Accord de traitement des données (DPA)

1. Rôles RGPD

• Le Client agit en qualité de Responsable de traitement.
• CertPilot agit en qualité de Sous-traitant.

2. Objet du traitement

Fourniture du service SaaS de gestion des habilitations, formations, passeports, alertes, convocations, signatures électroniques et audit trail.

3. Catégories de données traitées

• Données d'identification et RH (nom, poste, service)
• Données de suivi de formation et certificats
• Données d'usage et de sécurité (logs, audit trail)
• Données potentiellement sensibles selon usage client

4. Instructions documentées

CertPilot ne traite les données que sur instruction documentée du Client et uniquement pour la fourniture du service contractuel.

5. Mesures de sécurité

• Chiffrement en transit (HTTPS/TLS)
• Gestion des rôles et contrôle d'accès
• Traçabilité des actions (audit trail)
• Procédures de sauvegarde et restauration
• Journalisation des incidents de sécurité

Voir aussi la page Sécurité & disponibilité.

6. Sous-traitants ultérieurs

CertPilot peut recourir à des sous-traitants techniques (hébergement, email transactionnel, facturation). La liste et les localisations sont communiquées au Client et mises à jour en cas de changement significatif.

7. Localisation et transferts

Les données sont hébergées selon l'architecture technique du service. En cas de transfert hors UE, des garanties appropriées sont appliquées (clauses contractuelles types ou mécanisme équivalent applicable).

8. Assistance au Responsable de traitement

• Réponse aux demandes d'exercice de droits
• Notification des violations de données personnelles
• Coopération en cas de contrôle d'autorité

9. Sort des données en fin de contrat

À la fin du contrat, le Client peut exporter ses données selon les formats proposés. Les modalités de suppression/retour et délais sont définis contractuellement.