Data Processing Agreement (DPA)
Accord de sous-traitance au titre de l'article 28 du RGPD — Version 1.0 du 15 avril 2026
Modèle à relire par un juriste RGPD avant signature officielle.
1. Parties
- Responsable de traitement : le Client Pulzar (Tenant).
- Sous-traitant : Aymeric GUERCHON — Pulzar, SIREN 102 744 596.
2. Objet
Le Sous-traitant traite les Données Personnelles des clients finaux du Responsable exclusivement dans le cadre de la fourniture du service Pulzar CMS.
3. Durée
Pour la durée de l'abonnement + 30 jours pour restitution / destruction.
4. Nature et finalité
- Nature : stockage, consultation, indexation, sauvegarde, envoi de notifications transactionnelles.
- Finalités : exploitation de l'activité du Responsable (réservations, facturation, CRM, marketing consenti).
- Personnes concernées : clients finaux, prospects, salariés, partenaires du Responsable.
- Catégories de données : identification, transactionnelles, comportementales, parfois sensibles (allergies — sous responsabilité du Responsable).
5. Obligations du Sous-traitant
- Traitement uniquement sur instruction documentée du Responsable.
- Confidentialité (NDA).
- Mesures techniques et organisationnelles (annexe A).
- Assistance pour répondre aux demandes d'exercice de droits.
- Notification de violation sous 72 h.
- Suppression ou restitution des données en fin de prestation.
- Acceptation d'audits par le Responsable ou son mandataire.
6. Sous-traitants ultérieurs
Liste en annexe B. Toute modification notifiée 30 jours à l'avance, droit d'opposition motivé du Responsable.
7. Transferts hors UE
Fondés sur les Clauses Contractuelles Types (UE 2021/914), le EU-US Data Privacy Framework lorsqu'applicable, et des mesures complémentaires (chiffrement, pseudonymisation).
8. Sécurité — Annexe A
- TLS 1.3 en transit, AES-256 au repos (Supabase).
- Row Level Security PostgreSQL, isolation multi-tenant testée.
- Authentification forte (Supabase Auth), JWT courts.
- Rate limiting nginx, WAF fail2ban.
- Journalisation (audit log 12 mois).
- Sauvegardes chiffrées quotidiennes, rétention 30 j.
- Revue sécurité trimestrielle, pentest annuel (à partir 2027).
Annexe B — Sous-traitants ultérieurs
| Sous-traitant | Rôle | Localisation | Garanties |
|---|---|---|---|
| Supabase Inc. | Base de données + auth | Francfort (UE) | CCT + art. 28 DPA |
| Stripe Payments Europe | Paiement | Dublin (IE) | Art. 28 DPA Stripe |
| Brevo SAS | Courriels | Paris (FR) | Art. 28 DPA Brevo |
| Hetzner Online | Hébergement | Falkenstein (DE) | DPA Hetzner |
| Anthropic PBC | IA (Claude) | USA | CCT + DPF |
| Cloudflare Inc. | DNS / DDoS | UE + USA | CCT |