Éditeur : DDWIN Solutions — DODZI DJAWLA, Entrepreneur Individuel (EI) SIRET : 931 089 247 00015 Contact : dpo@duerpilot.fr — https://duerpilot.fr
Préambule
Le présent Accord de Traitement des Données (« DPA », Data Processing Agreement) est conclu en application de l'article 28 du Règlement (UE) 2016/679 (« RGPD ») entre :
- DDWIN Solutions (« l'Éditeur » ou « le Sous-traitant »), éditeur de la plateforme DUERPilot ; et
- le Client, tel que défini dans les Conditions Générales d'Utilisation (« CGU »), agissant en qualité de Responsable de traitement.
Le présent DPA constitue une annexe aux CGU accessibles à l'adresse https://duerpilot.fr/legal/cgu. Il s'applique automatiquement et sans formalité supplémentaire à tout Client dès la création d'un Compte ou la souscription d'un Abonnement. Les termes employés avec une majuscule et non définis dans le présent DPA ont la signification qui leur est donnée dans les CGU.
Une version signée du présent DPA (format PDF) peut être obtenue sur simple demande à dpo@duerpilot.fr, notamment pour les besoins du registre des traitements du Client.
Article 1 — Objet et champ d'application
Le présent DPA encadre les traitements de données à caractère personnel que l'Éditeur effectue pour le compte et sur instruction du Client, en qualité de sous-traitant au sens de l'article 4 §8 du RGPD.
Sont concernées les données personnelles contenues dans les Données Client, notamment les informations relatives aux salariés du Client intégrées dans les documents DUERP (identité, poste, unité de travail, expositions aux risques professionnels).
Ne relèvent pas du présent DPA les traitements pour lesquels l'Éditeur agit en qualité de responsable de traitement (gestion du Compte, facturation, relation client, support, mesure d'audience et amélioration des Services). Ces traitements sont décrits dans la Politique de Confidentialité accessible à l'adresse https://duerpilot.fr/legal/confidentialite.
Article 2 — Description du traitement
Les caractéristiques du traitement sous-traité (nature, finalités, catégories de données et de personnes concernées, durée) sont détaillées en Annexe 1 du présent DPA.
Article 3 — Obligations du Sous-traitant
L'Éditeur s'engage à :
- Traiter les données uniquement sur instruction documentée du Client, matérialisée par l'utilisation des fonctionnalités de la Plateforme, sauf obligation légale imposant un traitement — auquel cas l'Éditeur informe le Client avant le traitement, sauf interdiction légale ;
- Garantir la confidentialité : toute personne autorisée à traiter les données (l'Éditeur et, le cas échéant, ses prestataires) est soumise à une obligation de confidentialité contractuelle ou légale ;
- Mettre en œuvre les mesures techniques et organisationnelles appropriées au regard du risque, conformément à l'article 32 du RGPD. Ces mesures sont décrites en Annexe 2 ;
- Ne pas utiliser les données à d'autres fins que l'exécution des Services. L'amélioration des algorithmes d'assistance de la Plateforme n'est réalisée qu'à partir de données agrégées et anonymisées, ne permettant aucune réidentification des personnes concernées ; le Client peut s'y opposer à tout moment en écrivant à dpo@duerpilot.fr ;
- Assister le Client dans la réponse aux demandes d'exercice des droits des personnes concernées (article 5 ci-dessous) et dans le respect de ses obligations au titre des articles 32 à 36 du RGPD (sécurité, notification des violations, analyses d'impact, consultation préalable), compte tenu de la nature du traitement et des informations à sa disposition ;
- Notifier au Client toute violation de données à caractère personnel dans les conditions de l'article 6 ci-dessous ;
- Supprimer ou restituer les données au terme des Services dans les conditions de l'article 8 ci-dessous ;
- Mettre à disposition du Client toute information nécessaire pour démontrer le respect des obligations de l'article 28 du RGPD et permettre la réalisation d'audits dans les conditions de l'article 7 ci-dessous.
Article 4 — Sous-traitance ultérieure
Le Client accorde à l'Éditeur une autorisation générale de recourir à des sous-traitants ultérieurs pour l'exécution des Services. La liste des sous-traitants ultérieurs en vigueur figure en Annexe 3.
