Créer un compte
Créer un compte

Accord de traitement des données

ReportSecurely
Skiwo AS · Pilestredet 17, 0164 Oslo · privacy@reportsecurely.com
Effective date: 23 January 2026

Ce document a été traduit pour votre commodité. En cas de divergence, la version anglaise prévaudra.

Le présent accord de traitement des données (« DPA ») fait partie intégrante de l'accord entre le client (« Responsable du traitement ») et Skiwo AS, exploitant la plateforme Report Securely (« Sous-traitant »), pour la fourniture de services de dispositif d'alerte et de signalement sécurisé (le « Service »).

Le présent DPA est conclu conformément aux exigences de l'article 28 du Règlement général sur la protection des données (UE) 2016/679 (« RGPD ») et régit le traitement des données à caractère personnel par le Sous-traitant pour le compte du Responsable du traitement.

1. Définitions

Les termes utilisés dans le présent DPA ont la même signification que dans le RGPD, sauf définition contraire. « Données à caractère personnel » désigne toute donnée à caractère personnel traitée par le Sous-traitant pour le compte du Responsable du traitement dans le cadre du Service. « Sous-traitant ultérieur » désigne tout tiers engagé par le Sous-traitant pour traiter des données à caractère personnel pour le compte du Responsable du traitement.

2. Portée et finalité du traitement

Le Sous-traitant traite les données à caractère personnel uniquement aux fins de fournir le Service au Responsable du traitement, tel que décrit dans l'accord de service principal et le présent DPA.

Les catégories de personnes concernées comprennent : les auteurs de signalements (lanceurs d'alerte), les personnes mentionnées dans les signalements, les gestionnaires de dossiers et les utilisateurs autorisés au sein de l'organisation du Responsable du traitement. Les types de données à caractère personnel traitées peuvent inclure : noms, coordonnées, contenu des signalements, communications entre auteurs de signalements et gestionnaires de dossiers, métadonnées des dossiers et journaux d'audit.

La durée du traitement correspond à la durée de l'accord de service principal, plus toute période de conservation requise par la législation applicable ou convenue entre les parties.

3. Obligations du Sous-traitant

Le Sous-traitant doit :

  • Traiter les Données à caractère personnel uniquement sur instruction documentée du Responsable du traitement, sauf obligation légale applicable
  • S'assurer que les personnes autorisées à traiter les Données à caractère personnel sont soumises à des obligations de confidentialité
  • Mettre en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque
  • Ne pas faire appel à un autre sous-traitant sans autorisation écrite préalable du Responsable du traitement
  • Assister le Responsable du traitement dans la réponse aux demandes des personnes concernées en vertu des articles 15 à 22 du RGPD
  • Assister le Responsable du traitement pour garantir le respect des articles 32 à 36 du RGPD (sécurité, notification de violation, analyses d'impact)
  • Au choix du Responsable du traitement, supprimer ou restituer toutes les Données à caractère personnel à la fin du Service, sauf obligation légale de conservation
  • Mettre à disposition du Responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations énoncées dans le présent DPA et à l'article 28 du RGPD

4. Mesures de sécurité

Le Sous-traitant met en œuvre et maintient les mesures de sécurité techniques et organisationnelles suivantes :

  • Chiffrement des données en transit (TLS 1.2 ou supérieur) et au repos (AES-256)
  • Contrôle d'accès basé sur les rôles avec principe du moindre privilège
  • Journalisation d'audit de toutes les actions significatives au sein de la plateforme
  • Tests de sécurité réguliers et évaluations de vulnérabilité
  • Pratiques de développement logiciel sécurisé suivant les directives OWASP
  • Sauvegardes automatisées avec stockage chiffré
  • En-têtes de sécurité stricts (HSTS, CSP, X-Frame-Options)

Le Sous-traitant examine et met à jour régulièrement ces mesures pour refléter l'état actuel de la technique ainsi que la nature, la portée et les finalités du traitement.

5. Sous-traitants ultérieurs

Le Responsable du traitement donne une autorisation générale au Sous-traitant pour engager des sous-traitants ultérieurs, sous réserve des conditions de la présente section.

Le Sous-traitant informe le Responsable du traitement de tout changement envisagé concernant l'ajout ou le remplacement de sous-traitants ultérieurs, donnant au Responsable du traitement la possibilité de s'opposer à ces changements.

Lorsque le Sous-traitant engage un sous-traitant ultérieur, il impose les mêmes obligations en matière de protection des données que celles énoncées dans le présent DPA par le biais d'un contrat, garantissant que le sous-traitant ultérieur fournit des garanties suffisantes pour mettre en œuvre des mesures techniques et organisationnelles appropriées.

Le Sous-traitant demeure pleinement responsable envers le Responsable du traitement de l'exécution des obligations du sous-traitant ultérieur.

6. Transferts de données

Toutes les Données à caractère personnel sont stockées et traitées au sein de l'Espace économique européen (EEE).

Le Sous-traitant ne doit pas transférer de Données à caractère personnel vers un pays situé en dehors de l'EEE ou vers une organisation internationale, sauf si : (a) le Responsable du traitement a donné son autorisation écrite préalable, et (b) des garanties appropriées sont en place conformément au chapitre V du RGPD, telles que les clauses contractuelles types de l'UE ou une décision d'adéquation de la Commission européenne.

7. Notification de violation de données

Le Sous-traitant doit notifier le Responsable du traitement sans retard injustifié après avoir pris connaissance d'une violation de données à caractère personnel affectant les Données à caractère personnel traitées dans le cadre du présent DPA.

La notification doit inclure : une description de la nature de la violation, les catégories et le nombre approximatif de personnes concernées, les conséquences probables de la violation, et les mesures prises ou proposées pour remédier à la violation.

8. Droits d'audit

Le Sous-traitant doit mettre à la disposition du Responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations énoncées à l'article 28 du RGPD et dans le présent DPA, et doit permettre et contribuer aux audits, y compris les inspections, menés par le Responsable du traitement ou un autre auditeur mandaté par le Responsable du traitement.

Les audits doivent être menés avec un préavis raisonnable et pendant les heures normales de bureau, et ne doivent pas perturber de manière déraisonnable les opérations du Sous-traitant.

9. Suppression et restitution des données

À la résiliation du Service, le Sous-traitant doit, au choix du Responsable du traitement, supprimer ou restituer toutes les Données à caractère personnel au Responsable du traitement et supprimer les copies existantes, sauf si la législation applicable exige un stockage continu.

Le Responsable du traitement peut demander l'exportation des données dans un format couramment utilisé et lisible par machine avant la résiliation.

10. Responsabilité

La responsabilité de chaque partie en vertu du présent DPA est soumise aux limitations et exclusions énoncées dans l'accord de service principal entre les parties.

Aucune disposition du présent DPA ne limite la responsabilité de l'une ou l'autre partie pour les violations du droit de la protection des données dans la mesure où cette responsabilité ne peut être limitée en vertu de la législation applicable.

11. Droit applicable

Le présent DPA est régi par le droit norvégien. Tout litige découlant du présent DPA ou en relation avec celui-ci est soumis à la juridiction exclusive du tribunal de district d'Oslo, sauf disposition contraire de la loi impérative.

12. Contact

Pour toute question concernant le présent DPA ou les questions relatives à la protection des données, contactez :
Skiwo AS
Pilestredet 17, 0164 Oslo, Norway
Email: privacy@reportsecurely.com