Légal

Accord de traitement des données (DPA)

TrustyData — Data Processing Agreement
Conformément à l'article 28 du Règlement Général sur la Protection des Données (RGPD)
Dernière mise à jour : Février 2026 — Version 1.0

1. Objet

Le présent accord de traitement des données (ci-après « le DPA ») complète les Conditions Générales d'Utilisation (CGU) et la Politique de confidentialité de TrustyData. Il définit les obligations respectives des parties en matière de protection des données personnelles lorsque TrustyData agit en qualité de sous-traitant pour le compte de l'Utilisateur.

Le DPA s'applique de plein droit à tout Utilisateur transmettant des données personnelles via l'API REST ou le Serveur MCP de TrustyData. L'acceptation des CGU vaut acceptation du présent DPA.

En cas de contradiction entre le présent DPA et les CGU, les dispositions du DPA prévalent pour tout ce qui concerne le traitement des données personnelles.

2. Définitions

Les termes suivants ont la signification qui leur est donnée ci-dessous :

  • « Responsable du traitement » : l'Utilisateur des Services TrustyData qui détermine les finalités et les moyens du traitement des données personnelles qu'il transmet via l'API ou le Serveur MCP.
  • « Sous-traitant » : TrustyData EURL, qui traite les données personnelles pour le compte du Responsable du traitement dans le cadre de la fourniture des Services.
  • « Données personnelles » : toute information se rapportant à une personne physique identifiée ou identifiable, au sens de l'article 4 du RGPD, transmise par le Responsable du traitement via les Services.
  • « Traitement » : toute opération effectuée sur les Données personnelles dans le cadre des Services (validation, normalisation, géocodage, enrichissement).
  • « Violation de données » : une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données personnelles, ou l'accès non autorisé à celles-ci.
  • « Services » : les services de qualité de données proposés par TrustyData via l'API REST et le Serveur MCP.
  • « Sous-traitant ultérieur » : tout sous-traitant engagé par TrustyData pour contribuer à la fourniture des Services.

3. Description du traitement

3.1 Nature et finalité du traitement

TrustyData traite les Données personnelles transmises par le Responsable du traitement exclusivement aux fins suivantes :

  • Autocomplétion et suggestion d'adresses
  • Validation d'adresses postales françaises
  • Géolocalisation (coordonnées GPS WGS84)
  • Géocodage territorial (rattachement IRIS INSEE)
  • Enrichissement socio-démographique (données carroyage INSEE)
  • Validation d'adresses email
  • Validation de numéros de téléphone

3.2 Types de données personnelles traitées

Les catégories de données personnelles susceptibles d'être transmises par le Responsable du traitement incluent :

  • Adresses postales (numéro, voie, code postal, commune)
  • Adresses email
  • Numéros de téléphone
  • Noms et prénoms (lorsque associés à une adresse dans la requête)

3.3 Catégories de personnes concernées

Les personnes concernées par le traitement sont déterminées par le Responsable du traitement et peuvent inclure :

  • Ses clients et prospects
  • Ses employés et collaborateurs
  • Ses fournisseurs et partenaires
  • Toute personne physique dont les données sont soumises aux Services

3.4 Durée du traitement

Les Données personnelles sont traitées en mémoire vive pendant la durée strictement nécessaire au traitement de la requête API (typiquement inférieure à 500 millisecondes). Aucune Donnée personnelle transmise dans le corps des requêtes n'est stockée, mise en cache ou conservée par TrustyData au-delà du temps de traitement.

Les logs techniques conservés par TrustyData (12 mois glissants) ne contiennent pas les Données personnelles transmises dans le corps des requêtes, mais uniquement des métadonnées techniques (clé API, horodatage, endpoint appelé, code de réponse, temps de traitement, adresse IP d'appel).

4. Obligations de TrustyData en tant que sous-traitant

4.1 Instructions documentées

TrustyData s'engage à traiter les Données personnelles uniquement sur instruction documentée du Responsable du traitement. Les présentes CGU et ce DPA constituent les instructions initiales. Toute instruction complémentaire devra être communiquée par écrit.

