Le présent accord (le « DPA ») est conclu en application de l’article 28 du Règlement (UE) 2016/679 (« RGPD ») entre le Client, agissant en qualité de responsable de traitement, et DILIVAULT, SAS au capital de 1 500 euros, RCS Paris 106 405 707, 50 avenue des Champs-Élysées, 75008 Paris, agissant en qualité de sous-traitant. Il fait partie intégrante des Conditions Générales de Services (les « CGS ») et s’applique pendant toute la durée du Service. Les termes en majuscule non définis ici ont le sens que leur donnent les CGS.
1. Description du traitement
| Élément | Description |
|---|---|
| Objet | Hébergement, classification, océrisation, indexation, mise à disposition sécurisée et interrogation des Documents déposés dans la Data Room |
| Durée | Durée du Service, jusqu’à la suppression prévue à l’article 8 |
| Nature | Collecte (dépôt), stockage, structuration, extraction, consultation, restitution, effacement |
| Finalité | Fourniture du service de data room pour les besoins de l’Opération du Client |
| Catégories de données | Toutes données personnelles contenues dans les Documents, déterminées par le Client, notamment : données d’identification, données professionnelles et RH (contrats de travail, rémunérations), données financières, données figurant dans des actes et contrats. Le Client s’engage à ne pas déposer de données sensibles au sens de l’article 9 du RGPD sans mesures appropriées, et à en informer DiliVault |
| Personnes concernées | Salariés, dirigeants, associés, clients, fournisseurs et partenaires des sociétés concernées par l’Opération, et toute personne mentionnée dans les Documents |
Le Client demeure seul responsable de la licéité des données contenues dans les Documents et de l’information des personnes concernées.
2. Instructions du Client
DiliVault traite les données uniquement sur instruction documentée du Client. Les CGS, le présent DPA et le paramétrage de la Data Room par l’administrateur désigné par le Client constituent les instructions du Client. DiliVault informe le Client si une instruction lui paraît contraire au RGPD.
3. Localisation et souveraineté
DiliVault s’engage à ce que l’intégralité du traitement, y compris les traitements d’intelligence artificielle (classification, océrisation, indexation, assistant conversationnel), soit exécutée sur un serveur dédié situé en France, dans le datacenter C’CIN au Coudray (Eure-et-Loir), certifié ISO 27001 et HDS.
Aucune donnée n’est transférée hors de l’Union européenne. Aucune API tierce n’est appelée pour le traitement des Documents. Les Documents ne sont jamais utilisés pour entraîner des modèles d’intelligence artificielle ni à toute autre fin que la fourniture du Service.
Toute évolution remettant en cause le présent article requiert l’accord écrit et préalable du Client.
4. Confidentialité
DiliVault garantit que toute personne autorisée à traiter les données (personnel, prestataires) est soumise à une obligation de confidentialité contractuelle ou légale et n’accède aux données que dans la mesure strictement nécessaire au Service. Les traitements de classification, d’océrisation et d’indexation sont exécutés de manière automatisée, sans consultation humaine des Documents, hors demande de support expresse du Client.
5. Sécurité
DiliVault met en œuvre les mesures techniques et organisationnelles suivantes :
- Serveur dédié par environnement, sans mutualisation avec des tiers ;
- Chiffrement des données en transit (TLS) et au repos ;
- Contrôle d’accès par rôles, authentification de chaque Utilisateur, cloisonnement strict entre Data Rooms ;
- Watermarking dynamique des documents consultés et journal d’audit complet et horodaté ;
- Sauvegardes régulières et procédure de restauration testée ;
- Datacenter certifié ISO 27001 et HDS, de niveau Tier III+, avec double adduction électrique et télécom, accès physique par sas avec double authentification et télésurveillance permanente ;
- Journalisation des accès techniques et politique de moindre privilège pour le personnel de DiliVault.
DiliVault révise régulièrement ces mesures au regard de l’état de l’art et de la sensibilité des traitements.
6. Sous-traitance ultérieure
Le Client autorise DiliVault à recourir au sous-traitant ultérieur suivant :
| Sous-traitant | Activité | Localisation |
|---|---|---|
| C’Chartres Innovations Numériques (C’CIN), SIREN 815 389 481, Place des Halles, 28000 Chartres | Hébergement physique du serveur dédié (datacenter) | France (Le Coudray, 28) |
DiliVault ne recrute aucun autre sous-traitant ultérieur sans en informer préalablement le Client par écrit, en lui laissant un délai de 15 jours pour formuler des objections. Tout sous-traitant ultérieur est soumis par contrat à des obligations équivalentes à celles du présent DPA, et doit être situé en France s’agissant de tout traitement portant sur les Documents. DiliVault demeure pleinement responsable envers le Client de l’exécution par ses sous-traitants ultérieurs.
7. Assistance au Client
DiliVault assiste le Client, dans des délais raisonnables et compte tenu de la nature du traitement :
- Pour répondre aux demandes d’exercice de droits des personnes concernées (accès, rectification, effacement, limitation, opposition, portabilité) : toute demande reçue directement par DiliVault est transmise au Client sans délai et sans y répondre, sauf instruction contraire ;
- Pour la réalisation d’analyses d’impact (AIPD) et la consultation préalable de l’autorité de contrôle, en fournissant les informations relatives au traitement ;
- Pour la documentation de la conformité, en tenant un registre des catégories d’activités de traitement effectuées pour le compte du Client.
8. Violation de données
DiliVault notifie au Client toute violation de données personnelles dans les meilleurs délais et au plus tard 48 heures après en avoir pris connaissance, en précisant, dans la mesure des informations disponibles : la nature de la violation, les catégories et le volume approximatif de données et de personnes concernées, les conséquences probables et les mesures prises ou proposées. DiliVault coopère avec le Client pour toute notification à la CNIL ou aux personnes concernées, qui relève de la décision du Client.
9. Sort des données
À la Clôture, DiliVault restitue au Client l’intégralité des Documents, de l’index et du journal d’audit dans des formats standards (export de clôture prévu par les CGS), puis supprime définitivement l’ensemble des données de ses systèmes dans les conditions de l’article 12 des CGS, sauvegardes comprises dans le cycle normal de leur rotation. Sur demande du Client, DiliVault atteste par écrit de la suppression.
10. Audit
DiliVault met à la disposition du Client toute la documentation nécessaire pour démontrer le respect du présent DPA (certifications du datacenter, description des mesures de sécurité, registre). Le Client peut, au plus une fois par an et moyennant un préavis de 30 jours, faire réaliser un audit du respect du présent DPA, pendant les heures ouvrées, par un auditeur indépendant soumis à confidentialité et non concurrent de DiliVault, à ses frais et sans perturber le Service. Les accès physiques au datacenter s’exercent dans les conditions fixées par C’CIN.
11. Point de contact
Pour toute question relative au présent DPA et aux données personnelles : privacy@dilivault.fr.