Accord de Traitement des Données (DPA)

Dernière mise à jour : mars 2026

Article 1 — Objet

Le présent Accord de Traitement des Données (Data Processing Agreement, ci-après "DPA") est conclu entre le Client utilisant la plateforme Operys (ci-après "le Responsable du traitement") et Rafael Delbecq-Almela, exploitant la plateforme Operys (ci-après "le Sous-traitant"), conformément à l'article 28 du RGPD.

Ce DPA définit les obligations du Sous-traitant concernant le traitement des données personnelles effectué pour le compte du Responsable du traitement dans le cadre de l'utilisation d'Operys.

Article 2 — Nature et finalité du traitement

Le Sous-traitant traite les données personnelles pour le compte du Responsable du traitement dans le seul but de fournir le service Operys, à savoir :

• hébergement et stockage sécurisé des données saisies par le Responsable du traitement,
• affichage et traitement des données dans l'interface de la plateforme,
• génération de statistiques et tableaux de bord,
• envoi d'emails transactionnels,
• sauvegarde et restauration des données.

Article 3 — Catégories de données traitées

Les données personnelles traitées peuvent inclure :

• données d'identification (nom, prénom, email, téléphone) des prospects, leads, clients et collaborateurs du Responsable du traitement,
• données professionnelles (société, poste, secteur),
• données financières (montants, factures),
• données de contenu (textes, liens, statistiques de publication),
• toute autre donnée saisie volontairement par le Responsable du traitement.

Article 4 — Obligations du Sous-traitant

Le Sous-traitant s'engage à :

• traiter les données uniquement sur instruction documentée du Responsable du traitement,
• ne pas traiter les données à d'autres fins que la fourniture du service,
• garantir la confidentialité des données (toute personne ayant accès aux données est soumise à une obligation de confidentialité),
• mettre en œuvre les mesures techniques et organisationnelles appropriées (cf. Article 7),
• ne pas sous-traiter le traitement sans autorisation préalable écrite du Responsable du traitement (les sous-traitants actuels sont listés à l'Article 6),
• aider le Responsable du traitement à répondre aux demandes d'exercice des droits des personnes concernées,
• notifier le Responsable du traitement de toute violation de données dans les 48 heures suivant sa découverte,
• à l'expiration du contrat, supprimer toutes les données dans un délai de 30 jours, sauf obligation légale de conservation.

Article 5 — Obligations du Responsable du traitement

Le Responsable du traitement s'engage à :

• s'assurer de la licéité du traitement des données personnelles qu'il saisit dans Operys,
• avoir obtenu les consentements nécessaires auprès des personnes concernées (prospects, clients, collaborateurs) conformément au RGPD,
• fournir des instructions conformes à la législation en vigueur.

Article 6 — Sous-traitants ultérieurs

Le Responsable du traitement autorise le recours aux sous-traitants ultérieurs suivants :

• Supabase Inc. (hébergement base de données — UE),
• Vercel Inc. (hébergement web),
• Stripe Inc. (paiements — PCI-DSS),
• Resend Inc. (emails transactionnels).

Le Sous-traitant informera le Responsable du traitement de tout ajout ou changement de sous-traitant au moins 30 jours avant. Le Responsable du traitement peut s'y opposer. En l'absence d'opposition dans les 30 jours, le changement est réputé accepté.

Article 7 — Mesures de sécurité

Le Sous-traitant met en œuvre les mesures suivantes :

• chiffrement des données au repos et en transit,
• hashage des mots de passe (bcrypt/argon2),
• isolation des données par compte (architecture multi-tenant),
• sauvegardes quotidiennes avec rétention de 30 jours,
• hébergement des données dans l'Union européenne,
• protection DDoS, CSRF, XSS, injection SQL,
• rate limiting sur les endpoints sensibles,
• journalisation des accès et des événements de sécurité,
• tests de sécurité réguliers.

Article 8 — Transferts hors UE

Les données sont principalement hébergées dans l'Union européenne. Certains sous-traitants (Vercel, Stripe, Resend) peuvent traiter des données aux États-Unis. Ces transferts sont encadrés par les clauses contractuelles types de la Commission européenne et/ou le EU-US Data Privacy Framework.

Article 9 — Notification de violation

En cas de violation de données personnelles, le Sous-traitant s'engage à :

• notifier le Responsable du traitement dans les 48 heures suivant la découverte,
• fournir toutes les informations nécessaires (nature de la violation, catégories de données affectées, nombre de personnes concernées, mesures prises et envisagées),
• coopérer avec le Responsable du traitement pour la notification à la CNIL et aux personnes concernées si nécessaire.

Article 10 — Durée

Le présent DPA entre en vigueur à la date de création du compte et reste en vigueur tant que le Sous-traitant traite des données pour le compte du Responsable du traitement. Il prend fin 30 jours après la suppression du compte.

Article 11 — Droit applicable

Le présent DPA est soumis au droit français et au RGPD. Tout litige sera soumis aux tribunaux compétents du ressort du Tribunal de Paris.