Accord de traitement des données

Accord de traitement des données

Accord de traitement de données conforme au RGPD pour les clients de Firma.dev. Résidence des données dans l'UE, liste des sous-traitants et mesures de sécurité techniques.

Accord de traitement de données conforme au RGPD pour les clients de Firma.dev. Résidence des données dans l'UE, liste des sous-traitants et mesures de sécurité techniques.

Entre :

Firma (1600 Holdings LLC) (« Sous-traitant » ou « Firma.dev »)

Et :

L'entité acceptant les Conditions Générales de Firma.dev (« Responsable du traitement » ou « Client »)

Date d'entrée en vigueur : Dès l'acceptation par le Client des Conditions Générales de Firma.dev

1. Définitions

« Données personnelles » désigne toute information relative à une personne physique identifiée ou identifiable traitée par Firma.dev pour le compte du Client via le Service.

« Personne concernée » désigne une personne physique identifiée ou identifiable dont les Données personnelles sont traitées.

« Traitement » désigne toute opération effectuée sur des Données personnelles, qu'elle soit automatisée ou manuelle, y compris la collecte, le stockage, la récupération, l'utilisation, la divulgation et la suppression.

« Sous-traitant ultérieur » désigne tout tiers engagé par Firma.dev pour traiter des Données personnelles pour le compte du Client.

« Service » désigne l'API de signature électronique de Firma.dev et les services associés tels que décrits dans les Conditions Générales.

« CCT » désigne les Clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers conformément au règlement (UE) 2016/679, telles qu'adoptées par la Commission européenne.

« RGPD » désigne le règlement (UE) 2016/679 (Règlement général sur la protection des données).

2. Portée et rôles

2.1 Le présent DPA s'applique lorsque Firma.dev traite des Données personnelles pour le compte du Client dans le cadre du Service.

2.2 Le Client agit en tant que Responsable du traitement. Le Client détermine les finalités et les moyens du traitement des Données personnelles.

2.3 Firma.dev agit en tant que Sous-traitant. Firma.dev traite les Données personnelles uniquement sur la base d'instructions documentées du Client, telles que décrites dans le présent DPA et les Conditions Générales.

3. Détails du traitement des données

3.1 Catégories de Personnes concernées

  • Les employés, prestataires et utilisateurs autorisés du Client

  • Les signataires utilisateurs finaux qui interagissent avec les documents envoyés via le Service

3.2 Types de Données personnelles

  • Noms et adresses e-mail

  • Données de signature (signatures dessinées, saisies ou téléchargées)

  • Adresses IP et horodatages

  • Contenu du document (dans la mesure où il contient des Données personnelles)

  • Informations de piste d'audit

3.3 Activités de traitement

  • Stockage et rendu de documents pour signature

  • Capture et application de signatures électroniques

  • Génération de pistes d'audit et de certificats de complétion

  • Envoi de notifications de demande de signature

  • Fourniture d'accès API et de webhooks

3.4 Durée du traitement

Firma.dev traitera les Données personnelles pendant la durée du contrat et selon les exigences de conformité légale, comme spécifié dans la Politique de confidentialité.

4. Obligations de Firma.dev

Firma.dev doit :

4.1 Traiter les Données personnelles uniquement sur la base d'instructions documentées du Client, y compris en ce qui concerne les transferts vers des pays tiers, à moins d'y être tenue par le droit de l'UE ou d'un État membre. Firma.dev informera le Client de cette exigence légale avant le traitement, sauf si la loi l'interdit.

4.2 Veiller à ce que les personnes autorisées à traiter les Données personnelles s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.

4.3 Mettre en œuvre les mesures techniques et organisationnelles appropriées telles que décrites dans l'Annexe 1 (Mesures techniques et organisationnelles).

4.4 Respecter les conditions d'engagement des Sous-traitants ultérieurs décrites à la Section 6.

4.5 Aider le Client, compte tenu de la nature du traitement, par des mesures techniques et organisationnelles appropriées, à s'acquitter de son obligation de donner suite aux demandes d'exercice des droits des Personnes concernées.

4.6 Aider le Client à garantir le respect des obligations découlant des articles 32 à 36 du RGPD, compte tenu de la nature du traitement et des informations à la disposition de Firma.dev.

4.7 Selon le choix du Client, supprimer ou renvoyer toutes les Données personnelles à la fin du Service, sauf si la conservation est requise par la loi applicable.

4.8 Mettre à la disposition du Client toutes les informations nécessaires pour démontrer le respect des obligations prévues à l'article 28 du RGPD, et permettre et contribuer aux audits décrits à la Section 10.

