Accord de Traitement des Données (DPA)

Article 1 — Objet et définitions

Le présent Accord (ci-après « DPA ») fait partie intégrante des Conditions Générales d'Utilisation et encadre le traitement de données à caractère personnel effectué par Nyxo Solutions(ci-après le « Sous-traitant ») pour le compte du Client (ci-après le « Responsable de traitement ») dans le cadre de la fourniture de la plateforme Architecture Platform (ci-après la « Plateforme »).

Les termes « données à caractère personnel », « traitement », « responsable de traitement », « sous-traitant », « personne concernée » et « violation de données » s'entendent au sens du Règlement (UE) 2016/679 (ci-après le « RGPD »).

Article 2 — Description du traitement

2.1 Nature et finalités

Le Sous-traitant traite les données à caractère personnel uniquement pour la fourniture des services contractuels :

• Authentification et gestion des comptes utilisateurs
• Hébergement et persistance des contenus créés par le Responsable de traitement (DAS, sessions ARB, registres d'agents IA, etc.)
• Notifications transactionnelles (emails opérationnels)
• Facturation et gestion des abonnements
• Journaux de sécurité et d'audit (logs d'accès, traçabilité des actions sensibles)

2.2 Catégories de données traitées

• Identification : nom, prénom, email professionnel
• Connexion : identifiants, hash du mot de passe (Argon2id côté identity provider Keycloak), tokens de session
• Usage : logs d'accès, adresses IP, agent utilisateur, horodatage des actions
• Contenu professionnel : documents d'architecture, fiches d'agents IA, notes de réunions ARB — saisis par le Responsable de traitement
• Facturation : identifiants de paiement chiffrés (tokens Stripe, jamais le numéro de carte en clair)

2.3 Catégories de personnes concernées

• Collaborateurs et prestataires du Responsable de traitement
• Tiers identifiés nominativement par le Responsable de traitement dans les contenus saisis (référents métier, sponsors, etc.)

2.4 Durée du traitement

Le traitement est effectué pendant toute la durée du contrat d'abonnement. À la résiliation, les données sont conservées pendant 30 joursà des fins de récupération, puis supprimées de manière irréversible (cf. Article 9).

Article 3 — Obligations du Sous-traitant

Conformément à l'article 28 du RGPD, le Sous-traitant :

• Traite les données uniquement sur instructions documentées du Responsable de traitement, y compris en cas de transfert hors UE (cf. Article 6).
• Garantit la confidentialité en imposant un engagement de confidentialité à toutes les personnes autorisées à traiter les données.
• Met en œuvre les mesures techniques et organisationnelles appropriées détaillées à l'Article 5.
• Assiste le Responsable de traitementdans l'exercice des droits des personnes concernées (cf. Article 7) et dans le respect de ses obligations RGPD.
• Notifie sans délai injustifiéau Responsable de traitement toute violation de données personnelles (cf. Article 8).
• Met à dispositiontoutes les informations nécessaires pour démontrer le respect des obligations d'article 28 et permet la réalisation d'audits (cf. Article 10).

Article 4 — Sous-traitance ultérieure

Le Responsable de traitement autorise par le présent DPA le recours aux sous-traitants ultérieurs listés ci-dessous, qui interviennent strictement dans la fourniture du service. La liste à jour est consultable dans la politique de confidentialité.

• Amazon Web Services EMEA SARL (Luxembourg) — hébergement applicatif et bases de données, région UE Paris
• Stripe Payments Europe Ltd. (Irlande) — encaissement des paiements
• Brevo (Sendinblue SAS) (France) — envoi des emails transactionnels
• Cloudflare (réseau mondial) — CDN, protection DDoS, DNS
• Functional Software, Inc. (Sentry)(États-Unis, avec CCT) — détection d'erreurs techniques
• Plausible Insights OÜ (Estonie) — statistiques de fréquentation agrégées sans cookie

Le Sous-traitant informera le Responsable de traitement de toute modification envisagée concernant l'ajout ou le remplacement d'un sous-traitant ultérieur, avec un préavis de trente (30) jours, lui laissant la possibilité d'émettre des objections à l'encontre de ces changements.

