Skip to content
English

Accord de traitement des données

Comment nous traitons les données personnelles pour le compte de nos clients en qualité de sous-traitant.

Derniere mise a jour: 2026-05-15

Préambule

Une version PDF téléchargeable est disponible : Télécharger le DPA (PDF).

Le présent Accord de traitement des données (« DPA ») fait partie intégrante des Conditions Générales d'Utilisation conclues entre le Client (« Responsable du traitement ») et Black Cat Security (« Sous-traitant ») et régit le traitement des données personnelles effectué par le Sous-traitant pour le compte du Responsable du traitement dans le cadre de la fourniture du Service.

1. Définitions

Aux fins du présent DPA, les termes suivants ont le sens qui leur est attribué à l'article 4 du Règlement général sur la protection des données (UE) 2016/679 (« RGPD ») :

  • « Responsable du traitement » désigne la personne physique ou morale qui détermine les finalités et les moyens du traitement des données personnelles — dans le présent DPA, le Client.
  • « Sous-traitant » désigne la personne physique ou morale qui traite des données personnelles pour le compte du Responsable du traitement — dans le présent DPA, Black Cat Security.
  • « Personne concernée » désigne une personne physique identifiée ou identifiable dont les données personnelles font l'objet d'un traitement.
  • « Données personnelles » désigne toute information se rapportant à une personne physique identifiée ou identifiable.
  • « Sous-traitant ultérieur » désigne tout tiers engagé par le Sous-traitant pour traiter des données personnelles pour le compte du Responsable du traitement.
  • « Violation de données » désigne une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données personnelles ou l'accès non autorisé à de telles données.

2. Champ d'application et rôles

Le Client agit en qualité de Responsable du traitement et Black Cat Security agit en qualité de Sous-traitant au regard des données personnelles traitées dans le cadre du Service. Le présent DPA complète les Conditions Générales d'Utilisation et s'applique à l'ensemble des activités de traitement réalisées par le Sous-traitant pour le compte du Responsable du traitement.

En cas de contradiction entre le présent DPA et les Conditions Générales d'Utilisation, les dispositions du présent DPA prévalent en matière de protection des données.

3. Instructions de traitement

Le Sous-traitant ne traite les données personnelles que sur instruction documentée du Responsable du traitement, telles que définies dans le présent DPA et les Conditions Générales d'Utilisation. Le Sous-traitant ne traite pas les données personnelles à d'autres fins que la fourniture du Service, sauf si le droit de l'Union ou le droit d'un État membre l'y oblige, auquel cas il informe le Responsable du traitement de cette obligation juridique avant le traitement, à moins que le droit en question n'interdise une telle information pour des motifs importants d'intérêt public.

Le Sous-traitant informe immédiatement le Responsable du traitement si, selon lui, une instruction du Responsable du traitement constitue une violation du RGPD ou de toute autre législation applicable en matière de protection des données.

4. Catégories de données traitées

Les catégories de données personnelles suivantes sont traitées par le Sous-traitant pour le compte du Responsable du traitement dans le cadre du Service :

Catégorie de donnéesPersonnes concernéesFinalité
Données de configuration SaaSUtilisateurs finaux des applications SaaS connectéesÉvaluation de la posture de sécurité et suivi de conformité
Données d'identité (noms, e-mails, rôles)Utilisateurs des applications SaaS connectéesAnalyse des risques liés aux identités et revue des accès
Résultats de sécuritéUtilisateurs associés aux ressources mal configuréesNotation des risques et recommandations de remédiation
Journaux d'auditAdministrateurs de la plateformeTraçabilité, dépannage et conformité

5. Sous-traitants ultérieurs

Le Responsable du traitement autorise le Sous-traitant à faire appel aux sous-traitants ultérieurs suivants pour le traitement des données personnelles :

NomFinalitéLocalisation
Cloudflare, Inc.Hébergement, CDN, edge compute, protection DDoSUSA (DPF) + edge UE
Paddle.com Market LtdMerchant of Record — facturation, paiements, TVARoyaume-Uni (adéquation)
Functional Software, Inc. (Sentry)Surveillance des erreursUSA (DPF)
Ory CorpIdentité et authentification (Kratos)Allemagne (EEE)

La liste complète et à jour est publiée à l'adresse /fr/sub-processors.

