Accord de traitement des données (DPA)

RGPD Article 28 — Dernière mise à jour : mai 2026

Document de travail. Ce DPA est un projet rédigé pour fournir une base de discussion à nos clients et à leur DPO. Il doit être validé par un conseil juridique (côté client et côté ResilienceCore) avant toute signature contractuelle. La version applicable à votre contrat est celle annexée à votre Bon de Commande.

1. Objet

Le présent accord encadre, conformément à l'article 28 du Règlement Général sur la Protection des Données (RGPD), le traitement des données à caractère personnel effectué par ResilienceCore (« le Sous-traitant ») pour le compte du Client (« le Responsable de traitement ») dans le cadre de la fourniture de la plateforme ResilienceCore.

2. Catégories de données traitées

  • Données d'identification : nom, prénom, email professionnel, fonction, organisation.
  • Données de contact d'urgence : téléphones, adresses, rôles en cellule de crise.
  • Données de connexion : adresses IP, logs d'accès, horodatages, agents utilisateurs.
  • Données métier : incidents, BIA, plans, exercices, documents et pièces jointes téléversés par le Client.
  • Données techniques : identifiants, jetons de session, clés API. Aucun mot de passe en clair, aucune donnée bancaire stockée.

3. Catégories de personnes concernées

  • Employés et collaborateurs du Client.
  • Contacts d'urgence externes (consultants, régulateurs, fournisseurs ICT), avec recueil explicite du consentement via le flow « consent by email ».
  • Visiteurs des sites publics (cookies essentiels uniquement).

4. Durée du traitement

La durée du traitement correspond à la durée du contrat principal entre le Client et ResilienceCore, prorogée des durées de conservation légales applicables (notamment 5 ans pour les preuves d'audit DORA Article 28).

5. Obligations du Sous-traitant

  • Traiter les données uniquement sur instructions documentées du Responsable de traitement (Bon de Commande, configuration du tenant, API).
  • Garantir la confidentialité des données : personnel formé, engagements de confidentialité signés, principe du moindre privilège.
  • Mettre en œuvre les mesures techniques et organisationnelles (TOMs) appropriées détaillées en section 7.
  • Notifier le Responsable de traitement dans les 72 heures de toute violation de données affectant ses données.
  • Coopérer pour les demandes d'exercice des droits (accès, rectification, effacement, portabilité).
  • Procéder à la restitution puis à la suppression des données à la fin du contrat (section 8).

6. Sous-traitants ultérieurs

La liste à jour de nos sous-traitants ultérieurs est publiée sur la page sous-traitants. Le Client est informé par email au moins 30 jours avant l'ajout ou le remplacement d'un sous-traitant ultérieur, et dispose d'un droit d'opposition motivé.

7. Mesures techniques et organisationnelles (TOMs)

  • Chiffrement : AES-256-GCM au repos, TLS 1.3 en transit. Clés gérées via KMS dédié au tenant pour les plans Enterprise.
  • Authentification : mots de passe hashés bcrypt / argon2, MFA optionnel TOTP, SSO SAML disponible.
  • Isolation multi-tenant : chaque requête filtrée par tenantId, garde côté backend, tests automatisés OWASP T1.
  • Audit-trail : chaque action métier hashée SHA-256 et chaînée. Vérification cryptographique disponible.
  • Sauvegardes : snapshots quotidiens chiffrés, retention 30 jours, test de restauration trimestriel.
  • Disponibilité : SLA standard 99,5%, renforcé 99,9% pour les plans Professional / Enterprise.
  • Tests offensifs : pen-test annuel par un tiers indépendant, audit SOC 2 en cours de cadrage.

8. Suppression à la fin du contrat

À la résiliation du contrat principal, le Client dispose d'un délai de 30 jours pour récupérer ses données via les exports structurés (JSON / CSV / PDF). Au terme de ce délai, les données sont supprimées de la production. Les sauvegardes chiffrées sont purgées progressivement selon la rotation interne (maximum 90 jours).

9. Droits des personnes concernées

Les demandes d'exercice des droits RGPD (accès, rectification, effacement, portabilité, opposition, limitation, retrait du consentement) sont à adresser en priorité au DPO du Client. Pour les demandes nécessitant l'intervention de ResilienceCore, un canal dédié est ouvert (dpo@resiliencecore.fr).

10. Transferts internationaux

Aucun transfert systématique hors Union européenne n'est effectué. Les transferts ponctuels (sous-traitants ultérieurs basés aux États-Unis pour l'email transactionnel ou les LLM) sont encadrés par les Clauses Contractuelles Types (SCC 2021/914) et un DPA bilatéral. Voir la page sous-traitants pour le détail.

11. Loi applicable et juridiction

Le présent accord est régi par le droit français. Tout litige relevant de son interprétation ou de son exécution sera porté devant les tribunaux compétents de Paris, sauf disposition impérative contraire.

12. Contact DPO

Pour toute question relative au présent DPA ou pour exercer vos droits : dpo@resiliencecore.fr. Notre DPO s'engage à répondre sous 30 jours, prorogeables d'un mois supplémentaire en cas de demande complexe (Art. 12.3 RGPD).

Retour aux documents légauxListe des sous-traitants