IziGuardIziGuard
Rejoindre la liste d'attente
Retour à l'accueil

Accord de Traitement des Données (DPA)

Cet accord définit les engagements d'IziGuard en tant que sous-traitant au sens de l'article 28 du RGPD, dans le cadre du traitement des données personnelles pour le compte de ses clients.

Dernière mise à jour : 21 février 2026

1. Préambule

Le présent Accord de Traitement des Données (ci-après le « DPA ») est conclu entre :

  • Le Responsable du traitement : le client IziGuard (ci-après le « Client » ou le « Responsable du traitement »), personne physique ou morale qui détermine les finalités et les moyens du traitement de données personnelles dans le cadre de l'utilisation du Service IziGuard
  • Le Sous-traitant : IziGuard (ci-après « IziGuard » ou le « Sous-traitant »), qui traite des données personnelles pour le compte du Client dans le cadre de la fourniture du Service

Le présent DPA fait partie intégrante des Conditions Générales d'Utilisation et est conclu en application de l'article 28 du Règlement (UE) 2016/679 du 27 avril 2016 (RGPD).

Contexte : IziGuard analyse les sites web de ses clients pour évaluer leur conformité RGPD et génère des documents juridiques. Dans ce cadre, IziGuard peut être amené à traiter des données personnelles pour le compte de ses clients, agissant ainsi en qualité de sous-traitant.

2. Définitions

Les termes utilisés dans le présent DPA ont la signification qui leur est donnée dans le RGPD, et notamment :

  • « Données personnelles » : toute information se rapportant à une personne physique identifiée ou identifiable (Art. 4.1 RGPD)
  • « Traitement » : toute opération ou ensemble d'opérations effectuées sur des données personnelles (Art. 4.2 RGPD)
  • « Violation de données » : violation de la sécurité entraînant la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès non autorisé à des données personnelles (Art. 4.12 RGPD)
  • « Sous-traitant ultérieur » : tout sous-traitant engagé par IziGuard pour traiter des données personnelles pour le compte du Client

3. Objet et portée du traitement

3.1 Nature du traitement

IziGuard traite les données personnelles du Client dans le cadre des opérations suivantes :

  • Collecte et analyse des données publiques des sites web du Client
  • Stockage et organisation des résultats d'audit
  • Génération automatisée de documents juridiques personnalisés
  • Calcul et suivi du score de conformité
  • Envoi de notifications et alertes de conformité

3.2 Catégories de données

Les catégories de données personnelles susceptibles d'être traitées :

  • Données d'identification du Client (nom, email, entreprise)
  • Données techniques des sites web analysés (URLs, cookies détectés, traceurs)
  • Métadonnées de navigation sur la Plateforme IziGuard
  • Données contenues dans les documents générés

3.3 Personnes concernées

Les personnes concernées par le traitement sont :

  • Les représentants et employés du Client
  • Potentiellement les visiteurs des sites web analysés (données publiquement accessibles uniquement)

3.4 Durée du traitement

Le traitement est effectué pendant toute la durée du contrat de service entre le Client et IziGuard, ainsi que pendant les périodes de conservation décrites dans notre Politique de Confidentialité.

4. Instructions du Responsable du traitement

IziGuard ne traite les données personnelles que sur instruction documentée du Client, y compris en ce qui concerne les transferts de données vers un pays tiers ou une organisation internationale, sauf lorsqu'il est tenu d'y procéder en vertu du droit de l'Union ou du droit d'un État membre. Dans ce cas, IziGuard informe le Client de cette obligation juridique avant le traitement, sauf interdiction légale.

Les instructions du Client sont formalisées dans les présentes CGU, le présent DPA et toute instruction complémentaire communiquée par écrit. IziGuard informe immédiatement le Client si, selon lui, une instruction constitue une violation du RGPD ou d'autres dispositions de l'Union ou du droit des États membres en matière de protection des données.