Article 5 — Mesures de sécurité

Le Sous-traitant met en œuvre les mesures techniques et organisationnelles suivantes, détaillées sur la page sécurité :

• Chiffrement en transit : TLS 1.2+ sur tous les flux entrants/sortants
• Chiffrement at-rest : AWS KMS (clés UE) sur les bases de données et les sauvegardes
• Isolation tenant : base de données physique dédiée par client (modèle DB-per-tenant)
• Authentification forte : mots de passe hashés Argon2id, MFA disponible, SSO OIDC pour le plan Enterprise
• Contrôle d'accès : RBAC par rôle métier, journalisation des accès aux données sensibles
• Sauvegardes : snapshots quotidiens chiffrés, rétention 30 jours, tests de restauration trimestriels
• Veille : revue des CVE et patching des dépendances critiques sous 30 jours

Article 6 — Localisation et transferts

Les données traitées au titre du présent DPA sont stockées exclusivement au sein de l'Union européenne (datacenters AWS Paris, région eu-west-3).

Pour les rares sous-traitants ultérieurs hors UE (Sentry, Stripe pour certains flux), le transfert est encadré par les Clauses Contractuelles Types adoptées par la Commission européenne (décision 2021/914), avec évaluation d'impact préalable (TIA) documentée.

Article 7 — Droits des personnes concernées

Le Sous-traitant assiste le Responsable de traitement, par des mesures techniques et organisationnelles appropriées, dans la prise en charge des demandes d'exercice des droits des personnes concernées : accès, rectification, effacement, limitation, opposition, portabilité.

Les fonctionnalités correspondantes sont disponibles directement dans l'espace d'administration tenant : export des données au format JSON, suppression de compte utilisateur, anonymisation des contenus liés.

Article 8 — Notification de violation de données

En cas de violation de données à caractère personnel, le Sous-traitant notifie le Responsable de traitement dans un délai maximum de 48 heuresaprès en avoir pris connaissance, par email à l'adresse renseignée dans le compte tenant administrateur.

La notification précise au minimum :

• La nature de la violation et les catégories de données concernées
• Le nombre approximatif de personnes concernées
• Les conséquences probables de la violation
• Les mesures prises ou envisagées pour y remédier et atténuer les effets
• Les coordonnées du point de contact pour obtenir plus d'informations

Article 9 — Sort des données en fin de contrat

À la résiliation ou au terme du contrat, le Responsable de traitement dispose d'une période de 30 jourspour exporter l'ensemble de ses données via l'API publique ou l'interface d'administration.

Passé ce délai, l'intégralité des données est supprimée de manière irréversible des systèmes du Sous-traitant et de ses sous-traitants ultérieurs, y compris des sauvegardes (rotation complète sous 30 jours supplémentaires). Un certificat de suppression est délivré sur demande.

Article 10 — Audit et contrôle

Le Responsable de traitement peut demander, une fois par année civile et avec un préavis raisonnable d'au moins trente (30) jours, communication des éléments démontrant le respect des obligations du présent DPA (rapports d'audit, certifications, questionnaires d'évaluation type CAIQ).

Dans le cas où ces éléments seraient jugés insuffisants, un audit sur site peut être organisé, à la charge financière du Responsable de traitement et dans des conditions préservant la sécurité de la Plateforme et la confidentialité des autres clients.

Article 11 — Responsabilité et durée

Les dispositions relatives à la responsabilité figurent à l'Article 5 des Conditions Générales d'Utilisation.

Le présent DPA prend effet à compter de l'acceptation des CGU et reste applicable pendant toute la durée du contrat ainsi que durant la période de rétention post-contractuelle prévue à l'Article 9.

Contact DPO

Pour toute question relative à la protection des données personnelles ou au présent DPA :
dpo@arch-platform.com