[{"data":1,"prerenderedAt":-1},["ShallowReactive",2],{"MARKDOWN_fr_legal_dpa":3},{"id":4,"title":5,"body":6,"description":19,"extension":480,"meta":481,"navigation":482,"path":483,"seo":484,"sitemap":485,"stem":486,"__hash__":487},"markdown\u002Ffr\u002Flegal\u002Fdpa.md","Data processing agreement (DPA)",{"type":7,"value":8,"toc":461},"minimark",[9,13,20,26,32,46,51,61,68,73,80,83,86,89,94,101,107,113,119,125,129,132,151,154,158,163,166,177,181,184,198,201,205,208,211,214,218,222,225,228,232,235,239,242,269,273,276,279,293,296,300,303,311,314,318,321,325,328,345,349,353,356,360,370,374,377,380,384,387,391,394,397,401,405,408,419,423,426,430,438,442,445,448,451,455,458],[10,11,5],"h1",{"id":12},"data-processing-agreement-dpa",[14,15,16],"p",{},[17,18,19],"strong",{},"Retyc - un service de TripleStack SAS",[14,21,22],{},[23,24,25],"em",{},"Version 1.0 - En vigueur à compter du : 24 mai 2026",[14,27,28,31],{},[17,29,30],{},"ENTRE"," :",[14,33,34,37,38,41,42,45],{},[17,35,36],{},"TripleStack SAS",", société par actions simplifiée unipersonnelle au capital de 1.000 euros, immatriculée au RCS de\nLyon sous le numéro 853 010 064, ayant son siège social au 12 B rue du Stade - 69290 Grézieu-la-Varenne (ci-après\n« ",[17,39,40],{},"TripleStack"," » ou le « ",[17,43,44],{},"Sous-traitant"," »),",[14,47,48,31],{},[17,49,50],{},"ET",[14,52,53,54,57,58,45],{},"Le Client B2B ayant accepté les CGU auxquelles le présent DPA est annexé (ci-après le « ",[17,55,56],{},"Responsable de traitement"," »\nou le « ",[17,59,60],{},"Client",[14,62,63,64,67],{},"Ci-après désignés ensemble les « ",[17,65,66],{},"Parties"," ».",[69,70,72],"h2",{"id":71},"préambule","Préambule",[14,74,75,76,79],{},"Dans le cadre de la fourniture des Services définis aux CGU, TripleStack est amené à traiter des Données à Caractère\nPersonnel pour le compte du Client B2B, en qualité de sous-traitant au sens de l'article 28 du Règlement (UE) 2016\u002F679\ndu Parlement européen et du Conseil du 27 avril 2016 (ci-après le « ",[17,77,78],{},"RGPD"," »).",[14,81,82],{},"Le présent DPA a pour objet de définir les conditions dans lesquelles TripleStack traite ces données pour le compte du\nClient, conformément aux exigences de l'article 28 du RGPD.",[14,84,85],{},"Le présent DPA fait partie intégrante des CGU. En cas de contradiction entre les stipulations du présent DPA et celles\ndes CGU, les stipulations du présent DPA prévalent s'agissant du traitement des Données à Caractère Personnel.",[14,87,88],{},"Les termes définis dans les CGU conservent leur signification dans le présent DPA. Les termes définis ci-après\ncomplètent ces définitions.",[90,91,93],"h3",{"id":92},"article-1-définitions","Article 1 - Définitions",[14,95,96,97,100],{},"« ",[17,98,99],{},"Données à Caractère Personnel"," » : toute information se rapportant à une personne physique identifiée ou\nidentifiable, au sens de l'article 4 du RGPD.",[14,102,96,103,106],{},[17,104,105],{},"Traitement"," » : toute opération ou tout ensemble d'opérations effectuées sur des Données à Caractère Personnel, au\nsens de l'article 4 du RGPD.",[14,108,96,109,112],{},[17,110,111],{},"Violation de Données"," » : toute violation de la sécurité entraînant, de manière accidentelle ou illicite, la\ndestruction, la perte, l'altération, la divulgation non autorisée de Données à Caractère Personnel transmises,\nconservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données.",[14,114,96,115,118],{},[17,116,117],{},"Sous-traitant ultérieur"," » : tout tiers auquel TripleStack fait appel pour effectuer des activités de traitement\npour le compte du Client, dans le cadre de la fourniture des Services.",[14,120,96,121,124],{},[17,122,123],{},"Autorité de contrôle"," » : la Commission nationale de l'informatique et des libertés (CNIL) ou toute autre autorité\nde contrôle compétente au sens de l'article 4, paragraphe 21, du RGPD.",[90,126,128],{"id":127},"article-2-objet-nature-et-finalité-du-traitement","Article 2 - Objet, nature et finalité du traitement",[14,130,131],{},"TripleStack