Logo de Firma en couleur complète avec violet, cyan et jaune
France Flag

FR

Connexion

S'inscrire

Logo de Firma en couleur complète avec violet, cyan et jaune

Accueil

Caractéristiques

Ressources

Comparer

Documentation

Tarification

Connexion

S'inscrire

Logo de Firma en couleur complète avec violet, cyan et jaune

Connexion

S'inscrire

Accueil

Caractéristiques

Ressources

Comparer

Documentation

Tarification

Connexion

S'inscrire

Accord de traitement des données

Accord de traitement des données

Accord de traitement de données conforme au RGPD pour les clients de Firma.dev. Résidence des données dans l'UE, liste des sous-traitants et mesures de sécurité techniques.

Accord de traitement de données conforme au RGPD pour les clients de Firma.dev. Résidence des données dans l'UE, liste des sous-traitants et mesures de sécurité techniques.

Entre :

Firma (1600 Holdings LLC) ("Sous-traitant" ou "Firma.dev")

Et :

L'entité acceptant les Conditions générales de Firma.dev ("Responsable du traitement" ou "Client")

Date d'effet : À l'acceptation par le Client des Conditions générales de Firma.dev

1. Définitions

"Données personnelles" désigne toute information relative à une personne physique identifiée ou identifiable traitée par Firma.dev pour le compte du Client via le Service.

"Personne concernée" désigne une personne physique identifiée ou identifiable dont les Données personnelles sont traitées.

"Traitement" désigne toute opération effectuée sur les Données personnelles, qu'elle soit automatisée ou manuelle, y compris la collecte, le stockage, la consultation, l'utilisation, la divulgation et la suppression.

"Sous-traitant ultérieur" désigne tout tiers engagé par Firma.dev pour traiter les Données personnelles pour le compte du Client.

"Service" désigne l'API de signature électronique de Firma.dev et les services associés décrits dans les Conditions générales.

"SCCs" désigne les clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers conformément au règlement (UE) 2016/679, telles qu'adoptées par la Commission européenne.

"RGPD" désigne le règlement (UE) 2016/679 (règlement général sur la protection des données).

2. Portée et rôles

2.1 Le présent DPA s'applique lorsque Firma.dev traite des Données personnelles pour le compte du Client dans le cadre du Service.

2.2 Le Client agit en tant que Responsable du traitement. Le Client détermine les finalités et les moyens du traitement des Données personnelles.

2.3 Firma.dev agit en tant que Sous-traitant. Firma.dev traite les Données personnelles uniquement sur instructions documentées du Client, comme décrit dans le présent DPA et les Conditions générales.

3. Détails du traitement des données

3.1 Catégories de personnes concernées

  • Les employés, prestataires et utilisateurs autorisés du Client

  • Les signataires finaux qui interagissent avec les documents envoyés via le Service

3.2 Types de Données personnelles

  • Noms et adresses e-mail

  • Données de signature (signatures dessinées, saisies ou importées)

  • Adresses IP et horodatages

  • Contenu des documents (dans la mesure où il contient des Données personnelles)

  • Informations de piste d'audit

3.3 Activités de traitement

  • Stockage et affichage des documents en vue de la signature

  • Capture et application de signatures électroniques

  • Génération de pistes d'audit et de certificats d'achèvement

  • Envoi de notifications de demande de signature

  • Fourniture d'un accès API et de webhooks

3.4 Durée du traitement

Firma.dev traitera les Données personnelles pendant la durée de l'accord et aussi longtemps que nécessaire pour la conformité légale, comme précisé dans la Politique de confidentialité.

4. Obligations de Firma.dev

Firma.dev doit :

4.1 Traiter les Données personnelles uniquement sur instructions documentées du Client, y compris les transferts vers des pays tiers, sauf si la loi de l'UE ou d'un État membre l'exige. Firma.dev informera le Client de toute exigence légale de ce type avant le traitement, sauf interdiction légale.

4.2 Veiller à ce que les personnes autorisées à traiter les Données personnelles se soient engagées à la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.

4.3 Mettre en œuvre des mesures techniques et organisationnelles appropriées comme décrit à l'Annexe 1 (Mesures techniques et organisationnelles).

4.4 Respecter les conditions de recours aux Sous-traitants ultérieurs comme décrit à la Section 6.

4.5 Aider le Client, compte tenu de la nature du traitement, au moyen de mesures techniques et organisationnelles appropriées pour l'exécution des obligations du Client de répondre aux demandes des Personnes concernées.

