Article 1. Préambule, parties, objet
1.1. Identification des parties
Le sous-traitant :
HC SOFT, société par actions simplifiée au capital social tel qu'indiqué au RCS, immatriculée au Registre du Commerce et des Sociétés de Mâcon sous le numéro SIREN 102 544 798, SIRET 102 544 798 00014, numéro de TVA intracommunautaire FR70102544798, dont le siège social est situé 520 chemin du Voisinet, 71850 Charnay-lès-Mâcon (France), exploitant la marque commerciale déposée Panops, représentée par son représentant légal dûment habilité, joignable à l'adresse électronique contact@panops.fr pour toute question relative à la protection des données.
Ci-après dénommée « HC SOFT » ou le « Sous-traitant » ou l'« Éditeur ».
Le responsable de traitement :
[RAISON SOCIALE DU CLIENT], [FORME JURIDIQUE] au capital de [MONTANT] €, immatriculée au RCS de [VILLE] sous le numéro SIREN [NUMÉRO], SIRET [NUMÉRO], dont le siège social est situé [ADRESSE COMPLÈTE], représentée par [NOM, PRÉNOM, QUALITÉ DU SIGNATAIRE] dûment habilité(e) à l'effet des présentes, joignable à l'adresse électronique [EMAIL DU CONTACT RGPD CLIENT].
Ci-après dénommée « le Client » ou le « Responsable de traitement ».
Ensemble dénommées les « Parties » et individuellement la « Partie ».
1.2. Objet du présent Accord
Le présent Accord de sous-traitance des données personnelles (ci-après le « DPA ») constitue une annexe technique indissociable aux Conditions Générales d'Utilisation et de Vente (ci-après les « CGU+CGV ») conclues entre les Parties pour l'utilisation par le Client du service logiciel en mode SaaS dénommé « EPI SaaS » (ci-après le « Service »), plateforme multi-tenant B2B2B de gestion des Équipements de Protection Individuelle (EPI), accessible via les interfaces web et mobile (iOS et Android).
Il a pour objet de définir les conditions dans lesquelles HC SOFT, en sa qualité de sous-traitant au sens de l'article 4.8) du RGPD, traite, pour le compte du Client, responsable de traitement au sens de l'article 4.7) du RGPD, les données à caractère personnel nécessaires à la fourniture du Service.
1.3. Qualifications RGPD respectives
Au sens du RGPD :
-
Le Client est responsable de traitement des données à caractère personnel qu'il traite pour ses propres finalités d'employeur dans le cadre de la gestion des EPI de ses salariés, conformément notamment aux normes EN 365, aux règlements R408, R457 et R478, ainsi qu'à ses obligations en matière de santé et sécurité au travail (articles L. 4121-1 et suivants du Code du travail) ;
-
HC SOFT est sous-traitant au sens de l'article 28 du RGPD : elle traite ces données uniquement sur instructions documentées du Client, dans la stricte mesure nécessaire à la fourniture du Service.
Lorsque le Client est lui-même un revendeur (« Dealer ») et que le Service est utilisé pour le compte d'un client final, le Client agit alors comme responsable conjoint ou sous-traitant vis-à-vis de ce client final, et s'engage à conclure avec celui-ci un accord conforme à l'article 28 du RGPD, sans que la responsabilité de HC SOFT ne puisse être engagée à ce titre.
1.4. Hiérarchie contractuelle
Les documents contractuels liant les Parties s'articulent dans l'ordre de priorité suivant en cas de contradiction :
- Le présent DPA (pour les matières relevant de la protection des données personnelles) ;
- Les CGU+CGV du Service ;
- La Politique de confidentialité publiée par HC SOFT, accessible depuis le pied de page du site panops.fr, à laquelle le présent DPA renvoie sans la dupliquer ;
- Les éventuelles conditions particulières signées entre les Parties.
1.5. Entrée en vigueur et durée
Le présent DPA entre en vigueur à la date d'acceptation des CGU+CGV par le Client et demeure applicable pendant toute la durée d'utilisation du Service, augmentée des périodes de réversibilité et de purge décrites à l'article 8 ci-après.
Article 2. Définitions
Les termes utilisés avec une majuscule dans le présent DPA, sauf définition contraire, ont la signification suivante :
-
RGPD : Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.
