CentaurusCyber

DPA

Contrat de Traitement de Donnรฉes (DPA)

CentaurusCyber

Version : 1.0
Date d’effet : 13 mai 2026

Prรฉambule

Le prรฉsent Contrat de Traitement de Donnรฉes (ci-aprรจs le ยซ DPA ยป) est conclu entre :

  • CentaurusCyber, agissant en qualitรฉ de Responsable de Traitement (ci-aprรจs le ยซ Responsable ยป), et
  • l’utilisateur agissant en qualitรฉ d’utilisateur

Contexte :
Le Responsable utilise les services pour le traitement de donnรฉes personnelles dans le cadre de son activitรฉ de vรฉrification d’emails et de donnรฉes dans des bases de fuites. Ce DPA dรฉfinit les obligations des parties en matiรจre de protection des donnรฉes, conformรฉment au Rรจglement (UE) 2016/679 du Parlement europรฉen et du Conseil du 27 avril 2016 (ci-aprรจs le ยซ RGPD ยป) et ร  la loi franรงaise nยฐ78-17 du 6 janvier 1978 modifiรฉe (ci-aprรจs la ยซ Loi Informatique et Libertรฉs ยป).

1. Objet du DPA

Le prรฉsent DPA a pour objet de :

  1. Dรฉfinir les modalitรฉs de traitement des donnรฉes personnelles par le Sous-Traitant pour le compte du Responsable.
  2. Garantir la conformitรฉ au RGPD et ร  la Loi Informatique et Libertรฉs.
  3. Encadrer les droits et obligations des parties en matiรจre de protection des donnรฉes.

2. Dรฉfinitions

Les termes utilisรฉs dans le prรฉsent DPA ont la mรชme signification que celle qui leur est attribuรฉe dans le RGPD, notamment :

  • ยซ Donnรฉes Personnelles ยป : Toute information se rapportant ร  une personne physique identifiรฉe ou identifiable.
  • ยซ Traitement ยป : Toute opรฉration ou tout ensemble d’opรฉrations effectuรฉes ou non ร  l’aide de procรฉdรฉs automatisรฉs, appliquรฉes ร  des donnรฉes personnelles.
  • ยซTraitant ยป : La personne physique ou morale qui traite des donnรฉes personnelles pour le compte du Responsable.
  • ยซ Responsable de Traitement ยป : La personne physique ou morale qui dรฉtermine les finalitรฉs et les moyens du traitement.

3. Description du Traitement

3.1. Finalitรฉs du Traitement

Le Sous-Traitant traite les Donnรฉes Personnelles uniquement pour les finalitรฉs suivantes, telles que dรฉfinies par le Responsable :

  • Vรฉrification de la prรฉsence d’emails ou de donnรฉes dans des bases de fuites (data breaches).
  • Fourniture de recommandations de sรฉcuritรฉ personnalisรฉes aux Utilisateurs.
  • Gestion des comptes utilisateurs et des paiements (le cas รฉchรฉant).
  • Amรฉlioration du Service (statistiques anonymisรฉes).

3.2. Nature des Donnรฉes Personnelles

Les catรฉgories de Donnรฉes Personnelles traitรฉes sont les suivantes :

CatรฉgorieExemplesSensibilitรฉ
Donnรฉes d’identificationAdresse email, pseudos, numรฉros de tรฉlรฉphoneNon sensible
Donnรฉes de connexionAdresse IP, logs d’accรจs, cookiesNon sensible
Donnรฉes de paiementNom, prรฉnom, informations bancaires (traitรฉes par un prestataire certifiรฉ)Sensible (chiffrรฉes)
Donnรฉes de questionnaireRรฉponses aux questions de sรฉcuritรฉ (ex : mots de passe hachรฉs)Sensible (chiffrรฉes)

3.3. Durรฉe du Traitement

  • Les Donnรฉes Personnelles sont traitรฉes pendant la durรฉe de l’abonnement de l’Utilisateur.
  • Elles sont supprimรฉes sous 30 jours aprรจs la fin du contrat, sauf obligation lรฉgale de conservation (ex : donnรฉes de paiement conservรฉes 10 ans pour les factures).