traite des Données à Caractère Personnel pour le compte du Client aux seules fins de l'exécution des\nServices définis aux CGU, et notamment :",[133,134,135,139,142,145,148],"ul",{},[136,137,138],"li",{},"le stockage chiffré des fichiers et documents déposés par le Client et ses Utilisateurs Enregistrés sur la\nPlateforme ;",[136,140,141],{},"la gestion des comptes utilisateurs et des habilitations au sein de l'Organisation du Client ;",[136,143,144],{},"la gestion des partages de fichiers entre Utilisateurs Enregistrés et, le cas échéant, avec des Utilisateurs\nAnonymes ;",[136,146,147],{},"la fourniture des fonctionnalités de la Plateforme telles que définies sur le Site Retyc ;",[136,149,150],{},"la gestion des opérations techniques nécessaires à la continuité et à la sécurité des Services (sauvegardes,\njournalisation, maintenance).",[14,152,153],{},"TripleStack ne traite les Données à Caractère Personnel que sur instruction documentée du Client, y compris en ce qui\nconcerne les transferts de données, sauf obligation légale contraire. Dans ce dernier cas, TripleStack en informera le\nClient avant le traitement, sauf si le droit applicable interdit cette information.",[90,155,157],{"id":156},"article-3-nature-des-données-traitées-et-catégories-de-personnes-concernées","Article 3 - Nature des données traitées et catégories de personnes concernées",[159,160,162],"h4",{"id":161},"_31-catégories-de-personnes-concernées","3.1 Catégories de personnes concernées",[14,164,165],{},"Les Données à Caractère Personnel traitées par TripleStack pour le compte du Client peuvent concerner les catégories de\npersonnes suivantes :",[133,167,168,171,174],{},[136,169,170],{},"les Utilisateurs Enregistrés du Client (salariés, collaborateurs, prestataires ou tout autre utilisateur habilité par\nle Client) ;",[136,172,173],{},"les Utilisateurs Anonymes accédant à des fichiers partagés par le Client ou ses Utilisateurs Enregistrés ;",[136,175,176],{},"toute personne physique dont les données figureraient dans les fichiers et documents déposés par le Client sur la\nPlateforme.",[159,178,180],{"id":179},"_32-catégories-de-données-traitées","3.2 Catégories de données traitées",[14,182,183],{},"Les catégories de données traitées par TripleStack pour le compte du Client comprennent :",[133,185,186,189,192,195],{},[136,187,188],{},"Données d'identification et de compte : nom, prénom, adresse électronique, identifiants de connexion des Utilisateurs\nEnregistrés ;",[136,190,191],{},"Données de connexion et de navigation : adresses IP, logs de connexion, données d'utilisation de la Plateforme,\nhorodatages ;",[136,193,194],{},"Métadonnées des fichiers : taille, date de création et de modification, arborescence de l'Organisation (le nom et le\ntype de fichier sont chiffrés côté client et inaccessibles à TripleStack) ;",[136,196,197],{},"Contenu des fichiers : données contenues dans les fichiers déposés par le Client et ses Utilisateurs Enregistrés sur\nla Plateforme.",[14,199,200],{},"Les données traitées ne comprennent pas, par principe, de catégories particulières de données au sens de l'article 9 du\nRGPD (données de santé, données révélant l'origine raciale ou ethnique, les opinions politiques, les convictions\nreligieuses ou philosophiques, etc.), sauf si le Client dépose volontairement de telles données sur la Plateforme,\nauquel cas il en demeure seul responsable.",[90,202,204],{"id":203},"article-4-durée-du-traitement","Article 4 - Durée du traitement",[14,206,207],{},"TripleStack traite les Données à Caractère Personnel pour le compte du Client pendant toute la durée des CGU.",[14,209,210],{},"À l'expiration ou à la résiliation des CGU, TripleStack s'engage à restituer l'intégralité des Données à Caractère\nPersonnel au Client, dans les conditions définies à l'article 21 des CGU relatif à la réversibilité, dans un délai de\ntrente (30) jours suivant la cessation des relations contractuelles.",[14,212,213],{},"La suppression technique des données de la Plateforme