Entre :
Firma (1600 Holdings LLC) (« Sous-traitant » ou « Firma.dev »)
Et :
L'entité acceptant les Conditions Générales de Firma.dev (« Responsable du traitement » ou « Client »)
Date d'entrée en vigueur : Dès l'acceptation par le Client des Conditions Générales de Firma.dev
1. Définitions
« Données personnelles » désigne toute information relative à une personne physique identifiée ou identifiable traitée par Firma.dev pour le compte du Client via le Service.
« Personne concernée » désigne une personne physique identifiée ou identifiable dont les Données personnelles sont traitées.
« Traitement » désigne toute opération effectuée sur des Données personnelles, qu'elle soit automatisée ou manuelle, y compris la collecte, le stockage, la récupération, l'utilisation, la divulgation et la suppression.
« Sous-traitant ultérieur » désigne tout tiers engagé par Firma.dev pour traiter des Données personnelles pour le compte du Client.
« Service » désigne l'API de signature électronique de Firma.dev et les services associés tels que décrits dans les Conditions Générales.
« CCT » désigne les Clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers conformément au règlement (UE) 2016/679, telles qu'adoptées par la Commission européenne.
« RGPD » désigne le règlement (UE) 2016/679 (Règlement général sur la protection des données).
2. Portée et rôles
2.1 Le présent DPA s'applique lorsque Firma.dev traite des Données personnelles pour le compte du Client dans le cadre du Service.
2.2 Le Client agit en tant que Responsable du traitement. Le Client détermine les finalités et les moyens du traitement des Données personnelles.
2.3 Firma.dev agit en tant que Sous-traitant. Firma.dev traite les Données personnelles uniquement sur la base d'instructions documentées du Client, telles que décrites dans le présent DPA et les Conditions Générales.
3. Détails du traitement des données
3.1 Catégories de Personnes concernées
Les employés, prestataires et utilisateurs autorisés du Client
Les signataires utilisateurs finaux qui interagissent avec les documents envoyés via le Service
3.2 Types de Données personnelles
Noms et adresses e-mail
Données de signature (signatures dessinées, saisies ou téléchargées)
Adresses IP et horodatages
Contenu du document (dans la mesure où il contient des Données personnelles)
Informations de piste d'audit
3.3 Activités de traitement
Stockage et rendu de documents pour signature
Capture et application de signatures électroniques
Génération de pistes d'audit et de certificats de complétion
Envoi de notifications de demande de signature
Fourniture d'accès API et de webhooks
3.4 Durée du traitement
Firma.dev traitera les Données personnelles pendant la durée du contrat et selon les exigences de conformité légale, comme spécifié dans la Politique de confidentialité.
4. Obligations de Firma.dev
Firma.dev doit :
4.1 Traiter les Données personnelles uniquement sur la base d'instructions documentées du Client, y compris en ce qui concerne les transferts vers des pays tiers, à moins d'y être tenue par le droit de l'UE ou d'un État membre. Firma.dev informera le Client de cette exigence légale avant le traitement, sauf si la loi l'interdit.
4.2 Veiller à ce que les personnes autorisées à traiter les Données personnelles s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.
4.3 Mettre en œuvre les mesures techniques et organisationnelles appropriées telles que décrites dans l'Annexe 1 (Mesures techniques et organisationnelles).
4.4 Respecter les conditions d'engagement des Sous-traitants ultérieurs décrites à la Section 6.
4.5 Aider le Client, compte tenu de la nature du traitement, par des mesures techniques et organisationnelles appropriées, à s'acquitter de son obligation de donner suite aux demandes d'exercice des droits des Personnes concernées.
4.6 Aider le Client à garantir le respect des obligations découlant des articles 32 à 36 du RGPD, compte tenu de la nature du traitement et des informations à la disposition de Firma.dev.
4.7 Selon le choix du Client, supprimer ou renvoyer toutes les Données personnelles à la fin du Service, sauf si la conservation est requise par la loi applicable.
4.8 Mettre à la disposition du Client toutes les informations nécessaires pour démontrer le respect des obligations prévues à l'article 28 du RGPD, et permettre et contribuer aux audits décrits à la Section 10.
5. Obligations du Client
Le Client doit :
5.1 Veiller à ce que les Données personnelles soient collectées et traitées conformément aux lois applicables en matière de protection des données, y compris en obtenant tous les consentements nécessaires ou en fournissant les avis requis aux Personnes concernées.