L'Éditeur informe le Client, par e-mail ou notification dans la Plateforme, de tout projet d'ajout ou de remplacement d'un sous-traitant ultérieur, au moins 30 jours avant sa mise en œuvre. Le Client dispose de ce délai pour formuler des objections légitimes et documentées. En cas d'objection non résolue, le Client peut résilier son Abonnement dans les conditions des CGU.
L'Éditeur conclut avec chaque sous-traitant ultérieur un accord imposant des obligations de protection des données équivalentes à celles du présent DPA. L'Éditeur demeure pleinement responsable envers le Client de l'exécution par ses sous-traitants ultérieurs de leurs obligations.
Article 5 — Droits des personnes concernées
L'Éditeur assiste le Client, dans la mesure du possible et compte tenu de la nature du traitement, pour répondre aux demandes d'exercice des droits des personnes concernées (accès, rectification, effacement, limitation, portabilité, opposition).
Si une personne concernée adresse une demande directement à l'Éditeur au sujet de données relevant du présent DPA, l'Éditeur la transmet au Client dans les meilleurs délais et n'y répond pas lui-même, sauf instruction contraire du Client.
Le Client dispose par ailleurs, via la Plateforme, de fonctionnalités lui permettant de consulter, rectifier, exporter et supprimer directement les données qu'il a saisies.
Article 6 — Violation de données à caractère personnel
En cas de violation de données à caractère personnel affectant les données traitées pour le compte du Client, l'Éditeur notifie le Client dans les meilleurs délais et au plus tard 48 heures après en avoir pris connaissance, à l'adresse e-mail du titulaire du Compte.
La notification comprend, dans la mesure des informations disponibles : la nature de la violation, les catégories et le nombre approximatif de personnes et d'enregistrements concernés, les conséquences probables, et les mesures prises ou proposées pour remédier à la violation et en atténuer les effets.
Il appartient au Client, en qualité de responsable de traitement, de procéder le cas échéant à la notification à la CNIL (article 33 du RGPD) et à la communication aux personnes concernées (article 34 du RGPD). L'Éditeur apporte au Client toute l'assistance raisonnable à cette fin.
Article 7 — Audit et documentation
L'Éditeur tient à la disposition du Client la documentation nécessaire pour démontrer le respect de ses obligations (description des mesures de sécurité, liste des sous-traitants ultérieurs, attestations et DPA conclus avec ceux-ci).
Le Client peut, au maximum une fois par période de 12 mois et moyennant un préavis écrit de 30 jours, réaliser ou faire réaliser par un tiers indépendant soumis à confidentialité un audit du respect du présent DPA. L'audit est mené pendant les heures ouvrées, sans perturber les Services, et ses frais sont à la charge du Client. L'Éditeur peut satisfaire à la demande d'audit par la fourniture de rapports, certifications ou questionnaires de sécurité à jour.
Article 8 — Durée et sort des données
Le présent DPA s'applique pendant toute la durée de l'Abonnement.
Au terme de l'Abonnement, et conformément à l'article 6.4 des CGU, le Client dispose d'un délai de 30 jours pour exporter ses Données Client via les fonctionnalités d'export de la Plateforme. Passé ce délai, l'Éditeur supprime les Données Client, à l'exception des données dont la conservation est imposée par une obligation légale (notamment les obligations comptables et fiscales).
Il est rappelé que l'obligation de conservation du DUERP et de ses versions successives pendant 40 ans (article R. 4121-4 du Code du travail) incombe au Client ; il lui appartient d'archiver les documents exportés sur ses propres systèmes s'il met fin à son Abonnement.
Article 9 — Responsabilité
La responsabilité de chaque partie au titre du présent DPA est régie par l'article 9 des CGU et par les articles 82 et suivants du RGPD.
Article 10 — Droit applicable
Le présent DPA est régi par le droit français. Tout litige relatif à son interprétation ou à son exécution est soumis aux stipulations de l'article 17 des CGU.
Annexe 1 — Description du traitement sous-traité
Nature et finalité du traitement : hébergement, stockage, structuration, affichage, génération de documents (PDF DUERP), horodatage, archivage et sauvegarde des Données Client, dans le cadre de la création et de la gestion du Document Unique d'Évaluation des Risques Professionnels du Client.