intervient immédiatement après la restitution au Client, ou à\nl'expiration du délai de trente (30) jours si aucune demande d'export n'a été formulée. À l'issue de cette suppression,\nTripleStack fournira au Client, sur demande, une attestation de suppression. Sauf obligation légale de conservation\ncontraire, aucune donnée à caractère personnel traitée pour le compte du Client ne subsiste sur les systèmes de\nTripleStack au-delà de ce délai.",[90,215,217],{"id":216},"article-5-obligations-de-triplestack","Article 5 - Obligations de TripleStack",[159,219,221],{"id":220},"_51-traitement-sur-instruction","5.1 Traitement sur instruction",[14,223,224],{},"TripleStack s'engage à ne traiter les Données à Caractère Personnel que sur instruction documentée du Client, telle\nqu'elle résulte des CGU et du présent DPA, ou de toute instruction écrite ultérieure du Client.",[14,226,227],{},"Si TripleStack estime qu'une instruction du Client constitue une violation du RGPD ou de toute autre disposition du\ndroit de l'Union ou du droit d'un État membre relative à la protection des données, il en informera immédiatement le\nClient.",[159,229,231],{"id":230},"_52-confidentialité","5.2 Confidentialité",[14,233,234],{},"TripleStack s'engage à garantir que les personnes autorisées à traiter les Données à Caractère Personnel dans le cadre\ndes Services sont soumises à une obligation de confidentialité appropriée, contractuelle ou légale, et ont reçu une\nformation adéquate en matière de protection des données.",[159,236,238],{"id":237},"_53-sécurité","5.3 Sécurité",[14,240,241],{},"TripleStack s'engage à mettre en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau\nde sécurité adapté au risque, conformément à l'article 32 du RGPD, et notamment :",[133,243,244,251,254,257,260,263,266],{},[136,245,246,247,250],{},"le chiffrement de bout en bout des Données Client selon une architecture ",[23,248,249],{},"zero-knowledge",", garantissant que\nTripleStack n'a pas accès au contenu des fichiers stockés ;",[136,252,253],{},"le chiffrement des données en transit et au repos ;",[136,255,256],{},"l'hébergement exclusif des données sur des infrastructures situées dans l'Union européenne ;",[136,258,259],{},"des procédures de sauvegarde régulières et sécurisées ;",[136,261,262],{},"des contrôles d'accès stricts aux systèmes traitant les Données à Caractère Personnel ;",[136,264,265],{},"des procédures de journalisation et de surveillance des accès ;",[136,267,268],{},"des procédures de test, d'évaluation et d'appréciation régulières de l'efficacité des mesures de sécurité.",[159,270,272],{"id":271},"_54-notification-des-violations-de-données","5.4 Notification des violations de données",[14,274,275],{},"En cas de Violation de Données affectant les Données à Caractère Personnel traitées pour le compte du Client,\nTripleStack notifiera le Client dans les meilleurs délais et, dans la mesure du possible, dans les soixante-douze (72)\nheures suivant la prise de connaissance de la violation.",[14,277,278],{},"Cette notification comprendra, dans la mesure où les informations sont disponibles à ce stade :",[133,280,281,284,287,290],{},[136,282,283],{},"la description de la nature de la Violation de Données, y compris les catégories et le nombre approximatif de\npersonnes concernées et de données concernées ;",[136,285,286],{},"le nom et les coordonnées du délégué à la protection des données ou du point de contact auprès duquel des informations\nsupplémentaires peuvent être obtenues ;",[136,288,289],{},"la description des conséquences probables de la Violation de Données ;",[136,291,292],{},"la description des mesures prises ou envisagées pour remédier à la violation, y compris les mesures pour en atténuer\nles éventuelles conséquences négatives.",[14,294,295],{},"Si toutes les informations ne sont pas disponibles simultanément, TripleStack les communiquera au Client de manière\néchelonnée, sans retard injustifié.",[159,297,299],{"id":298},"_55-assistance-au-client","5.5 Assistance au