Avenant de traitement des données (DPA)

Préambule

Les Parties souhaitent établir les conditions dans lesquelles le Sous-traitant traite les données personnelles pour le compte du Responsable du traitement, en conformité avec l'Article 28 du Règlement (UE) 2016/679 (le « RGPD ») et, le cas échéant, le UK Data Protection Act 2018 (« UK GDPR ») et la Loi fédérale suisse sur la protection des données (« LPD »).

1. Définitions

Les termes en majuscules non définis dans le DPA ont le sens donné par le RGPD ou l'Order Form. Pour clarté :

• « Données Personnelles Client » désigne les données personnelles soumises aux Services par ou pour le compte du Responsable du traitement, y compris les données personnelles contenues dans le Code Client, les métadonnées de dépôt, les comptes utilisateurs, les journaux d'audit et la configuration.
• « Traitement » a le sens donné par l'Article 4(2) RGPD.
• « Sous-traitant ultérieur » désigne tout tiers engagé par le Sous-traitant pour traiter des Données Personnelles Client pour le compte du Responsable du traitement.
• « Clauses Contractuelles Types » ou « CCT » désigne les clauses approuvées par la Décision 2021/914 de la Commission européenne du 4 juin 2021.

2. Périmètre et rôles des Parties

Le Responsable du traitement agit en tant que responsable du traitement et le Sous-traitant en tant que sous-traitant pour les Données Personnelles Client. Lorsque le Responsable du traitement agit lui-même comme sous-traitant pour un client final, le Sous-traitant agira comme sous-traitant ultérieur. Les activités de traitement sont décrites en Annexe 1.

3. Instructions du Responsable du traitement

Le Sous-traitant traite les Données Personnelles Client uniquement sur instructions documentées du Responsable du traitement, sauf obligation légale contraire. L'Order Form, la Documentation, la Politique de confidentialité et le présent DPA constituent les instructions complètes et finales du Responsable du traitement à la date de signature. Toute instruction supplémentaire requiert un accord écrit préalable.

Le Sous-traitant informera le Responsable du traitement sans délai si une instruction enfreint le RGPD ou toute autre loi applicable.

4. Confidentialité

Le Sous-traitant garantit que les personnes autorisées à traiter les Données Personnelles Client sont engagées à la confidentialité, sont formées de manière appropriée et ne traitent les données que conformément aux instructions. Le Sous-traitant maintient une politique d'accès interne fondée sur le besoin d'en connaître.

5. Mesures de sécurité

Le Sous-traitant met en œuvre des mesures techniques et organisationnelles appropriées au risque. Une description actualisée figure en Annexe 2 et est mise à jour sur la page Sécurité. Le Responsable du traitement reconnaît que les mesures évoluent avec le progrès technique ; le Sous-traitant peut les mettre à jour à condition de ne pas réduire matériellement le niveau de protection.

6. Sous-traitants ultérieurs

Le Responsable du traitement donne une autorisation écrite générale au Sous-traitant pour engager des Sous-traitants ultérieurs. La liste actuelle est publiée à /legal/subprocessors.

Le Sous-traitant :

• impose à chaque Sous-traitant ultérieur des obligations de protection des données non moins protectrices que le présent DPA ;
• demeure pleinement responsable envers le Responsable du traitement de l'exécution des obligations de chaque Sous-traitant ultérieur ;
• accorde au Responsable du traitement un préavis écrit de 30 jours (via la page Sous-traitants ou par e-mail aux clients enterprise) avant tout changement.

Le Responsable du traitement peut s'opposer à un nouveau Sous-traitant ultérieur pour des motifs légitimes de protection des données. À défaut de résolution, le Responsable du traitement peut résilier la portion concernée des Services sans pénalité.

7. Droits des personnes concernées

Compte tenu de la nature du traitement, le Sous-traitant assistera le Responsable du traitement par des mesures techniques et organisationnelles appropriées, dans la mesure du possible, pour répondre aux demandes d'exercice des droits prévus par le RGPD (accès, rectification, effacement, limitation, portabilité, opposition). Des outils self-service standard sont disponibles dans le tableau de bord du Responsable du traitement.

8. Violations de données personnelles

Le Sous-traitant notifiera au Responsable du traitement toute Violation de Données Personnelles affectant les Données Personnelles Client sans délai et en tout état de cause dans les 48 heures après en avoir pris connaissance. La notification précisera, dans la mesure du connu, la nature de la violation, les catégories et nombre approximatif de personnes et d'enregistrements concernés, les conséquences probables et les mesures prises ou proposées.

Le Sous-traitant assistera raisonnablement le Responsable du traitement pour ses propres obligations de notification au titre des Articles 33-34 RGPD.

9. Transferts internationaux de données

Lorsque le Sous-traitant (ou un Sous-traitant ultérieur) transfère des Données Personnelles Client hors de l'Espace Économique Européen vers un pays sans décision d'adéquation, le transfert est régi par les Clauses Contractuelles Types (Module Deux. Responsable vers Sous-traitant. Ou Module Trois. Sous-traitant vers Sous-traitant ultérieur. Selon le cas), incorporées par référence au présent DPA.

