comply

Accord de traitement des données (DPA)

Dernière mise à jour : 19 mai 2026

Document en validation juridique

Ce document est un draft initial en cours de validation par un avocat spécialisé. La version validée juridiquement remplacera cette version avant le lancement commercial public. Pour toute question urgente, contactez support@syntropic-lab.fr.

1. Préambule

Le présent Accord de Traitement des Données (« DPA ») complète les Conditions Générales de Vente et précise les obligations de comply en tant que sous-traitant au sens de l'article 28 du RGPD. Le Client agit en qualité de responsable de traitement des données qu'il confie à comply pour analyse.

2. Objet du traitement

comply traite les données suivantes pour le compte du Client :

  • URLs et contenus HTML des pages des sites analysés (publics)
  • Captures d'écran de pages analysées
  • Fragments HTML extraits pour preuve de conformité
  • Métadonnées techniques (headers HTTP, certificats TLS publics)

Finalités: exécution du service d'analyse de conformité, génération de rapports, archivage pour audit du Client.

3. Durée du traitement

Pendant toute la durée du contrat. À la résiliation, conservation 30 jours en lecture seule, puis purge automatique (sauf demande anticipée du Client). Données historiques de scan purgées selon la rétention du plan (30j, 3 mois, 12 mois).

4. Sous-traitants ultérieurs (sub-processors)

Sous-traitantFinalitéLocalisation
OVH SASHébergement infrastructure (VPS chiffré)Roubaix, France
Stripe Payments Europe LtdTraitement paiements abonnementsIrlande (UE)
Brevo (Sendinblue SAS)Envoi emails transactionnelsFrance

Tout ajout ou modification de sous-traitant fera l'objet d'une notification email préalable au Client, qui dispose du droit de s'opposer pour motif légitime dans un délai de 30 jours.

5. Mesures techniques et organisationnelles

  • Chiffrement : TLS 1.3 en transit, LUKS au repos (volumes serveurs).
  • Authentification : MFA TOTP obligatoire pour tous les comptes utilisateurs et administrateurs.
  • Cloisonnement : isolation multi-tenant par Row-Level Security PostgreSQL.
  • Audit log : tous accès et modifications tracés (conservation 5-7 ans).
  • Sauvegardes : daily encrypted backups, retention 30j.
  • Tests sécurité : scans automatisés bandit + safety + trivy + gitleaks + semgrep sur chaque déploiement.
  • Accès : restreint au personnel autorisé, sur besoin métier, avec audit log.

6. Notification de violation de données

En cas de violation de données affectant le Client, comply notifiera sans délai (et au plus tard dans les 72h après détection) en fournissant les éléments requis par l'article 33 du RGPD : nature de la violation, catégories de données concernées, mesures prises, coordonnées DPO/contact.

7. Assistance du Client

comply assiste le Client dans le respect de ses propres obligations RGPD : réponse aux demandes d'accès/rectification/effacement des personnes concernées du Client, réalisation d'analyses d'impact (PIA) lorsque pertinent.

8. Audit du Client

Le Client peut, à ses frais et avec préavis de 30 jours, mandater un auditeur indépendant pour vérifier le respect du DPA. Les modalités précises (champ, durée, confidentialité) sont définies au cas par cas.

9. Restitution et suppression des données

À la fin du contrat, comply :

  • Restitue au Client toutes ses données sur demande, dans un format machine-readable (JSON + PDF des rapports finaux).
  • Supprime ensuite définitivement les données, sauf obligation légale de conservation (logs sécurité 5-7 ans, factures 10 ans).
  • Fournit une attestation écrite de suppression sur demande.

10. Modification du DPA

Toute modification substantielle sera notifiée 30 jours avant prise d'effet, ouvrant au Client la possibilité de résilier sans frais.

Accord de traitement des données (DPA), comply