Le Sous-traitant informera le Responsable du traitement de tout changement envisagé concernant ses sous-traitants ultérieurs au moins 30 jours avant que le nouveau sous-traitant ultérieur ne commence à traiter des données personnelles. Le Responsable du traitement disposera d'un délai de 30 jours à compter de la réception de cette notification pour formuler une objection par écrit, fondée sur des motifs raisonnables liés à la protection des données personnelles. Si le Responsable du traitement formule une objection raisonnable, les parties discuteront de bonne foi et, à défaut d'accord dans les 30 jours suivant l'objection, le Responsable du traitement pourra résilier les services concernés et bénéficiera d'un remboursement au prorata des frais prépayés pour la durée restante de l'abonnement en cours.

Lorsque les mécanismes de transfert ci-dessus reposent sur des décisions d'adéquation ou sur le Data Privacy Framework UE-États-Unis, les Clauses Contractuelles Types (Module 2 de la décision d'exécution (UE) 2021/914) s'appliquent en mécanisme de repli en cas de cessation de ces mécanismes.

6. Mesures de sécurité

Le Sous-traitant met en œuvre et maintient des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, telles que détaillées à l'Annexe B. Les mesures décrites ci-dessous constituent les normes minimales maintenues par le Sous-traitant et ne seront pas substantiellement réduites pendant la durée du présent DPA.

6.1 Contrôle des accès

  • Contrôle d'accès basé sur les rôles (RBAC) avec le principe du moindre privilège pour tous les systèmes traitant des données personnelles.
  • Authentification multifacteur (MFA) obligatoire pour tout personnel ayant accès aux données personnelles ou aux systèmes de production.
  • Provisionnement et dé-provisionnement des accès dans les meilleurs délais, y compris en cas de changement de rôle ou de départ.
  • Séparation logique des données personnelles par Responsable du traitement dans l'environnement de production.

6.2 Chiffrement

  • Chiffrement des données personnelles au repos en AES-256 ou algorithme équivalent conforme aux standards de l'industrie.
  • Chiffrement des données personnelles en transit en TLS 1.2 ou supérieur entre tous les réseaux publics.
  • Politiques documentées de gestion des mécanismes de chiffrement et des clés cryptographiques.

6.3 Continuité d'activité et reprise après sinistre

  • Plans de continuité d'activité, de sauvegarde et de reprise après sinistre maintenus et testés à intervalles réguliers.
  • Données de sauvegarde isolées des systèmes de production et soumises aux mêmes contrôles de sécurité.

6.4 Gestion des changements et des vulnérabilités

  • Politiques et procédures documentées pour l'application des changements au Service et à l'infrastructure sous-jacente.
  • Tests d'intrusion du Service et de l'infrastructure réseau réalisés au moins une fois par an par du personnel qualifié ; les vulnérabilités identifiées sont corrigées conformément à la politique de gestion des vulnérabilités du Sous-traitant.
  • Analyses de vulnérabilité régulières des systèmes de production ; correctifs de sécurité appliqués conformément au calendrier de mise à jour du Sous-traitant.
  • Environnements de test et de développement séparés de l'environnement de production.

6.5 Sécurité des données et journalisation

  • Journalisation complète de tous les accès aux données personnelles et de toutes les modifications apportées.
  • Journaux conservés pendant une durée minimale de 12 mois et protégés contre toute altération.

6.6 Gouvernance et gestion des risques

  • Programme de sécurité de l'information révisé au moins une fois par an.
  • Évaluations des risques réalisées au moins une fois par an pour identifier et traiter les menaces pesant sur les données personnelles.

6.7 Sécurité du personnel

  • Vérification des antécédents de tout personnel ayant accès aux données personnelles, sous réserve du droit applicable.
  • Tout personnel autorisé à traiter des données personnelles lié par des obligations de confidentialité appropriées.
  • Formation à la protection des données et à la sécurité de l'information dispensée lors de l'intégration et au moins une fois par an.

6.8 Réponse aux incidents

  • Procédures de réponse aux incidents documentées avec des rôles définis, des chemins d'escalade et des processus de notification.
  • Revue post-incident et suivi des actions de remédiation.

7. Notification de violation de données

En cas de Violation de données, le Sous-traitant notifie le Responsable du traitement dans les meilleurs délais et, en tout état de cause, dans un délai de 48 heures après en avoir pris connaissance. Ce délai de notification, plus strict que l'obligation de 72 heures incombant au Responsable du traitement envers l'autorité de contrôle au titre de l'article 33 du RGPD, vise à permettre au Responsable du traitement de respecter ses propres obligations réglementaires. La notification comprend :

  • Une description de la nature de la violation, y compris, si possible, les catégories et le nombre approximatif de Personnes concernées et d'enregistrements de données personnelles concernés.
  • Le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact.
  • Une description des conséquences probables de la violation.
  • Une description des mesures prises ou proposées pour remédier à la violation, y compris les mesures visant à en atténuer les éventuels effets négatifs.

