Data Processing Agreement (DPA)
Accord de Traitement des Données
Annexe contractuelle conforme à l'article 28 du RGPD Version 1.0 — 30 avril 2026
Préambule
Le présent Data Processing Agreement (« DPA ») fait partie intégrante du contrat conclu entre :
- JOL Studio (« le Sous-Traitant »), éditeur du service CompliDoc
- L'Utilisateur agissant pour le compte de son entreprise (« le Responsable
de Traitement »)
Lorsque le Responsable de Traitement utilise CompliDoc pour traiter des données personnelles concernant des personnes physiques tierces (ses propres salariés, candidats, fournisseurs ou clients), il agit en qualité de Responsable de Traitement au sens de l'article 4(7) du RGPD, et JOL Studio agit en qualité de Sous-Traitant au sens de l'article 4(8).
Le présent DPA encadre cette relation conformément à l'article 28 du RGPD.
1. Objet
JOL Studio traite les Données Personnelles des Personnes Concernées (salariés, candidats, etc. de l'entreprise du Responsable de Traitement) au seul nom et pour le compte de ce dernier, dans le cadre de la fourniture du Service CompliDoc.
2. Description du traitement
| Élément | Description |
|---|---|
| Nature et finalité | Stockage, traitement et restitution de données légales et RH pour la conformité réglementaire de l'entreprise du Responsable |
| Type de données | Identité (nom, prénom, date naissance), coordonnées professionnelles, données contractuelles (poste, salaire, date entrée), données de gestion (notes de frais, justificatifs scannés), données véhicules (immatriculations, conducteurs) |
| Personnes concernées | Salariés, candidats, stagiaires, alternants, fournisseurs et clients de l'entreprise du Responsable |
| Durée | Pendant toute la durée du contrat principal CompliDoc, plus 30 jours après résiliation pour permettre l'export final |
| Catégories particulières | Aucune (pas de données sensibles au sens de l'article 9 RGPD) |
| Données concernant les enfants | Non |
3. Obligations du Sous-Traitant
JOL Studio s'engage à :
3.1 Instructions documentées
Traiter les Données Personnelles uniquement sur instructions documentées du Responsable de Traitement, y compris en ce qui concerne les transferts hors UE. La saisie ou l'import de données dans le Service vaut instruction.
3.2 Confidentialité
Garantir que ses préposés ayant accès aux Données Personnelles sont soumis à une obligation de confidentialité contractuelle ou légale appropriée.
3.3 Sécurité
Mettre en œuvre les mesures techniques et organisationnelles appropriées (article 32 RGPD), notamment celles décrites en Annexe 1.
3.4 Sous-traitants ultérieurs
Recruter d'autres sous-traitants uniquement après en avoir informé le Responsable et lui avoir laissé la possibilité d'objecter dans un délai raisonnable. La liste des sous-traitants ultérieurs est en Annexe 2.
3.5 Assistance
Aider le Responsable, dans la mesure du possible, à répondre aux demandes d'exercice de droits des Personnes Concernées (accès, rectification, effacement, portabilité). Le Service propose des outils en libre-service permettant au Responsable de répondre directement.
3.6 Notification de violation
Notifier le Responsable dans les 72 heures suivant la prise de connaissance d'une violation de Données Personnelles, conformément à l'article 33 RGPD.
3.7 Suppression des données
À la fin du contrat principal, supprimer ou retourner toutes les Données Personnelles au Responsable, au choix de ce dernier, dans un délai de 30 jours.
3.8 Audit
Mettre à disposition du Responsable les informations nécessaires pour démontrer le respect des obligations du présent DPA, et permettre la réalisation d'audits, conformément à l'article 28-3-h RGPD.
3.9 Registre
Tenir un registre des activités de traitement effectuées pour le compte du Responsable, conformément à l'article 30-2 RGPD.
4. Obligations du Responsable de Traitement
Le Responsable s'engage à :
- N'utiliser CompliDoc que pour des finalités licites et légitimes
- Disposer d'une base légale valide pour chaque traitement
(consentement salarié, exécution du contrat de travail, obligation légale, etc.)
- Informer les Personnes Concernées de la collecte et du traitement de
leurs données via CompliDoc, au titre des articles 13 et 14 RGPD
- Respecter les droits des Personnes Concernées (accès, rectification, etc.)