5.2 Fournir des instructions documentées à Firma.dev concernant le traitement des Données personnelles.
5.3 Veiller à ce que l'utilisation du Service par le Client soit conforme à toutes les lois et réglementations applicables.
6. Sous-traitants ultérieurs
6.1 Le Client autorise Firma.dev à engager les Sous-traitants ultérieurs répertoriés dans l'Annexe 2 (Liste des sous-traitants ultérieurs).
6.2 Firma.dev informera le Client de tout changement prévu concernant les Sous-traitants ultérieurs en mettant à jour la Liste des sous-traitants ultérieurs. Le Client peut s'opposer à ces changements dans un délai de 30 jours à compter de la notification. Si le Client s'y oppose et que Firma.dev ne peut raisonnablement pas tenir compte de l'objection, le Client peut résilier le Service concerné.
6.3 Firma.dev conclura des contrats écrits avec chaque Sous-traitant ultérieur imposant des obligations en matière de protection des données non moins protectrices que celles du présent DPA.
6.4 Firma.dev demeure pleinement responsable des prestations de ses Sous-traitants ultérieurs.
7. Transferts internationaux
7.1 Résidence des données dans l'UE : Les données des documents et des signataires du Client sont stockées et traitées au sein de l'Union européenne. L'infrastructure principale de Firma.dev est située dans AWS eu-west-3 (Paris, France), avec des services de CDN dans AWS eu-north-1 (Stockholm, Suède). Des Données personnelles limitées, telles que les noms et adresses e-mail des signataires, peuvent être traitées par des sous-traitants ultérieurs situés en dehors de l'UE, comme indiqué dans l'Annexe 2, sous réserve de garanties appropriées au titre de la Section 7.2. Les Clients qui exigent que toutes les Données personnelles restent au sein de l'UE peuvent désactiver les e-mails envoyés par Firma et utiliser leur propre infrastructure de messagerie, comme décrit dans la documentation sur la marque blanche (white-labeling).
7.2 Si Firma.dev transfère des Données personnelles en dehors de l'Espace économique européen, Firma.dev veillera à ce que des garanties appropriées soient en place, telles que des Clauses contractuelles types (CCT) approuvées par la Commission européenne.
7.3 Sur demande, Firma.dev conclura des CCT avec le Client pour tout transfert vers des pays tiers ne bénéficiant pas d'une décision d'adéquation.
8. Demandes des Personnes concernées
8.1 Firma.dev informera rapidement le Client si elle reçoit une demande d'une Personne concernée souhaitant exercer ses droits en vertu du RGPD (accès, rectification, effacement, portabilité, limitation ou opposition).
8.2 Firma.dev ne répondra pas directement aux demandes des Personnes concernées, sauf autorisation du Client ou obligation légale.
8.3 Firma.dev fournira une assistance raisonnable au Client pour répondre à ces demandes, compte tenu de la nature du traitement.
9. Incidents de sécurité
9.1 Firma.dev informera le Client dans les meilleurs délais (et en tout état de cause dans les 72 heures) après avoir pris connaissance d'une violation de Données personnelles affectant les données du Client.
9.2 La notification comprendra, dans la mesure du possible :
La nature de la violation, y compris les catégories et le nombre approximatif de Personnes concernées touchées
Les conséquences probables de la violation
Les mesures prises ou proposées pour remédier à la violation
9.3 Firma.dev coopérera avec le Client et prendra des mesures raisonnables pour aider à l'enquête et à l'atténuation de chaque violation.
10. Audits
10.1 Firma.dev mettra à la disposition du Client les informations raisonnablement nécessaires pour démontrer la conformité avec le présent DPA. Cette obligation sera satisfaite en fournissant :
La documentation et les politiques de sécurité
Les évaluations de sécurité tierces lorsqu'elles sont disponibles
Les questionnaires de sécurité complétés
10.2 Firma.dev n'autorise pas les audits sur site. Toutes les demandes d'audit seront traitées par le biais de documentation, de réponses écrites et de méthodes de vérification à distance, à la discrétion de Firma.dev.
10.3 Les demandes d'audit allant au-delà de la documentation standard (telles que des questionnaires de sécurité personnalisés, des examens techniques détaillés ou des appels avec le personnel de sécurité) seront soumises à des frais de 500 € par demande, payables d'avance.
10.4 Rien dans cette Section 10 n'oblige Firma.dev à divulguer des informations qui compromettraient la sécurité de ses systèmes, violeraient les obligations de confidentialité envers d'autres clients ou enfreindraient la loi applicable.
