Accord de traitement des données
1. Objet
Le présent accord précise les engagements de LOTA.CLOUD dans le traitement des données personnelles qui lui sont confiées par le Client dans le cadre de l'utilisation de la plateforme Numerus.
2. Description du traitement
| Élément | Description |
|---|---|
| Nature | Hébergement, consolidation, visualisation et partage de données financières et commerciales |
| Finalité | Fournir au Client le Service de reporting prévu au contrat |
| Catégories de personnes | Salariés, clients, prospects et contacts commerciaux du Client |
| Catégories de données | Identification, coordonnées professionnelles, données commerciales, données financières |
| Durée | Durée de l'Abonnement + 90 jours de rétention |
3. Obligations de LOTA.CLOUD
- Traiter les données uniquement sur instruction documentée du Client ;
- Garantir la confidentialité des données par un engagement contractuel de ses collaborateurs ;
- Mettre en œuvre les mesures techniques et organisationnelles appropriées (voir §6) ;
- Assister le Client dans la gestion des demandes d'exercice de droits et des obligations documentaires (analyse d'impact, audits, notifications d'incidents) ;
- Supprimer ou restituer les données à l'issue du contrat selon les instructions du Client.
4. Sous-traitants ultérieurs autorisés
Le Client autorise le recours aux sous-traitants ultérieurs listés ci-dessous. Toute modification substantielle fait l'objet d'une information préalable permettant au Client de s'y opposer pour motif légitime.
| Sous-traitant | Rôle | Localisation |
|---|---|---|
| OVH SAS | Hébergement & infrastructure | France (Gravelines, Roubaix) |
| Scaleway / OVHcloud AI | Exécution de modèles IA souverains | France |
| Sendgrid EU | Envoi d'emails transactionnels | Union européenne |
| Stripe Payments Europe | Traitement des paiements | Irlande (UE) |
5. Transferts hors UE
Aucune donnée personnelle n'est transférée hors de l'Union européenne. Si un transfert devait intervenir exceptionnellement, il serait encadré par les Clauses Contractuelles Types de la Commission européenne (décision 2021/914) et précédé d'une analyse de conformité.
6. Mesures de sécurité
- Chiffrement au repos (AES-256) et en transit (TLS 1.3) ;
- Authentification forte, SSO/SAML disponible en formule Entreprise ;
- Isolation logique stricte des environnements Client (multi-tenant avec RLS) ;
- Sauvegardes chiffrées quotidiennes avec rétention 30 jours ;
- Journalisation des accès et revue mensuelle ;
- Tests d'intrusion annuels par un prestataire indépendant ;
- Plan de continuité et de reprise d'activité (RTO 4h / RPO 1h en formule Entreprise).
7. Notification d'incident
En cas de violation de données à caractère personnel, LOTA.CLOUD notifie le Client dans un délai maximum de 72 heures après en avoir pris connaissance, et lui transmet l'ensemble des informations nécessaires à ses propres obligations de notification auprès de la CNIL et, le cas échéant, des personnes concernées.
8. Droits d'audit
Le Client peut, à ses frais, réaliser un audit une fois par an avec un préavis raisonnable de 30 jours. Les rapports d'audit indépendants (ISO 27001, SOC 2 Type II dès leur obtention) peuvent se substituer à une mission sur site.
9. Restitution et suppression
À l'expiration ou à la résiliation du contrat, et sauf obligation légale contraire, LOTA.CLOUD restitue ou supprime l'ensemble des données personnelles dans un délai de 90 jours, et fournit une attestation de suppression sur demande.
10. Contact
Pour toute question relative au présent accord ou pour demander sa signature séparée, contactez-nous à help@numerus.cloud.