Cet Accord de Traitement (Data Processing Agreement, ou « DPA ») s'applique automatiquement lorsque vous utilisez PolicyForge pour traiter des données personnelles dont vous êtes responsable. Il complète nos Conditions Générales et notre Politique de confidentialité, conformément à l'article 28 du RGPD.
1. Rôles
Vous (le Client) agissez en tant que Responsable de traitementpour les données personnelles que vous saisissez ou téléchargez dans PolicyForge.
NAGASHIELD SECURITY (SAS au capital de 1 €, RCS Paris 989 235 999, siège : 60 rue François 1er, 75008 Paris), éditrice du service PolicyForge, agit en tant que Sous-traitant et traite ces données uniquement sur vos instructions documentées.
2. Objet et durée
Objet : fourniture du service PolicyForge (génération, édition, export et stockage de politiques de sécurité, gestion des utilisateurs de votre organisation). Durée : pour toute la durée de votre abonnement actif, plus la période de réversibilité (30 jours).
3. Nature des données et catégories de personnes
Catégories de données : données d'identification professionnelle (nom, e-mail, fonction), contenu des politiques générées (qui peut mentionner des employés, prestataires, clients selon votre usage).
Catégories de personnes : vos employés, prestataires, et toute personne mentionnée dans le contenu des politiques que vous générez.
4. Obligations de PolicyForge
- Traiter les données uniquement sur vos instructions documentées.
- Garantir la confidentialité par engagement écrit de tout personnel ayant accès aux données.
- Mettre en œuvre les mesures techniques et organisationnelles décrites en Annexe B.
- Vous assister dans la réponse aux demandes des personnes concernées (accès, rectification, effacement).
- Vous notifier toute violation de données sans délai indu (sous 48 heures dans la pratique).
- Supprimer ou retourner vos données à la fin du service, selon votre choix.
- Mettre à disposition les informations nécessaires pour démontrer la conformité, et permettre des audits.
5. Sous-traitance ultérieure
Vous nous autorisez à recourir aux sous-traitants listés sur la page Sous-traitants. Nous notifions tout changement (ajout/remplacement) au moins 30 jours avant son entrée en vigueur, vous laissant la possibilité de vous opposer pour motif légitime (auquel cas vous pouvez résilier sans pénalité).
6. Transferts internationaux
Lorsque des données sont transférées hors UE, le transfert repose sur les Clauses Contractuelles Types (CCT) approuvées par la Commission européenne, complétées de mesures techniques (chiffrement de bout en bout, contrôles d'accès). Voir la liste à jour sur la page Sous-traitants.
7. Sécurité (Annexe B — résumé)
- Chiffrement : AES-256 au repos, TLS 1.2+ en transit.
- Authentification : MFA disponible, vérification JWT côté serveur, lookup DB du rôle à chaque requête sensible.
- Multi-tenant : isolation stricte via Row Level Security PostgreSQL.
- Journaux d'audit : toutes les actions sensibles tracées, conservation 12 mois.
- Sauvegardes : automatiques, chiffrées, géographiquement séparées.
- Tests d'intrusion : annuels par tiers indépendant.
- Gestion des vulnérabilités : scans continus, SLA Critique 72h, Haut 14 jours.
- Formation : sensibilisation sécurité obligatoire pour tout personnel à l'embauche et annuellement.
8. Notification de violation
En cas de violation de données affectant les vôtres, nous vous notifions par e-mail à l'adresse d'administration de votre organisation, avec : nature de la violation, catégories et volumes approximatifs concernés, conséquences probables, mesures prises ou proposées.
9. Restitution et suppression
À la fin du service, vous pouvez exporter toutes vos données au format JSON (depuis « Mon compte ») ou nous demander un export complet par e-mail. Nous supprimons ensuite vos données dans les 30 jours, sauf obligation légale de conservation.
10. Audit
Vous pouvez auditer notre conformité une fois par an, sur préavis raisonnable, soit en consultant les rapports de nos audits indépendants (SOC 2 / ISO 27001 lorsque disponibles), soit, pour les Clients Entreprise, sur site avec un auditeur tiers de votre choix sous accord de confidentialité.
11. Responsabilité
Notre responsabilité au titre du présent DPA est régie par les Conditions Générales et le droit applicable (RGPD). Nous restons responsables de tout manquement de nos sous-traitants ultérieurs.
12. Acceptation
En créant un compte et en utilisant PolicyForge, vous acceptez ce DPA pour le compte de votre organisation. Pour une version signée formellement (PDF), contactez contact@nagashieldsecurity.com.