-
Loi Informatique et Libertés : Loi n° 78-17 du 6 janvier 1978 modifiée, telle qu'applicable à la date des présentes.
-
Données personnelles (ou « Données ») : toute information se rapportant à une personne physique identifiée ou identifiable au sens de l'article 4.1) du RGPD, traitée par HC SOFT dans le cadre du Service pour le compte du Client.
-
Traitement : toute opération ou ensemble d'opérations effectuées sur des Données personnelles au sens de l'article 4.2) du RGPD.
-
Responsable de traitement : personne physique ou morale qui détermine les finalités et les moyens du Traitement au sens de l'article 4.7) du RGPD.
-
Sous-traitant : personne physique ou morale qui traite des Données personnelles pour le compte du responsable de traitement au sens de l'article 4.8) du RGPD.
-
Sous-traitant ultérieur : tout sous-traitant engagé par HC SOFT pour réaliser des activités de Traitement spécifiques pour le compte du Client, au sens de l'article 28.4 du RGPD.
-
Personne concernée : la personne physique identifiée ou identifiable à laquelle se rapportent les Données personnelles (notamment salariés porteurs d'EPI, techniciens contrôleurs habilités, administrateurs et utilisateurs côté Client).
-
Violation de données à caractère personnel (« Violation ») : violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès non autorisé à des Données personnelles au sens de l'article 4.12) du RGPD.
-
CCT : Clauses Contractuelles Types adoptées par la Commission européenne par décision d'exécution (UE) 2021/914 du 4 juin 2021 pour les transferts de Données personnelles vers des pays tiers, et décision d'exécution (UE) 2021/915 du 4 juin 2021 pour les relations contrôleur-sous-traitant intra-UE.
-
DPF : EU-U.S. Data Privacy Framework, mécanisme de certification reconnu par la décision d'adéquation de la Commission européenne du 10 juillet 2023 pour les transferts vers les États-Unis.
-
AIPD : Analyse d'Impact relative à la Protection des Données au sens de l'article 35 du RGPD.
-
TIA : Transfer Impact Assessment, analyse d'impact préalable à un transfert hors Union européenne, requise depuis l'arrêt « Schrems II » (CJUE, 16 juillet 2020, C-311/18).
-
Service : la plateforme logicielle « EPI SaaS » exploitée par HC SOFT, telle que décrite dans les CGU+CGV.
Article 3. Objet, nature, finalités, durée et catégories du Traitement
3.1. Description générale
Le Traitement réalisé par HC SOFT pour le compte du Client a pour objet de permettre la gestion, la traçabilité et la sécurisation des Équipements de Protection Individuelle attribués aux salariés du Client, conformément aux exigences réglementaires applicables (notamment normes EN 365, règlements R408/R457/R478) et aux obligations de l'employeur en matière de santé et sécurité au travail.
3.2. Renvoi à l'Annexe 1
Le détail de la nature, des finalités, des catégories de Données traitées, des catégories de Personnes concernées, de la durée et de la localisation du Traitement figure à l'Annexe 1 du présent DPA, qui en fait partie intégrante.
3.3. Durée du Traitement
Le Traitement est réalisé pendant toute la durée d'exécution des CGU+CGV, augmentée :
- d'une période de réversibilité de 90 jours à compter de la fin du contrat, pendant laquelle le Client peut récupérer ses Données dans un format structuré et couramment utilisé ;
- d'une période complémentaire de 30 jours pour la suppression définitive des sauvegardes chiffrées.
À l'issue de ces périodes, les Données sont irrévocablement supprimées dans les conditions prévues à l'article 8.
Article 4. Obligations du Sous-traitant (HC SOFT)
Conformément à l'article 28.3 du RGPD, HC SOFT s'engage à respecter les obligations suivantes.
4.1. Traitement sur instructions documentées
HC SOFT ne traite les Données personnelles que sur instructions documentées du Client, y compris en ce qui concerne les transferts de Données personnelles vers un pays tiers ou à une organisation internationale, à moins qu'elle ne soit tenue d'y procéder en vertu du droit de l'Union européenne ou du droit français auquel elle est soumise. Dans ce cas, HC SOFT informe le Client de cette obligation juridique avant le Traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d'intérêt public (art. 28.3.a RGPD).
