Ce Data Processing Agreement (« DPA ») fait partie intégrante du contrat principal signé entre Maker System SAS (« le Sous-traitant ») et le Client (« le Responsable de traitement ») pour l’utilisation des services d’hébergement infogéré, de développement, d’audit de sécurité, d’Intelligence Artificielle (IA) et d’accompagnement. Il encadre les conditions dans lesquelles Maker System SAS est autorisé à traiter des données à caractère personnel pour le compte du Client, en conformité avec le Règlement Général sur la Protection des Données (RGPD) et les lois applicables. Il constitue une annexe contractuelle obligatoire dès lors que le traitement de données personnelles est impliqué.
1.1. Données personnelles : Toute information se rapportant à une personne physique identifiée ou identifiable au sens du RGPD.
1.2. Traitement : Toute opération effectuée sur des données personnelles, notamment la collecte, l’enregistrement, l’organisation, la conservation, la modification, l’utilisation, la transmission ou la suppression.
1.3. Responsable de traitement : Le Client, personne morale qui détermine les finalités et les moyens du traitement des données personnelles.
1.4. Sous-traitant : Maker System SAS, agissant pour le compte du Responsable de traitement dans le cadre des services contractualisés.
Le présent DPA encadre le traitement des données personnelles réalisé par Maker System SAS pour le compte du Client dans le cadre des prestations définies au devis associé. Les opérations de traitement peuvent inclure : hébergement d’environnements applicatifs, développement et maintenance, sauvegarde et synchronisation de bases de données, accès technique dans le cadre de maintenance ou de débogage, supervision et gestion des incidents, et réalisation d’audits de sécurité. La finalité du traitement est déterminée exclusivement par le Client.
3.1. Le Client s’engage à collecter, traiter et transmettre les données personnelles en conformité avec le RGPD et toute autre législation applicable. Il garantit que les données transmises à Maker System SAS sont collectées de manière licite, loyale et transparente, et que les personnes concernées ont été informées de l’intervention de Maker System SAS en qualité de sous-traitant.
3.2. Le Client fournit à Maker System SAS des instructions claires, documentées et conformes à la réglementation. Toute modification ou instruction complémentaire doit être communiquée par écrit. Maker System SAS ne peut être tenu responsable des conséquences d’instructions illicites ou incorrectes émanant du Client.
4.1. Respect des instructions : Maker System SAS traite les données personnelles uniquement sur instruction documentée du Client, sauf obligation légale contraire dont il informera le Client au préalable.
4.2. Sécurité des données : Maker System SAS met en œuvre les mesures techniques et organisationnelles appropriées conformément à l’article 32 du RGPD, notamment : chiffrement en transit (TLS 1.2 minimum), gestion des droits d’accès par principe du moindre privilège, journalisation des accès, sauvegardes régulières et testées, mises à jour de sécurité. Pour les environnements contenant des données de santé ou données sensibles au sens de l’article 9 du RGPD, des mesures renforcées s’appliquent de plein droit : chiffrement au repos (AES-256 minimum), authentification forte à double facteur, journalisation exhaustive et ségrégation logique des environnements.
Sur le plan organisationnel, Maker System SAS s’assure que les personnes ayant accès aux données personnelles reçoivent une formation appropriée et sont sensibilisées aux obligations RGPD. Les accès font l’objet de révisions périodiques.
4.3. Localisation des données : Les données personnelles traitées par Maker System SAS sont hébergées au sein de l’Union européenne, sur des infrastructures opérées par des acteurs européens. Tout hébergement hors UE fera l’objet d’une information préalable au Client et sera encadré par des garanties appropriées conformément à l’article 5 du présent accord.
4.4. Valeur probante des journaux techniques : Maker System SAS conserve des journaux techniques horodatés et intègres relatifs aux accès aux données, aux opérations de traitement et aux incidents éventuels. Ces journaux peuvent être produits pour démontrer le respect des obligations de sécurité et d’accès dans le cadre d’un audit ou d’un litige RGPD. Ils sont conservés conformément aux durées légales applicables.
4.5. Confidentialité : Maker System SAS s’engage à veiller à ce que toutes les personnes autorisées à traiter les données personnelles soient soumises à une obligation de confidentialité. L’accès est strictement limité aux collaborateurs dont les fonctions l’exigent.
