⚠️ Modèle à compléter et à faire valider par un juriste. Modèle d'accord de sous-traitance (DPA) basé sur l'article 28 du RGPD (cnil.fr). À adapter et faire valider.
Accord de traitement des données (DPA)
Base : Règlement (UE) 2016/679 (RGPD), article 28. Référentiel : cnil.fr.
Lorsqu'un client de BoostIllico publie un site qui collecte des données de ses propres visiteurs (ex. formulaire de contact), le client est responsable de traitement et BoostIllico agit en qualité de sous-traitant. Le présent accord encadre ce traitement.
1. Objet et durée
Traitement des données des visiteurs des sites clients, pour la durée du contrat de service. [préciser]
2. Obligations du sous-traitant (art. 28 RGPD)
- Traiter les données uniquement sur instruction documentée du responsable de traitement ;
- Garantir la confidentialité (personnes autorisées tenues à la confidentialité) ;
- Mettre en œuvre des mesures de sécurité appropriées (art. 32) ;
- Respecter les conditions de recours à un sous-traitant ultérieur ;
- Aider le responsable à répondre aux demandes d'exercice des droits ;
- Aider à la sécurité, aux notifications de violation et aux analyses d'impact ;
- Supprimer ou renvoyer les données au terme du contrat ;
- Mettre à disposition les informations nécessaires aux audits.
3. Sous-traitants ultérieurs
[À COMPLÉTER : hébergeur (IONOS), base de données (Google Firestore, UE), prestataire IA, paiement (Stripe)]. Le client en est informé et peut s'y opposer pour motif légitime.
4. Localisation des données
Données hébergées dans l'Union européenne.
5. Sécurité
Chiffrement en transit (HTTPS), contrôle d'accès, mots de passe hachés, sauvegardes, journalisation, pare-feu. [compléter selon mesures réelles]