- Ne pas téléverser de données sensibles (article 9 RGPD) sauf si
explicitement nécessaire et soumis à des garanties additionnelles
- Maintenir la confidentialité de ses identifiants
5. Mesures techniques et organisationnelles
Voir Annexe 1.
6. Sous-traitants ultérieurs autorisés
Voir Annexe 2.
7. Transferts hors UE
Les données sont principalement stockées en région UE (Paris, Supabase eu-west-3). Certains sous-traitants (Cloudflare, Stripe, Backblaze, Google Gemini, Apple) peuvent traiter des données hors UE. Ces transferts sont encadrés par :
- les Clauses Contractuelles Types (SCC 2021/914)
- les certifications Data Privacy Framework lorsque applicables
- des engagements contractuels de confidentialité
Le Responsable peut demander copie des garanties applicables.
8. Responsabilité
Conformément à l'article 82 RGPD, chaque partie est responsable des manquements à ses obligations propres au titre du RGPD et du présent DPA.
La responsabilité de JOL Studio en qualité de Sous-Traitant est limitée aux dommages effectivement causés par sa propre faute.
9. Durée et résiliation
Le présent DPA prend effet à la date d'acceptation des CGU par le Responsable et reste en vigueur tant que JOL Studio traite des Données Personnelles pour son compte.
À la résiliation, JOL Studio supprime ou retourne les données dans les 30 jours, sauf obligation légale de conservation contraire.
10. Loi applicable
Le présent DPA est soumis au droit français et à l'interprétation des autorités européennes (CEPD, CNIL).
ANNEXE 1 — Mesures techniques et organisationnelles
1. Mesures techniques
| Mesure | Mise en œuvre |
|---|---|
| Pseudonymisation | UUID utilisé comme identifiant primaire |
| Chiffrement transit | TLS 1.3 obligatoire (HSTS forcé) |
| Chiffrement repos | AES-256 (Supabase Storage), chiffrement disque (Postgres) |
| Authentification | Mots de passe bcrypt + JWT signé HMAC-SHA256 |
| MFA | Disponible et configurable par utilisateur |
| Cloisonnement | Row-Level Security (RLS) PostgreSQL — isolation par entreprise_id |
| Sauvegardes | Quotidiennes, externalisées chez Backblaze B2 EU, 30 jours rétention |
| Logs | Conservés 12 mois pour traçabilité |
| Tests | Audits réguliers des policies RLS et de l'isolation des données |
2. Mesures organisationnelles
| Mesure | Mise en œuvre |
|---|---|
| Accès aux données | Limité au personnel ayant un besoin opérationnel justifié |
| Engagement de confidentialité | Contrat de travail / convention sous-traitant |
| Formation | Sensibilisation périodique au RGPD et à la sécurité |
| Procédure incident | Documentée — notification CNIL et clients sous 72 h |
| Sauvegarde | Tests de restauration trimestriels |
| Suivi sous-traitants | Audit des DPA des sous-traitants ultérieurs |
ANNEXE 2 — Sous-traitants ultérieurs autorisés
| Nom | Rôle | Localisation | Garanties |
|---|---|---|---|
| Cloudflare, Inc. | Hébergement web statique (Pages) | Anycast mondial — edge UE | DPA + SCC 2021/914 + DPF |
| Supabase Inc. | Base de données + Auth + Storage | eu-west-3 (Paris, France) | DPA + SCC |
| Stripe Payments Europe Ltd. | Paiement abonnements | Irlande + USA | DPA + SCC + DPF |
| Google LLC (Gemini API) | OCR à la demande | EU + USA | DPA + SCC + DPF |
| Backblaze, Inc. | Sauvegardes externes chiffrées | USA | DPA + SCC |
| Apple Inc. | Distribution app iOS (App Store) | Mondial | App Store DPA |
| Google LLC (Play Store, à venir) | Distribution app Android | Mondial | Play Console DPA |
Toute évolution de cette liste sera notifiée au Responsable au moins 30 jours avant la prise d'effet, avec possibilité d'objection.
JOL Studio — CompliDoc — Data Processing Agreement v1.0 — 30/04/2026
Ce DPA peut être téléchargé en PDF signé sur demande à [email protected]
Retour à l'accueil