Contrat de Traitement des Données (DPA)

Conformément à l'Art. 28 du Règlement Général sur la Protection des Données (RGPD). En vigueur depuis le 1er mars 2026.

Le présent Contrat de Traitement des Données («DPA») est conclu entre Iten Media (opérant sous le nom de PassportLab), Im Winkel 8, 50189 Elsdorf, Allemagne («Sous-traitant») et le client ayant accepté les Conditions Générales de PassportLab («Responsable du traitement»). Ce DPA complète et fait partie intégrante des Conditions Générales.

1. Objet, Nature et Durée

Le Sous-traitant fournit une plateforme de Passeport Numérique de Produit (DPP) pour la conformité EU ESPR pour le compte du Responsable du traitement. Le traitement a lieu pendant la durée de l'abonnement et se poursuit pendant la période légale d'archivage DPP de 10 ans requise par le Règlement sur l'Écoconception pour des Produits Durables (ESPR). Le Sous-traitant agit uniquement sur la base d'instructions documentées du Responsable du traitement.

2. Catégories de Données et Personnes Concernées

Le Sous-traitant peut traiter les catégories suivantes de données personnelles pour le compte du Responsable du traitement : (a) Données de compte — noms, adresses email et coordonnées de l'entreprise des utilisateurs autorisés du Responsable du traitement ; (b) Données du passeport produit — noms de fournisseurs, adresses de fabricants et toute autre donnée personnelle que le Responsable du traitement choisit d'inclure dans les champs du passeport ; (c) Données d'utilisation et d'audit — adresses IP, identifiants de session et horodatages d'accès enregistrés dans le journal d'audit. Les personnes concernées comprennent les employés, administrateurs du Responsable du traitement et toute personne physique dont les données figurent dans les champs du passeport produit.

3. Obligations du Responsable du Traitement

Le Responsable du traitement garantit que : (a) il dispose d'une base légale valable pour toutes les données personnelles soumises à la plateforme ; (b) il a fourni tous les avis requis aux personnes concernées ; (c) il ne soumettra pas de données de catégorie spéciale (Art. 9 RGPD) sans accord écrit préalable ; (d) il notifiera rapidement le Sous-traitant de toute instruction qui, selon le Responsable du traitement, contreviendrait au RGPD ou à la législation applicable en matière de protection des données.

4. Obligations du Sous-Traitant

Le Sous-traitant s'engage à : (a) traiter les données personnelles uniquement sur la base d'instructions documentées du Responsable du traitement ; (b) s'assurer que le personnel autorisé est soumis à des obligations de confidentialité appropriées ; (c) mettre en œuvre et maintenir les mesures techniques et organisationnelles décrites à la Section 6 ; (d) assister le Responsable du traitement dans l'exécution de ses obligations concernant les droits des personnes concernées (Art. 15–22 RGPD) et les analyses d'impact sur la protection des données (Art. 35 RGPD) ; (e) notifier le Responsable du traitement sans délai injustifié, et dans tous les cas dans les 72 heures, dès qu'il prend connaissance d'une violation de données personnelles ; (f) supprimer ou restituer toutes les données personnelles à la cessation des services, au choix du Responsable du traitement, sauf si le droit de l'Union ou d'un État membre exige leur conservation continue.

5. Sous-Traitants Ultérieurs

Le Responsable du traitement accorde une autorisation générale au Sous-traitant d'engager les sous-traitants ultérieurs suivants : (a) Hetzner Online GmbH (Francfort, Allemagne) — infrastructure cloud et hébergement des données ; (b) Stripe Payments Europe Ltd. (Dublin, Irlande) — traitement des paiements ; (c) Matomo (auto-hébergé, Allemagne) — analyse respectueuse de la vie privée. Le Sous-traitant notifiera le Responsable du traitement de tout changement prévu concernant les sous-traitants ultérieurs avec un préavis d'au moins 30 jours. Le Responsable du traitement peut s'opposer à un nouveau sous-traitant ultérieur dans les 14 jours ; si aucune solution n'est trouvée, le Responsable du traitement peut résilier les services concernés. Tous les sous-traitants ultérieurs sont soumis à des obligations de protection des données au moins équivalentes à celles du présent DPA.

6. Mesures Techniques et Organisationnelles (MTO)

Le Sous-traitant met en œuvre et maintient les mesures suivantes : (a) Chiffrement au repos — toutes les données personnelles chiffrées au repos avec AES-256 ; les credentials et clés de signature stockés avec le chiffrement symétrique Fernet ; (b) Chiffrement en transit — TLS 1.2+ obligatoire pour tout le trafic API et web ; en-têtes HSTS appliqués ; (c) Contrôles d'accès — accès basé sur les rôles ; authentification multi-facteurs (TOTP) disponible ; clés API stockées uniquement sous forme de hachages SHA-256 ; (d) Journal d'audit — journal d'audit immuable à chaînage de hachage pour toutes les modifications de données ; les déclencheurs au niveau MySQL empêchent la falsification ; (e) Minimisation des données — filtrage des champs par rôle des parties prenantes ; divulgation sélective SD-JWT pour le partage de credentials avec des tiers ; (f) Infrastructure — toutes les données hébergées exclusivement sur des serveurs UE à Francfort, Allemagne ; (g) Réponse aux incidents — procédure de notification de violation en 72 heures ; surveillance en permanence de la disponibilité de l'API.

7. Droits des Personnes Concernées

Dès réception d'une demande vérifiée d'une personne concernée transmise par le Responsable du traitement, le Sous-traitant apportera son assistance en fournissant les données pertinentes dans un format structuré et lisible par machine (JSON/CSV) dans un délai de 5 jours ouvrables. Le Sous-traitant donnera suite aux demandes d'effacement dans les 30 jours, sous réserve des exigences légales de conservation au titre de l'ESPR et du droit commercial allemand (HGB). La portabilité des données est prise en charge via le point de terminaison /org/export à tout moment.

8. Notification de Violation de Données Personnelles

En cas de violation de données personnelles affectant des données traitées dans le cadre du présent DPA, le Sous-traitant notifiera le Responsable du traitement sans délai injustifié et au plus tard dans les 72 heures après en avoir pris connaissance. La notification comprendra : (a) la nature de la violation ; (b) les catégories et le nombre approximatif de personnes concernées et d'enregistrements affectés ; (c) les conséquences probables de la violation ; (d) les mesures prises ou proposées pour remédier à la violation. Le Responsable du traitement reste responsable de la notification à l'autorité de contrôle compétente (le Landesbeauftragte für Datenschutz, NRW) et aux personnes concernées si nécessaire.

9. Audits et Inspections

Le Responsable du traitement peut effectuer des audits des activités de traitement des données du Sous-traitant dans le cadre du présent DPA au maximum une fois par année civile, avec un préavis écrit d'au moins 14 jours. Les audits seront conduits pendant les heures normales de bureau, aux frais du Responsable du traitement, et ne perturberont pas déraisonnablement les opérations. Le Sous-traitant peut satisfaire aux demandes d'audit en fournissant des rapports ou certifications d'audit tiers à jour (ex. ISO 27001) lorsque disponibles.

10. Droit Applicable

Le présent DPA est régi par le droit de la République Fédérale d'Allemagne. Tout litige découlant du présent DPA sera soumis à la compétence exclusive des tribunaux de Cologne, Allemagne. En cas de conflit entre le présent DPA et les Clauses Contractuelles Types (CCT) émises par la Commission européenne, les CCT prévaudront pour les transferts transfrontaliers de données.