Entre :
Firma (1600 Holdings LLC) ("Processeur" ou "Firma.dev")
Et :
L'entité acceptant les Termes et Conditions de Firma.dev ("Contrôleur" ou "Client")
Date d'effet : Dès l'acceptation par le Client des Termes et Conditions de Firma.dev
1. Définitions
"Données personnelles" désigne toute information relative à une personne physique identifiée ou identifiable traitée par Firma.dev pour le compte du Client via le Service.
"Personne concernée" désigne une personne physique identifiée ou identifiable dont les Données personnelles sont traitées.
"Traitement" désigne toute opération effectuée sur des Données personnelles, qu'elle soit automatisée ou manuelle, y compris la collecte, le stockage, la récupération, l'utilisation, la divulgation et la suppression.
"Sous-traitant" désigne tout tiers engagé par Firma.dev pour traiter des Données personnelles pour le compte du Client.
"Service" désigne l'API de signature électronique de Firma.dev et les services connexes décrits dans les Termes et Conditions.
"SCCs" désigne les Clauses Contractuelles Standard pour le transfert de données personnelles vers des pays tiers conformément au Règlement (UE) 2016/679, adoptées par la Commission Européenne.
"RGPD" signifie Règlement (UE) 2016/679 (Règlement Général sur la Protection des Données).
2. Portée et rôles
2.1 Ce DPA s'applique lorsque Firma.dev traite des Données personnelles pour le compte du Client dans le cadre du Service.
2.2 Le Client agit en tant que Contrôleur. Le Client détermine les finalités et moyens du traitement des Données personnelles.
2.3 Firma.dev agit en tant que Processeur. Firma.dev traite les Données personnelles uniquement selon les instructions documentées du Client, comme décrit dans ce DPA et les Termes et Conditions.
3. Détails du traitement des données
3.1 Catégories de personnes concernées
Employés, contractuels et utilisateurs autorisés du Client
Signataires finaux qui interagissent avec les documents envoyés via le Service
3.2 Types de données personnelles
Noms et adresses email
Données de signature (signatures dessinées, saisies ou téléchargées)
Adresses IP et horodatages
Contenu des documents (dans la mesure où il contient des Données personnelles)
Informations sur les pistes d'audit
3.3 Activités de traitement
Stockage et rendu de documents pour signature
Capture et application de signatures électroniques
Génération de pistes d'audit et certificats d'achèvement
Envoi de notifications de demande de signature
Fourniture d'accès API et webhooks
3.4 Durée du traitement
Firma.dev traitera les Données personnelles pendant la durée de l'accord et comme requis pour la conformité légale, tel que précisé dans la Politique de Confidentialité.
4. Obligations de Firma.dev
Firma.dev doit :
4.1 Traiter les Données personnelles uniquement sur des instructions documentées du Client, y compris les transferts vers des pays tiers, sauf si requis par la législation de l'UE ou de l'État membre. Firma.dev informera le Client de toute obligation légale avant le traitement, sauf interdiction légale.
4.2 S'assurer que les personnes autorisées à traiter les Données personnelles se sont engagées à respecter la confidentialité ou sont soumises à une obligation légale appropriée de confidentialité.
4.3 Mettre en œuvre les mesures techniques et organisationnelles appropriées décrites dans l'Annexe 1 (Mesures techniques et organisationnelles).
4.4 Respecter les conditions d'engagement des Sous-traitants décrites à la Section 6.
4.5 Aider le Client, en tenant compte de la nature du traitement, par des mesures techniques et organisationnelles appropriées pour remplir les obligations du Client de répondre aux demandes des Personnes concernées.
4.6 Aider le Client à se conformer aux obligations en vertu des Articles 32-36 du RGPD, en tenant compte de la nature du traitement et des informations disponibles pour Firma.dev.
4.7 À la demande du Client, supprimer ou renvoyer toutes les Données personnelles à la résiliation du Service, sauf lorsque la conservation est requise par la loi applicable.
