# Contrat de sous-traitance des données à caractère personnel (DPA)

**QualiCRM — version 0.1 (brouillon — à faire valider par juriste avant signature en production)**

> ⚠️ Ce document est une **version 0.1 préparatoire** alignée sur le modèle CNIL et l'Art. 28 §3 a-h du RGPD. Avant signature opérationnelle, le document doit être validé par un juriste qualifié et complété avec les annexes spécifiques (politique de sécurité détaillée, liste des sous-sous-traitants, procédures de notification d'incident).

---

## Article 1 — Objet

Le présent contrat de sous-traitance (ci-après le « Contrat ») a pour objet de définir les conditions dans lesquelles le **Sous-traitant** (BAMRI, éditeur du logiciel QualiCRM) traite, pour le compte du **Responsable de traitement** (l'entreprise cliente abonnée à QualiCRM), les données à caractère personnel nécessaires à l'exécution du service décrit ci-après.

## Article 2 — Durée

Le Contrat est conclu pour la durée de l'abonnement souscrit par le Responsable de traitement au service QualiCRM. Il prend effet à la première utilisation effective du service et prend fin à la résiliation de l'abonnement, sous réserve des obligations post-contractuelles définies à l'Article 13.

## Article 3 — Description du traitement sous-traité

| Élément | Valeur |
|---|---|
| **Nature du traitement** | Hébergement, stockage, affichage, sauvegarde et restitution de données à caractère personnel saisies par le Responsable de traitement dans QualiCRM. |
| **Finalité** | Permettre au Responsable de traitement de gérer son activité commerciale et opérationnelle (clients, devis/factures, interventions, ressources humaines, comptabilité). |
| **Type de données traitées** | Données d'identification (nom, prénom, e-mail, téléphone, adresse), données contractuelles (clients, contrats, devis, factures), données RH (employés, contrats, paie, pointage), données spéciales Art. 9 RGPD ou couvertes par secret bancaire (numéro de sécurité sociale, IBAN, BIC) chiffrées en base via AES-256-GCM. |
| **Catégories de personnes concernées** | Salariés du Responsable, candidats, clients du Responsable, contacts, fournisseurs, utilisateurs du logiciel. |
| **Durée de conservation** | Voir [Politique de confidentialité](/confidentialite) — variable selon la catégorie de donnée (compte : durée de l'abonnement ; factures : 10 ans ; logs : 1 an). |

## Article 4 — Obligations du Sous-traitant vis-à-vis du Responsable de traitement

Le Sous-traitant s'engage à :

1. **Traiter les données uniquement pour la ou les finalités** qui font l'objet du présent Contrat.
2. **Traiter les données conformément aux instructions documentées** du Responsable de traitement. Si le Sous-traitant considère qu'une instruction constitue une violation du RGPD ou de toute autre disposition relative à la protection des données, il en informe immédiatement le Responsable de traitement.
3. **Garantir la confidentialité** des données à caractère personnel traitées dans le cadre du Contrat. Veiller à ce que les personnes autorisées à traiter les données s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.

## Article 5 — Sécurité

Le Sous-traitant met en œuvre les mesures techniques et organisationnelles appropriées prévues à l'Art. 32 RGPD afin de garantir un niveau de sécurité adapté au risque, et notamment :

- Chiffrement en transit (TLS 1.2+) ;
- Chiffrement au repos AES-256-GCM des champs sensibles (numéro de sécurité sociale, IBAN, BIC) ;
- Hashage bcrypt des mots de passe ;
- Hashage SHA-256 des tokens d'accès portail ;
- Authentification par jeton JWT en cookie httpOnly avec révocation immédiate sur changement de mot de passe ;
- Isolation multi-tenant systématique côté serveur ;
- Sauvegardes locales horaires + sauvegarde externe quotidienne chiffrée AES-256-CBC ;
- Contrôle d'accès RBAC à granularité fine.

## Article 6 — Sous-sous-traitance

Le Sous-traitant peut faire appel à un ou plusieurs sous-traitants ultérieurs (« sous-sous-traitants ») pour mener des activités de traitement spécifiques. Liste des sous-sous-traitants à la date de signature :

| Sous-sous-traitant | Service | Localisation | Encadrement transfert |
|---|---|---|---|
| OVHcloud SAS | Hébergement VPS | Gravelines (FR), UE | Pas de transfert hors UE |
| OVHcloud SAS | Stockage objet pour sauvegardes externes | UE | Pas de transfert hors UE |
| OVHcloud SAS | SMTP transactionnel | FR, UE | Pas de transfert hors UE |
| Stripe Payments Europe Ltd. | Traitement des paiements d'abonnement | IE (UE) — exploitation Stripe Inc. (US) | Clauses Contractuelles Types CE Art. 46.2(c) RGPD |

Toute modification de cette liste fera l'objet d'une information préalable du Responsable de traitement, qui dispose d'un délai de **30 jours** pour s'opposer à ces changements.

