sécurité suivantes :

  • Chiffrement des données au repos et en transit (AES-256, TLS 1.3)
  • Contrôles d’accès et authentification (MFA, RBAC)
  • Évaluations de sécurité et tests d’intrusion réguliers
  • Procédures de réponse aux incidents et de continuité d’activité
  • Résidence des données UE (toutes les données stockées dans des centres de données allemands)
  • Contrôles de sécurité conformes ISO 27001 et tests d’intrusion annuels

6. Sous-traitants ultérieurs

Le Responsable du traitement autorise le Sous-traitant à faire appel aux sous-traitants ultérieurs suivants :

  • Neon (hébergement PostgreSQL – UE)
  • Upstash (mise en cache Redis – UE)
  • AWS (stockage de fichiers – région UE)
  • Resend (envoi d’e-mails – UE)

Le Sous-traitant informera le Responsable du traitement de tout changement de sous-traitants ultérieurs avec un préavis d’au moins 30 jours. Le Responsable du traitement peut s’opposer aux nouveaux sous-traitants ultérieurs.

7. Droits des personnes concernées

Le Sous-traitant assistera le Responsable du traitement pour répondre aux demandes des personnes concernées (accès, rectification, effacement, limitation, portabilité, opposition) dans les 72 heures suivant la réception de ces demandes.

8. Notification de violation de données personnelles

Le Sous-traitant notifiera le Responsable du traitement sans délai injustifié (dans les 24 heures) après avoir eu connaissance d’une violation de données personnelles affectant les données du Responsable du traitement.

9. Droits d’audit

Le Responsable du traitement peut auditer la conformité du Sous-traitant au présent DPA une fois par an moyennant un préavis raisonnable. Le rapport SOC 2 Type II du Sous-traitant peut satisfaire cette exigence.

10. Suppression ou restitution des données

À la fin des services, le Sous-traitant supprimera ou restituera toutes les données personnelles au Responsable du traitement dans les 30 jours, sauf si le droit de l’UE exige leur conservation.

Questions ou demandes de DPA

Pour les demandes de signature de DPA ou toute question, veuillez contacter :

E-mail : legal@matproof.com