Retyc logo blue

Data processing agreement (DPA)

Retyc - un service de TripleStack SAS

Version 1.0 - En vigueur à compter du : 24 mai 2026

ENTRE :

TripleStack SAS, société par actions simplifiée unipersonnelle au capital de 1.000 euros, immatriculée au RCS de Lyon sous le numéro 853 010 064, ayant son siège social au 12 B rue du Stade - 69290 Grézieu-la-Varenne (ci-après « TripleStack » ou le « Sous-traitant »),

ET :

Le Client B2B ayant accepté les CGU auxquelles le présent DPA est annexé (ci-après le « Responsable de traitement » ou le « Client »),

Ci-après désignés ensemble les « Parties ».

Préambule

Dans le cadre de la fourniture des Services définis aux CGU, TripleStack est amené à traiter des Données à Caractère Personnel pour le compte du Client B2B, en qualité de sous-traitant au sens de l'article 28 du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (ci-après le « RGPD »).

Le présent DPA a pour objet de définir les conditions dans lesquelles TripleStack traite ces données pour le compte du Client, conformément aux exigences de l'article 28 du RGPD.

Le présent DPA fait partie intégrante des CGU. En cas de contradiction entre les stipulations du présent DPA et celles des CGU, les stipulations du présent DPA prévalent s'agissant du traitement des Données à Caractère Personnel.

Les termes définis dans les CGU conservent leur signification dans le présent DPA. Les termes définis ci-après complètent ces définitions.

Article 1 - Définitions

« Données à Caractère Personnel » : toute information se rapportant à une personne physique identifiée ou identifiable, au sens de l'article 4 du RGPD.

« Traitement » : toute opération ou tout ensemble d'opérations effectuées sur des Données à Caractère Personnel, au sens de l'article 4 du RGPD.

« Violation de Données » : toute violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de Données à Caractère Personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données.

« Sous-traitant ultérieur » : tout tiers auquel TripleStack fait appel pour effectuer des activités de traitement pour le compte du Client, dans le cadre de la fourniture des Services.

« Autorité de contrôle » : la Commission nationale de l'informatique et des libertés (CNIL) ou toute autre autorité de contrôle compétente au sens de l'article 4, paragraphe 21, du RGPD.

Article 2 - Objet, nature et finalité du traitement

TripleStack traite des Données à Caractère Personnel pour le compte du Client aux seules fins de l'exécution des Services définis aux CGU, et notamment :

  • le stockage chiffré des fichiers et documents déposés par le Client et ses Utilisateurs Enregistrés sur la Plateforme ;
  • la gestion des comptes utilisateurs et des habilitations au sein de l'Organisation du Client ;
  • la gestion des partages de fichiers entre Utilisateurs Enregistrés et, le cas échéant, avec des Utilisateurs Anonymes ;
  • la fourniture des fonctionnalités de la Plateforme telles que définies sur le Site Retyc ;
  • la gestion des opérations techniques nécessaires à la continuité et à la sécurité des Services (sauvegardes, journalisation, maintenance).

TripleStack ne traite les Données à Caractère Personnel que sur instruction documentée du Client, y compris en ce qui concerne les transferts de données, sauf obligation légale contraire. Dans ce dernier cas, TripleStack en informera le Client avant le traitement, sauf si le droit applicable interdit cette information.

Article 3 - Nature des données traitées et catégories de personnes concernées

3.1 Catégories de personnes concernées

Les Données à Caractère Personnel traitées par TripleStack pour le compte du Client peuvent concerner les catégories de personnes suivantes :

  • les Utilisateurs Enregistrés du Client (salariés, collaborateurs, prestataires ou tout autre utilisateur habilité par le Client) ;
  • les Utilisateurs Anonymes accédant à des fichiers partagés par le Client ou ses Utilisateurs Enregistrés ;
  • toute personne physique dont les données figureraient dans les fichiers et documents déposés par le Client sur la Plateforme.

3.2 Catégories de données traitées

Les catégories de données traitées par TripleStack pour le compte du Client comprennent :

  • Données d'identification et de compte : nom, prénom, adresse électronique, identifiants de connexion des Utilisateurs Enregistrés ;
  • Données de connexion et de navigation : adresses IP, logs de connexion, données d'utilisation de la Plateforme, horodatages ;
  • Métadonnées des fichiers : taille, date de création et de modification, arborescence de l'Organisation (le nom et le type de fichier sont chiffrés côté client et inaccessibles à TripleStack) ;
  • Contenu des fichiers : données contenues dans les fichiers déposés par le Client et ses Utilisateurs Enregistrés sur la Plateforme.