Les CGU+CGV, la documentation technique du Service, ainsi que les paramétrages effectués par le Client via son interface d'administration constituent des instructions documentées au sens du présent article.
4.2. Engagement de confidentialité du personnel
HC SOFT veille à ce que les personnes autorisées à traiter les Données personnelles s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité (art. 28.3.b RGPD). Le personnel de HC SOFT est lié par une clause de confidentialité contractuelle et formé à la protection des données personnelles.
4.3. Mesures de sécurité (article 32 du RGPD)
HC SOFT met en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, conformément à l'article 32 du RGPD. Le détail de ces mesures figure à l'Annexe 2 du présent DPA.
4.4. Sous-traitance ultérieure
Conformément à l'article 28.2 du RGPD, le Client donne à HC SOFT une autorisation générale écrite de recourir à des sous-traitants ultérieurs pour la fourniture du Service.
La liste des sous-traitants ultérieurs autorisés à la date des présentes figure à l'Annexe 3.
HC SOFT s'engage :
- à informer préalablement le Client, par tout moyen écrit (notamment par publication sur l'espace client ou par courriel à l'adresse de contact RGPD), de tout projet d'ajout ou de remplacement d'un sous-traitant ultérieur, en respectant un délai de préavis minimum de 30 jours ;
- à recueillir auprès de tout sous-traitant ultérieur les mêmes obligations en matière de protection des Données que celles imposées par le présent DPA (art. 28.4 RGPD), notamment par voie contractuelle ;
- à demeurer pleinement responsable devant le Client de l'exécution par le sous-traitant ultérieur de ses obligations en matière de protection des données.
Le Client dispose d'un droit d'objection motivée dans le délai de 30 jours suivant l'information préalable. En cas d'objection légitime, les Parties chercheront de bonne foi une solution. À défaut de solution acceptable, le Client pourra résilier le DPA et les CGU+CGV sans indemnité, sous réserve d'un préavis raisonnable permettant la réversibilité.
4.5. Assistance pour l'exercice des droits des Personnes concernées
HC SOFT assiste le Client, par des mesures techniques et organisationnelles appropriées, dans toute la mesure du possible, pour s'acquitter de son obligation de donner suite aux demandes d'exercice des droits des Personnes concernées prévus au chapitre III du RGPD (droit d'accès, de rectification, à l'effacement, à la limitation, à la portabilité, d'opposition), conformément à l'article 28.3.e du RGPD.
Le Service intègre des fonctionnalités natives permettant au Client de répondre directement à ces demandes (export, suppression, modification). À défaut, HC SOFT apporte son concours dans un délai raisonnable compatible avec le délai d'un mois prévu à l'article 12.3 du RGPD.
Si HC SOFT reçoit directement une demande d'une Personne concernée, elle la transmet sans délai au Client et n'y répond pas elle-même, sauf instruction contraire.
4.6. Assistance pour la sécurité, les violations, l'AIPD et la consultation préalable
HC SOFT assiste le Client (art. 28.3.f RGPD) :
- pour garantir le respect des obligations prévues aux articles 32 à 36 du RGPD ;
- pour la notification des Violations à l'autorité de contrôle et aux Personnes concernées (art. 33 et 34 RGPD), selon les modalités de l'article 6 ci-après ;
- pour la réalisation des AIPD (art. 35 RGPD), en fournissant sur demande les informations techniques et organisationnelles pertinentes ;
- pour la consultation préalable de l'autorité de contrôle (art. 36 RGPD), le cas échéant.
4.7. Sort des Données à la fin du contrat
Au choix du Client et conformément à l'article 28.3.g du RGPD, HC SOFT, à la fin de la prestation de Services relatifs au Traitement :
- restitue au Client toutes les Données personnelles dans un format structuré, couramment utilisé et lisible par machine ; et/ou
- supprime toutes les Données personnelles existantes, sauf obligation légale de conservation.
Le Client doit exprimer son choix par écrit dans le délai de 90 jours suivant la fin du contrat. À défaut de choix exprès dans ce délai, HC SOFT procède à la suppression définitive des Données.
Les sauvegardes chiffrées sont purgées dans un délai supplémentaire maximum de 30 jours. Une certification écrite de destruction est délivrée sur demande du Client.