3.4. Personnes Concernรฉes

Les Donnรฉes Personnelles concernent :

  • Les Utilisateurs du Service (particuliers ou professionnels).
  • Les clients de CentaurusCyber (si le Service est utilisรฉ en B2B).

4. Obligations du Responsable

Le Responsable s’engage ร  :

  1. Dรฉterminer les finalitรฉs du traitement et en informer le Sous-Traitant.
  2. Fournir au Sous-Traitant les instructions nรฉcessaires pour le traitement des Donnรฉes Personnelles.
  3. Garantir que le traitement des Donnรฉes Personnelles est conforme au RGPD et ร  la Loi Informatique et Libertรฉs.
  4. Informer les personnes concernรฉes de l’existence du traitement et de leurs droits (via la Politique de Confidentialitรฉ).
  5. Superviser le respect des obligations du Sous-Traitant en matiรจre de protection des donnรฉes.
  6. Notifier sans dรฉlai au Sous-Traitant toute demande d’exercice des droits des personnes concernรฉes (accรจs, rectification, effacement, etc.).

5. Obligations du Sous-Traitant

Le Sous-Traitant s’engage ร  :

5.1. Traitement des Donnรฉes

  • Traiter les Donnรฉes Personnelles uniquement sur instruction รฉcrite du Responsable.
  • Ne pas utiliser les Donnรฉes Personnelles pour ses propres besoins.
  • Ne pas communiquer les Donnรฉes Personnelles ร  un tiers sans l’autorisation รฉcrite du Responsable.

5.2. Sรฉcuritรฉ des Donnรฉes

  • Mettre en ล“uvre des mesures techniques et organisationnelles pour garantir la sรฉcuritรฉ des Donnรฉes Personnelles, notamment :
    • Chiffrement des donnรฉes (TLS 1.3 pour les transferts, chiffrement au repos).
    • Accรจs restreint aux donnรฉes (principe du moindre privilรจge).
    • Sauvegardes rรฉguliรจres et tests de restauration.
    • Audits de sรฉcuritรฉ annuels (ou certification ISO 27001, SOC 2, etc.).
  • Notifier le Responsable sans dรฉlai (sous 72h) en cas de violation de donnรฉes (data breach), conformรฉment ร  l’Article 33 du RGPD.

5.3. Sous-Traitance en Cascade

  • Le Sous-Traitant ne peut pas sous-traiter tout ou partie du traitement sans l’autorisation รฉcrite du Responsable.
  • En cas de sous-traitance autorisรฉe, le Sous-Traitant doit :
    • Choisir un sous-traitant offrant des garanties suffisantes en matiรจre de protection des donnรฉes.
    • Imposer au sous-traitant en cascade les mรชmes obligations que celles prรฉvues dans le prรฉsent DPA.
    • Informer le Responsable de tout changement concernant l’ajout ou le remplacement d’un sous-traitant.

5.4. Confidentialitรฉ

  • Le Sous-Traitant s’engage ร  ne pas divulguer les Donnรฉes Personnelles ร  des tiers non autorisรฉs.
  • Les employรฉs du Sous-Traitant ayant accรจs aux Donnรฉes Personnelles sont tenus ร  la confidentialitรฉ (via des clauses contractuelles ou des accords de confidentialitรฉ).

5.5. Collaboration avec le Responsable

  • Faciliter l’exercice des droits des personnes concernรฉes (ex : droit d’accรจs, droit ร  l’effacement).
  • Fournir au Responsable toute information nรฉcessaire pour dรฉmontrer la conformitรฉ au RGPD (ex : registres des activitรฉs de traitement, audits).
  • Supprimer ou restituer les Donnรฉes Personnelles ร  la fin du contrat, selon les instructions du Responsable.

6. Droits des Personnes Concernรฉes

Le Sous-Traitant s’engage ร  :

  • Aider le Responsable ร  rรฉpondre aux demandes d’exercice des droits des personnes concernรฉes (ex : accรจs, rectification, effacement, portabilitรฉ, opposition).
  • Ne pas rรฉpondre directement aux demandes des personnes concernรฉes sans l’autorisation du Responsable.