Client",[14,301,302],{},"TripleStack s'engage à assister le Client, dans la mesure du possible et compte tenu de la nature du traitement et des\ninformations dont il dispose, pour :",[133,304,305,308],{},[136,306,307],{},"répondre aux demandes d'exercice des droits des personnes concernées (droit d'accès, de rectification, d'effacement,\nd'opposition, de portabilité, de limitation) ;",[136,309,310],{},"respecter les obligations prévues aux articles 32 à 36 du RGPD, notamment en matière de sécurité, de notification des\nviolations, d'analyse d'impact et de consultation préalable de l'Autorité de contrôle.",[14,312,313],{},"Toute demande d'assistance dépassant le cadre des Services définis aux CGU pourra faire l'objet d'une facturation\ncomplémentaire, après accord préalable du Client.",[159,315,317],{"id":316},"_56-sort-des-données-en-fin-de-contrat","5.6 Sort des données en fin de contrat",[14,319,320],{},"À l'issue du contrat, TripleStack s'engage à restituer les Données à Caractère Personnel au Client et à procéder à leur\nsuppression définitive et sécurisée dans les conditions définies à l'article 4 du présent DPA.",[90,322,324],{"id":323},"article-6-obligations-du-client","Article 6 - Obligations du Client",[14,326,327],{},"Le Client reconnaît et garantit :",[133,329,330,333,336,339,342],{},[136,331,332],{},"agir en qualité de responsable de traitement pour les Données à Caractère Personnel traitées par TripleStack dans le\ncadre des Services ;",[136,334,335],{},"disposer d'une base légale valide pour chacun des traitements confiés à TripleStack ;",[136,337,338],{},"avoir informé les personnes concernées des traitements effectués pour son compte par TripleStack, conformément aux\narticles 13 et 14 du RGPD ;",[136,340,341],{},"ne communiquer à TripleStack que les données strictement nécessaires à l'exécution des Services ;",[136,343,344],{},"s'assurer que les catégories particulières de données au sens de l'article 9 du RGPD ne sont pas déposées sur la\nPlateforme, sauf à en assumer l'entière responsabilité.",[90,346,348],{"id":347},"article-7-sous-traitants-ultérieurs","Article 7 - Sous-traitants ultérieurs",[159,350,352],{"id":351},"_71-autorisation-générale","7.1 Autorisation générale",[14,354,355],{},"Le Client autorise TripleStack à faire appel aux Sous-traitants ultérieurs listés à l'article 7.2 du présent DPA pour l'\nexécution des Services.",[159,357,359],{"id":358},"_72-liste-des-sous-traitants-ultérieurs","7.2 Liste des Sous-traitants ultérieurs",[14,361,362,363,369],{},"La liste des Sous-traitants ultérieurs en vigueur est disponible et tenue à jour à\nl'adresse ",[364,365,366],"a",{"href":366,"rel":367},"https:\u002F\u002Fretyc.com\u002Ffr\u002Flegal\u002Fsubprocessors",[368],"nofollow",". Cette liste fait partie intégrante du présent DPA. TripleStack\ns'engage à notifier le Client de tout ajout ou modification dans les conditions prévues à l'article 7.3.",[159,371,373],{"id":372},"_73-modification-de-la-liste-des-sous-traitants-ultérieurs","7.3 Modification de la liste des Sous-traitants ultérieurs",[14,375,376],{},"TripleStack informera le Client de tout ajout ou remplacement de Sous-traitant ultérieur prévu, avec un préavis\nraisonnable d'au moins trente (30) jours avant la prise d'effet du changement, par tout moyen permettant d'établir une\ntrace écrite.",[14,378,379],{},"Le Client dispose d'un délai de quinze (15) jours à compter de cette notification pour s'opposer au changement de\nSous-traitant ultérieur pour des motifs légitimes tenant à la protection des données. En cas d'opposition non résolue,\nle Client pourra résilier les CGU sans pénalité.",[159,381,383],{"id":382},"_74-obligations-imposées-aux-sous-traitants-ultérieurs","7.4 Obligations imposées aux Sous-traitants ultérieurs",[14,385,386],{},"TripleStack s'engage à imposer à ses Sous-traitants ultérieurs des obligations équivalentes à celles qui lui sont\nimposées par le présent DPA, et notamment en matière de sécurité, de confidentialité et de protection des données.