Le Sous-traitant coopère avec le Responsable du traitement et prend toutes les mesures raisonnables pour contribuer à l'investigation, à l'atténuation et à la remédiation de la violation.

8. Assistance aux obligations du responsable du traitement

Le Sous-traitant assiste le Responsable du traitement dans l'exécution de son obligation de donner suite aux demandes des Personnes concernées exerçant leurs droits au titre du RGPD (notamment les droits d'accès, de rectification, d'effacement, de limitation, de portabilité et d'opposition). Le Sous-traitant notifie sans délai au Responsable du traitement toute demande reçue directement d'une Personne concernée et n'y répond pas, sauf instruction contraire du Responsable du traitement.

Le Sous-traitant fournit une coopération et une assistance raisonnables, compte tenu de la nature du traitement et des informations dont il dispose.

Conformément à l'article 28(3)(f) du RGPD, le Sous-traitant fournit au Responsable du traitement une assistance raisonnable pour l'exécution de ses obligations au titre des articles 32 à 36 du RGPD, notamment (i) la sécurité du traitement, (ii) la notification des violations de données à caractère personnel à l'autorité de contrôle et, le cas échéant, aux personnes concernées, et (iii) la réalisation d'analyses d'impact relatives à la protection des données et de consultations préalables auprès de l'autorité de contrôle. Cette assistance est fournie en tenant compte de la nature du traitement et des informations à la disposition du Sous-traitant.

9. Audits

Le Sous-traitant met à la disposition du Responsable du traitement toutes les informations nécessaires pour démontrer le respect du présent DPA et permet la réalisation d'audits, y compris des inspections, par le Responsable du traitement ou un auditeur mandaté par ce dernier.

Les audits sont réalisés moyennant un préavis écrit d'au moins 30 jours, pendant les heures ouvrables et de manière à minimiser la perturbation des opérations du Sous-traitant. Les frais d'audit sont à la charge du Responsable du traitement. Le Sous-traitant peut satisfaire aux exigences d'audit en fournissant des certifications, des rapports d'audit ou des attestations de conformité émanant de tiers indépendants.

10. Transferts internationaux de données

Lorsque des données personnelles sont transférées en dehors de l'Espace économique européen (EEE), les parties incorporent par référence, comme si elles y figuraient en intégralité, les Clauses Contractuelles Types adoptées par la décision d'exécution (UE) 2021/914 de la Commission du 4 juin 2021 (texte intégral : CCT Module 2 (PDF)). Les Annexes I, II et III renseignées sont disponibles à l'adresse Annexes CCT I/II/III (PDF) et font partie intégrante du présent DPA.

Les Modules de CCT suivants s'appliquent :

  • Module 2 (Responsable du traitement vers Sous-traitant) : s'applique lorsque le Client agit en qualité de Responsable du traitement et Black Cat Security en qualité de Sous-traitant.
  • Module 3 (Sous-traitant vers Sous-traitant) : s'applique lorsque le Client agit lui-même en qualité de Sous-traitant pour le compte de ses propres clients et Black Cat Security agit en qualité de Sous-traitant ultérieur.

Aux fins des CCT :

  • Clause 7 (clause d'adhésion optionnelle) : ne s'applique pas.
  • Clause 9(a) : l'option 2 (autorisation écrite générale) s'applique, avec les délais de notification et d'objection prévus à l'article 5 du présent DPA.
  • Clause 17 (droit applicable) : les CCT sont régies par le droit de la République française.
  • Clause 18(b) (litiges) : les litiges découlant des CCT sont soumis aux tribunaux de Paris, France.

En cas de conflit entre le présent DPA, les Conditions Générales d'Utilisation et les CCT, l'ordre de prévalence est le suivant : (1) Clauses Contractuelles Types, (2) le présent DPA, (3) Conditions Générales d'Utilisation.

Pour les transferts vers les États-Unis, le Sous-traitant s'appuie principalement sur l'accord de protection des données UE-États-Unis (Data Privacy Framework — Cloudflare, Inc. et Functional Software, Inc. (Sentry) sont certifiées DPF) et utilise les CCT en mécanisme de repli en cas de cessation de la décision d'adéquation. Pour les transferts vers le Royaume-Uni, le Sous-traitant s'appuie sur la décision d'adéquation UK (décision d'exécution (UE) 2021/1772). Le Sous-traitant a réalisé et documenté des Évaluations d'Impact de Transfert (TIA) conformes aux Recommandations 01/2020 de l'EDPB.

