CONFIANCE · DPA

Accord de Traitement
de Données (DPA).

En tant que client Itamite, vous êtes responsable du traitement (controller) et nous sommes sous-traitant (processor) selon RGPD Art. 28. Nous expliquons ici le contrat DPA standard d'Itrion : rôles, obligations mutuelles, droits du client, sous-traitants et transferts internationaux. Prêt à signer sans négociation préalable.

Voir tarifs Demander DPA

Pourquoi vous avez un DPA avec nous

Quand vous utilisez Itamite, vous nous partagez des données personnelles : noms, emails, IPs, identifiants des employés, journaux d'activité TIC, audit logs, contenu potentiel de sessions à distance. RGPD Art. 28 exige un contrat contraignant avec les responsables qui établisse : l'objet et la durée du traitement, sa nature et sa finalité, le type de données personnelles et les catégories de personnes concernées, les obligations et droits du responsable.

Notre DPA standard est pré-signé par Itrion et disponible pour votre signature électronique lors de l'enregistrement comme client Business ou Professional. Pour Enterprise : DPA avec clauses additionnelles négociables (clause d'audit in-situ, droit d'inspection extraordinaire, clauses spécifiques à votre secteur réglementé, rétention étendue, BYOK obligatoire). Délai de revue juridique Enterprise : 1-3 semaines.

Pour les États-Unis, le Royaume-Uni et autres pays sans décision d'adéquation : nous ajoutons automatiquement les Clauses Contractuelles Types (SCC) Module 2 controller-to-processor + Annexe avec les détails du transfert + Transfer Impact Assessment (TIA) sur demande. Aucun surcoût pour les SCC. UK Addendum disponible pour les clients UK.

CONTENU DU DPA

Ce que le DPA couvre

Rôles et responsabilités

Vous = responsable du traitement (controller), vous déterminez les finalités et les moyens. Itrion = sous-traitant (processor), traite les données uniquement selon vos instructions documentées. Itrion n'utilisera pas vos données à d'autres fins (pas d'entraînement IA, pas de marketing croisé, pas d'agrégats anonymes vendables).

Type de données et catégories

Données personnelles traitées : noms, emails, IPs, identifiants uniques des employés, données techniques des endpoints (version OS, logiciels installés, hash de fichiers critiques), audit logs (actions techniques avec horodatage). Catégories particulières (Art. 9) : uniquement si votre organisation les introduit dans des notes/commentaires — Itamite ne les sollicite pas.

Sous-traitants ultérieurs

Liste publique sur /sub-processors. Notification 30 jours avant toute addition/modification/suppression. Itrion répond des actes de ses sous-traitants ultérieurs comme s'ils étaient les siens. Contrat Art. 28 signé avec chacun d'eux.

Transferts internationaux

Par défaut : 100% UE (Madrid + Francfort + Roubaix). Si vous activez des sous-traitants optionnels hors UE (BYOK avec AWS US, datacenter US) : SCC Module 2 + TIA + mesures techniques supplémentaires (chiffrement au repos + en transit + BYOK). UK Addendum pour les clients UK. Décision d'adéquation NZ applicable à SMTP2GO.

Droits du client

Droit à un audit documentaire annuel sans frais. Droit à un audit sur site pour Enterprise (frais selon contrat). Droit à recevoir copie des évaluations d'impact et certifications. Droit à une résiliation anticipée sans pénalité si nous ajoutons un sous-traitant que vous n'acceptez pas.

Durée et résiliation

DPA valide tant que vous avez un tenant actif. Après résiliation : 90 jours de grâce pour le téléchargement des données. Ensuite : suppression sécurisée NIST 800-88 avec certificat vérifiable. Audit logs conservés selon la politique de votre tenant (par défaut 12 mois, jusqu'à 10 ans pour Enterprise).

Clauses additionnelles Enterprise

Pour les clients Enterprise : clause d'audit in-situ avec préavis de 30 jours et coût selon contrat. Clause d'inspection extraordinaire sans préavis en cas d'incident de sécurité confirmé. Clause de rétention étendue jusqu'à 10 ans pour les secteurs réglementés (banque, santé, administration publique). BYOK obligatoire (Itrion n'a pas accès aux clés de chiffrement). Clause de localisation géographique restreinte (datacenter dans un pays spécifique). Clause d'exit plan avec délai prolongé et format d'export auditable. Additionnel pour secteurs réglementés : BAA HIPAA si vous traitez des PHI américaines. Clauses DORA Art. 30 si vous êtes une entité financière sous DORA. Clauses ENS Catégorie Haute pour les administrations publiques espagnoles. Annexe CCN-STIC 105 pour les administrations publiques avec données classifiées.

DPA standard pré-signé, prêt pour signature électronique
SCC Module 2 + TIA automatique pour transferts hors UE
UK Addendum pour les clients UK, sans frais
BAA HIPAA disponible pour les entités sanitaires US
Clauses DORA Art. 30 + ENS Haut + CCN-STIC 105 pour les secteurs réglementés

FAQ

Questions sur le DPA

Dois-je signer le DPA ?

Oui, c'est obligatoire pour tous les clients (Business, Professional, Enterprise) en vertu du RGPD. Sans DPA signé, nous ne pouvons pas vous fournir le service. Pour Business et Professional : DPA standard signé électroniquement lors de l'onboarding. Pour Enterprise : DPA négociable avec clauses additionnelles.

Puis-je modifier le DPA standard ?

Pour Business/Professional : non. Le DPA standard contient les clauses nécessaires et suffisantes pour le RGPD. Toute modification implique une négociation juridique uniquement viable pour Enterprise. Pour Enterprise : oui, clauses additionnelles négociables avec votre équipe juridique.

Itrion est-il responsable du traitement ou sous-traitant ?

Pour les données de VOS employés/endpoints : Itrion est sous-traitant (vous êtes le responsable du traitement). Pour les données de VOTRE entreprise en tant que client Itamite (données de facturation, contacts commerciaux) : Itrion est responsable conjoint avec vous (joint controllers selon RGPD Art. 26 dans certains cas). Le DPA couvre les deux rôles.

Que deviennent les données à la fin du contrat ?

90 jours de grâce après la résiliation pour le téléchargement via API. Après 90 jours : suppression sécurisée NIST 800-88 Purge avec certificat vérifiable. Audit logs conservés selon la politique configurée de votre tenant (par défaut 12 mois, jusqu'à 10 ans pour Enterprise). Sauvegardes supprimées de tous les datacenters après les 90 jours de grâce.

Demandez le DPA standard

Nous vous envoyons le DPA Itamite-Itrion v2.1 sous 24h. Disponible en français, espagnol et anglais.