4.6 Aider le Client à garantir le respect des obligations prévues aux articles 32 à 36 du RGPD, compte tenu de la nature du traitement et des informations disponibles pour Firma.dev.

4.7 Au choix du Client, supprimer ou restituer toutes les Données personnelles à la fin du Service, sauf si leur conservation est requise par la loi applicable.

4.8 Mettre à la disposition du Client toutes les informations nécessaires pour démontrer le respect des obligations de l'article 28 du RGPD, et permettre et contribuer aux audits comme décrit à la Section 10.

5. Obligations du Client

Le Client doit :

5.1 Veiller à ce que les Données personnelles soient collectées et traitées conformément aux lois applicables en matière de protection des données, notamment en obtenant tous les consentements nécessaires ou en fournissant les notifications requises aux Personnes concernées.

5.2 Fournir à Firma.dev des instructions documentées concernant le traitement des Données personnelles.

5.3 Veiller à ce que l'utilisation du Service par le Client soit conforme à toutes les lois et réglementations applicables.

6. Sous-traitants ultérieurs

6.1 Le Client autorise Firma.dev à faire appel aux Sous-traitants ultérieurs énumérés à l'Annexe 2 (Liste des sous-traitants ultérieurs).

6.2 Firma.dev informera le Client de toute modification envisagée concernant les Sous-traitants ultérieurs en mettant à jour la Liste des sous-traitants ultérieurs. Le Client peut s'opposer à ces modifications dans les 30 jours suivant la notification. Si le Client s'y oppose et que Firma.dev ne peut raisonnablement pas donner suite à l'objection, le Client peut résilier le Service concerné.

6.3 Firma.dev conclura avec chaque Sous-traitant ultérieur des accords écrits imposant des obligations de protection des données au moins aussi protectrices que celles du présent DPA.

6.4 Firma.dev demeure entièrement responsable de l'exécution de ses Sous-traitants ultérieurs.

7. Transferts internationaux

7.1 Résidence des données dans l'UE : Les Données personnelles du Client sont stockées et traitées au sein de l'Union européenne. L'infrastructure principale de Firma.dev est située dans AWS eu-west-3 (Paris, France), avec des services CDN dans AWS eu-north-1 (Stockholm, Suède).

7.2 Si Firma.dev transfère des Données personnelles en dehors de l'Espace économique européen, Firma.dev veillera à ce que des garanties appropriées soient en place, telles que des clauses contractuelles types (SCCs) approuvées par la Commission européenne.

7.3 Sur demande, Firma.dev exécutera les SCCs avec le Client pour tout transfert vers des pays tiers qui ne disposent pas d'une décision d'adéquation.

8. Demandes des personnes concernées

8.1 Firma.dev informera rapidement le Client s'il reçoit une demande d'une Personne concernée d'exercer des droits au titre du RGPD (accès, rectification, effacement, portabilité, limitation ou opposition).

8.2 Firma.dev ne répondra pas directement aux demandes des Personnes concernées, sauf autorisation du Client ou obligation légale.

8.3 Firma.dev apportera une assistance raisonnable au Client pour répondre à ces demandes, compte tenu de la nature du traitement.

9. Incidents de sécurité

9.1 Firma.dev notifiera le Client sans retard injustifié (et en tout état de cause dans les 72 heures) lorsqu'il aura connaissance d'une violation de Données personnelles affectant les données du Client.

9.2 La notification inclura, dans la mesure du possible :

  • La nature de la violation, y compris les catégories et le nombre approximatif de Personnes concernées affectées

  • Les conséquences probables de la violation

  • Les mesures prises ou proposées pour remédier à la violation

9.3 Firma.dev coopérera avec le Client et prendra des mesures raisonnables pour aider à l'enquête et à l'atténuation de chaque violation.

10. Audits

10.1 Firma.dev mettra à disposition du Client les informations raisonnablement nécessaires pour démontrer la conformité au présent DPA. Cette obligation sera satisfaite par la fourniture de :

  • Documentation et politiques de sécurité

  • Évaluations de sécurité effectuées par des tiers lorsqu'elles sont disponibles

  • Questionnaires de sécurité remplis

10.2 Firma.dev n'autorise pas les audits sur site. Toutes les demandes d'audit seront traitées par la documentation, des réponses écrites et des méthodes de vérification à distance, à la discrétion de Firma.dev.