11. Restitution et suppression des données

À la résiliation ou l'expiration des Conditions Générales d'Utilisation, le Sous-traitant restitue au Responsable du traitement l'ensemble des données personnelles ou les supprime, selon le choix du Responsable du traitement. Le Responsable du traitement dispose d'un délai de 30 jours suivant la résiliation pour demander l'export de ses données dans un format standard (JSON ou CSV).

À l'expiration du délai d'export de 30 jours, le Sous-traitant supprime les données personnelles selon les délais suivants : (a) les données personnelles dans les systèmes de production sont supprimées dans un délai de 60 jours ; (b) les données personnelles dans les systèmes de sauvegarde sont isolées de tout traitement ultérieur et supprimées dans un délai de 180 jours. Pendant la période entre l'isolation et la suppression, les données de sauvegarde sont protégées par les mêmes mesures de sécurité décrites à l'article 6 et ne sont utilisées à aucune autre fin que la reprise après sinistre. Ces délais s'appliquent sauf lorsque le droit applicable exige une conservation plus longue, auquel cas le présent DPA continue de s'appliquer aux données conservées.

À la demande du Responsable du traitement, le Sous-traitant fournit un certificat écrit de destruction confirmant la suppression de l'ensemble des données personnelles, précisant la date de suppression et les catégories de données supprimées.

12. Durée et résiliation

Le présent DPA demeure en vigueur pendant toute la durée des Conditions Générales d'Utilisation et prend automatiquement fin à la résiliation ou l'expiration de celles-ci. Les obligations du Sous-traitant en matière de protection des données, de sécurité et de confidentialité survivent à la résiliation aussi longtemps que le Sous-traitant conserve des données personnelles du Responsable du traitement.

13. Annexes

Les annexes suivantes font partie intégrante du présent DPA :

  • Annexe A — Détails du traitement : les catégories de données traitées, les Personnes concernées et les finalités du traitement sont décrites à l'article 4 du présent DPA.
  • Annexe B — Mesures techniques et organisationnelles : les mesures de sécurité mises en œuvre par le Sous-traitant sont détaillées à l'article 6 du présent DPA (sous-sections 6.1 à 6.8).
  • Annexe C — Clauses Contractuelles Types (UE 2021/914 Modules 2 et 3) : incorporées par référence ; texte intégral disponible à l'adresse scc-module-2-2021-914.pdf et Annexes I/II/III renseignées à l'adresse scc-annex-i-ii-iii.pdf. Paramètres des CCT renseignés à l'article 10 du présent DPA.
Historique des modifications
  • 2026-04-18 — Annexion par référence des CCT (UE 2021/914 Module 2) avec Annexes I/II/III renseignées ; mécanismes DPF et adéquation UK nommés explicitement.
  • 2026-04-18 — Liste des sous-traitants étendue (Sentry, Ory) ; liste canonique publiée sur /fr/sub-processors.
  • 2026-04-18 — Ajout de la clause d'assistance AIPD / consultation préalable (art. 28(3)(f) et 32–36 RGPD) ; §8 renommé « Assistance aux obligations du responsable du traitement ».
  • 2026-04-18 — Ajout d'une mention explicite de repli vers les CCT sous le tableau des sous-traitants.
  • 2026-05-15 — Délais de suppression spécifiés : 60 jours pour la production, 180 jours pour les sauvegardes ; clause de certificat de destruction ajoutée (§11).
  • 2026-05-15 — Ajout du Module 3 des CCT (Sous-traitant vers Sous-traitant) ; Clause 17 des CCT renseignée (droit français) et Clause 18(b) (tribunaux de Paris) ; ordre de prévalence ajouté (§10).
  • 2026-05-15 — Mesures de sécurité restructurées en Annexe B formelle avec 8 sections : Contrôle des accès, Chiffrement, Continuité d'activité, Gestion des changements, Sécurité des données, Gouvernance, Sécurité du personnel, Réponse aux incidents (§6).
  • 2026-05-15 — Clause d'objection aux sous-traitants ultérieurs complétée par un remboursement au prorata en cas de résiliation (§5).
  • 2026-05-15 — Notification de violation ramenée de 72 heures à 48 heures (§7).