Accord de traitement des données (DPA)
Data Processing Agreement - Article 28 du RGPD
RESEAU GO - Système de Gestion d'Infrastructure IT
Version 2.0 - Date d'effet : 23 mars 2026
Le présent accord de traitement des données (ci-après "DPA") est conclu entre :
Le Responsable du traitement (ci-après le "Client") :
Société/Organisation : [À COMPLÉTER par le client]
Le Sous-traitant (ci-après le "Prestataire") :
Infoforma, représentée par Romain LE GOHLISSE
Adresse : ZA de Ti Boutic, 29120 Plomeur, France
Email : dpo@infoforma.fr
Article 1 - Objet
Le présent DPA définit les conditions dans lesquelles le Prestataire traite des données personnelles pour le compte du Client dans le cadre de la fourniture du logiciel RESEAU GO en mode SaaS, incluant la plateforme web et les agents de monitoring.
Article 2 - Description du traitement
| Élément | Détail |
|---|---|
| Nature du traitement | Hébergement, stockage, collecte automatisée (via agents) et mise à disposition des données via le logiciel RESEAU GO |
| Finalité | Fournir un service de gestion d'infrastructure IT incluant la supervision, l'inventaire, la maintenance et le reporting |
| Durée | Durée du contrat de licence + 90 jours (période de suppression) |
| Types de données | Voir Article 2bis ci-dessous |
| Catégories de personnes | Employés du Client utilisant le logiciel, contacts des sites gérés, utilisateurs du portail client, utilisateurs des machines supervisées (indirectement) |
Article 2bis - Catégories de données traitées
Données d'identification et d'accès
- Nom, prénom, email, téléphone des utilisateurs
- Identifiants de connexion (mot de passe hashé bcrypt)
- Rôles et permissions
- Clés d'API
Données de contacts de sites
- Nom, email, téléphone, fonction des contacts
Données de connexion et d'activité
- Adresses IP, user-agent, horodatages
- Journaux d'activité (actions effectuées)
Données collectées par les agents de monitoring
- Métriques système : CPU, RAM, disque, températures
- Inventaire logiciel : nom, version, éditeur des logiciels installés
- Interfaces réseau : nom, adresses IP, adresses MAC, masque de sous-réseau
- Informations Active Directory : nom de machine, domaine, unité d'organisation, groupes
- Adresse IP publique de la machine supervisée
- Nom de la machine et version du système d'exploitation
Données d'interventions
- Description, horodatage, technicien assigné, statut
- Rapports PDF générés
Données de suivi de performance
- Métriques SLA et KPI (temps de réponse, temps de résolution)
- Données de rapports automatisés
Données transmises par intégrations
- Données échangées avec Dolibarr ERP, GLPI, InterGo, Prospect Go (selon configuration du Client)
Article 3 - Obligations du Prestataire
Le Prestataire s'engage à :
3.1 Instructions documentées
Traiter les données personnelles uniquement sur instruction documentée du Client, y compris en ce qui concerne les transferts de données vers un pays tiers.
3.2 Confidentialité
Veiller à ce que les personnes autorisées à traiter les données personnelles soient soumises à une obligation de confidentialité.
3.3 Mesures de sécurité
Mettre en œuvre les mesures techniques et organisationnelles appropriées :
- Chiffrement en transit : HTTPS/TLS 1.2+ pour toutes les communications (plateforme et agents)
- Hachage des mots de passe : algorithme bcrypt
- Isolation des données : architecture multi-tenant avec séparation stricte par tenant_id sur toutes les tables
- Contrôle d'accès : authentification par session, RBAC (Role-Based Access Control)
- Protection applicative : tokens CSRF sur tous les formulaires, validation des entrées, requêtes préparées PDO
- Journalisation : logs d'accès et d'activité avec rotation
- Sauvegarde : sauvegardes quotidiennes chiffrées (mode SaaS)
- Mises à jour : correctifs de sécurité appliqués dans les délais définis au SLA
- Agent de monitoring : communication chiffrée, identification par clé unique, mise à jour automatique sécurisée
- API REST : authentification par clé API, limitation de débit (rate limiting)
- Webhooks : possibilité de signature HMAC pour vérification d'intégrité par le Client
3.4 Sous-traitance ultérieure
Le Prestataire n'a pas recours à un autre sous-traitant sans l'autorisation écrite préalable du Client. Les sous-traitants ultérieurs autorisés sont :
| Sous-traitant | Prestation | Localisation | Données concernées |
|---|---|---|---|
| o2switch | Hébergement serveurs | France / UE | Toutes les données hébergées |
| Fournisseur SMTP | Envoi d'emails transactionnels et rapports | France / UE | Adresses email des destinataires, contenu des notifications |
3.5 Services tiers consultés (non sous-traitants)
Les services suivants sont consultés par le Logiciel mais ne reçoivent pas de données personnelles au sens du RGPD :
| Service | Nature | Données transmises |
|---|---|---|
| endoflife.date | API publique (fin de vie produits) | Noms et versions de produits (non personnelles) |
| api.ipify.org | Détection d'IP publique | Aucune (requête sans paramètre) |
| Nominatim / OpenStreetMap | Géocodage d'adresses | Adresses postales de sites |
3.6 Destinations de webhooks
Les URL de webhooks configurées par le Client constituent des destinations de données sous la responsabilité exclusive du Client. Le Prestataire transmet les données d'événements aux URL configurées sans en assurer le stockage côté destinataire.