5. Confidentialité

IziGuard s'assure que les personnes autorisées à traiter les données personnelles :

  • Se sont engagées à respecter la confidentialité ou sont soumises à une obligation légale appropriée de confidentialité
  • Ont reçu une formation sur la protection des données personnelles adaptée à leurs fonctions
  • N'accèdent qu'aux données strictement nécessaires à l'accomplissement de leurs missions (principe du moindre privilège)

6. Mesures de sécurité

Conformément à l'article 32 du RGPD, IziGuard met en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, et notamment :

6.1 Mesures techniques

  • Chiffrement des données en transit (TLS 1.3) et au repos (AES-256)
  • Pare-feu applicatif (WAF) et protection contre les attaques DDoS
  • Segmentation des réseaux et isolation des environnements
  • Systèmes de détection et prévention des intrusions (IDS/IPS)
  • Sauvegardes chiffrées régulières avec tests de restauration
  • Gestion centralisée des logs et surveillance en temps réel
  • Authentification multi-facteurs pour les accès administratifs

6.2 Mesures organisationnelles

  • Politique de sécurité de l'information documentée
  • Contrôle d'accès basé sur les rôles (RBAC)
  • Formation régulière du personnel à la sécurité et à la protection des données
  • Procédures de gestion des incidents de sécurité
  • Tests de pénétration et audits de sécurité réguliers
  • Évaluation régulière de l'efficacité des mesures de sécurité

6.3 Pseudonymisation et minimisation

IziGuard applique les principes de pseudonymisation et de minimisation des données chaque fois que cela est techniquement possible et pertinent au regard de la finalité du traitement.

7. Sous-traitants ultérieurs

7.1 Autorisation générale et liste des sous-traitants

Le Client autorise IziGuard à recourir aux sous-traitants ultérieurs suivants pour l'exécution de prestations spécifiques :

  • Vercel Inc. : Hébergement de l'application web et de l'API (États-Unis / Serveurs en UE)
  • Supabase Inc. : Hébergement de la base de données et authentification (Serveurs en Union Européenne)
  • Hostinger International Ltd. : Gestion du nom de domaine (Chypre)

7.2 Obligations d'IziGuard

IziGuard s'engage à :

  • Sélectionner des sous-traitants ultérieurs présentant des garanties suffisantes en matière de protection des données
  • Imposer contractuellement aux sous-traitants ultérieurs les mêmes obligations de protection des données que celles prévues dans le présent DPA
  • Informer le Client de tout changement de sous-traitant ultérieur au moins 30 jours avant sa mise en œuvre
  • Rester pleinement responsable devant le Client de l'exécution des obligations des sous-traitants ultérieurs

7.3 Droit d'opposition

Le Client peut s'opposer à l'ajout ou au remplacement d'un sous-traitant ultérieur dans un délai de 15 jours à compter de la notification. En cas d'opposition justifiée, IziGuard s'efforce de proposer une solution alternative. À défaut, le Client peut résilier le contrat sans pénalité.

8. Transferts internationaux de données

IziGuard s'engage à héberger les données personnelles du Client au sein de l'Union Européenne.

Tout transfert de données hors de l'Union Européenne (notamment vers les États-Unis pour certains services de Vercel ou Supabase) ne peut avoir lieu que si l'une des conditions suivantes est remplie :

  • Le pays destinataire fait l'objet d'une décision d'adéquation de la Commission européenne (Art. 45 RGPD)
  • Des clauses contractuelles types (CCT) adoptées par la Commission européenne ont été conclues (Art. 46.2.c RGPD)
  • Des règles d'entreprise contraignantes (BCR) ont été approuvées (Art. 47 RGPD)

IziGuard réalise une évaluation d'impact des transferts (Transfer Impact Assessment) pour tout transfert vers un pays tiers, conformément aux recommandations du CEPD (Comité Européen de la Protection des Données).

9. Assistance pour les droits des personnes concernées

IziGuard aide le Client à répondre aux demandes d'exercice des droits des personnes concernées (accès, rectification, effacement, portabilité, opposition, limitation) en :

  • Mettant à disposition les outils techniques nécessaires pour permettre au Client de répondre aux demandes
  • Transmettant au Client, dans les meilleurs délais, toute demande reçue directement d'une personne concernée
  • Fournissant au Client les informations nécessaires pour répondre aux demandes

IziGuard ne répond pas directement aux demandes des personnes concernées du Client, sauf instruction contraire du Client.