11. Durée et résiliation
11.1 Le présent DPA prend effet à compter de l'acceptation par le Client des Conditions Générales et reste en vigueur pendant toute la durée du traitement des Données personnelles par Firma.dev pour le compte du Client.
11.2 À la fin du Service, Firma.dev supprimera ou renverra les Données personnelles comme spécifié à la Section 4.7, sous réserve des exigences de conservation légales.
12. Loi applicable
Le présent DPA est régi par les lois spécifiées dans les Conditions Générales. Pour les questions relatives à la conformité au RGPD, les dispositions du RGPD et du droit de l'État membre applicable s'appliquent.
Annexe 1 : Mesures techniques et organisationnelles
Firma.dev met en œuvre les mesures suivantes pour protéger les Données personnelles :
Contrôle d'accès
Clés API uniques par Client avec autorisations configurables
Les espaces de travail (Workspaces) du Client offrent une isolation logique entre les ensembles de données du Client
Chiffrement
TLS 1.2 ou supérieur pour toutes les données en transit
Chiffrement AES-256 pour les données au repos
Connexions de base de données chiffrées
Sécurité de l'infrastructure
Hébergé sur AWS avec résidence des données dans l'UE (eu-west-3 Paris)
Segmentation du réseau et protection par pare-feu
Correctifs de sécurité et mises à jour régulières
Protection DDoS via AWS CloudFront
Surveillance et journalisation
Pistes d'audit complètes pour tous les événements de signature
Alertes automatisées pour les activités anormales
Conservation des journaux pour analyse de sécurité
Intégrité des données
Pistes d'audit inviolables avec sceaux cryptographiques
Vérification du hachage des documents
Sauvegardes automatisées avec récupération à un instant précis (Point-in-Time Recovery)
Réponse aux incidents
Procédures documentées de réponse aux incidents
Engagement de notification de violation sous 72 heures
Sécurité du personnel
Accords de confidentialité pour l'ensemble du personnel
Continuité de l'activité
Infrastructure redondante au sein des régions de l'UE
Tests réguliers des sauvegardes
Annexe 2 : Liste des sous-traitants ultérieurs
Sous-traitant ultérieur | Finalité | Emplacement |
|---|---|---|
Amazon Web Services (AWS) | Infrastructure cloud, calcul, stockage, CDN | UE (Paris, France - eu-west-3 ; Stockholm, Suède - eu-north-1) |
Supabase | Services de base de données (hébergés sur AWS) | UE (Paris, France - eu-west-3) |
Resend | Envoi d'e-mails transactionnels (demande de signature, rappel et e-mails de notification). Traite les noms et adresses e-mail des signataires, ainsi que le contenu des e-mails lorsque le Client a personnalisé les modèles. Peut être retiré de la chaîne de traitement en désactivant les e-mails de Firma par demande de signature et en utilisant votre propre infrastructure de messagerie. | États-Unis (transferts sous CCT) |
Jitbit | Gestion des tickets de support client (traite les coordonnées du personnel du Client et la correspondance de support) | UE (Allemagne) |
Dernière mise à jour : Juin 2026
Le Client sera informé des modifications apportées à cette liste par e-mail adressé à l'administrateur du compte ou via le tableau de bord de Firma.dev.
Annexe 3 : Clauses contractuelles types
Pour les transferts de Données personnelles vers des pays situés en dehors de l'Espace économique européen ne bénéficiant pas d'une décision d'adéquation, les parties conviennent que les Clauses contractuelles types (Module 2 : De responsable de traitement à sous-traitant) adoptées par la décision d'exécution (UE) 2021/914 de la Commission européenne s'appliquent et sont intégrées par référence.
Les CCT sont réputées complétées comme suit :
Clause 7 (Clause d'adhésion) : Non utilisée
Clause 9 (Utilisation de sous-traitants ultérieurs) : L'Option 2 (Autorisation écrite générale) s'applique
Clause 11 (Voies de recours) : Libellé facultatif non utilisé
Clause 17 (Droit applicable) : Lois de l'Irlande
Clause 18 (Élection de forum) : Tribunaux de l'Irlande
Contact pour les demandes liées à la protection des données :
Firma.dev (1600 Holdings LLC) E-mail : par e-mail à support@firma.dev
En utilisant le Service de Firma.dev, le Client reconnaît et accepte les termes du présent Accord de traitement des données.