\nTripleStack demeure responsable envers le Client des actes et omissions de ses Sous-traitants ultérieurs.",[90,388,390],{"id":389},"article-8-transferts-de-données-hors-de-lunion-européenne","Article 8 - Transferts de données hors de l'Union européenne",[14,392,393],{},"L'ensemble des Données à Caractère Personnel traitées par TripleStack pour le compte du Client sont hébergées et\ntraitées exclusivement sur des infrastructures situées dans l'Union européenne.",[14,395,396],{},"TripleStack s'engage à ne pas transférer les Données à Caractère Personnel du Client vers un pays tiers à l'Union\neuropéenne sans l'accord préalable et écrit du Client, et sans que des garanties appropriées au sens du Chapitre V du\nRGPD soient en place.",[90,398,400],{"id":399},"article-9-droit-à-linformation","Article 9 - Droit à l'information",[159,402,404],{"id":403},"_91-documentation","9.1 Documentation",[14,406,407],{},"TripleStack met à la disposition du Client l'ensemble de la documentation nécessaire pour démontrer le respect des\nobligations imposées au Sous-traitant par l'article 28 du RGPD, et notamment :",[133,409,410,413,416],{},[136,411,412],{},"le présent DPA ;",[136,414,415],{},"toute certification, rapport d'audit de sécurité ou attestation de conformité dont TripleStack disposerait ;",[136,417,418],{},"les réponses aux questionnaires de sécurité et de conformité raisonnables adressés par le Client.",[159,420,422],{"id":421},"_92-droit-à-linformation","9.2 Droit à l'information",[14,424,425],{},"Le Client peut, une fois par an, adresser à TripleStack un questionnaire écrit portant sur les mesures de sécurité et\nles conditions de traitement mises en œuvre dans le cadre des Services. TripleStack s'engage à y répondre dans un délai\nraisonnable n'excédant pas trente (30) jours.",[90,427,429],{"id":428},"article-10-délégué-à-la-protection-des-données","Article 10 - Délégué à la protection des données",[14,431,432,433,437],{},"Pour toute question relative à la protection des données dans le cadre du présent DPA, le Client peut contacter\nTripleStack à l'adresse : ",[364,434,436],{"href":435},"mailto:legal@retyc.net","legal@retyc.net",".",[90,439,441],{"id":440},"article-11-responsabilité","Article 11 - Responsabilité",[14,443,444],{},"Chaque Partie est responsable du respect de ses propres obligations au titre du présent DPA et du RGPD.",[14,446,447],{},"Dans ses relations avec le Client, TripleStack est responsable des dommages causés par un traitement non conforme au\nprésent DPA ou au RGPD qui lui est imputable. La responsabilité de TripleStack au titre du présent DPA s'inscrit dans le\ncadre des limitations de responsabilité définies aux CGU.",[14,449,450],{},"Le Client est responsable de la licéité des traitements qu'il confie à TripleStack, de la qualité des données transmises\net du respect de ses propres obligations en tant que responsable de traitement.",[90,452,454],{"id":453},"article-12-loi-applicable-et-compétence","Article 12 - Loi applicable et compétence",[14,456,457],{},"Le présent DPA est régi par le droit français et par le RGPD.",[14,459,460],{},"Tout litige relatif à l'interprétation ou à l'exécution du présent DPA sera soumis à la compétence des tribunaux\ncompétents de Lyon, conformément aux stipulations des CGU applicables aux Clients B2B.",{"title":462,"searchDepth":463,"depth":463,"links":464},"",2,[465],{"id":71,"depth":463,"text":72,"children":466},[467,469,470,471,472,473,474,475,476,477,478,479],{"id":92,"depth":468,"text":93},3,{"id":127,"depth":468,"text":128},{"id":156,"depth":468,"text":157},{"id":203,"depth":468,"text":204},{"id":216,"depth":468,"text":217},{"id":323,"depth":468,"text":324},{"id":347,"depth":468,"text":348},{"id":389,"depth":468,"text":390},{"id":399,"depth":468,"text":400},{"id":428,"depth":468,"text":429},{"id":440,"depth":468,"text":441},{"id":453,"depth":468,"text":454},"md",{},true,"\u002Ffr\u002Flegal\u002Fdpa",{"title":5,"description":19},{"loc":483},"fr\u002Flegal\u002Fdpa","T3RX8qJtFc0Kknzn2wtyi19AwmWnixnnePDqZkgkxH8"]