English

Accord de traitement des données

Comment nous traitons les données personnelles pour le compte de nos clients en qualité de sous-traitant.

Derniere mise a jour: 2026-03-18

Préambule

Une version PDF téléchargeable est disponible : Télécharger le DPA (PDF).

Le présent Accord de traitement des données (« DPA ») fait partie intégrante des Conditions Générales d'Utilisation conclues entre le Client (« Responsable du traitement ») et Black Cat Security (« Sous-traitant ») et régit le traitement des données personnelles effectué par le Sous-traitant pour le compte du Responsable du traitement dans le cadre de la fourniture du Service.

1. Définitions

Aux fins du présent DPA, les termes suivants ont le sens qui leur est attribué à l'article 4 du Règlement général sur la protection des données (UE) 2016/679 (« RGPD ») :

  • « Responsable du traitement » désigne la personne physique ou morale qui détermine les finalités et les moyens du traitement des données personnelles — dans le présent DPA, le Client.
  • « Sous-traitant » désigne la personne physique ou morale qui traite des données personnelles pour le compte du Responsable du traitement — dans le présent DPA, Black Cat Security.
  • « Personne concernée » désigne une personne physique identifiée ou identifiable dont les données personnelles font l'objet d'un traitement.
  • « Données personnelles » désigne toute information se rapportant à une personne physique identifiée ou identifiable.
  • « Sous-traitant ultérieur » désigne tout tiers engagé par le Sous-traitant pour traiter des données personnelles pour le compte du Responsable du traitement.
  • « Violation de données » désigne une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données personnelles ou l'accès non autorisé à de telles données.

2. Champ d'application et rôles

Le Client agit en qualité de Responsable du traitement et Black Cat Security agit en qualité de Sous-traitant au regard des données personnelles traitées dans le cadre du Service. Le présent DPA complète les Conditions Générales d'Utilisation et s'applique à l'ensemble des activités de traitement réalisées par le Sous-traitant pour le compte du Responsable du traitement.

En cas de contradiction entre le présent DPA et les Conditions Générales d'Utilisation, les dispositions du présent DPA prévalent en matière de protection des données.

3. Instructions de traitement

Le Sous-traitant ne traite les données personnelles que sur instruction documentée du Responsable du traitement, telles que définies dans le présent DPA et les Conditions Générales d'Utilisation. Le Sous-traitant ne traite pas les données personnelles à d'autres fins que la fourniture du Service, sauf si le droit de l'Union ou le droit d'un État membre l'y oblige, auquel cas il informe le Responsable du traitement de cette obligation juridique avant le traitement, à moins que le droit en question n'interdise une telle information pour des motifs importants d'intérêt public.

Le Sous-traitant informe immédiatement le Responsable du traitement si, selon lui, une instruction du Responsable du traitement constitue une violation du RGPD ou de toute autre législation applicable en matière de protection des données.

4. Catégories de données traitées

Les catégories de données personnelles suivantes sont traitées par le Sous-traitant pour le compte du Responsable du traitement dans le cadre du Service :

Catégorie de donnéesPersonnes concernéesFinalité
Données de configuration SaaSUtilisateurs finaux des applications SaaS connectéesÉvaluation de la posture de sécurité et suivi de conformité
Données d'identité (noms, e-mails, rôles)Utilisateurs des applications SaaS connectéesAnalyse des risques liés aux identités et revue des accès
Résultats de sécuritéUtilisateurs associés aux ressources mal configuréesNotation des risques et recommandations de remédiation
Journaux d'auditAdministrateurs de la plateformeTraçabilité, dépannage et conformité

5. Sous-traitants ultérieurs

Le Responsable du traitement autorise le Sous-traitant à faire appel aux sous-traitants ultérieurs suivants pour le traitement des données personnelles :

NomFinalitéLocalisation
Cloudflare, Inc.Hébergement, CDN et protection DDoSUSA / UE
Paddle.com Market LtdFacturation et traitement des paiementsRoyaume-Uni

Le Sous-traitant informera le Responsable du traitement de tout changement envisagé concernant ses sous-traitants ultérieurs au moins 30 jours avant que le nouveau sous-traitant ultérieur ne commence à traiter des données personnelles. Le Responsable du traitement disposera d'un délai de 30 jours à compter de la réception de cette notification pour formuler une objection par écrit. Si le Responsable du traitement formule une objection raisonnable, les parties discuteront de bonne foi et, à défaut d'accord, le Responsable du traitement pourra résilier les services concernés.