4.8. Démonstration de conformité et droit d'audit
HC SOFT met à la disposition du Client toutes les informations nécessaires pour démontrer le respect des obligations prévues à l'article 28 du RGPD et permettre la réalisation d'audits, y compris des inspections, par le Client ou un autre auditeur qu'il a mandaté, et contribuer à ces audits (art. 28.3.h RGPD). Les modalités de cet audit sont précisées à l'article 8.
4.9. Alerte sur instructions illicites
HC SOFT informe immédiatement le Client si, selon elle, une instruction constitue une violation du RGPD, de la Loi Informatique et Libertés ou d'autres dispositions du droit de l'Union ou du droit français relatives à la protection des données (art. 28.3 in fine RGPD). Dans l'attente d'une instruction conforme, HC SOFT peut suspendre l'exécution de l'instruction litigieuse.
Article 5. Obligations du Responsable de traitement (Client)
Le Client s'engage à :
5.1. Licéité du Traitement
S'assurer, préalablement et pendant toute la durée du Traitement, que celui-ci repose sur une base légale appropriée au sens de l'article 6 du RGPD (exécution du contrat de travail, intérêt légitime de l'employeur, obligation légale en matière de santé et sécurité au travail, etc.) et, le cas échéant, sur une condition de l'article 9 pour les catégories particulières de données.
5.2. Documentation des instructions
Documenter par écrit toute instruction donnée à HC SOFT en dehors de l'usage normal du Service, et les conserver pendant la durée du Traitement.
5.3. Information des Personnes concernées
Informer les Personnes concernées (salariés, contrôleurs) du Traitement, conformément aux articles 12, 13 et 14 du RGPD, en utilisant notamment les éléments fournis par HC SOFT à titre indicatif dans la Politique de confidentialité.
5.4. Registre des activités de traitement
Tenir à jour son registre des activités de traitement au sens de l'article 30.1 du RGPD pour les Traitements dont il est responsable, et y inscrire le Traitement réalisé via le Service.
5.5. Analyse d'impact (AIPD)
Apprécier la nécessité de réaliser une AIPD au sens de l'article 35 du RGPD, notamment au regard de la liste des Traitements pour lesquels une AIPD est requise publiée par la CNIL (la gestion d'EPI avec photos géolocalisées, signatures et données de santé/sécurité au travail pouvant relever de cette obligation). HC SOFT apporte son assistance dans les conditions de l'article 4.6.
5.6. Consultation des représentants du personnel
Procéder, lorsque la législation française l'impose, à la consultation du Comité Social et Économique (CSE) ou des représentants du personnel préalablement à la mise en œuvre du Traitement, conformément aux articles L. 2312-8 et L. 2312-38 du Code du travail.
5.7. Paramétrage et hygiène de sécurité
Vérifier la conformité de son propre paramétrage du Service : attribution adéquate des rôles RBAC, gestion rigoureuse des comptes utilisateurs, activation du MFA pour les rôles à privilèges, définition des durées de conservation propres à chaque catégorie de Données dans les limites permises par le Service, et révocation immédiate des accès en cas de départ d'un utilisateur.
5.8. Recueil des consentements spécifiques
Recueillir les consentements explicites requis, notamment des salariés, pour la prise de photographies et de signatures conservées comme preuve juridique des inspections (article 9 RGPD pour les traitements susceptibles de révéler des données sensibles, et règles RGPD du Code du travail).
Article 6. Violation de Données personnelles (articles 33 et 34 du RGPD)
6.1. Détection
HC SOFT met en œuvre les moyens techniques (monitoring Sentry, alertes Supabase, journaux d'audit) lui permettant de détecter dans les meilleurs délais toute Violation affectant les Données du Client.
6.2. Notification au Client
En cas de Violation avérée, HC SOFT notifie le Client sans délai injustifié et au plus tard dans un délai de quarante-huit (48) heures après en avoir pris connaissance, par courrier électronique adressé au contact RGPD désigné par le Client.
6.3. Contenu de la notification
La notification précise, dans la mesure où ces éléments sont disponibles au moment de la notification (article 33.3 RGPD) :
- la nature de la Violation, y compris, si possible, les catégories et le nombre approximatif de Personnes concernées et les catégories et le nombre approximatif d'enregistrements de Données personnelles affectés ;
- le nom et les coordonnées du point de contact de HC SOFT auprès duquel des informations supplémentaires peuvent être obtenues ;
- les conséquences probables de la Violation ;
- les mesures prises ou proposées par HC SOFT pour remédier à la Violation, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.