4.8 Mettre à la disposition du Client toutes les informations nécessaires pour démontrer la conformité avec les obligations de l'article 28 du RGPD, et permettre et contribuer aux audits comme décrit dans la Section 10.
5. Obligations du Client
Le Client doit :
5.1 S'assurer que les Données personnelles sont collectées et traitées en conformité avec les lois de protection des données applicables, y compris l'obtention de tout consentement nécessaire ou la fourniture de notifications requises aux Personnes concernées.
5.2 Fournir des instructions documentées à Firma.dev concernant le traitement des Données personnelles.
5.3 S'assurer que l'utilisation du Service par le Client respecte toutes les lois et réglementations applicables.
6. Sous-traitants
6.1 Le Client autorise Firma.dev à engager les Sous-traitants listés dans l'Annexe 2 (Liste des Sous-traitants).
6.2 Firma.dev informera le Client de tout changement prévu aux Sous-traitants en mettant à jour la Liste des Sous-traitants. Le Client peut s'opposer à de tels changements dans les 30 jours suivant la notification. Si le Client s'oppose et que Firma.dev ne peut raisonnablement pas accommoder l'objection, le Client peut résilier le Service affecté.
6.3 Firma.dev conclura des accords écrits avec chaque Sous-traitant imposant des obligations de protection des données non moins protectrices que celles de ce DPA.
6.4 Firma.dev reste pleinement responsable de la performance de ses Sous-traitants.
7. Transferts internationaux
7.1 Résidence des données de l'UE: Les Données personnelles des Clients sont stockées et traitées au sein de l'Union européenne. L'infrastructure principale de Firma.dev est située dans AWS eu-west-3 (Paris, France), avec des services CDN dans AWS eu-north-1 (Stockholm, Suède).
7.2 Si Firma.dev transfère des Données personnelles en dehors de l'Espace économique européen, Firma.dev s'assurera que des garanties appropriées sont en place, telles que les Clauses Contractuelles Standard (SCCs) approuvées par la Commission Européenne.
7.3 À la demande, Firma.dev exécutera les SCCs avec le Client pour tout transfert vers des pays tiers qui ne bénéficient pas d'une décision d'adéquation.
8. Demandes des personnes concernées
8.1 Firma.dev notifiera rapidement le Client s'il reçoit une demande d'une Personne concernée d'exercer des droits en vertu du RGPD (accès, rectification, effacement, portabilité, restriction, ou opposition).
8.2 Firma.dev ne répondra pas directement aux demandes des Personnes concernées, sauf si autorisé par le Client ou requis par la loi.
8.3 Firma.dev fournira une assistance raisonnable au Client pour répondre à de telles demandes, en tenant compte de la nature du traitement.
9. Incidents de sécurité
9.1 Firma.dev notifiera le Client sans retard injustifié (et dans tous les cas dans les 72 heures) dès qu'il prendra connaissance d'une violation des Données personnelles affectant les données du Client.
9.2 La notification inclura, dans la mesure du possible :
La nature de la violation, y compris les catégories et le nombre approximatif de Personnes concernées affectées
Les conséquences possibles de la violation
Les mesures prises ou proposées pour résoudre la violation
9.3 Firma.dev coopérera avec le Client et prendra des mesures raisonnables pour aider dans l'investigation et la mitigation de chaque violation.
10. Audits
10.1 Firma.dev mettra à la disposition du Client les informations raisonnablement nécessaires pour démontrer la conformité avec ce DPA. Cette obligation sera satisfaite en fournissant :
Documentation et politiques de sécurité
Évaluations de sécurité tierces lorsqu'elles sont disponibles
Questionnaires de sécurité complétés
10.2 Firma.dev ne permet pas les audits sur site. Toutes les demandes d'audit seront traitées par la documentation, les réponses écrites, et des méthodes de vérification à distance à la discrétion de Firma.dev.
10.3 Les demandes d'audit au-delà de la documentation standard (telles que des questionnaires de sécurité personnalisés, des examens techniques détaillés, ou des appels avec le personnel de sécurité) seront soumises à des frais de 500 € par demande, payables à l'avance.