5. Obligations du Client

Le Client doit :

5.1 Veiller à ce que les Données personnelles soient collectées et traitées conformément aux lois applicables en matière de protection des données, y compris en obtenant tous les consentements nécessaires ou en fournissant les avis requis aux Personnes concernées.

5.2 Fournir des instructions documentées à Firma.dev concernant le traitement des Données personnelles.

5.3 Veiller à ce que l'utilisation du Service par le Client soit conforme à toutes les lois et réglementations applicables.

6. Sous-traitants ultérieurs

6.1 Le Client autorise Firma.dev à engager les Sous-traitants ultérieurs répertoriés dans l'Annexe 2 (Liste des sous-traitants ultérieurs).

6.2 Firma.dev informera le Client de tout changement prévu concernant les Sous-traitants ultérieurs en mettant à jour la Liste des sous-traitants ultérieurs. Le Client peut s'opposer à ces changements dans un délai de 30 jours à compter de la notification. Si le Client s'y oppose et que Firma.dev ne peut raisonnablement pas tenir compte de l'objection, le Client peut résilier le Service concerné.

6.3 Firma.dev conclura des contrats écrits avec chaque Sous-traitant ultérieur imposant des obligations en matière de protection des données non moins protectrices que celles du présent DPA.

6.4 Firma.dev demeure pleinement responsable des prestations de ses Sous-traitants ultérieurs.

7. Transferts internationaux

7.1 Résidence des données dans l'UE : Les données des documents et des signataires du Client sont stockées et traitées au sein de l'Union européenne. L'infrastructure principale de Firma.dev est située dans AWS eu-west-3 (Paris, France), avec des services de CDN dans AWS eu-north-1 (Stockholm, Suède). Des Données personnelles limitées, telles que les noms et adresses e-mail des signataires, peuvent être traitées par des sous-traitants ultérieurs situés en dehors de l'UE, comme indiqué dans l'Annexe 2, sous réserve de garanties appropriées au titre de la Section 7.2. Les Clients qui exigent que toutes les Données personnelles restent au sein de l'UE peuvent désactiver les e-mails envoyés par Firma et utiliser leur propre infrastructure de messagerie, comme décrit dans la documentation sur la marque blanche (white-labeling).

7.2 Si Firma.dev transfère des Données personnelles en dehors de l'Espace économique européen, Firma.dev veillera à ce que des garanties appropriées soient en place, telles que des Clauses contractuelles types (CCT) approuvées par la Commission européenne.

7.3 Sur demande, Firma.dev conclura des CCT avec le Client pour tout transfert vers des pays tiers ne bénéficiant pas d'une décision d'adéquation.

8. Demandes des Personnes concernées

8.1 Firma.dev informera rapidement le Client si elle reçoit une demande d'une Personne concernée souhaitant exercer ses droits en vertu du RGPD (accès, rectification, effacement, portabilité, limitation ou opposition).

8.2 Firma.dev ne répondra pas directement aux demandes des Personnes concernées, sauf autorisation du Client ou obligation légale.

8.3 Firma.dev fournira une assistance raisonnable au Client pour répondre à ces demandes, compte tenu de la nature du traitement.

9. Incidents de sécurité

9.1 Firma.dev informera le Client dans les meilleurs délais (et en tout état de cause dans les 72 heures) après avoir pris connaissance d'une violation de Données personnelles affectant les données du Client.

9.2 La notification comprendra, dans la mesure du possible :

  • La nature de la violation, y compris les catégories et le nombre approximatif de Personnes concernées touchées

  • Les conséquences probables de la violation

  • Les mesures prises ou proposées pour remédier à la violation

9.3 Firma.dev coopérera avec le Client et prendra des mesures raisonnables pour aider à l'enquête et à l'atténuation de chaque violation.

10. Audits

10.1 Firma.dev mettra à la disposition du Client les informations raisonnablement nécessaires pour démontrer la conformité avec le présent DPA. Cette obligation sera satisfaite en fournissant :

  • La documentation et les politiques de sécurité

  • Les évaluations de sécurité tierces lorsqu'elles sont disponibles

  • Les questionnaires de sécurité complétés

10.2 Firma.dev n'autorise pas les audits sur site. Toutes les demandes d'audit seront traitées par le biais de documentation, de réponses écrites et de méthodes de vérification à distance, à la discrétion de Firma.dev.

10.3 Les demandes d'audit allant au-delà de la documentation standard (telles que des questionnaires de sécurité personnalisés, des examens techniques détaillés ou des appels avec le personnel de sécurité) seront soumises à des frais de 500 € par demande, payables d'avance.