Si toutes les informations ne peuvent être fournies en une seule fois, elles sont communiquées de manière échelonnée sans nouveau délai injustifié.
6.4. Coopération avec le Client
HC SOFT coopère pleinement avec le Client dans le cadre de la notification éventuelle à la CNIL (art. 33 RGPD) dans les 72 heures suivant la prise de connaissance par le Client, ainsi que dans la communication aux Personnes concernées (art. 34 RGPD), lorsque celle-ci est requise. Cette coopération inclut la fourniture des éléments techniques nécessaires à la qualification du risque.
6.5. Registre des Violations
HC SOFT tient un registre interne des Violations documentant les faits, leurs effets et les mesures prises pour y remédier, conformément à l'article 33.5 du RGPD. Ce registre est tenu à la disposition de la CNIL et, sur demande motivée, du Client.
Article 7. Transferts hors Union européenne
7.1. Principe : hébergement dans l'Union européenne
HC SOFT s'engage à héberger les Données substantielles du Client (base de données PostgreSQL et stockage de fichiers, notamment les photos d'inspection et les certifications PDF) exclusivement sur des infrastructures situées dans l'Union européenne, principalement en France (Paris) et en Allemagne (Francfort), conformément aux paramétrages des sous-traitants ultérieurs Supabase et AWS S3 décrits à l'Annexe 3.
7.2. Sous-traitants ultérieurs hors UE
Pour des fonctionnalités strictement techniques et accessoires (monitoring d'erreurs, notifications push, mises à jour OTA mobile), HC SOFT a recours à des sous-traitants ultérieurs établis aux États-Unis, à savoir Sentry (Functional Software Inc.) et Expo (650 Industries Inc.).
Ces transferts sont encadrés par les garanties cumulatives suivantes :
- Certification EU-U.S. Data Privacy Framework (DPF) des sous-traitants concernés, fondée sur la décision d'adéquation de la Commission européenne du 10 juillet 2023 ;
- Clauses Contractuelles Types adoptées par décision d'exécution (UE) 2021/914 (module « responsable-à-sous-traitant » ou « sous-traitant-à-sous-traitant » selon le cas), conclues entre HC SOFT et chacun de ces sous-traitants ;
- Mesures supplémentaires techniques : chiffrement en transit (TLS 1.3), scrubbing des informations personnelles dans les rapports d'erreurs Sentry, absence de stockage persistant des Données chez Expo, rétention limitée à 90 jours chez Sentry.
7.3. Transfer Impact Assessment (TIA)
Conformément aux exigences post-Schrems II (CJUE, 16 juillet 2020, C-311/18), HC SOFT a réalisé une analyse d'impact des transferts (TIA) pour chacun des sous-traitants ultérieurs hors UE. Cette analyse est tenue à la disposition du Client sur demande motivée.
7.4. Information du Client
En cas de projet de transfert nouveau ou modification substantielle du cadre des transferts existants, HC SOFT informe le Client préalablement, selon les modalités de l'article 4.4.
Article 8. Audit, durée et fin du contrat
8.1. Droit d'audit
Le Client dispose d'un droit d'audit annuel pour vérifier la conformité de HC SOFT aux obligations du présent DPA et du RGPD. Cet audit s'exerce dans les conditions suivantes :
- Préavis écrit minimum de 30 jours calendaires ;
- Modalités : à distance (revue documentaire, entretiens en visioconférence) ou, à titre exceptionnel et motivé, sur site, dans le respect des horaires de travail et sans perturbation excessive de l'activité de HC SOFT ;
- Périmètre : limité à ce qui est strictement nécessaire à la vérification du respect des obligations RGPD, à l'exclusion des données d'autres clients de HC SOFT, du code source propriétaire et des secrets d'affaires ;
- Auditeur : par le Client lui-même ou par un auditeur tiers indépendant dûment mandaté, lié par une obligation de confidentialité, non concurrent de HC SOFT ;
- Frais : à la charge du Client demandeur, sauf si l'audit révèle un manquement caractérisé de HC SOFT, auquel cas les frais raisonnables et justifiés sont à la charge de HC SOFT.