4.6. Sous-traitance : Maker System SAS ne peut faire appel à un sous-traitant ultérieur sans autorisation préalable écrite du Client. En cas d’autorisation générale, tout changement est notifié avec un préavis de 30 jours, laissant au Client la possibilité d’émettre des objections. Maker System SAS reste pleinement responsable du respect des obligations par ses sous-traitants ultérieurs.
4.7. Registre des activités de traitement : Conformément à l’article 30.2 du RGPD, Maker System SAS tient et maintient à jour un registre de toutes les activités de traitement effectuées pour le compte du Client. Ce registre est mis à disposition du Client ou de toute autorité de contrôle compétente sur demande écrite.
5.1. Maker System SAS ne transfère pas de données personnelles hors de l’Union européenne sans autorisation préalable écrite du Client et sans garanties appropriées : clauses contractuelles types adoptées par la Commission européenne ou tout autre mécanisme reconnu par le RGPD. Tout transfert nécessaire est notifié au préalable.
6.1. Maker System SAS s’engage à assister le Client, dans la mesure du raisonnable, pour :
Toute assistance excédant le cadre normal de la prestation peut faire l’objet d’une facturation complémentaire au taux journalier en vigueur.
7.1. Maker System SAS s’engage à notifier le Client dans les 48 heures suivant la découverte de toute violation de données personnelles. La notification comprendra :
7.2. Maker System SAS coopère activement avec le Client pour toute notification auprès de la CNIL ou de toute autre autorité de contrôle compétente, en fournissant les éléments techniques nécessaires à la constitution du dossier de notification dans les délais légaux impartis.
8.1. Maker System SAS met à disposition du Client les informations nécessaires pour démontrer le respect du présent accord et contribue aux audits réalisés par le Client ou un auditeur mandaté, dans les conditions suivantes :
9.1. À l’issue des prestations, et sur demande écrite du Client formulée avant la date de fin de contrat, Maker System SAS s’engage à restituer les données dans un format standard exploitable (SQL, JSON ou CSV) dans un délai de 30 jours ouvrés, ou à procéder à leur destruction sécurisée et définitive avec attestation écrite.
9.2. En cas de résiliation intervenant alors qu’un ou plusieurs montants restent dus, la prestation de réversibilité est conditionnée à la régularisation préalable et intégrale de la dette. Maker System SAS n’est pas tenu de produire les exports ni de faciliter la migration tant que les sommes dues n’ont pas été encaissées. Cette prestation est facturée entre 0,5 et 2 jours au taux journalier en vigueur selon la complexité.
9.3. Durée de conservation : Les données personnelles traitées dans le cadre des prestations sont conservées pour la durée strictement nécessaire à l’exécution du contrat. À l’issue de la relation contractuelle, les données sont supprimées ou restituées selon le choix du Client exprimé conformément à l’article 9.1. Les journaux techniques sont conservés 12 mois glissants. Les données nécessaires au respect des obligations légales et comptables sont conservées conformément aux durées légales applicables, soit en général 5 ans.
10.1. Maker System SAS ne saurait être tenu responsable des dommages résultant d’instructions illicites ou incorrectes émanant du Client, d’une mauvaise utilisation des services ou de la non-application des recommandations transmises.
10.2. La responsabilité totale de Maker System SAS, toutes causes confondues, est limitée au montant HT des prestations effectivement réalisées et facturées au titre du contrat en cause, conformément aux Conditions Générales de Vente en vigueur.
11.1. Maker System SAS se réserve le droit de modifier le présent DPA à tout moment. Toute modification substantielle est notifiée au Client avec un préavis de 30 jours avant son entrée en vigueur. La version applicable est celle en vigueur à la date de signature du devis associé.
12.1. Le présent DPA reste en vigueur pendant toute la durée de la relation contractuelle. Les obligations relatives à la confidentialité et à la sécurité des données perdurent trois (3) ans après la cessation du contrat, conformément aux Conditions Générales de Vente de Maker System SAS.
13.1. Le présent DPA est soumis au droit français et au RGPD. Tout litige est soumis à la compétence exclusive des tribunaux de Paris, après tentative de résolution amiable dans un délai de 30 jours.
