Avenant traitement de données (DPA)

Responsable du traitement : le Client souscrivant au Service. Sous-traitant : Continuum Identity SAS, 200 rue de la Croix Nivert, 75015 Paris, France.

Objet : fourniture du SaaS Continuum Business. Le Sous-traitant traite les données personnelles pour le compte du Responsable du traitement pendant la durée de l'Abonnement, plus une période de transition de 30 jours pour l'export.

Le Sous-traitant traite les Données Personnelles uniquement sur la base d'instructions documentées du Responsable du traitement, y compris les instructions transmises via la configuration standard du Service. Tout traitement requis par le droit de l'UE ou d'un État membre est notifié au Responsable du traitement avant exécution, sauf interdiction légale.

Les personnes autorisées à traiter les Données Personnelles sont liées par des obligations de confidentialité (contrat de travail ou NDA séparé). L'accès est accordé selon le principe du besoin d'en connaître, avec élévation just-in-time.

Le Sous-traitant met en œuvre des mesures techniques et organisationnelles adaptées au risque : • Chiffrement : TLS 1.3 en transit, AES-256 au repos, sauvegardes chiffrées. • Contrôle d'accès : RBAC avec hiérarchies, 2FA optionnel, journal d'audit. • Isolation par tenant : row-level security PostgreSQL. • Sauvegardes : quotidiennes, chiffrées, rétention 30 jours. • Gestion des vulnérabilités : Dependabot, scan de dépendances, pen-test annuel (prévu 2027). • Réponse à incident : playbook documenté, astreinte. Mesures détaillées sur /security.

Le Responsable du traitement autorise le Sous-traitant à recourir aux sous-traitants ultérieurs listés sur /sovereignty. Le Sous-traitant notifie le Responsable de tout nouveau sous-traitant 30 jours avant son engagement, permettant l'opposition pour des motifs raisonnables.

Par défaut, les Données Personnelles sont hébergées en Suisse. Les sous-traitants opérant hors de Suisse ou de l'UE sont liés par les Clauses Contractuelles Types (CCT, 2021/914) et, le cas échéant, par l'EU-US Data Privacy Framework. Les clients peuvent demander une résidence UE ou France uniquement sur les tiers Enterprise.

Le Sous-traitant assiste le Responsable du traitement dans l'exécution des droits des personnes (accès, rectification, effacement, limitation, portabilité, opposition) en fournissant des outils d'export et de suppression en self-service, et en répondant aux demandes directes sous 5 jours ouvrés.

Le Sous-traitant notifie le Responsable du traitement sans retard injustifié (sous 24 heures après confirmation) de toute Violation de Données Personnelles, en fournissant l'ensemble des informations requises par l'article 33(3) du RGPD pour faciliter les obligations de notification du Responsable.

Le Responsable du traitement peut auditer la conformité du Sous-traitant une fois par an, sur préavis raisonnable. Le Sous-traitant fournit une documentation standardisée (questionnaire CAIQ, résumés de pen-test, certificat ISO 27001 lorsque disponible — cible T4 2026) pour satisfaire la plupart des demandes d'audit sans visite sur site.

À la résiliation de l'Abonnement, le Sous-traitant fournit un export complet des données dans des formats standards (CSV, JSON, PDF) pendant 30 jours. Les Données sont ensuite supprimées des systèmes de production sous 30 jours et des sauvegardes sous 90 jours, sauf obligation légale de conservation.

La responsabilité au titre du présent DPA est régie par la clause correspondante des Conditions d'utilisation, sauf lorsque le droit impératif (par exemple les sanctions RGPD) en dispose autrement.