8.2. Rapport annuel de conformité
À titre alternatif ou complémentaire à l'audit, HC SOFT met à disposition, sur demande écrite du Client, un rapport annuel de conformité RGPD synthétisant les principales mesures de sécurité, sous-traitants ultérieurs et incidents notables de l'année écoulée.
8.3. Fin du contrat — restitution et suppression
À la fin du contrat, pour quelque cause que ce soit, HC SOFT procède aux opérations décrites à l'article 4.7 ci-dessus :
- Période de réversibilité de 90 jours à compter de la résiliation pour permettre au Client de récupérer ses Données dans un format structuré (CSV, JSON ou équivalent) ;
- Suppression définitive des Données actives à l'issue de cette période ;
- Suppression des sauvegardes chiffrées dans un délai maximum de 30 jours supplémentaires ;
- Certification écrite de destruction délivrée sur demande du Client.
Article 9. Responsabilité, indemnisation
9.1. Responsabilité pour manquements propres
Conformément à l'article 82 du RGPD, chaque Partie est responsable des dommages causés par un Traitement qui constitue une violation du RGPD imputable à ses propres manquements.
HC SOFT n'est responsable du dommage causé par le Traitement que si elle n'a pas respecté les obligations du RGPD spécifiquement applicables aux sous-traitants ou si elle a agi en dehors des instructions licites du Client ou contrairement à celles-ci (art. 82.2 RGPD).
9.2. Action récursoire
Lorsque l'une des Parties a réparé intégralement le dommage subi, elle est fondée à réclamer auprès de l'autre Partie la part de l'indemnisation correspondant à sa part de responsabilité dans le dommage, conformément à l'article 82.5 du RGPD.
9.3. Plafond de responsabilité
Conformément aux dispositions des CGU+CGV auxquelles le présent DPA est annexé, la responsabilité contractuelle de HC SOFT au titre du présent DPA est plafonnée à un montant équivalent à douze (12) mois de redevances effectivement versées par le Client à HC SOFT au cours des douze mois précédant le fait générateur.
9.4. Exceptions au plafond
Le plafond prévu à l'article 9.3 ne s'applique pas :
- en cas de violation caractérisée par HC SOFT de ses obligations RGPD ;
- en cas de faute lourde ou de dol au sens des articles 1231-3 et 1231-4 du Code civil ;
- aux amendes administratives prononcées directement contre HC SOFT par l'autorité de contrôle ;
- aux atteintes à la vie privée constituant une violation des droits fondamentaux.
Article 10. Loi applicable et juridiction
10.1. Loi applicable
Le présent DPA est régi par le droit français, en cohérence avec les CGU+CGV.
10.2. Juridiction compétente
En cas de litige relatif à l'interprétation, l'exécution ou la résiliation du présent DPA, les Parties s'efforceront de trouver une solution amiable. À défaut, tout litige sera soumis à la compétence exclusive du Tribunal de commerce de Mâcon, en cohérence avec les CGU+CGV, nonobstant pluralité de défendeurs ou appel en garantie, y compris pour les procédures conservatoires, en référé ou sur requête, sous réserve des dispositions impératives applicables aux relations avec un consommateur ou une partie non commerçante.
10.3. Droits des Personnes concernées
Les présentes dispositions ne portent pas atteinte au droit des Personnes concernées de saisir l'autorité de contrôle compétente (CNIL en France) ou la juridiction de leur lieu de résidence, conformément aux articles 77 et 79 du RGPD.
Fait en deux (2) exemplaires originaux, un pour chaque Partie.
À [LIEU], le [DATE]
| Pour le Sous-traitant (HC SOFT) | Pour le Responsable de traitement (Client) |
|---|---|
| Nom : [NOM, PRÉNOM] | Nom : [NOM, PRÉNOM] |
| Qualité : [QUALITÉ] | Qualité : [QUALITÉ] |
| Signature : | Signature : |
Annexe 1 — Description du Traitement
1.1. Nature du Traitement
Hébergement, traitement et traçabilité des Données personnelles relatives aux Équipements de Protection Individuelle des salariés du Client, incluant : collecte, enregistrement, organisation, structuration, conservation, consultation, utilisation, communication par transmission, rapprochement et effacement.