Si TrustyData estime qu'une instruction constitue une violation du RGPD ou de toute autre disposition du droit de l'Union ou du droit français en matière de protection des données, elle en informera immédiatement le Responsable du traitement.

4.2 Confidentialité

TrustyData veille à ce que les personnes autorisées à traiter les Données personnelles :

  • Se soient engagées à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité
  • Ne traitent les données que conformément aux instructions du Responsable du traitement

4.3 Mesures de sécurité

TrustyData met en œuvre les mesures techniques et organisationnelles appropriées suivantes pour assurer la sécurité des Données personnelles :

Mesures techniques :

  • Chiffrement de toutes les communications via HTTPS/TLS 1.2 minimum
  • Hébergement sur infrastructure OVH certifiée ISO 27001, SOC 1/2 et HDS
  • Traitement des données en mémoire vive sans persistance sur disque
  • Clés API chiffrées et hachées en base de données
  • Sauvegardes régulières et chiffrées des données d'infrastructure
  • Surveillance continue de la disponibilité et des anomalies
  • Protection contre les attaques DDoS et les injections

Mesures organisationnelles :

  • Accès aux systèmes de production limité au strict nécessaire (principe du moindre privilège)
  • Authentification forte pour l'accès aux serveurs de production
  • Revue régulière des accès et des permissions
  • Procédure documentée de gestion des incidents de sécurité
  • Sensibilisation du personnel aux bonnes pratiques de protection des données

4.4 Sous-traitance ultérieure

TrustyData fait appel aux sous-traitants ultérieurs suivants pour la fourniture des Services :

Sous-traitant ultérieur Rôle Données concernées Localisation
OVH SAS Hébergement de l'infrastructure serveur Toutes les données transitant par les Services France (UE)

TrustyData s'engage à :

  • Informer le Responsable du traitement de tout changement envisagé concernant l'ajout ou le remplacement d'un sous-traitant ultérieur, en lui laissant un délai de 30 jours pour émettre des objections
  • Imposer à tout sous-traitant ultérieur, par contrat, les mêmes obligations de protection des données que celles prévues au présent DPA
  • Demeurer pleinement responsable vis-à-vis du Responsable du traitement de l'exécution des obligations du sous-traitant ultérieur

En cas d'objection motivée du Responsable du traitement concernant un nouveau sous-traitant ultérieur, les parties se concerteront de bonne foi pour trouver une solution. À défaut d'accord dans un délai de 30 jours, le Responsable du traitement pourra résilier les Services sans pénalité.

Précision importante : Les sous-traitants GoCardless, Bubble, Matomo, Make et Notion mentionnés dans la Politique de confidentialité interviennent pour le traitement des données de compte, de facturation, d'audience et de gestion du programme bêta (TrustyData agissant alors en qualité de responsable du traitement). Ils ne sont pas impliqués dans le traitement des Données personnelles transmises via l'API ou le Serveur MCP.

4.5 Assistance au Responsable du traitement

TrustyData assiste le Responsable du traitement, dans la mesure du possible et compte tenu de la nature du traitement, pour :

  • Droits des personnes concernées (articles 15 à 22 du RGPD) : TrustyData ne conservant pas les Données personnelles transmises via l'API, les demandes d'exercice de droits (accès, rectification, effacement, portabilité) doivent être adressées directement au Responsable du traitement. TrustyData collaborera avec le Responsable du traitement si une assistance technique est nécessaire.
  • Obligations de sécurité (article 32 du RGPD) : TrustyData fournira au Responsable du traitement les informations nécessaires pour l'aider à respecter ses obligations en matière de sécurité des traitements.
  • Analyses d'impact (articles 35 et 36 du RGPD) : TrustyData fournira au Responsable du traitement les informations raisonnablement nécessaires pour réaliser une analyse d'impact relative à la protection des données (AIPD), si le traitement effectué via les Services l'exige.