3.7 Assistance au Client
Le Prestataire aide le Client à :
- Répondre aux demandes d'exercice des droits des personnes (accès, rectification, effacement, portabilité)
- Réaliser les analyses d'impact relatives à la protection des données (AIPD)
- Notifier les violations de données aux autorités de contrôle
3.8 Notification des violations
En cas de violation de données personnelles, le Prestataire :
- Notifie le Client dans un délai de 24 heures après en avoir pris connaissance
- Fournit les informations suivantes :
- Nature de la violation
- Catégories et nombre approximatif de personnes concernées
- Conséquences probables
- Mesures prises ou envisagées pour remédier à la violation
Le Client est responsable de la notification à la CNIL dans un délai de 72 heures (Art. 33 RGPD) et de l'information des personnes concernées si nécessaire (Art. 34 RGPD).
3.9 Suppression et restitution
À la fin du contrat, le Prestataire :
- Met à disposition un export complet des données du Client dans un format standard (CSV, JSON) pendant 30 jours, également accessible via l'API REST
- Supprime définitivement toutes les données du Client (y compris les données des agents) dans un délai de 90 jours après la résiliation
- Fournit une attestation de suppression sur demande
Article 4 - Obligations du Client
Le Client s'engage à :
- Fournir des instructions de traitement conformes au RGPD
- S'assurer que les personnes concernées sont informées du traitement (politique de confidentialité)
- Respecter les droits des personnes concernées
- Informer le Prestataire de toute demande d'exercice de droits dans les meilleurs délais
- S'assurer de la conformité du déploiement des agents de monitoring (information des utilisateurs, base légale)
- Assurer la sécurité et la conformité des systèmes recevant les données de webhooks
- Vérifier la conformité des intégrations tierces configurées (Dolibarr, GLPI, etc.)
Article 5 - Localisation des données
| Type de données | Localisation | Infrastructure |
|---|---|---|
| Données de la plateforme (base de données, fichiers) | France | Serveurs o2switch |
| Sauvegardes | France | Serveurs o2switch |
| Emails transactionnels | France / UE | Fournisseur SMTP |
| Données des agents (en transit) | Chiffrées en transit (HTTPS) | Stockées en France après réception |
Article 6 - Audit
Le Prestataire met à la disposition du Client toutes les informations nécessaires pour démontrer le respect de ses obligations.
Le Client ou un auditeur mandaté par lui peut réaliser un audit :
- Avec un préavis de 30 jours
- Pendant les heures ouvrées
- Sans perturber les activités du Prestataire
- À ses propres frais
- Maximum une fois par an (sauf incident de sécurité)
Article 7 - Transferts internationaux
Les données personnelles ne sont pas transférées en dehors de l'Espace Économique Européen (EEE) par le Prestataire.
Les appels aux API publiques (endoflife.date, api.ipify.org) ne constituent pas des transferts de données personnelles au sens du RGPD, les requêtes ne contenant pas de données identifiantes.
En cas de nécessité future de transfert, les parties s'engagent à mettre en place les garanties appropriées (clauses contractuelles types de la Commission européenne, décision d'adéquation, etc.).
Article 8 - Durée et résiliation
Le présent DPA entre en vigueur à la date de signature du contrat de licence et reste en vigueur pendant toute la durée du contrat. Les obligations de confidentialité et de sécurité survivent à la résiliation.
Article 9 - Droit applicable
Le présent DPA est régi par le droit français. Tout litige sera soumis aux tribunaux compétents du ressort de Quimper.
Pour le Client (Responsable du traitement) :
Nom : ____________________________
Fonction : ________________________
Date : ____________________________
Signature : _______________________
Pour Infoforma (Sous-traitant) :
Nom : Romain LE GOHLISSE
Fonction : Dirigeant
Date : ____________________________
Signature : _______________________
Document mis à jour le 23 mars 2026.