10.4 Rien dans cette Section 10 n'oblige Firma.dev à divulguer des informations qui compromettraient la sécurité de ses systèmes, violeraient des obligations de confidentialité envers d'autres clients ou enfreindraient la loi applicable.
11. Durée et résiliation
11.1 Ce DPA prend effet dès l'acceptation par le Client des Termes et Conditions et reste en vigueur pour la durée pendant laquelle Firma.dev traite des Données personnelles pour le compte du Client.
11.2 À la résiliation du Service, Firma.dev supprimera ou renverra les Données personnelles comme spécifié à la Section 4.7, sous réserve des exigences de rétention légales.
12. Droit applicable
Ce DPA est régi par les lois spécifiées dans les Termes et Conditions. Pour les questions relatives à la conformité au RGPD, les dispositions du RGPD et la législation de l'État membre applicable s'appliqueront.
Annexe 1 : Mesures techniques et organisationnelles
Firma.dev met en œuvre les mesures suivantes pour protéger les Données personnelles :
Contrôle d'accès
Clés API uniques par Client avec des permissions configurables
Les espaces de travail des Clients offrent une isolation logique entre les jeux de données des Clients
Cryptage
TLS 1.2 ou supérieur pour toutes les données en transit
Chiffrement AES-256 pour les données au repos
Connexions de base de données cryptées
Sécurité de l'infrastructure
Hébergé sur AWS avec résidence des données de l'UE (eu-west-3 Paris)
Segmentation du réseau et protection par pare-feu
Patching de sécurité régulier et mises à jour
Protection DDoS via AWS CloudFront
Surveillance et enregistrement
Pistes d'audit complètes pour tous les événements de signature
Alertes automatisées pour une activité anormale
Conservation des journaux pour l'analyse de sécurité
Intégrité des données
Pistes d'audit infalsifiables avec des scellés cryptographiques
Vérification de hachage de documents
Sauvegardes automatiques avec récupération à un instant donné
Réponse aux incidents
Procédures de réponse aux incidents documentées
Engagement de notification de violation dans les 72 heures
Sécurité du personnel
Accords de confidentialité pour tout le personnel
Continuité des activités
Infrastructure redondante dans les régions de l'UE
Tests réguliers de sauvegarde
Annexe 2 : Liste des Sous-traitants
Sous-traitant | But | Emplacement |
|---|---|---|
Amazon Web Services (AWS) | Infrastructure cloud, calcul, stockage, CDN | UE (Paris, France - eu-west-3 ; Stockholm, Suède - eu-north-1) |
Supabase | Services de base de données (hébergés sur AWS) | UE (Paris, France - eu-west-3) |
Dernière mise à jour : janvier 2026
Le Client sera informé des changements de cette liste par email à l'administrateur du compte ou via le tableau de bord de Firma.dev.
Annexe 3 : Clauses Contractuelles Standard
Pour les transferts de Données personnelles vers des pays extérieurs à l'Espace économique européen qui ne bénéficient pas d'une décision d'adéquation, les parties conviennent que les Clauses Contractuelles Standard (Module Deux : Contrôleur vers Processeur) adoptées par la Décision d'exécution (UE) 2021/914 de la Commission Européenne s'appliquent et sont incorporées par référence.
Les SCCs seront réputées complétées comme suit :
Clause 7 (Clause d'adhésion) : Non utilisée
Clause 9 (Utilisation de sous-traitants) : Option 2 (Autorisation écrite générale) s'applique
Clause 11 (Recours) : Langage optionnel non utilisé
Clause 17 (Droit applicable) : Lois de l'Irlande
Clause 18 (Choix de la juridiction) : Tribunaux d'Irlande
Contact pour les questions de protection des données :
Firma.dev (1600 Holdings LLC) Email : Via formulaire de support sur firma.dev/contact
En utilisant le Service de Firma.dev, le Client reconnaît et accepte les termes de cet Accord de Traitement de Données.