## Article 7 — Droit d'information des personnes concernées

Il appartient au Responsable de traitement de fournir l'information aux personnes concernées par les opérations de traitement au moment de la collecte des données.

## Article 8 — Exercice des droits des personnes

Dans la mesure du possible, le Sous-traitant doit aider le Responsable de traitement à s'acquitter de son obligation de donner suite aux demandes d'exercice des droits des personnes concernées (droit d'accès, de rectification, d'effacement et d'opposition, droit à la limitation du traitement, droit à la portabilité, droit de ne pas faire l'objet d'une décision individuelle automatisée).

## Article 9 — Notification des violations de données à caractère personnel

Le Sous-traitant notifie au Responsable de traitement toute violation de données à caractère personnel **dans un délai maximum de 48 heures** après en avoir pris connaissance, par e-mail à l'adresse de contact renseignée par le Responsable de traitement. Cette notification est accompagnée de toute documentation utile afin de permettre au Responsable de traitement, si nécessaire, de notifier cette violation à l'autorité de contrôle compétente.

## Article 10 — Aide du Sous-traitant dans le cadre du respect par le Responsable de ses obligations

Le Sous-traitant aide le Responsable de traitement pour la réalisation d'analyses d'impact relatives à la protection des données et pour la consultation préalable de l'autorité de contrôle.

## Article 11 — Mesures de sécurité

Voir Article 5.

## Article 12 — Sort des données

Au terme de la prestation de services relative au traitement des données, le Sous-traitant s'engage à :

- **Détruire toutes les données à caractère personnel** ; OU
- **Renvoyer toutes les données** au Responsable de traitement ; OU
- **Renvoyer les données au Sous-traitant désigné** par le Responsable de traitement.

Le choix appartient au Responsable de traitement, exprimé par e-mail au plus tard 30 jours après la résiliation. À défaut de demande expresse, les données sont conservées pendant **90 jours après la résiliation** pour permettre l'export à la demande, puis détruites — sous réserve des obligations légales de conservation pesant sur le Sous-traitant (notamment pour les factures de l'abonnement : 10 ans).

Le renvoi doit s'accompagner de la destruction de toutes les copies existantes dans les systèmes d'information du Sous-traitant. Une fois détruites, le Sous-traitant doit justifier par écrit de la destruction.

## Article 13 — Délégué à la protection des données

Le Sous-traitant communique au Responsable de traitement le nom et les coordonnées de son délégué à la protection des données, s'il en a désigné un conformément à l'Art. 37 RGPD.

À la date de signature du présent Contrat, le Sous-traitant relève du régime de la TPE/micro-entreprise et **n'est pas tenu de désigner un DPO** au sens de l'Art. 37 RGPD. Le point de contact RGPD est :

- **E-mail :** contact@connexcium.fr

## Article 14 — Registre des catégories d'activités de traitement

Le Sous-traitant déclare tenir par écrit un registre de toutes les catégories d'activités de traitement effectuées pour le compte du Responsable de traitement comprenant :

- Le nom et les coordonnées du Responsable de traitement et du Sous-traitant ;
- Les catégories de traitements effectués pour le compte du Responsable de traitement ;
- Le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, et les documents attestant de l'existence de garanties appropriées ;
- La description générale des mesures de sécurité techniques et organisationnelles.

## Article 15 — Documentation

Le Sous-traitant met à la disposition du Responsable de traitement la documentation nécessaire pour démontrer le respect de toutes ses obligations et pour permettre la réalisation d'audits par le Responsable de traitement ou un autre auditeur qu'il a mandaté, et contribuer à ces audits, sous réserve d'un préavis raisonnable.

## Article 16 — Obligations du Responsable de traitement vis-à-vis du Sous-traitant

Le Responsable de traitement s'engage à :

- Fournir au Sous-traitant les données mentionnées à l'Article 3 ;
- Documenter par écrit toute instruction concernant le traitement des données par le Sous-traitant ;
- Veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le RGPD de la part du Sous-traitant ;
- Superviser le traitement, y compris réaliser les audits et les inspections auprès du Sous-traitant.

---

**Signatures**

| | Sous-traitant (Éditeur QualiCRM) | Responsable de traitement (Client) |
|---|---|---|
| Nom | BAMRI | _À compléter_ |
| Date | _À compléter_ | _À compléter_ |
| Signature | _________________ | _________________ |

---

*Document préparé sur la base du modèle CNIL « Mod-DPA » et des recommandations Art. 28 §3 a-h du Règlement (UE) 2016/679 (RGPD).*

*Version 0.1 — brouillon préparatoire. Ne pas signer sans validation juridique.*