4.6 Notification des violations de données

En cas de Violation de données affectant les Données personnelles traitées pour le compte du Responsable du traitement, TrustyData s'engage à :

  • Notifier le Responsable du traitement dans un délai de 48 heures après avoir pris connaissance de la violation
  • Fournir les informations suivantes, dans la mesure où elles sont disponibles :
    • La nature de la violation, y compris les catégories et le nombre approximatif de personnes concernées
    • Les conséquences probables de la violation
    • Les mesures prises ou envisagées pour remédier à la violation et en atténuer les effets
    • Le nom et les coordonnées du point de contact chez TrustyData
  • Documenter la violation dans un registre interne conformément à l'article 33.5 du RGPD
  • Coopérer avec le Responsable du traitement pour l'aider à remplir ses obligations de notification auprès de la CNIL et des personnes concernées

4.7 Sort des données en fin de contrat

À la résiliation ou à l'expiration des Services :

  • TrustyData confirme que les Données personnelles transmises via l'API n'ayant pas été conservées, il n'y a pas de données à restituer ou à supprimer à ce titre
  • Les logs techniques contenant des métadonnées (sans Données personnelles des requêtes) seront supprimés selon le calendrier prévu à la Politique de confidentialité (12 mois glissants)
  • Les données de compte de l'Utilisateur seront traitées conformément aux durées de conservation indiquées dans la Politique de confidentialité
  • Sur demande écrite du Responsable du traitement, TrustyData fournira une attestation de non-conservation des Données personnelles transmises via l'API

5. Obligations du Responsable du traitement

Le Responsable du traitement s'engage à :

  • Veiller à ce que le traitement des Données personnelles transmises à TrustyData repose sur une base légale valide (consentement, exécution d'un contrat, intérêt légitime, etc.)
  • Informer les personnes concernées du traitement de leurs données par un sous-traitant, conformément aux articles 13 et 14 du RGPD
  • S'assurer que les données transmises à TrustyData sont exactes, adéquates et limitées à ce qui est nécessaire (principe de minimisation)
  • Ne transmettre aucune donnée relevant de catégories particulières au sens de l'article 9 du RGPD (données de santé, opinions politiques, convictions religieuses, etc.) sauf si une base légale appropriée le justifie et après en avoir informé TrustyData par écrit
  • Répondre directement aux demandes d'exercice des droits des personnes concernées
  • Notifier TrustyData de toute instruction particulière relative au traitement des données

6. Droit d'audit

6.1 Informations et documentation

TrustyData met à la disposition du Responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues à l'article 28 du RGPD, notamment :

  • Le présent DPA
  • La Politique de confidentialité
  • La documentation technique des Services
  • Les certifications de l'hébergeur (OVH : ISO 27001, SOC 1/2, HDS)

6.2 Audits

Le Responsable du traitement a le droit de réaliser ou de faire réaliser par un auditeur tiers indépendant des audits, y compris des inspections, pour vérifier le respect du présent DPA, sous réserve des conditions suivantes :

  • La demande d'audit est notifiée par écrit avec un préavis minimum de 30 jours
  • L'audit est réalisé pendant les heures ouvrables et de manière à ne pas perturber les activités de TrustyData
  • L'auditeur tiers est soumis à des obligations de confidentialité appropriées
  • La fréquence des audits est limitée à une fois par an, sauf en cas de Violation de données ou d'obligation réglementaire justifiant un audit supplémentaire
  • Les frais de l'audit sont à la charge du Responsable du traitement

TrustyData pourra proposer de satisfaire la demande d'audit par la fourniture d'un rapport d'audit tiers existant ou d'une certification à jour, si cela répond aux besoins du Responsable du traitement.

7. Transferts internationaux

7.1 Principe

L'ensemble des Données personnelles transmises via l'API et le Serveur MCP sont traitées exclusivement sur des serveurs situés en France, hébergés par OVH SAS. Aucun transfert de ces données hors de l'Union européenne n'est effectué.