Le Sous-traitant conduira des Évaluations d'impact des transferts conformément à la recommandation EDPB 01/2020 et complétera les CCT par des garanties supplémentaires si nécessaire (chiffrement, pseudonymisation, minimisation). Une copie de la dernière TIA est disponible sur demande.

10. Audits

Le Sous-traitant mettra à disposition du Responsable du traitement toutes les informations nécessaires pour démontrer la conformité au présent DPA. Notamment le dernier rapport SOC 2 Type II, le certificat ISO 27001 (le cas échéant) et la liste actuelle des Sous-traitants ultérieurs.

Le Responsable du traitement peut, une fois par période de douze mois, conduire un audit (ou commander un tiers indépendant tenu à la confidentialité), à ses frais, sur préavis écrit de 30 jours et pendant les heures ouvrées.

11. Restitution et suppression

À la résiliation des Services, le Sous-traitant, au choix du Responsable du traitement, supprimera ou restituera toutes les Données Personnelles Client et supprimera les copies existantes, sauf obligation légale de conservation. Les sauvegardes sont supprimées selon le cycle standard de rotation, qui est de 30 jours pour notre région UE.

12. Durée et résiliation

Ce DPA entre en vigueur à la date d'effet de l'Order Form et reste en vigueur tant que le Sous-traitant traite des Données Personnelles Client pour le compte du Responsable du traitement.

13. Responsabilité

La responsabilité de chaque Partie au titre du présent DPA est soumise aux limitations et exclusions prévues dans les Conditions d'utilisation, quelle que soit la base juridique de la réclamation.

14. Droit applicable

Ce DPA est régi par le droit français. Les différends sont soumis à la juridiction non exclusive des tribunaux de Lille (France), sans préjudice des règles impératives applicables au pays de résidence habituelle de la personne concernée.

---

Annexe 1. Description du Traitement

Objet

Fourniture de la plateforme AppSec MCP-native CybeDefend, incluant SAST, SCA, scan IaC, sécurité conteneurs, détection de secrets, et analyse & remédiation alimentées par l'IA.

Durée

Pour la durée de l'Order Form entre les Parties.

Nature et finalité

Le Sous-traitant traite les Données Personnelles Client aux fins de :

• fournir les Services tels que décrits dans l'Order Form et la Documentation ;
• effectuer l'analyse de sécurité du Code Client soumis ;
• produire des suggestions de remédiation et des patches vérifiés ;
• fournir compte utilisateur, facturation, support et journal d'audit.

Catégories de personnes concernées

• les utilisateurs du Responsable du traitement (développeurs, ingénieurs sécurité, administrateurs) ;
• les personnes identifiables à partir de données soumises au sein du Code Client (committers, reviewers, identifiants utilisateur internes) ;
• les personnes identifiables à partir de la configuration ou des métadonnées d'accès.

Catégories de données personnelles

• Données d'identification. Nom, e-mail, nom d'utilisateur, photo de profil, rôle.
• Données d'authentification. Mots de passe hashés, tokens OAuth, identifiants de session, IP, identifiants d'appareil.
• Données de compte & facturation. Adresse de facturation, numéro de TVA, détails d'abonnement (sans PAN complet. Détenu par Stripe).
• Données d'usage. Fichiers de logs, journaux d'audit, activité in-product.
• Métadonnées de Code Client. Chemins de fichiers, identifiants de commits, URLs de dépôts, identifiants de contributeurs.
• Contenu du Code Client ingéré pour analyse de sécurité (qui peut incidemment contenir des identifiants selon ce que soumet le Responsable du traitement).

Catégories spéciales de données

Les Services ne sont pas conçus pour traiter des catégories spéciales de données. Le Responsable du traitement s'engage à ne pas soumettre de données de catégorie spéciale et reconnaît que le Sous-traitant s'appuie sur cet engagement.

Destinataires

Sous-traitants ultérieurs listés en Annexe 3 et à /legal/subprocessors.

---

Annexe 2. Mesures Techniques et Organisationnelles (TOMs)

Une description actuelle et détaillée est publiée à /security. Contrôles principaux :

• Chiffrement. TLS 1.2+ en transit, AES-256 au repos, gestionnaire de secrets avec clés hardware-backed.
• Contrôle d'accès. SSO + MFA hardware pour l'équipe, accès production just-in-time, moindre privilège par service, SSO côté client (SAML/OIDC) et SCIM sur Enterprise.
• Sécurité réseau. VPC segmentés, politiques default-deny, mTLS entre services internes, WAF sur les endpoints publics.
• Sécurité opérationnelle. Test d'intrusion tiers annuel, revue sécurité interne continue à chaque déploiement, monitoring 24×7 avec paging sur anomalies.
• Résilience. Sauvegardes quotidiennes avec rétention 30 jours (région UE), procédures de reprise après sinistre, déploiements multi-AZ.
• Garde-fous IA spécifiques. Pas d'entraînement de modèle sur les Données Personnelles Client, contrats zéro rétention avec les fournisseurs IA, scopes par tenant, prompts sandboxés.

---

Annexe 3. Sous-traitants ultérieurs

La liste actuelle des Sous-traitants ultérieurs nommés. Incluant l'entité, les données traitées, la finalité et le lieu de traitement. Est publiée à /legal/subprocessors et incorporée par référence. Le Sous-traitant notifiera tout changement matériel au moins 30 jours à l'avance.