1.2. Finalités
Le Traitement est réalisé exclusivement pour les finalités suivantes :
- Fourniture du Service de gestion des EPI au Client (gestion du parc, affectations, alertes) ;
- Conformité au contrôle annuel EN 365 des EPI antichute (planification, exécution, traçabilité) ;
- Traçabilité des inspections et conservation des preuves juridiques (photos EXIF, signatures contradictoires contrôleur/salarié) ;
- Vérification de l'habilitation des contrôleurs (
canControlPPE+ certification valide), conformément aux règlements R408, R457 et R478 ; - Sécurisation des accès (MFA, isolation multi-tenant stricte, journaux d'audit, mode IMPERSONATION tracé) ;
- Notification des alertes au Client (péremption d'EPI, échéances de contrôle, post-incident, expiration de certifications).
1.3. Catégories de Données personnelles traitées
- Données d'identité des salariés : nom, prénom, adresse email professionnelle, numéro de téléphone, numéro d'employé interne, dates d'embauche et de départ ;
- Affectations EPI : équipements attribués au salarié, statut, dates d'affectation et de restitution ;
- Données d'inspection et de contrôle : signatures contradictoires (contrôleur + salarié), photographies des EPI avec données EXIF (date, coordonnées GPS), adresse du salarié à la date du contrôle ;
- Habilitations des contrôleurs : certifications au format PDF, dates d'obtention et d'expiration, organisme certificateur ;
- Journaux d'audit (History) : trace des modifications de données métier, identification du mode IMPERSONATION ;
- Données de géolocalisation : EXIF des photographies d'inspection (ancrage juridique exigé par la norme EN 365) ;
- Comptes utilisateurs côté Client : email, mot de passe haché (bcrypt), rôle attribué, paramètres MFA.
1.4. Catégories de Personnes concernées
- Salariés porteurs d'EPI du Client (et, le cas échéant, des clients finaux du Client lorsque celui-ci est un Dealer) ;
- Techniciens contrôleurs habilités (
canControlPPE = trueet certification valide) ; - Administrateurs et utilisateurs côté Client (CLIENT_ADMIN, MANAGER, READ_ONLY).
1.5. Durée du Traitement
- Durée de la relation contractuelle Client/HC SOFT ;
- Plus 90 jours de réversibilité ;
- Plus 30 jours de purge des sauvegardes.
Les durées de conservation propres à chaque catégorie de Données, dans la limite des durées légales (notamment 5 ans pour la traçabilité des contrôles EPI), sont paramétrées par le Client dans son interface d'administration.
1.6. Localisation des Données
- Base de données et fichiers : Union européenne (France — Paris ; Allemagne — Francfort) ;
- Monitoring d'erreurs et notifications push : États-Unis, encadré par DPF et CCT 2021/914 (cf. Annexe 3).
Annexe 2 — Mesures techniques et organisationnelles de sécurité (article 32 du RGPD)
Les mesures décrites ci-après sont alignées sur la Politique de confidentialité publiée par HC SOFT, à laquelle le Client est invité à se reporter pour le détail.
2.1. Chiffrement
- En transit : TLS 1.2 minimum, TLS 1.3 par défaut pour toutes les communications client-serveur et inter-services ;
- Au repos :
- Base de données PostgreSQL hébergée chez Supabase : chiffrement AES-256 ;
- Stockage de fichiers chez AWS S3 : chiffrement SSE-S3 (AES-256 géré par AWS).
2.2. Authentification et gestion des sessions
- Mots de passe stockés sous forme hachée avec bcrypt (facteur de coût adapté) ;
- JWT d'accès d'une durée de 15 minutes ;
- Refresh tokens de 30 jours :
- Web : cookie
httpOnly,Secure,SameSite=Strict; - Mobile : stockage sécurisé via
expo-secure-store(Keychain iOS / Keystore Android).
- Web : cookie
2.3. Authentification multi-facteurs (MFA)
MFA obligatoire pour les rôles à privilèges (SUPER_ADMIN, DEALER_ADMIN, CLIENT_ADMIN).
2.4. Isolation multi-tenant
- Filtrage
tenant_idobligatoire sur toutes les requêtes (sauf rôle SUPER_ADMIN) ; - Guards NestJS (
AuthGuard+TenantGuard) systématiques sur tous les contrôleurs ; - Row-Level Security (RLS) PostgreSQL en complément applicatif ;
- Tests d'isolation multi-tenant automatisés en intégration continue (CI), bloquant les déploiements en cas de régression.
