Contrat de sous-traitance RGPD (DPA)

Ce contrat encadre la sous-traitance de données personnelles entre Aiomi (sous-traitant) et chaque client (responsable de traitement). Il s'applique automatiquement à tout client agence qui héberge sur la plateforme les données de ses propres clients PME.

Dernière mise à jour : 2026-04-28

1. Parties

  • Sous-traitant : Aiomi, dont les coordonnées figurent dans les CGV.
  • Responsable de traitement : le titulaire du compte Aiomi, identifié par son email d'inscription et la raison sociale renseignée dans son profil.

2. Objet

Le présent contrat a pour objet de définir les conditions dans lesquelles le sous-traitant traite, pour le compte du responsable de traitement, les données à caractère personnel nécessaires à la fourniture du service de surveillance de cybersécurité.

3. Description du traitement

  • Nature et finalité : stockage, scan, analyse, alerte et reporting cybersécurité sur les sites web déclarés par le responsable de traitement.
  • Catégories de données : identité (email, nom des contacts) et données techniques (logs, findings, scores) relatives aux infrastructures déclarées.
  • Catégories de personnes : collaborateurs du responsable de traitement et, le cas échéant, contacts des PME clientes pour les agences en mode multi-tenant.
  • Durée : durée du contrat principal (abonnement Aiomi).
  • Territoire : Union européenne (Supabase Irlande), avec recours ponctuel à des sous-traitants ultérieurs hors UE (Vercel, Cloudflare, Anthropic, voir liste § 6) couverts par les clauses contractuelles types de la Commission européenne.

4. Obligations du sous-traitant

  • Traiter les données uniquement dans le cadre des instructions documentées du responsable de traitement (description du service + paramétrages effectués depuis l'interface).
  • Garantir la confidentialité des données : les personnes habilitées à y accéder s'y engagent par contrat ou statut professionnel.
  • Mettre en place et maintenir les mesures techniques et organisationnelles décrites au § 8.
  • Notifier le responsable de traitement sous 48 heures de toute violation de données concernant ses informations, conformément à l'article 33 RGPD.
  • Assister le responsable de traitement dans le respect de ses obligations (réponse aux demandes d'exercice des droits, analyses d'impact, consultations préalables).
  • Au choix du responsable de traitement, supprimer ou restituer les données à la fin de la prestation, et détruire les copies existantes.

5. Sous-sous-traitance

Le responsable de traitement autorise le sous-traitant à recourir aux sous-sous-traitants suivants, qui présentent des garanties suffisantes en matière de sécurité (DPA signés, certifications le cas échéant) :

  • Supabase (Irlande), base de données et authentification.
  • Vercel (États-Unis), hébergement de l'application web. Transfert encadré par les clauses contractuelles types (CCT).
  • Cloudflare (États-Unis), workers de scan, anti-DDoS. Transfert encadré par les CCT.
  • Stripe Payments Europe Ltd. (Irlande), paiements.
  • Resend Inc. (États-Unis), envoi d'emails transactionnels. Transfert encadré par les CCT.
  • Anthropic PBC (États-Unis), modèle Claude. Les contenus traités ne sont pas réutilisés pour l'entraînement (Zero Data Retention activé).

Toute évolution de cette liste est notifiée au responsable de traitement avec un préavis de 30 jours, ouvrant un droit d'objection motivée pouvant aller jusqu'à la résiliation sans pénalité.

6. Droit d'audit

Le responsable de traitement dispose d'un droit d'audit annuel, au choix : (a) sur la base des rapports de conformité fournis par le sous-traitant (politique sécurité, mesures techniques, logs d'accès) ; (b) via un audit sur site mené à ses frais après un préavis de 30 jours, dans des conditions n'altérant pas le service.

7. Fin du contrat

À la fin du contrat principal, le responsable de traitement peut demander la restitution de ses données dans un format structuré (JSON) ou leur effacement. Sauf instruction contraire dans les 30 jours suivant la résiliation, le sous-traitant procède à la suppression définitive (sous réserve des obligations légales de conservation).

8. Mesures techniques et organisationnelles

  • Chiffrement des données en transit (TLS 1.2+) et au repos.
  • Authentification multi-facteurs obligatoire pour les administrateurs.
  • Cloisonnement multi-tenant strict via Row-Level Security (PostgreSQL), chaque client ne voit que ses données.
  • Séparation des environnements (production / staging / dev) avec des jeux de données distincts.
  • Sauvegardes chiffrées quotidiennes, RPO ≤ 24 h, RTO ≤ 4 h.
  • Logs d'accès tracés, conservés 30 jours, alerte sur événements anormaux.
  • Politique de divulgation responsable : /.well-known/security.txt.
  • Revue annuelle de la politique de sécurité et des accès fournisseurs.

9. Responsabilité

Chaque partie demeure responsable des dommages directs causés par sa violation du présent contrat ou du RGPD. La responsabilité du sous-traitant est plafonnée conformément aux limites prévues dans les CGU.

10. Acceptation

Ce DPA est réputé accepté par le responsable de traitement à la création de son compte Aiomi. Une version signée peut être fournie sur demande à legal@aiomi.fr (utile pour les agences soumises à des audits clients formels).

Retour à la page d'accueil.