Data Processing Agreement (DPA)

1. Objet et durée

Le présent accord encadre le traitement des données à caractère personnel par KOLOSALTech (« le Sous-traitant ») pour le compte du client (« le Responsable du traitement ») dans le cadre des prestations contractualisées séparément. La durée du présent DPA est alignée sur celle du contrat principal.

2. Nature et finalité du traitement

Le Sous-traitant traite les données pour les finalités suivantes :

• Intégration et maintenance d'infrastructure IT
• Sourcing matériel et logistique export
• Cybersécurité (audit, EDR, supervision)
• Support technique et infogérance
• Hébergement et sauvegarde de données client

3. Catégories de données et personnes concernées

• Personnes concernées : collaborateurs du client, utilisateurs finaux des systèmes hébergés.
• Catégories de données: identité (nom, prénom, email pro), données techniques (adresse IP, logs d'accès), données métier hébergées dans les systèmes client.
• Données sensibles exclues: aucune donnée de santé, religieuse, politique, biométrique ou sexuelle n'est traitée sans accord exprès séparé.

4. Obligations du Sous-traitant (KOLOSALTech)

• Traiter les données uniquement sur instructions documentées du Responsable.
• Garantir confidentialité par engagement de tous les collaborateurs accédant aux données.
• Mettre en œuvre mesures techniques et organisationnelles (cf. art. 32 RGPD et notre page /securite).
• Notifier le Responsable de toute violation de données sous 72h après en avoir pris connaissance, avec détails techniques et plan correctif.
• Assister le Responsable pour répondre aux demandes d'accès, rectification, effacement, portabilité.
• Tenir un registre des traitements (art. 30 RGPD), disponible sur demande.
• Restituer ou supprimer toutes les données à la fin du contrat, au choix du Responsable, sous 30 jours, avec attestation écrite.

5. Sous-traitants ultérieurs

Le Sous-traitant utilise les sous-traitants ultérieurs suivants :

• Vercel Inc. (USA + datacenters EU) — hébergement web
• OVHcloud SAS (France) — hébergement infrastructure souveraine
• Wasabi Technologies (datacenter Paris) — stockage cloud objet immuable
• Resend (USA) — emails transactionnels
• Airtable (USA) — gestion leads CRM léger
• Cloudflare (USA + EU) — CDN + sécurité réseau
• Stripe (USA + Irlande) — paiements (si applicable)
• Sentry (USA) — supervision d'erreurs (si activé)

Tout ajout de nouveau sous-traitant ultérieur fait l'objet d'une notification 30 jours avant.

6. Mesures de sécurité (art. 32 RGPD)

• Chiffrement TLS 1.3 en transit, AES-256 au repos
• MFA obligatoire sur tous comptes admin
• Gestion accès tier model (T0/T1/T2)
• Sauvegarde 3-2-1-1-0 avec immuabilité S3 Object Lock
• EDR Bitdefender GravityZone sur postes équipe
• Logs centralisés conservés 1 an
• Test annuel PCA/PRA + revue trimestrielle accès
• Détails complets : kolosaltech.com/securite

7. Transferts hors UE

Certains sous-traitants ultérieurs (Vercel, Resend, Airtable, Stripe, Sentry, Cloudflare) sont établis hors UE. Les transferts sont encadrés par :

• Clauses contractuelles types (SCC) approuvées par Commission EU
• Pour le Royaume-Uni : décision d'adéquation Commission EU (juin 2021)
• Évaluation TIA (Transfer Impact Assessment) pour transferts USA (Privacy Shield 2.0 si applicable)

8. Droit d'audit

Le Responsable peut auditer la conformité du Sous-traitant 1 fois par an avec préavis 30 jours. Les coûts d'audit raisonnables sont à la charge du Responsable, sauf en cas de non-conformité avérée.

9. Notification de violation de données

Procédure documentée en cas de violation :

• Détection via Sentry + EDR + audit logs
• Confinement + analyse forensique sous 24h
• Notification Responsable sous 72h avec détails
• Assistance Responsable pour notification CNIL si requise
• Post-mortem partagé sous 30 jours

10. Loi applicable et juridiction

Le présent DPA est régi par le droit français. Les litiges relèvent du Tribunal Judiciaire de Rennes (compétence convenue des parties).

Signatures

© 2026 KOLOSALTech — Rennes, France · contact@kolosaltech.com · kolosaltech.com. Ce modèle est fourni à titre indicatif. Il doit être annexé à votre contrat principal et adapté à votre contexte.