Article 1 — Objet et durée

Le présent DPA définit les conditions dans lesquelles DocuForge, en qualité de sous-traitant, traite des données personnelles pour le compte du Client, en qualité de responsable du traitement, dans le cadre de la fourniture du Service de génération documentaire.

Le DPA entre en vigueur à la date de souscription du Service et reste en vigueur pendant toute la durée du contrat. Il prend fin automatiquement à la résiliation ou à l'expiration du contrat principal.

Article 2 — Nature et finalités du traitement

DocuForge traite des données personnelles pour les finalités suivantes, uniquement sur instruction documentée du Client :

• Injection de données personnelles dans les templates pour la génération de documents (contrats, attestations, rapports, bulletins, etc.).

• Stockage temporaire des données de payload pendant le cycle de génération.

• Archivage des documents générés selon la durée de rétention configurée par le Client.

• Génération et stockage de métadonnées d'intégrité (hash, signature numérique, QR code).

• Journalisation des accès aux documents dans le journal d'audit.

Article 3 — Types de données et catégories de personnes concernées

3.1 Catégories de données susceptibles d'être traitées

3.2 Catégories de personnes concernées

Les catégories de personnes concernées sont déterminées par le Client selon son usage : salariés, clients finaux, assurés, adhérents, administrés, prestataires, ou toute autre catégorie définie dans les modèles de documents configurés.

DocuForge ne collecte ni ne traite de données relevant des catégories particulières visées à l'article 9 du RGPD (données de santé, opinions politiques, convictions religieuses, etc.) sauf instruction expresse et documentée du Client, sous sa seule responsabilité.

Article 4 — Obligations de DocuForge (Sous-traitant)

DocuForge s'engage à :

• Ne traiter les données personnelles que sur instruction documentée du Client, sauf obligation légale contraire.

• Garantir la confidentialité des données en imposant des obligations de confidentialité à tout personnel autorisé à y accéder.

• Mettre en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque (chiffrement, contrôle d'accès, isolation multi-tenant, audit log).

• Informer le Client sans délai de toute violation de données personnelles susceptible d'engendrer un risque pour les droits et libertés des personnes concernées, et ce dans les 72 heures suivant la prise de connaissance.

• Assister le Client dans l'exercice des droits des personnes concernées (accès, rectification, effacement, portabilité, opposition).

• Assister le Client dans la réalisation d'analyses d'impact (AIPD) si nécessaire.

• Supprimer ou restituer toutes les données personnelles à l'issue du contrat, selon le choix du Client, et supprimer toutes copies existantes sauf obligation légale de conservation.

• Mettre à disposition du Client toutes informations nécessaires pour démontrer le respect des obligations du présent DPA et permettre des audits, sur demande raisonnable et avec préavis de 30 jours.

Article 5 — Obligations du Client (Responsable du Traitement)

Le Client s'engage à :

• S'assurer que le traitement des données pour lequel il instruit DocuForge est fondé sur une base légale valide (consentement, contrat, obligation légale, intérêt légitime, etc.).

• Informer les personnes concernées du traitement de leurs données, incluant le recours à DocuForge comme sous-traitant.

• Définir et documenter les durées de rétention des données dans la configuration de la plateforme.

• Ne pas transmettre à DocuForge des données relevant des catégories particulières de l'article 9 RGPD sans s'être assuré du respect des conditions spécifiques applicables.

• Notifier DocuForge de toute instruction contraire au RGPD dont il aurait connaissance.

Article 6 — Sous-traitance ultérieure

DocuForge est autorisé à faire appel à des sous-traitants ultérieurs pour la fourniture du Service (hébergement, sécurité, monitoring). DocuForge s'engage à imposer à ces sous-traitants les mêmes obligations que celles du présent DPA en matière de protection des données.

DocuForge informera le Client de tout changement prévu concernant l'ajout ou le remplacement d'un sous-traitant avec un préavis minimum de 30 jours, permettant au Client de s'y opposer.

Liste des sous-traitants ultérieurs actuels :

Article 7 — Sécurité des données

DocuForge met en œuvre les mesures de sécurité suivantes :

• Chiffrement en transit : TLS 1.2 minimum sur toutes les communications.

• Chiffrement au repos : AES-256 pour les données stockées.

• Contrôle d'accès : RBAC (Role-Based Access Control) avec authentification JWT et API Keys signées.

• Isolation multi-tenant : Cloisonnement strict des données entre organisations (tenant_id filtering à chaque requête).

• Intégrité documentaire : Hash SHA-256 et signature numérique qualifiée de chaque document généré.

• Journal d'audit : Journalisation immuable et horodatée de toutes les opérations.

• Tests de sécurité : Tests d'intrusion et revues de sécurité réguliers.

• Gestion des incidents : Procédure de réponse aux incidents avec notification sous 72h.

Article 8 — Transferts internationaux

DocuForge s'engage à ne pas transférer les données personnelles vers des pays hors UE/EEE sans que des garanties appropriées soient en place (clauses contractuelles types approuvées par la Commission Européenne, ou décision d'adéquation applicable).

Article 9 — Audits

Le Client a le droit de conduire ou de mandater un tiers pour conduire des audits afin de vérifier le respect par DocuForge des obligations du présent DPA. Ces audits sont soumis à un préavis écrit de 30 jours calendaires, sont limités à la portée du présent DPA, et se déroulent aux frais du Client sauf en cas de manquement avéré de DocuForge.

DocuForge peut satisfaire à cette obligation d'audit en fournissant des certifications de sécurité pertinentes émises par des tiers indépendants.

Article 10 — Loi applicable

Le présent DPA est soumis au droit français et aux dispositions du RGPD. Tout litige relatif à son interprétation ou à son exécution sera soumis aux tribunaux compétents du siège social de DocuForge SAS.