DPA
Data Processing Agreement.
Le présent accord de traitement (DPA) précise les obligations de Signlift en tant que sous-traitant au sens de l'article 28 du RGPD, vis-à-vis du client agissant en qualité de responsable du traitement.
Dernière mise à jour · —
Document en cours de rédaction
Ce document est une coquille — les sections ci-dessous seront complétées par notre éditeur juridique avant la mise en production. Si vous avez besoin de la version finalisée pour votre dossier de souscription, écrivez-nous à contact@signlift.eu.
Le sous-traitant : [raison sociale], ci-après « Signlift », dont les coordonnées sont précisées dans les mentions légales.
Le responsable de traitement : le client ayant souscrit à un abonnement Signlift ou utilisant les services Signlift, ci-après le « Client ».
Les termes utilisés dans le présent DPA ont la signification qui leur est donnée par le RGPD, notamment : « données à caractère personnel », « traitement », « responsable du traitement », « sous-traitant », « personne concernée », « violation de données ».
[Décrire l'objet du traitement (orchestration de signatures électroniques), la nature des opérations (hébergement, transmission, conservation, audit trail), la durée (durée du contrat principal + obligations légales).]
- Objet : [exécution du service de signature électronique]
- Catégories de personnes concernées : [signataires, membres du Client]
- Catégories de données : [identité, contact, contenus signés, audit trail]
- Durée : durée du contrat + obligations probatoires applicables
Signlift s'engage notamment à :
- Traiter les données uniquement sur instructions documentées du Client
- Garantir la confidentialité des personnes habilitées à traiter les données
- Mettre en œuvre les mesures de sécurité techniques et organisationnelles décrites en annexe
- Notifier au Client toute violation de données dans les 72 h suivant la prise de connaissance
- Aider le Client dans le respect de ses obligations (réponses aux demandes RGPD, analyses d'impact)
- Supprimer ou restituer les données au terme du contrat, dans la limite des obligations légales de conservation
Signlift recourt aux sous-traitants ultérieurs listés en Annexe B. Toute modification fera l'objet d'une information préalable au Client avec un préavis de [nombre de jours]jours, permettant l'exercice d'un droit d'opposition motivé.
Aucun transfert de données hors Union européenne n'est effectué. L'ensemble du traitement (hébergement, opérations, sous-traitants) est réalisé dans l'Espace économique européen. Le Client n'a donc pas besoin de mettre en place de garanties supplémentaires (Standard Contractual Clauses, BCR, etc.).
[Conditions d'audit : fréquence maximale, modalités (questionnaire écrit / audit sur site), préavis, confidentialité, prise en charge des frais.]
[Articulation avec les CGU, plafonds de responsabilité, recours entre les parties en cas de manquement.]
Les mesures techniques et organisationnelles mises en œuvre par Signlift sont détaillées sur la page Sécurité et notamment :
- Chiffrement TLS 1.3 en transit
- Clés d'API hashées SHA-256
- Webhooks signés HMAC-SHA256
- Authentification 2FA des comptes administrateurs
- Journal d'audit immuable de chaque action sur les demandes de signature
- Sauvegardes chiffrées avec rétention de [durée]
- Procédure documentée de notification de violation sous 72 h
Liste des sous-traitants ultérieurs autorisés au jour de la mise à jour du présent DPA :
- Hébergement infrastructure : [nom, localisation (UE), périmètre]
- E-mails transactionnels : [nom, localisation, périmètre]
- SMS (OTP) : [nom, localisation, périmètre]
- Paiements : [nom, localisation, périmètre]
La liste à jour est disponible sur demande à contact@signlift.eu.