7.2 Évolution

En cas de nécessité future de transférer des Données personnelles vers un pays tiers, TrustyData s'engage à :

  • Informer préalablement le Responsable du traitement
  • Mettre en place les garanties appropriées prévues au chapitre V du RGPD (décision d'adéquation, clauses contractuelles types de la Commission européenne, ou autre mécanisme de transfert reconnu)
  • Obtenir l'accord préalable du Responsable du traitement avant tout transfert

8. Données sensibles

Le Responsable du traitement reconnaît que les Services de TrustyData ne sont pas conçus pour traiter des catégories particulières de données au sens de l'article 9 du RGPD (données révélant l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, les données génétiques, biométriques, de santé ou relatives à la vie sexuelle ou l'orientation sexuelle).

Si le Responsable du traitement estime que des Données personnelles transmises via les Services pourraient incidemment contenir de telles données, il doit en informer TrustyData par écrit afin que des mesures de protection renforcées puissent être envisagées.

9. Responsabilité

9.1 Responsabilité de TrustyData

La responsabilité de TrustyData au titre du présent DPA est soumise aux limitations prévues dans les CGU. TrustyData est responsable des dommages causés par un traitement effectué en violation du RGPD ou du présent DPA.

9.2 Responsabilité du Responsable du traitement

Le Responsable du traitement demeure pleinement responsable de la licéité du traitement des Données personnelles qu'il transmet à TrustyData, y compris du respect de la base légale applicable et de l'information des personnes concernées.

10. Durée

Le présent DPA prend effet à la date d'acceptation des CGU par le Responsable du traitement et reste en vigueur tant que TrustyData traite des Données personnelles pour le compte du Responsable du traitement.

Les obligations de confidentialité et de sécurité prévues au présent DPA survivent à sa résiliation aussi longtemps que TrustyData conserve des données liées au Responsable du traitement (conformément aux durées de conservation indiquées dans la Politique de confidentialité).

11. Droit applicable et juridiction

Le présent DPA est régi par le droit français. Tout litige relatif à son interprétation ou à son exécution sera soumis à la compétence exclusive du Tribunal de commerce de Pontoise (Val-d'Oise), conformément aux CGU.

12. Contact

Pour toute question relative au présent DPA :

TrustyData EURL
Référent protection des données : Hervé Tristram
Email : dpo@trustydata.fr
Adresse : 32B rue de labeville, 95690 Nesles La Vallée
Site web : trustydata.fr

Annexe A — Mesures de sécurité techniques et organisationnelles

Catégorie Mesure Détail
Chiffrement Communications HTTPS/TLS 1.2 minimum pour toutes les communications API et MCP
Chiffrement Stockage Clés API hachées ; sauvegardes chiffrées
Hébergement Infrastructure OVH SAS, datacenters en France, certifications ISO 27001, SOC 1/2, HDS
Traitement Architecture Traitement en mémoire vive sans persistance des données de requêtes
Contrôle d'accès Production Principe du moindre privilège ; authentification forte
Contrôle d'accès API Authentification par clé API unique par client
Surveillance Monitoring Surveillance continue de la disponibilité et des anomalies
Surveillance Logs Journalisation des accès techniques (sans données personnelles des requêtes)
Protection Réseau Protection anti-DDoS ; pare-feu applicatif
Continuité Sauvegardes Sauvegardes régulières et chiffrées de l'infrastructure
Organisation Personnel Engagements de confidentialité ; sensibilisation sécurité
Organisation Incidents Procédure documentée de gestion des incidents ; notification sous 48h

Annexe B — Liste des sous-traitants ultérieurs

Mise à jour : Février 2026

Sous-traitant Fonction Localisation Données traitées Certifications
OVH SAS
2 rue Kellermann, 59100 Roubaix, France		 Hébergement de l'infrastructure serveur et réseau France (UE) Toutes les données transitant par l'API et le Serveur MCP ISO 27001, SOC 1 Type II, SOC 2 Type II, HDS

Le Responsable du traitement sera informé de tout ajout ou remplacement de sous-traitant ultérieur avec un préavis de 30 jours, conformément à l'article 4.4 du présent DPA.