10. Notification des violations de données

En cas de violation de données personnelles, IziGuard s'engage à :

10.1 Notification au Client

  • Notifier le Client dans les meilleurs délais et au plus tard dans les 48 heures suivant la prise de connaissance de la violation
  • Fournir au Client toutes les informations nécessaires conformément à l'article 33.3 du RGPD

10.2 Contenu de la notification

La notification inclut au minimum :

  • La nature de la violation de données personnelles
  • Les catégories et le nombre approximatif de personnes concernées
  • Les catégories et le nombre approximatif d'enregistrements concernés
  • Les conséquences probables de la violation
  • Les mesures prises ou proposées pour remédier à la violation et en atténuer les effets
  • Le nom et les coordonnées du point de contact

10.3 Mesures correctives

IziGuard prend immédiatement toutes les mesures raisonnables pour contenir et remédier à la violation, documenter l'incident et coopérer avec le Client pour toute notification aux personnes concernées ou à l'autorité de contrôle.

11. Analyse d'impact relative à la protection des données (AIPD)

IziGuard assiste le Client dans la réalisation d'analyses d'impact relatives à la protection des données (Art. 35 RGPD) et dans la consultation préalable de l'autorité de contrôle (Art. 36 RGPD), lorsque le type de traitement effectué par IziGuard est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées.

Cette assistance inclut la fourniture des informations relatives aux traitements effectués par IziGuard, aux mesures de sécurité mises en œuvre et à toute autre information nécessaire à la réalisation de l'AIPD.

12. Droit d'audit

Le Client dispose d'un droit d'audit pour vérifier le respect par IziGuard de ses obligations au titre du présent DPA.

12.1 Modalités

  • Le Client adresse une demande d'audit par écrit avec un préavis minimum de 30 jours
  • L'audit est réalisé pendant les heures ouvrables et ne doit pas perturber le fonctionnement du Service
  • Le Client peut mandater un auditeur tiers indépendant, soumis à des obligations de confidentialité
  • La fréquence des audits est limitée à une fois par an, sauf circonstances exceptionnelles (violation de données, demande de l'autorité de contrôle)

12.2 Certifications et rapports

IziGuard peut satisfaire aux obligations d'audit en fournissant au Client des certifications, rapports d'audit ou attestations émis par un tiers indépendant qualifié. Le Client accepte ces documents comme preuve suffisante du respect des obligations, sauf motif légitime de procéder à un audit complémentaire.

13. Sort des données en fin de contrat

À l'expiration ou à la résiliation du contrat, IziGuard s'engage à :

  • Restitution : mettre à disposition du Client l'ensemble de ses données dans un format structuré, couramment utilisé et lisible par machine, dans un délai de 30 jours
  • Suppression : supprimer de manière sécurisée et irréversible l'intégralité des données personnelles du Client dans un délai de 90 jours après la restitution, sauf obligation légale de conservation
  • Attestation : fournir au Client, sur demande, une attestation de suppression des données

14. Responsabilité

Chaque partie est responsable des dommages causés par un traitement qui ne respecte pas le RGPD. IziGuard n'est exonéré de sa responsabilité que s'il prouve que le fait générateur du dommage ne lui est nullement imputable, conformément à l'article 82 du RGPD.

Les limitations de responsabilité prévues dans les CGU s'appliquent au présent DPA, dans la mesure permise par la loi applicable.

15. Durée

Le présent DPA entre en vigueur à la date d'acceptation des CGU par le Client et reste en vigueur pendant toute la durée du contrat de service. Les obligations relatives à la confidentialité et à la suppression des données survivent à la fin du contrat.

En cas de conflit entre le présent DPA et les CGU, les dispositions du DPA prévalent en ce qui concerne le traitement des données personnelles.

Documents juridiques associés

Politique de confidentialitéComment nous protégeons vos donnéesConditions Générales d'UtilisationRègles d'utilisation du serviceMentions légalesInformations légales obligatoiresPolitique de cookiesGestion des cookies et traceursAccord de traitement des donnéesEngagements RGPD (DPA)