Accord de traitement des données (DPA)

Article 1 – Objet

Le présent accord a pour objet de définir les conditions dans lesquelles The Form Company agit en qualité de sous-traitant pour le compte du responsable de traitement concernant le traitement des données personnelles conformément au RGPD.

Cet accord constitue un avenant obligatoire régissant le traitement des données personnelles dans le cadre de l'exécution des services, en complément des conditions générales de service ou de tout autre contrat entre les parties.

Article 2 – Entrée en vigueur et durée

Le présent accord prend effet à la date de début du contrat de service. Il reste applicable pendant toute la durée de la relation contractuelle et se poursuit après la résiliation pour les opérations de suppression, restitution ou archivage des données.

Article 3 – Description du traitement

Finalités

Permettre aux responsables de traitement de :

  • Collecter des données via des formulaires
  • Gérer des dossiers numériques avec pièces justificatives
  • Organiser des workflows de validation
  • Exporter les informations collectées

Opérations effectuées par The Form Company

  • Mise à disposition de l'infrastructure pour la saisie, le stockage et la consultation des données
  • Hébergement sécurisé
  • Déclenchement de notifications
  • Traitement automatisé de documents
  • Support technique

Types de données traitées

  • Données d'identification : nom, email, téléphone
  • Pièces justificatives : copies de pièces d'identité, contrats
  • Données techniques : adresses IP, journaux d'accès

Personnes concernées

Clients, participants aux formulaires, et potentiellement employés ou partenaires utilisant la plateforme.

Durée du traitement

Les données sont traitées pendant la durée de la relation contractuelle ou selon les paramètres définis par le responsable de traitement. Elles sont supprimées ou restituées à la fin du contrat.

Article 4 – Engagements du sous-traitant

  • Traiter les données uniquement selon les instructions documentées du responsable de traitement
  • S'assurer que le personnel respecte les obligations de confidentialité
  • Tenir un registre des activités de traitement
  • Mettre en œuvre les mesures de sécurité appropriées
  • Alerter le responsable de traitement en cas d'instructions manifestement illégales
  • Assister le responsable de traitement dans la démonstration de sa conformité au RGPD

Article 5 – Obligations du responsable de traitement

  • Déterminer les finalités et les modalités du traitement
  • Fournir une information claire aux personnes concernées avant la collecte
  • S'assurer de l'existence d'une base légale valide
  • Configurer la plateforme dans le respect du privacy-by-design
  • Permettre l'exercice effectif des droits des personnes concernées
  • Fournir les instructions nécessaires au sous-traitant

Article 6 – Sous-traitants ultérieurs

Le sous-traitant peut faire appel à des sous-traitants ultérieurs. Le responsable de traitement reçoit un préavis écrit de 15 jours avant tout nouvel engagement.

Le responsable de traitement dispose de 10 jours ouvrés pour s'opposer. Le sous-traitant reste pleinement responsable de la conformité des sous-traitants ultérieurs via des obligations contractuelles conformes au présent accord.

Article 7 – Transferts hors EEE

Les transferts ne sont autorisés qu'avec des décisions d'adéquation, des clauses contractuelles types, ou des dérogations prévues à l'article 49 du RGPD.

Le sous-traitant informe le responsable de traitement des transferts avec la destination, la base juridique et les garanties supplémentaires, et fournit la documentation sur demande.

Article 8 – Assistance pour les droits des personnes concernées

Le sous-traitant assiste dans l'exercice des droits : accès, rectification, effacement, limitation du traitement, opposition et portabilité des données.

Les demandes directes adressées au sous-traitant sont transmises au responsable de traitement sans réponse autonome, sauf instruction préalable contraire.

Article 9 – Notification des violations de données

Le sous-traitant notifie le responsable de traitement sans délai injustifié, au maximum 48 heures après tout incident de sécurité affectant les données personnelles, incluant :

  • La nature de l'incident
  • La date et l'heure
  • Le volume de données affectées
  • Les conséquences
  • Les mesures correctives
  • Les coordonnées de contact

Article 10 – Mesures de sécurité

Le sous-traitant met en œuvre :

  • Chiffrement des données
  • Pare-feu
  • Contrôles d'accès basés sur les rôles
  • Authentification
  • Isolation logique des environnements
  • Journalisation des accès
  • Procédures de sauvegarde
  • Détection des anomalies
  • Sélection rigoureuse des fournisseurs

Article 11 – Traitement des données après la fin du contrat

À la fin du contrat, le sous-traitant restitue les données dans un format structuré ou les supprime de manière sécurisée dans un délai de 60 jours calendaires, sauf obligation légale de conservation.

Une attestation de suppression est fournie sur demande.

Article 12 – Audits et documentation

Le responsable de traitement peut effectuer des audits de conformité avec un préavis raisonnable, au maximum une fois par an, sauf si une urgence justifie une vérification supplémentaire.

Le sous-traitant coopère tout en protégeant les secrets industriels et les données des autres clients.

Article 13 – Responsabilités et limites

Le sous-traitant assume la responsabilité du traitement défini contractuellement dans les limites des instructions reçues.

Le sous-traitant n'est pas responsable des manquements du responsable de traitement, des erreurs de configuration ou des instructions illégales.

Le responsable de traitement reste responsable de la licéité du traitement, de l'exactitude des données et des obligations d'information.

Article 14 – Droit applicable

Le présent accord est régi par le droit français.

Les litiges sont traités par résolution amiable. Les conflits non résolus sont portés devant les tribunaux du ressort du siège social du sous-traitant.