7. Violation de Donnรฉes (Data Breach)

7.1. Notification

En cas de violation de donnรฉes (ex : fuite, accรจs non autorisรฉ), le Sous-Traitant doit :

  1. Identifier la nature de la violation (donnรฉes concernรฉes, nombre de personnes impactรฉes, etc.).
  2. Notifier le Responsable sans dรฉlai (sous 72h maximum) via :
  3. Fournir au Responsable toutes les informations nรฉcessaires pour permettre ร  ce dernier de notifier la violation ร  la CNIL (si nรฉcessaire) et aux personnes concernรฉes.

7.2. Mesures Correctives

Le Sous-Traitant doit :

  • Prendre des mesures immรฉdiates pour limiter l’impact de la violation (ex : isolation des systรจmes, correction des vulnรฉrabilitรฉs).
  • Documenter la violation et les actions prises pour y remรฉdier.
  • Collaborer avec le Responsable pour รฉviter une rรฉcidive.

8. Transfert de Donnรฉes Hors UE

  • Les Donnรฉes Personnelles ne sont pas transfรฉrรฉes en dehors de l’Union Europรฉenne ou de l’Espace ร‰conomique Europรฉen (EEE), sauf :
    • Si le pays destinataire bรฉnรฉficie d’une dรฉcision d’adรฉquation de la Commission europรฉenne (ex : Royaume-Uni, Canada).
    • Si des garanties appropriรฉes sont mises en place (ex : Clauses Contractuelles Types de la Commission europรฉenne, Binding Corporate Rules, etc.).
  • En cas de transfert, le Sous-Traitant doit informer le Responsable et obtenir son accord รฉcrit.

9. Audit et Contrรดle

  • Le Responsable peut auditer le Sous-Traitant pour vรฉrifier le respect des obligations du prรฉsent DPA.
  • Les audits peuvent รชtre rรฉalisรฉs :
    • Sur site (avec un prรฉavis de 15 jours).
    • ร€ distance (via des questionnaires ou des rapports d’audit).
  • Le Sous-Traitant doit coopรฉrer pleinement avec le Responsable et fournir toute documentation nรฉcessaire.

10. Durรฉe et Rรฉsiliation

10.1. Durรฉe

Le prรฉsent DPA entre en vigueur ร  la date de signature et reste valable pour la durรฉe du contrat principal entre les parties.

10.2. Rรฉsiliation

  • Le Responsable peut rรฉsilier le DPA en cas de manquement grave du Sous-Traitant ร  ses obligations (ex : violation de donnรฉes, non-respect du RGPD).
  • Le Sous-Traitant peut rรฉsilier le DPA en cas de manquement du Responsable ร  ses obligations (ex : non-paiement, instructions illรฉgales).
  • En cas de rรฉsiliation, le Sous-Traitant doit :
    • Cesser tout traitement des Donnรฉes Personnelles.
    • Supprimer ou restituer les Donnรฉes Personnelles au Responsable, selon ses instructions.

11. Loi Applicable et Litiges

  • Le prรฉsent DPA est rรฉgi par le droit franรงais.
  • Tout litige relatif ร  l’interprรฉtation ou ร  l’exรฉcution du DPA sera soumis ร  la compรฉtence exclusive des tribunaux de Paris.

12. Annexes

Annexe 1 : Liste des Sous-Traitants Autorisรฉs

Nom du Sous-TraitantService FournisLocalisationCertifications
OVHHรฉbergement webFranceISO 27001, SOC 2
StripePaiements en ligneIrlandePCI DSS
AWS FranceStockage cloudFranceISO 27001, SOC 2

Annexe 2 : Mesures de Sรฉcuritรฉ

  • Chiffrement : TLS 1.3 pour les transferts, AES-256 pour le stockage.
  • Accรจs : Authentification multi-facteurs (MFA), principe du moindre privilรจge.
  • Sauvegardes : Sauvegardes quotidiennes, tests de restauration mensuels.
  • Surveillance : Dรฉtection des intrusions (IDS), logs centralisรฉs.

13. Signatures

Le Responsable de Traitement :
CentaurusCyber

Latest Notes

View Archive [ -> ]

Browse all notes