2.5. Contrôle d'accès (RBAC)
Sept (7) rôles définis selon le principe du moindre privilège : SUPER_ADMIN, DEALER_ADMIN, COMMERCIAL, TECHNICIAN, CLIENT_ADMIN, MANAGER, READ_ONLY. Habilitation contrôleur conditionnée à canControlPPE = true et certification VALID.
2.6. Journalisation et traçabilité
- Journaux d'audit (
History) sur toutes les modifications de données métier (qui, quoi, quand) ; - Mode IMPERSONATION journalisé et signalé par un badge orange visible dans l'interface ;
- Conservation des journaux pour la durée nécessaire à la démonstration de la conformité.
2.7. Sauvegardes
- Sauvegardes chiffrées quotidiennes ;
- Rétention de 30 jours ;
- Tests de restauration périodiques.
2.8. Sécurité du développement
- Tests unitaires et d'intégration avec couverture minimale exigée (≥ 80 % services, ≥ 70 % contrôleurs) ;
- Revue de code obligatoire ;
- Analyse statique (ESLint strict, TypeScript strict) ;
- Tests d'isolation web vs mobile sur les endpoints supportant les deux clients.
2.9. Gestion du personnel
- Aucun accès anonyme aux Données Client par le personnel HC SOFT ;
- Personnel formé au RGPD et lié par une clause de confidentialité contractuelle ;
- Révocation immédiate des accès en cas de départ ou de changement de fonction.
2.10. Gestion des incidents
- Monitoring temps réel via Sentry (avec scrubbing des PII) ;
- Procédure documentée de gestion des Violations (cf. article 6) ;
- Astreinte technique pour les incidents critiques.
Annexe 3 — Liste des sous-traitants ultérieurs autorisés
3.1. Liste à la date d'entrée en vigueur
| Sous-traitant ultérieur | Activité de Traitement confiée | Localisation | Encadrement juridique |
|---|---|---|---|
| Supabase Inc. | Base de données PostgreSQL managée + service d'authentification | Union européenne (Francfort, Allemagne / Paris, France) | DPA Supabase ; chiffrement AES-256 ; TLS 1.3 |
| Amazon Web Services EMEA SARL (AWS) | Stockage de fichiers (photos d'inspection, certifications PDF) via Amazon S3 | Union européenne (Paris eu-west-3 / Francfort eu-central-1) | DPA AWS ; CCT 2021/914 ; chiffrement SSE-S3 |
| Functional Software Inc. (Sentry) | Monitoring d'erreurs applicatives | États-Unis | DPA Sentry ; EU-U.S. Data Privacy Framework ; CCT 2021/914 ; scrubbing PII ; rétention 90 jours |
| 650 Industries Inc. (Expo) | Notifications push mobiles et mises à jour OTA (Over-The-Air) | États-Unis | DPA Expo ; EU-U.S. Data Privacy Framework ; CCT 2021/914 ; chiffrement en transit ; pas de stockage persistant des Données du Client |
3.2. Procédure d'ajout ou de remplacement d'un sous-traitant ultérieur
Conformément à l'article 4.4 du présent DPA :
- Information préalable du Client par tout moyen écrit (publication sur l'espace client, courriel au contact RGPD), au minimum 30 jours calendaires avant la prise d'effet ;
- Cette information précise : l'identité et les coordonnées du nouveau sous-traitant ultérieur, l'activité confiée, la localisation, les garanties juridiques (DPA, CCT, DPF, mesures supplémentaires) ;
- Droit d'objection motivée du Client dans le délai de 30 jours suivant l'information, exercé par écrit auprès de contact@panops.fr ;
- En cas d'objection légitime, les Parties recherchent de bonne foi une solution alternative (maintien du sous-traitant existant, solution alternative équivalente) ;
- À défaut de solution acceptable, le Client peut résilier le DPA et les CGU+CGV sans indemnité, sous réserve d'un préavis raisonnable permettant l'exécution de la réversibilité prévue à l'article 8.
3.3. Engagement de niveau équivalent
HC SOFT s'engage à imposer contractuellement à tout sous-traitant ultérieur, présent ou futur, des obligations de protection des Données substantiellement équivalentes à celles prévues au présent DPA, conformément à l'article 28.4 du RGPD.
Fin du Data Processing Agreement — Version 1.0