Catégories de personnes concernées : salariés, intérimaires, stagiaires et collaborateurs du Client, ainsi que toute personne mentionnée dans les Données Client.
Catégories de données traitées : données d'identification (nom, prénom, fonction), données professionnelles (poste, unité de travail, horaires, tâches), données relatives aux expositions aux risques professionnels. Aucune donnée dite « sensible » au sens de l'article 9 du RGPD n'est requise par la Plateforme ; le Client s'engage à ne pas en saisir, sauf nécessité légale strictement justifiée sous sa responsabilité.
Durée du traitement : durée de l'Abonnement, augmentée du délai d'export de 30 jours prévu à l'article 8.
Localisation : Union Européenne (Allemagne), sous réserve des transferts encadrés décrits en Annexe 3.
Annexe 2 — Mesures techniques et organisationnelles (article 32 du RGPD)
- Hébergement : serveurs situés en Allemagne (Hetzner Online GmbH), datacenters certifiés ISO 27001 ;
- Chiffrement : données chiffrées en transit (TLS 1.2 minimum) et au repos ;
- Isolation des données : architecture multi-tenant avec cloisonnement logique strict des données de chaque Client ;
- Contrôle d'accès : authentification sécurisée (mot de passe haché, authentification à deux facteurs disponible), gestion granulaire des droits par rôles au sein de chaque Compte ;
- Journalisation : traçabilité des accès et des actions sensibles ;
- Sauvegardes : sauvegardes quotidiennes de la base de données, rétention de 30 jours et archives mensuelles, tests de restauration périodiques documentés ;
- Intégrité documentaire : horodatage des documents générés ; seule l'empreinte cryptographique (hash) du document est transmise à l'autorité d'horodatage, jamais son contenu ni de données personnelles ;
- Minimisation vis-à-vis de l'IA : les fonctionnalités d'assistance reposent sur des données de contexte (secteur d'activité, unités de travail, descriptions d'activité) ; l'Éditeur applique un principe de minimisation des données transmises au prestataire d'IA ;
- Organisation : accès aux systèmes de production limité au strict nécessaire, mises à jour de sécurité régulières, supervision et alerting.
Annexe 3 — Liste des sous-traitants ultérieurs
| Sous-traitant | Finalité | Localisation | Garanties de transfert |
|---|---|---|---|
| Hetzner Online GmbH | Hébergement de la Plateforme, de la base de données et des fichiers | Allemagne (UE) | Traitement exclusivement dans l'UE/EEE (engagement contractuel) — DPA art. 28 signé |
| Brevo (Sendinblue SAS) | Envoi des e-mails transactionnels et notifications | France (UE), hébergement UE | DPA art. 28 (annexé aux CGV Brevo) ; les sous-traitants ultérieurs de Brevo hors UE (support, supervision) sont encadrés par CCT et/ou EU-US Data Privacy Framework |
| OpenAI Ireland Ltd | Fonctionnalités d'assistance par IA (suggestions) | UE / États-Unis (transferts intra-groupe) | DPA art. 28 signé — CCT pour les transferts hors EEE ; conformément aux conditions API OpenAI, les données transmises ne sont pas utilisées pour l'entraînement des modèles |
| Certigna (DHIMYOTIS) / DigiCert | Horodatage qualifié des documents (formules Business et Premium) | France (UE) / États-Unis | Seule l'empreinte cryptographique (hash) est transmise — aucune donnée personnelle |
| Stripe Payments Europe, Ltd | Traitement des paiements (agit principalement en qualité de responsable de traitement indépendant) | Irlande (UE) / États-Unis | CCT et EU-US Data Privacy Framework |
| PostHog, Inc. (PostHog Cloud EU) | Mesure d'audience de la Plateforme (traitement relevant de l'Éditeur en qualité de responsable de traitement, mentionné pour transparence) | UE | Hébergement UE — DPA art. 28 signé |
La version à jour de cette liste est disponible sur la présente page. Toute modification est notifiée au Client dans les conditions de l'article 4.
Contact
Pour toute question relative au présent DPA ou pour obtenir une version signée : dpo@duerpilot.fr.