Article 1 — Objet et durée du traitement

Le présent accord de traitement des données (ci-après « le DPA ») définit les conditions dans lesquelles MulerTech, en qualité de sous-traitant au sens de l'article 28 du Règlement (UE) 2016/679 (RGPD), traite des données à caractère personnel pour le compte du Client, responsable de traitement.

Le DPA est conclu dans le cadre du contrat principal de prestations de services liant les Parties (ci-après « le Contrat principal »). Il entre en vigueur à la date de signature du Contrat principal et reste en vigueur pendant toute la durée de celui-ci, y compris les éventuelles périodes de prolongation.

En cas de contradiction entre le présent DPA et le Contrat principal, les dispositions du DPA prévalent en ce qui concerne le traitement des données à caractère personnel.

Article 2 — Nature et finalité du traitement

Le Sous-traitant traite les données à caractère personnel du Responsable de traitement dans le cadre exclusif des prestations suivantes :

• Hébergement : mise à disposition d'une infrastructure d'hébergement web sécurisée pour les applications et sites du Client
• Maintenance : intervention technique pour le bon fonctionnement des applications hébergées
• Sauvegardes : réalisation de sauvegardes quotidiennes des données avec une rétention de 30 jours
• Monitoring : surveillance de la disponibilité et des performances des services hébergés
• Support technique : assistance en cas d'incident ou de demande du Client

Le Sous-traitant ne traite les données à caractère personnel que dans la mesure nécessaire à l'exécution des prestations définies dans le Contrat principal. Il ne traite en aucun cas les données pour ses propres finalités.

Article 3 — Type de données et catégories de personnes concernées

Les types de données à caractère personnel et les catégories de personnes concernées sont déterminés par le Responsable de traitement en fonction de son utilisation des services du Sous-traitant.

À titre indicatif et non exhaustif, les traitements peuvent porter sur :

Types de données :

• Données d'identification (nom, prénom, adresse email, numéro de téléphone)
• Données de connexion (adresses IP, journaux d'accès, identifiants)
• Données professionnelles (fonction, société, adresse professionnelle)
• Toute autre donnée que le Client choisit de stocker dans les applications hébergées

Catégories de personnes concernées :

• Clients et prospects du Responsable de traitement
• Utilisateurs des applications hébergées
• Employés et collaborateurs du Responsable de traitement
• Toute autre catégorie déterminée par le Responsable de traitement

Article 4 — Responsabilité et instructions documentées

Le Responsable de traitement détermine les finalités et les moyens du traitement des données à caractère personnel. Il est responsable de la licéité des traitements qu'il met en œuvre et de la conformité des instructions qu'il adresse au Sous-traitant.

Le Sous-traitant traite les données à caractère personnel uniquement sur instruction documentée du Responsable de traitement, y compris en ce qui concerne les transferts de données vers un pays tiers ou à une organisation internationale, sauf obligation légale contraire.

Les instructions initiales sont constituées par le Contrat principal, le présent DPA et les conditions générales de vente (CGV) de MulerTech. Toute instruction complémentaire doit être formulée par écrit (email ou courrier).

Localisation du traitement : les données sont hébergées exclusivement au sein de l'Union Européenne (Allemagne), sur l'infrastructure du sous-traitant ultérieur IONOS SE. Aucun transfert de données hors de l'UE n'est effectué.

Article 5 — Droits du Client et obligations du Sous-traitant

Le Sous-traitant s'engage à :

5.1. Traitement sur instructions

Ne traiter les données que sur instruction documentée du Responsable de traitement. Si le Sous-traitant estime qu'une instruction constitue une violation du RGPD ou d'autres dispositions du droit de l'Union ou du droit des États membres relatives à la protection des données, il en informe immédiatement le Responsable de traitement.

5.2. Assistance pour les droits des personnes concernées

Aider le Responsable de traitement, par des mesures techniques et organisationnelles appropriées, à s'acquitter de son obligation de donner suite aux demandes d'exercice des droits des personnes concernées (accès, rectification, effacement, portabilité, opposition, limitation).

5.3. Confidentialité

Garantir que les personnes autorisées à traiter les données à caractère personnel se sont engagées à respecter la confidentialité ou sont soumises à une obligation légale appropriée de confidentialité. MulerTech étant une entreprise individuelle, seul le gérant, Sébastien Muler, a accès aux données hébergées.

5.4. Notification des violations

Notifier au Responsable de traitement toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance, et au plus tard dans les 48 heures. Cette notification inclut la nature de la violation, les catégories et le nombre approximatif de personnes concernées, les conséquences probables et les mesures prises ou proposées.

5.5. Délégué à la protection des données

Le point de contact pour toute question relative à la protection des données est : dpo@mulertech.net.

