Coffrifypolicies
Tous les documentsData Processing Agreement (DPA)
PDF
Document légal · version courante

Data Processing Agreement (DPA)

Accord de sous-traitance RGPD Art. 28 entre Coffrify et le Client professionnel.

v2026.05Effective depuis le 15 mai 2026

Le présent Data Processing Agreement (DPA) est conclu entre :

- Le Responsable du traitement : le Client de Coffrify (l'organisation cliente).
- Le Sous-traitant : {{company.legal_name}} ({{company.legal_form}}, SIREN {{company.siren}}, sis {{company.address_full}}).

Il fait partie intégrante des [CGV B2B](/legal/cgv-b2b) et a vocation à encadrer le traitement des données personnelles conformément à l'article 28 du RGPD.

1. Définitions

Les termes "Données à caractère personnel", "Traitement", "Sous-traitant", "Sous-traitant ultérieur" et "Violation" ont le sens défini par le RGPD (Règlement UE 2016/679).

2. Objet & durée

Le DPA régit le traitement des données personnelles que le Sous-traitant effectue pour le compte du Responsable dans le cadre de la fourniture du service Coffrify. Il prend effet à la souscription au service Pro/Ultra et reste en vigueur jusqu'à la suppression de toutes les données du Client.

3. Nature & finalité du traitement

4. Catégories de personnes concernées

Membres du workspace du Client, destinataires des transferts (peuvent être tiers), administrateurs IT du Client.

5. Catégories de données traitées

6. Obligations du Sous-traitant

7. Sous-traitants ultérieurs

Le Client autorise le recours aux sous-traitants ultérieurs listés publiquement sur [/legal/subprocessors](/legal/subprocessors). Tout ajout fera l'objet d'une notification 30 jours à l'avance. Le Client peut s'y opposer par écrit, ce qui ouvre la possibilité de résiliation sans frais.

8. Mesures techniques & organisationnelles (TOM)

9. Notification de violation

En cas de Violation, le Sous-traitant notifie le Responsable à {{company.legal_email}} dans les 72 heures suivant la découverte, en précisant : nature, catégories et nombre approximatif de personnes concernées, conséquences probables, mesures prises ou proposées.

10. Restitution & suppression

À la fin du contrat, le Client peut exporter ses données au format ouvert via l'API ou son dashboard. Sans demande dans les 30 jours, le Sous-traitant supprime définitivement toutes les Données (purge immédiate + 30 jours en sauvegardes techniques puis effacement).

11. Transferts hors UE

Les Données principales (fichiers, base) restent dans l'Union européenne. Quelques sous-traitants opèrent depuis les USA (Vercel, SendGrid) sous couvert des Standard Contractual Clauses (SCC) approuvées par la Commission européenne (décision 2021/914).

12. Audit & inspection

Le Client peut demander un audit annuel des engagements DPA. Le Sous-traitant met à disposition les rapports d'audit récents (SOC 2 dès 2027). Les audits sur site sont possibles sur préavis de 30 jours, à la charge du Client si non-justifié par un incident.

13. Signature électronique

L'acceptation des CGV B2B au moment de la souscription Pro/Ultra vaut acceptation pleine et entière du présent DPA. Pour une signature formelle PDF/DocuSign-like, contactez {{company.legal_email}}.

Document publié le 15 mai 2026. Version 2026.05. Pour signaler une erreur ou demander une précision, écrivez à legal@coffrify.com.