Les données traitées ne comprennent pas, par principe, de catégories particulières de données au sens de l'article 9 du RGPD (données de santé, données révélant l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, etc.), sauf si le Client dépose volontairement de telles données sur la Plateforme, auquel cas il en demeure seul responsable.

Article 4 - Durée du traitement

TripleStack traite les Données à Caractère Personnel pour le compte du Client pendant toute la durée des CGU.

À l'expiration ou à la résiliation des CGU, TripleStack s'engage à restituer l'intégralité des Données à Caractère Personnel au Client, dans les conditions définies à l'article 21 des CGU relatif à la réversibilité, dans un délai de trente (30) jours suivant la cessation des relations contractuelles.

La suppression technique des données de la Plateforme intervient immédiatement après la restitution au Client, ou à l'expiration du délai de trente (30) jours si aucune demande d'export n'a été formulée. À l'issue de cette suppression, TripleStack fournira au Client, sur demande, une attestation de suppression. Sauf obligation légale de conservation contraire, aucune donnée à caractère personnel traitée pour le compte du Client ne subsiste sur les systèmes de TripleStack au-delà de ce délai.

Article 5 - Obligations de TripleStack

5.1 Traitement sur instruction

TripleStack s'engage à ne traiter les Données à Caractère Personnel que sur instruction documentée du Client, telle qu'elle résulte des CGU et du présent DPA, ou de toute instruction écrite ultérieure du Client.

Si TripleStack estime qu'une instruction du Client constitue une violation du RGPD ou de toute autre disposition du droit de l'Union ou du droit d'un État membre relative à la protection des données, il en informera immédiatement le Client.

5.2 Confidentialité

TripleStack s'engage à garantir que les personnes autorisées à traiter les Données à Caractère Personnel dans le cadre des Services sont soumises à une obligation de confidentialité appropriée, contractuelle ou légale, et ont reçu une formation adéquate en matière de protection des données.

5.3 Sécurité

TripleStack s'engage à mettre en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, conformément à l'article 32 du RGPD, et notamment :

  • le chiffrement de bout en bout des Données Client selon une architecture zero-knowledge, garantissant que TripleStack n'a pas accès au contenu des fichiers stockés ;
  • le chiffrement des données en transit et au repos ;
  • l'hébergement exclusif des données sur des infrastructures situées dans l'Union européenne ;
  • des procédures de sauvegarde régulières et sécurisées ;
  • des contrôles d'accès stricts aux systèmes traitant les Données à Caractère Personnel ;
  • des procédures de journalisation et de surveillance des accès ;
  • des procédures de test, d'évaluation et d'appréciation régulières de l'efficacité des mesures de sécurité.

5.4 Notification des violations de données

En cas de Violation de Données affectant les Données à Caractère Personnel traitées pour le compte du Client, TripleStack notifiera le Client dans les meilleurs délais et, dans la mesure du possible, dans les soixante-douze (72) heures suivant la prise de connaissance de la violation.

Cette notification comprendra, dans la mesure où les informations sont disponibles à ce stade :

  • la description de la nature de la Violation de Données, y compris les catégories et le nombre approximatif de personnes concernées et de données concernées ;
  • le nom et les coordonnées du délégué à la protection des données ou du point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
  • la description des conséquences probables de la Violation de Données ;
  • la description des mesures prises ou envisagées pour remédier à la violation, y compris les mesures pour en atténuer les éventuelles conséquences négatives.

Si toutes les informations ne sont pas disponibles simultanément, TripleStack les communiquera au Client de manière échelonnée, sans retard injustifié.

5.5 Assistance au Client

TripleStack s'engage à assister le Client, dans la mesure du possible et compte tenu de la nature du traitement et des informations dont il dispose, pour :

  • répondre aux demandes d'exercice des droits des personnes concernées (droit d'accès, de rectification, d'effacement, d'opposition, de portabilité, de limitation) ;
  • respecter les obligations prévues aux articles 32 à 36 du RGPD, notamment en matière de sécurité, de notification des violations, d'analyse d'impact et de consultation préalable de l'Autorité de contrôle.

Toute demande d'assistance dépassant le cadre des Services définis aux CGU pourra faire l'objet d'une facturation complémentaire, après accord préalable du Client.

5.6 Sort des données en fin de contrat

À l'issue du contrat, TripleStack s'engage à restituer les Données à Caractère Personnel au Client et à procéder à leur suppression définitive et sécurisée dans les conditions définies à l'article 4 du présent DPA.