10.4 Rien dans cette Section 10 n'oblige Firma.dev à divulguer des informations qui compromettraient la sécurité de ses systèmes, violeraient les obligations de confidentialité envers d'autres clients ou enfreindraient la loi applicable.

11. Durée et résiliation

11.1 Le présent DPA prend effet à compter de l'acceptation par le Client des Conditions Générales et reste en vigueur pendant toute la durée du traitement des Données personnelles par Firma.dev pour le compte du Client.

11.2 À la fin du Service, Firma.dev supprimera ou renverra les Données personnelles comme spécifié à la Section 4.7, sous réserve des exigences de conservation légales.

12. Loi applicable

Le présent DPA est régi par les lois spécifiées dans les Conditions Générales. Pour les questions relatives à la conformité au RGPD, les dispositions du RGPD et du droit de l'État membre applicable s'appliquent.

Annexe 1 : Mesures techniques et organisationnelles

Firma.dev met en œuvre les mesures suivantes pour protéger les Données personnelles :

Contrôle d'accès

  • Clés API uniques par Client avec autorisations configurables

  • Les espaces de travail (Workspaces) du Client offrent une isolation logique entre les ensembles de données du Client

Chiffrement

  • TLS 1.2 ou supérieur pour toutes les données en transit

  • Chiffrement AES-256 pour les données au repos

  • Connexions de base de données chiffrées

Sécurité de l'infrastructure

  • Hébergé sur AWS avec résidence des données dans l'UE (eu-west-3 Paris)

  • Segmentation du réseau et protection par pare-feu

  • Correctifs de sécurité et mises à jour régulières

  • Protection DDoS via AWS CloudFront

Surveillance et journalisation

  • Pistes d'audit complètes pour tous les événements de signature

  • Alertes automatisées pour les activités anormales

  • Conservation des journaux pour analyse de sécurité

Intégrité des données

  • Pistes d'audit inviolables avec sceaux cryptographiques

  • Vérification du hachage des documents

  • Sauvegardes automatisées avec récupération à un instant précis (Point-in-Time Recovery)

Réponse aux incidents

  • Procédures documentées de réponse aux incidents

  • Engagement de notification de violation sous 72 heures

Sécurité du personnel

  • Accords de confidentialité pour l'ensemble du personnel

Continuité de l'activité

  • Infrastructure redondante au sein des régions de l'UE

  • Tests réguliers des sauvegardes

Annexe 2 : Liste des sous-traitants ultérieurs

Sous-traitant ultérieur

Finalité

Emplacement

Amazon Web Services (AWS)

Infrastructure cloud, calcul, stockage, CDN

UE (Paris, France - eu-west-3 ; Stockholm, Suède - eu-north-1)

Supabase

Services de base de données (hébergés sur AWS)

UE (Paris, France - eu-west-3)

Resend

Envoi d'e-mails transactionnels (demande de signature, rappel et e-mails de notification). Traite les noms et adresses e-mail des signataires, ainsi que le contenu des e-mails lorsque le Client a personnalisé les modèles. Peut être retiré de la chaîne de traitement en désactivant les e-mails de Firma par demande de signature et en utilisant votre propre infrastructure de messagerie.

États-Unis (transferts sous CCT)

Jitbit

Gestion des tickets de support client (traite les coordonnées du personnel du Client et la correspondance de support)

UE (Allemagne)

Dernière mise à jour : Juin 2026

Le Client sera informé des modifications apportées à cette liste par e-mail adressé à l'administrateur du compte ou via le tableau de bord de Firma.dev.

Annexe 3 : Clauses contractuelles types

Pour les transferts de Données personnelles vers des pays situés en dehors de l'Espace économique européen ne bénéficiant pas d'une décision d'adéquation, les parties conviennent que les Clauses contractuelles types (Module 2 : De responsable de traitement à sous-traitant) adoptées par la décision d'exécution (UE) 2021/914 de la Commission européenne s'appliquent et sont intégrées par référence.

Les CCT sont réputées complétées comme suit :

  • Clause 7 (Clause d'adhésion) : Non utilisée

  • Clause 9 (Utilisation de sous-traitants ultérieurs) : L'Option 2 (Autorisation écrite générale) s'applique

  • Clause 11 (Voies de recours) : Libellé facultatif non utilisé

  • Clause 17 (Droit applicable) : Lois de l'Irlande

  • Clause 18 (Élection de forum) : Tribunaux de l'Irlande

Contact pour les demandes liées à la protection des données :

Firma.dev (1600 Holdings LLC) E-mail : par e-mail à support@firma.dev

En utilisant le Service de Firma.dev, le Client reconnaît et accepte les termes du présent Accord de traitement des données.