6. Mesures de sécurité

Le Sous-traitant met en œuvre et maintient des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, incluant notamment :

  • Chiffrement des données personnelles au repos en AES-256.
  • Chiffrement des données personnelles en transit en TLS 1.2 ou supérieur.
  • Contrôle d'accès basé sur les rôles (RBAC) avec authentification multifacteur (MFA) obligatoire pour tout personnel ayant accès aux données personnelles.
  • Journalisation complète des accès et des modifications apportées aux données personnelles.
  • Évaluations de sécurité et tests de vulnérabilité réguliers.
  • Procédures de réponse aux incidents avec des processus d'escalade et de notification définis.
  • Formation des employés à la protection des données et à la sécurité de l'information, dispensée lors de l'intégration et au moins une fois par an.

7. Notification de violation de données

En cas de Violation de données, le Sous-traitant notifie le Responsable du traitement dans les meilleurs délais et, en tout état de cause, dans un délai de 72 heures après en avoir pris connaissance. La notification comprend :

  • Une description de la nature de la violation, y compris, si possible, les catégories et le nombre approximatif de Personnes concernées et d'enregistrements de données personnelles concernés.
  • Le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact.
  • Une description des conséquences probables de la violation.
  • Une description des mesures prises ou proposées pour remédier à la violation, y compris les mesures visant à en atténuer les éventuels effets négatifs.

Le Sous-traitant coopère avec le Responsable du traitement et prend toutes les mesures raisonnables pour contribuer à l'investigation, à l'atténuation et à la remédiation de la violation.

8. Droits des personnes concernées

Le Sous-traitant assiste le Responsable du traitement dans l'exécution de son obligation de donner suite aux demandes des Personnes concernées exerçant leurs droits au titre du RGPD (notamment les droits d'accès, de rectification, d'effacement, de limitation, de portabilité et d'opposition). Le Sous-traitant notifie sans délai au Responsable du traitement toute demande reçue directement d'une Personne concernée et n'y répond pas, sauf instruction contraire du Responsable du traitement.

Le Sous-traitant fournit une coopération et une assistance raisonnables, compte tenu de la nature du traitement et des informations dont il dispose.

9. Audits

Le Sous-traitant met à la disposition du Responsable du traitement toutes les informations nécessaires pour démontrer le respect du présent DPA et permet la réalisation d'audits, y compris des inspections, par le Responsable du traitement ou un auditeur mandaté par ce dernier.

Les audits sont réalisés moyennant un préavis écrit d'au moins 30 jours, pendant les heures ouvrables et de manière à minimiser la perturbation des opérations du Sous-traitant. Les frais d'audit sont à la charge du Responsable du traitement. Le Sous-traitant peut satisfaire aux exigences d'audit en fournissant des certifications, des rapports d'audit ou des attestations de conformité émanant de tiers indépendants.

10. Transferts internationaux de données

Lorsque des données personnelles sont transférées en dehors de l'Espace économique européen (EEE), le Sous-traitant s'assure que des garanties appropriées sont en place, notamment les Clauses Contractuelles Types (CCT) adoptées par la Commission européenne, les décisions d'adéquation ou d'autres mécanismes de transfert approuvés par le RGPD. Le Sous-traitant informe le Responsable du traitement de tout transfert et fournit les détails des garanties mises en œuvre.

11. Restitution et suppression des données

À la résiliation ou l'expiration des Conditions Générales d'Utilisation, le Sous-traitant restitue au Responsable du traitement l'ensemble des données personnelles ou les supprime, selon le choix du Responsable du traitement. Le Responsable du traitement dispose d'un délai de 30 jours suivant la résiliation pour demander l'export de ses données dans un format standard (JSON ou CSV). Passé ce délai, le Sous-traitant supprime de manière sécurisée l'ensemble des données personnelles, sauf lorsque leur conservation est exigée par le droit applicable.

Le Sous-traitant fournit une confirmation écrite de la suppression à la demande du Responsable du traitement.

12. Durée et résiliation

Le présent DPA demeure en vigueur pendant toute la durée des Conditions Générales d'Utilisation et prend automatiquement fin à la résiliation ou l'expiration de celles-ci. Les obligations du Sous-traitant en matière de protection des données, de sécurité et de confidentialité survivent à la résiliation aussi longtemps que le Sous-traitant conserve des données personnelles du Responsable du traitement.

13. Annexes

Les annexes suivantes font partie intégrante du présent DPA :

  • Annexe A — Détails du traitement : les catégories de données traitées, les Personnes concernées et les finalités du traitement sont décrites à l'article 4 du présent DPA.
  • Annexe B — Mesures techniques et organisationnelles : les mesures de sécurité mises en œuvre par le Sous-traitant sont décrites à l'article 6 du présent DPA.