Article 6 - Obligations du Client

Le Client reconnaît et garantit :

  • agir en qualité de responsable de traitement pour les Données à Caractère Personnel traitées par TripleStack dans le cadre des Services ;
  • disposer d'une base légale valide pour chacun des traitements confiés à TripleStack ;
  • avoir informé les personnes concernées des traitements effectués pour son compte par TripleStack, conformément aux articles 13 et 14 du RGPD ;
  • ne communiquer à TripleStack que les données strictement nécessaires à l'exécution des Services ;
  • s'assurer que les catégories particulières de données au sens de l'article 9 du RGPD ne sont pas déposées sur la Plateforme, sauf à en assumer l'entière responsabilité.

Article 7 - Sous-traitants ultérieurs

7.1 Autorisation générale

Le Client autorise TripleStack à faire appel aux Sous-traitants ultérieurs listés à l'article 7.2 du présent DPA pour l' exécution des Services.

7.2 Liste des Sous-traitants ultérieurs

La liste des Sous-traitants ultérieurs en vigueur est disponible et tenue à jour à l'adresse https://retyc.com/fr/legal/subprocessors. Cette liste fait partie intégrante du présent DPA. TripleStack s'engage à notifier le Client de tout ajout ou modification dans les conditions prévues à l'article 7.3.

7.3 Modification de la liste des Sous-traitants ultérieurs

TripleStack informera le Client de tout ajout ou remplacement de Sous-traitant ultérieur prévu, avec un préavis raisonnable d'au moins trente (30) jours avant la prise d'effet du changement, par tout moyen permettant d'établir une trace écrite.

Le Client dispose d'un délai de quinze (15) jours à compter de cette notification pour s'opposer au changement de Sous-traitant ultérieur pour des motifs légitimes tenant à la protection des données. En cas d'opposition non résolue, le Client pourra résilier les CGU sans pénalité.

7.4 Obligations imposées aux Sous-traitants ultérieurs

TripleStack s'engage à imposer à ses Sous-traitants ultérieurs des obligations équivalentes à celles qui lui sont imposées par le présent DPA, et notamment en matière de sécurité, de confidentialité et de protection des données. TripleStack demeure responsable envers le Client des actes et omissions de ses Sous-traitants ultérieurs.

Article 8 - Transferts de données hors de l'Union européenne

L'ensemble des Données à Caractère Personnel traitées par TripleStack pour le compte du Client sont hébergées et traitées exclusivement sur des infrastructures situées dans l'Union européenne.

TripleStack s'engage à ne pas transférer les Données à Caractère Personnel du Client vers un pays tiers à l'Union européenne sans l'accord préalable et écrit du Client, et sans que des garanties appropriées au sens du Chapitre V du RGPD soient en place.

Article 9 - Droit à l'information

9.1 Documentation

TripleStack met à la disposition du Client l'ensemble de la documentation nécessaire pour démontrer le respect des obligations imposées au Sous-traitant par l'article 28 du RGPD, et notamment :

  • le présent DPA ;
  • toute certification, rapport d'audit de sécurité ou attestation de conformité dont TripleStack disposerait ;
  • les réponses aux questionnaires de sécurité et de conformité raisonnables adressés par le Client.

9.2 Droit à l'information

Le Client peut, une fois par an, adresser à TripleStack un questionnaire écrit portant sur les mesures de sécurité et les conditions de traitement mises en œuvre dans le cadre des Services. TripleStack s'engage à y répondre dans un délai raisonnable n'excédant pas trente (30) jours.

Article 10 - Délégué à la protection des données

Pour toute question relative à la protection des données dans le cadre du présent DPA, le Client peut contacter TripleStack à l'adresse : legal@retyc.net.

Article 11 - Responsabilité

Chaque Partie est responsable du respect de ses propres obligations au titre du présent DPA et du RGPD.

Dans ses relations avec le Client, TripleStack est responsable des dommages causés par un traitement non conforme au présent DPA ou au RGPD qui lui est imputable. La responsabilité de TripleStack au titre du présent DPA s'inscrit dans le cadre des limitations de responsabilité définies aux CGU.

Le Client est responsable de la licéité des traitements qu'il confie à TripleStack, de la qualité des données transmises et du respect de ses propres obligations en tant que responsable de traitement.

Article 12 - Loi applicable et compétence

Le présent DPA est régi par le droit français et par le RGPD.

Tout litige relatif à l'interprétation ou à l'exécution du présent DPA sera soumis à la compétence des tribunaux compétents de Lyon, conformément aux stipulations des CGU applicables aux Clients B2B.