Cyberkit
Essai gratuit

Accord de traitement des données (DPA)

Dernière mise à jour : 2026-01-01

Modèle à valider. Ce document est un modèle de contrat de sous-traitance (art. 28 RGPD) fourni à titre indicatif. Faites-le relire et adapter par votre conseil juridique avant toute mise en ligne ou signature.

Le présent Accord de traitement des données (« DPA ») encadre le traitement des données à caractère personnel effectué par Blabos (« le Sous-traitant ») pour le compte de ses clients (« le Responsable du traitement ») dans le cadre de l’utilisation de Cyberkit. Il s’inscrit en complément des conditions générales et de la politique de confidentialité.

1. Objet et durée

Le Sous-traitant traite les données pour la seule fourniture du service Cyberkit, pendant toute la durée du contrat. À l’expiration, les données sont restituées ou supprimées conformément à l’article 8.

2. Nature et finalité du traitement

Hébergement et exploitation d’un service d’auto-évaluation et d’attestation d’hygiène cybersécurité : gestion des comptes et équipes, collecte des réponses et preuves, calcul des scores, émission des attestations, et suivi du parc de fournisseurs.

3. Catégories de données et de personnes concernées

  • Données d’identification et de contact (nom, e-mail) des utilisateurs et des fournisseurs invités.
  • Données déclaratives et techniques relatives à la posture de sécurité (réponses, preuves DNS/e-mail).
  • Données de connexion et journaux (adresse IP, horodatage) — sécurité et traçabilité.

4. Obligations du Sous-traitant

  • Traiter les données uniquement sur instruction documentée du Responsable du traitement.
  • Garantir la confidentialité (engagement des personnes habilitées).
  • Mettre en œuvre des mesures techniques et organisationnelles appropriées (art. 32) — voir notre page Sécurité (hébergement UE, chiffrement au repos et en transit, contrôle d’accès).
  • Assister le Responsable pour répondre aux demandes d’exercice des droits des personnes.
  • Notifier toute violation de données sans délai injustifié après en avoir pris connaissance.

5. Sous-traitants ultérieurs

Le Responsable autorise le recours aux sous-traitants ultérieurs suivants, soumis à des obligations équivalentes :

  • Stripe (paiement)
  • l’hébergeur (infrastructure, UE)
  • le fournisseur d’e-mails transactionnels

Toute évolution de cette liste est communiquée au Responsable, qui peut s’y opposer pour motif légitime.

6. Localisation et transferts

Les données sont hébergées dans l’Union européenne (Google Cloud EMEA Limited). Tout transfert hors UE est encadré par des garanties appropriées (clauses contractuelles types).

7. Sécurité et référentiel

Les mesures de sécurité sont décrites sur la page Sécurité ; le référentiel d’hygiène et sa correspondance NIS2 sont publiés et versionnés sur la page Référentiel.

8. Restitution et suppression

À la fin de la prestation, et selon le choix du Responsable, le Sous-traitant restitue ou supprime les données, sauf obligation légale de conservation. Les journaux d’audit sont purgés automatiquement.

9. Audit

Le Sous-traitant met à disposition les informations nécessaires pour démontrer le respect du présent DPA et permet les audits raisonnables diligentés par le Responsable.

Dernière mise à jour : 2026-01-01.