10.3 Les demandes d'audit dépassant la documentation standard (telles que des questionnaires de sécurité personnalisés, des examens techniques détaillés ou des appels avec le personnel de sécurité) seront soumises à des frais de 500 € par demande, payables d'avance.

10.4 Aucune disposition de la présente Section 10 n'exige de Firma.dev qu'elle divulgue des informations qui compromettraient la sécurité de ses systèmes, violeraient les obligations de confidentialité envers d'autres clients ou enfreindraient la loi applicable.

11. Durée et résiliation

11.1 Le présent DPA prend effet dès l'acceptation par le Client des Conditions générales et reste en vigueur pendant toute la durée du traitement des Données personnelles par Firma.dev pour le compte du Client.

11.2 À la résiliation du Service, Firma.dev supprimera ou restituera les Données personnelles comme indiqué à la Section 4.7, sous réserve des obligations légales de conservation.

12. Droit applicable

Le présent DPA est régi par les lois spécifiées dans les Conditions générales. Pour les questions relatives au respect du RGPD, les dispositions du RGPD et le droit applicable de l'État membre s'appliquent.

Annexe 1 : Mesures techniques et organisationnelles

Firma.dev met en œuvre les mesures suivantes pour protéger les Données personnelles :

Contrôle d'accès

  • Clés API uniques par Client avec permissions configurables

  • Les espaces de travail du Client assurent une isolation logique entre les jeux de données du Client

Chiffrement

  • TLS 1.2 ou supérieur pour toutes les données en transit

  • Chiffrement AES-256 pour les données au repos

  • Connexions à la base de données chiffrées

Sécurité de l'infrastructure

  • Hébergé sur AWS avec résidence des données dans l'UE (eu-west-3 Paris)

  • Segmentation du réseau et protection par pare-feu

  • Correctifs et mises à jour de sécurité réguliers

  • Protection DDoS via AWS CloudFront

Surveillance et journalisation

  • Pistes d'audit complètes pour tous les événements de signature

  • Alertes automatisées en cas d'activité anormale

  • Conservation des journaux à des fins d'analyse de sécurité

Intégrité des données

  • Pistes d'audit infalsifiables avec sceaux cryptographiques

  • Vérification du hachage des documents

  • Sauvegardes automatisées avec récupération à un instant donné

Réponse aux incidents

  • Procédures documentées de réponse aux incidents

  • Engagement de notification des violations sous 72 heures

Sécurité du personnel

  • Accords de confidentialité pour tout le personnel

Continuité d'activité

  • Infrastructures redondantes au sein des régions de l'UE

  • Tests réguliers des sauvegardes

Annexe 2 : Liste des sous-traitants ultérieurs

Sous-traitant ultérieur

Finalité

Emplacement

Amazon Web Services (AWS)

Infrastructure cloud, calcul, stockage, CDN

UE (Paris, France - eu-west-3 ; Stockholm, Suède - eu-north-1)

Supabase

Services de base de données (hébergés sur AWS)

UE (Paris, France - eu-west-3)

Dernière mise à jour : janvier 2026

Le Client sera informé des modifications apportées à cette liste par e-mail à l'administrateur du compte ou via le tableau de bord Firma.dev.

Annexe 3 : Clauses contractuelles types

Pour les transferts de Données personnelles vers des pays situés en dehors de l'Espace économique européen qui ne bénéficient pas d'une décision d'adéquation, les parties conviennent que les clauses contractuelles types (module deux : Responsable du traitement vers Sous-traitant) adoptées par la décision d'exécution (UE) 2021/914 de la Commission européenne s'appliquent et sont incorporées par référence.

Les SCCs sont réputées complétées comme suit :

  • Clause 7 (clause d'adhésion) : non utilisée

  • Clause 9 (utilisation de sous-traitants ultérieurs) : l'option 2 (autorisation écrite générale) s'applique

  • Clause 11 (recours) : le libellé facultatif n'est pas utilisé

  • Clause 17 (droit applicable) : droit irlandais

  • Clause 18 (choix du for) : tribunaux irlandais

Contact pour les demandes relatives à la protection des données :

Firma.dev (1600 Holdings LLC) E-mail : par e-mail à support@firma.dev

En utilisant le Service de Firma.dev, le Client reconnaît et accepte les termes du présent accord de traitement des données.