5.6. Restitution et suppression en fin de contrat

À l'expiration ou à la résiliation du Contrat principal, et conformément aux CGV (article 12.4) :

• Restitution : MulerTech fournit au Client l'ensemble de ses données dans un format structuré et couramment utilisé, dans un délai de 30 jours suivant la demande
• Suppression : une fois la restitution effectuée ou à défaut de demande, MulerTech supprime les données du Client dans un délai de 60 jours suivant la fin du contrat, sous réserve des obligations légales de conservation
• Un certificat de suppression peut être fourni sur demande

Article 6 — Obligations du Client

Le Responsable de traitement s'engage à :

• Fournir des instructions documentées, licites et conformes au RGPD
• Signaler sans délai toute erreur ou irrégularité constatée dans le traitement de ses données
• S'assurer de la licéité des traitements qu'il met en œuvre via les services du Sous-traitant
• Procéder, s'il le souhaite, à l'extraction et à la sauvegarde de ses données avant la fin du contrat
• Désigner un interlocuteur habilité pour les questions relatives à la protection des données

Article 7 — Demandes des personnes concernées

Lorsque le Sous-traitant reçoit une demande d'une personne concernée relative à l'exercice de ses droits (accès, rectification, effacement, portabilité, opposition, limitation), il en informe le Responsable de traitement dans les meilleurs délais et transfère la demande sans y donner directement suite, sauf instruction contraire du Responsable de traitement.

Le Sous-traitant assiste le Responsable de traitement par des mesures techniques et organisationnelles appropriées pour répondre à ces demandes dans les délais légaux (1 mois, extensible à 3 mois).

Article 8 — Mesures de sécurité (Article 32 du RGPD)

Le Sous-traitant met en œuvre les mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté au risque, conformément à l'article 32 du RGPD. Ces mesures comprennent notamment :

8.1. Chiffrement et sécurité des communications

• Chiffrement HTTPS/TLS sur l'ensemble des communications
• En-têtes de sécurité HTTP (HSTS, CSP, X-Content-Type-Options)

8.2. Authentification et contrôle d'accès

• Hachage des mots de passe avec l'algorithme Argon2id
• Authentification à deux facteurs (2FA/TOTP) disponible
• Contrôle d'accès basé sur les rôles (RBAC)
• Principe du moindre privilège

8.3. Sauvegardes et disponibilité

• Sauvegardes quotidiennes automatiques
• Rétention des sauvegardes pendant 30 jours
• Monitoring de la disponibilité des services

8.4. Journalisation et traçabilité

• Journalisation des connexions (succès et échecs, avec adresse IP)
• Journalisation des actions sensibles
• Traçabilité des opérations sur les données personnelles

8.5. Séparation des environnements

• Séparation stricte des environnements de développement, de test et de production
• Aucune donnée réelle utilisée en environnement de développement ou de test

Article 9 — Preuve et vérification

Le Sous-traitant met à la disposition du Responsable de traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues au présent DPA et à l'article 28 du RGPD, et pour permettre la réalisation d'audits.

Le Responsable de traitement peut, moyennant un préavis raisonnable de 30 jours et sous réserve d'obligations de confidentialité, procéder ou faire procéder à des audits, y compris des inspections, portant sur le traitement des données à caractère personnel par le Sous-traitant.

Le Sous-traitant s'engage à coopérer pleinement avec le Responsable de traitement ou tout auditeur mandaté par celui-ci. Les coûts de l'audit sont à la charge du Responsable de traitement, sauf si l'audit révèle un manquement imputable au Sous-traitant.

Article 10 — Sous-traitants ultérieurs

Le Responsable de traitement autorise le Sous-traitant à recourir aux sous-traitants ultérieurs suivants pour l'exécution des prestations :

Un accord de traitement des données (DPA) conforme à l'article 28 du RGPD est signé entre MulerTech et chacun de ses sous-traitants ultérieurs.

10.1. Notification de changement

Conformément aux CGV (article 12.5), en cas de changement de sous-traitant ultérieur ou de localisation des datacenters, MulerTech s'engage à :

• Informer le Client par écrit au minimum 30 jours avant la migration effective
• Garantir que le nouveau sous-traitant est situé au sein de l'Union Européenne
• Vérifier et signer un DPA avec le nouveau sous-traitant avant toute migration
• Assurer la continuité de service et la sécurité des données durant la migration

10.2. Droit d'opposition

Le Client dispose d'un droit d'opposition dans un délai de 15 jours suivant la notification du changement de sous-traitant ultérieur. En cas d'opposition, le Client pourra résilier le contrat sans frais et demander la restitution de ses données conformément à l'article 5.6.

Article 11 — Responsabilité et indemnisation

La responsabilité de chaque Partie au titre du présent DPA est régie par les dispositions du Contrat principal et des CGV de MulerTech.

Chaque Partie est responsable des dommages causés par un traitement qui ne respecte pas les obligations du RGPD qui lui incombent spécifiquement, ou lorsqu'elle a agi en dehors des instructions licites du Responsable de traitement ou contrairement à celles-ci.

Article 12 — Durée et dispositions finales

12.1. Durée

Le présent DPA est conclu pour la durée du Contrat principal. Il prend fin automatiquement à l'expiration ou à la résiliation du Contrat principal, sous réserve des obligations qui survivent à la cessation du contrat (notamment la restitution et la suppression des données).

12.2. Modifications

Toute modification du présent DPA doit faire l'objet d'un avenant écrit signé par les deux Parties. MulerTech se réserve le droit de mettre à jour le présent DPA pour se conformer aux évolutions réglementaires, moyennant un préavis de 30 jours notifié par écrit au Client.

12.3. Droit applicable et juridiction

Le présent DPA est régi par le droit français. Tout litige relatif à son interprétation ou à son exécution sera soumis aux tribunaux compétents du ressort du siège social de MulerTech.

12.4. Divisibilité

Si une clause du présent DPA est déclarée nulle ou inapplicable, les autres clauses restent en vigueur. Les Parties s'engagent à remplacer la clause annulée par une clause valide se rapprochant le plus possible de l'intention initiale des Parties.