1. Objectif et champ d'application

Le présent accord sur le traitement des données (“DPA”) fait partie du contrat de service (le “Accord”) entre Fox-Plan SAS (“Plan Fox”) et l'entité cliente (le “Client”).

Le RGPD définit les conditions dans lesquelles Fox-Plan traite les données à caractère personnel strictement pour l'exécution du contrat, pour le compte du client, conformément à la loi sur la protection des données et à la loi sur la protection des données. GDPR (EU 2016/679) et les lois applicables en matière de protection des données.

Le présent DPA s'applique lorsque le client agit en tant que Contrôleur (ou processeur) et Fox-Plan agit en tant que Processeur (ou sous-traitant). Les activités de traitement pour lesquelles Fox-Plan agit en tant que responsable du traitement sont régies par la Politique de confidentialité.

2. Définitions

Les termes ont le sens qui leur est donné à l'article 4 du GDPR, y compris : “Données à caractère personnel”, “Traitement”, “Responsable du traitement”, “Sous-traitant”, “Sous-processeur” et “Violation de données à caractère personnel”.

3. Rôles et responsabilités

Fox-Plan en tant que processeur

Fox-Plan ne traite les données à caractère personnel que sur instructions documentées du client et strictement aux fins du contrat. Aucune utilisation à des fins de marketing, de profilage ou de revente.

Le client en tant que contrôleur (ou processeur)

Le client détermine les finalités et les moyens du traitement, s'assure de la légalité et des notifications aux personnes concernées, et donne des instructions à Fox-Plan conformément au GDPR.

4. Nature, finalité et catégories de données

Objet : la fourniture et l'exploitation du service Fox-Plan ; l'hébergement, la sauvegarde, l'administration ; la gestion des comptes et des accès ; l'assistance et la maintenance ; les analyses anonymes pour améliorer la qualité du service.

Catégories de données : l'identification (nom, courriel), les identifiants, les journaux d'utilisation, les métadonnées techniques et le contenu stocké par les utilisateurs au sein du service.

Personnes concernées : les utilisateurs finaux, les employés, les sous-traitants et les partenaires autorisés du client.

Durée : pour la durée de l'accord et dans la mesure où cela est nécessaire pour la réversibilité ou la conservation légale.

5. Localisation et hébergement (Scaleway DPA)

Les données sont hébergées en France dans les centres de données exploités par Scaleway SAS. Aucun transfert de données en dehors de l'Union européenne n'est effectué sans garanties adéquates (par exemple, clauses contractuelles types de l'UE ou décision d'adéquation).

Le traitement par Scaleway est régi par la charte de Scaleway. Accord sur le traitement des données: PDF officiel.

6. Mesures de sécurité

Fox-Plan met en œuvre des mesures techniques et organisationnelles appropriées pour garantir la confidentialité, l'intégrité et la disponibilité, notamment :

• Chiffrement en transit et au repos (TLS 1.2+ / TLS 1.3 ; AES-256 ou équivalent).
• Contrôle d'accès strict (moindre privilège), authentification sécurisée, et enregistrement des accès.
• Isolation de l'environnement et segmentation du réseau ; WAF et surveillance des intrusions.
• Cycle de vie sécurisé des logiciels, Les services d'assistance technique et de gestion de l'information, les correctifs et la gestion des vulnérabilités.
• Sauvegardes régulières et des restaurations testées ; BCP/DR procédures.

Stockage de données cryptées

Toutes les données des clients stockées dans nos bases de données sont crypté au repos. L'accès à la base de données de production est limité au personnel autorisé sous authentification forte et journalisation. Les sauvegardes sont cryptées et stockées dans les locaux sécurisés de Scaleway en France.

7. Sauvegardes et haute disponibilité

• Full sauvegardes quotidiennes des données relatives aux clients ; conservation conformément à la politique interne et aux obligations légales.
• Reproduction et architecture à haute disponibilité pour minimiser le risque de perte de données.
• Documenté procédures de restauration avec des tests périodiques.

8. Sous-traitants

Fox-Plan peut faire appel à des sous-traitants (par exemple, pour l'hébergement, la sauvegarde, l'assistance, la messagerie). Fox-Plan impose des obligations de protection des données équivalentes à ce DPA et reste pleinement responsable pour les performances des sous-traitants.

Une liste actualisée des sous-traitants secondaires est disponible sur demande : dpo@fox-plan.com.

9. Assistance en matière de droits des personnes concernées

Compte tenu de la nature du traitement, Fox-Plan aide le client, dans la mesure du possible, à répondre aux demandes des personnes concernées (accès, rectification, effacement, restriction, portabilité, objection) et à satisfaire aux obligations du GDPR (par exemple, soutien au DPIA, le cas échéant).

10. Notification des incidents et des violations

En cas de violation de données à caractère personnel, Fox-Plan notifie le client sans délai et à l'intérieur 24 heures de la prise de conscience, en fournissant les détails connus (nature, catégories, volume, conséquences probables, mesures prises).

Fox-Plan coopérera avec le client pour toute notification réglementaire requise, y compris aux autorités françaises. CNIL dans les 72 heures le cas échéant, et les communications aux personnes concernées si nécessaire.

11. Audits

Le client peut effectuer (ou mandater) un audit de sécurité par an sur préavis écrit d'un mois, L'audit sera effectué par un auditeur indépendant et non concurrent, pendant les heures normales de bureau, sans perturber les opérations et dans le respect des politiques de sécurité et de confidentialité de Fox-Plan. Les vulnérabilités critiques seront corrigées dans les plus brefs délais.

12. Réversibilité : Retour et suppression

En cas de résiliation du contrat, et au choix du client, Fox-Plan s'engage à renvoyer ou supprimer toutes les données à caractère personnel des clients au sein de 30 jours, sauf en cas de conservation légale.

• Format d'exportation standard : JSON (sans frais supplémentaires).
• D'autres services d'extraction/d'assistance sont disponibles sur demande (devis séparé).
• La suppression sera confirmée par un certificat de suppression sur demande.

13. Propriété des données

Le client reste le seul propriétaire des données personnelles traitées par le biais du service Fox-Plan. Fox-Plan n'acquiert aucun droit sur ces données et ne les utilisera pas à d'autres fins que l'exécution du contrat.

14. Responsabilité

Chaque partie est responsable de ses propres violations du présent DPA et de la législation applicable en matière de protection des données. La responsabilité de Fox-Plan est limitée à dommages directs Fox-Plan ne sera pas responsable des dommages indirects ou consécutifs, ni des dommages résultant d'instructions illégales du client ou d'une mauvaise utilisation des services.

15. Droit applicable et juridiction

Le présent DPA est régi par le droit français. Tout litige sera soumis à la compétence exclusive des tribunaux de Versailles (France), sans préjudice des règles obligatoires du forum de protection des consommateurs ou des données, le cas échéant.

16. Contact & Data Protection Officer (DPO)

Fox-Plan SAS
4 Place Maurice Berteaux, 78400 Chatou, France

DP0 / Contact pour la protection des données : dpo@fox-plan.com