Accord de Traitement des Données (DPA)
DATA PROCESSING AGREEMENT (DPA)
Dernière mise à jour : 10 octobre 2025
Titulaire : World Delete LLC
FEI/EIN : 30-1251788
Adresse enregistrée : 4300 Biscayne Blvd, Suite 203, Miami, FL 33137, USA
Courriel de contact : [email protected]
1. Objet et finalité
Le présent Accord de Traitement des Données (ci-après, l'« Accord » ou « DPA ») régit le traitement des données personnelles que World Delete LLC (ci-après, le « Sous-traitant ») effectue pour le compte du Client (ci-après, le « Responsable du Traitement ») durant la prestation des services contractés, conformément aux dispositions du Règlement (UE) 2016/679 (RGPD) et du Florida Digital Privacy Act (FDPA). Le Sous-traitant s'engage à traiter les données personnelles uniquement selon les instructions documentées du Responsable et pour l'exécution du contrat principal de services de réputation numérique, de suppression de contenu et de protection des données.
2. Durée
Le présent Accord restera en vigueur tant qu'existeront des traitements de données personnelles découlant de la relation contractuelle entre les parties.
Une fois cette relation terminée, les données seront restituées ou supprimées conformément aux dispositions de l'article 10 du présent Accord.
3. Nature et type de données traitées
Le traitement pourra inclure les catégories suivantes :
- Données d'identification : nom, prénoms, adresse, téléphone, courrier électronique, pièce d'identité.
- Données financières ou de facturation : informations bancaires ou de paiement.
- Données de réputation numérique : liens, articles, URL ou publications en ligne liés au client.
- Données techniques : adresses IP, métadonnées ou journaux d'accès.
- Données de vérification KYC/AML : images faciales et documents officiels.
4. Obligations du Sous-traitant (World Delete)
World Delete s'engage à :
- Traiter les données personnelles uniquement conformément aux instructions documentées du Responsable.
- Garantir que le personnel autorisé à traiter les données est soumis à une confidentialité contractuelle.
- Mettre en œuvre des mesures techniques et organisationnelles adéquates conformes à ISO 27001:2022 et ISO 9001:2015, afin de garantir la sécurité, l'intégrité et la disponibilité des données.
- Assister le Responsable dans le traitement des demandes d'exercice des droits des personnes concernées (accès, rectification, effacement, opposition, limitation ou portabilité).
- Notifier sans retard injustifié toute violation de sécurité des données personnelles et collaborer à sa mitigation.
- Ne pas transférer de données personnelles à des tiers ou sous-traitants ultérieurs sans autorisation préalable du Responsable, sauf pour des motifs légaux ou techniques impératifs.
- Tenir un registre actualisé des activités de traitement, disponible pour inspection par les autorités compétentes.
5. Sous-traitants ultérieurs autorisés
Le Responsable autorise expressément le Sous-traitant à recourir aux sous-traitants ultérieurs suivants, uniquement à des fins techniques ou opérationnelles :
Prestataire / Sous-traitant ultérieur | Finalité du traitement | Localisation / Politique de confidentialité |
Amazon Web Services (AWS) | Infrastructure et stockage dans le cloud. | https://aws.amazon.com/privacy/ |
Contabo GmbH | Hébergement secondaire et copies de sauvegarde. | |
Cloudflare, Inc. | Sécurité, mitigation DDoS et CDN. | https://www.cloudflare.com/privacypolicy/ |
Microsoft Corporation | Outils analytiques (Clarity) et systèmes d'IA réputationnelle. | https://privacy.microsoft.com |
Google LLC | Analyse web, Tag Manager, performance et publicité. | https://policies.google.com/privacy |
Automattic Inc. (WordPress) | CMS, plugins et formulaires. | https://automattic.com/privacy/ |
Markets Prolive 360, S.L. (Didit.me) | Vérification KYC/AML et validation d'identité. | https://didit.me/privacy-policy |
World Delete garantira que tous les sous-traitants ultérieurs respectent des obligations équivalentes à celles établies dans le présent DPA.
6. Transferts internationaux de données
Tout transfert hors de l'Espace Économique Européen sera effectué sous les Clauses Contractuelles Types (SCC) approuvées par la Commission européenne ou des mécanismes d'adéquation équivalents. Dans le cas de prestataires établis aux États-Unis, l'adhésion au cadre EU-US Data Privacy Framework sera vérifiée, lorsqu'il est applicable.
7. Mesures de sécurité
World Delete applique des mesures de sécurité techniques et organisationnelles fondées sur ses certifications ISO 27001 et ISO 9001, parmi lesquelles :
- Chiffrement des données en transit et au repos (TLS 1.3 / AES-256).
- Contrôle des accès et authentification multifacteur.
- Copies de sauvegarde chiffrées et redondantes.
- Audits internes et tests de pénétration (Netitude).
- Enregistrement et supervision des accès aux systèmes critiques.
8. Assistance au Responsable
World Delete assistera le Responsable dans :
- Les notifications de violations de sécurité.
- Les analyses d'impact (DPIA).
- Le respect des audits ou exigences réglementaires.
Les coûts découlant de demandes extraordinaires ou hors du périmètre contractuel pourront être facturés après approbation écrite du Responsable.
9. Audits et vérifications
Le Responsable pourra demander une vérification ou un audit documentaire concernant les mesures techniques et organisationnelles adoptées. World Delete pourra fournir ses certifications ISO, rapports Netitude ou documentation de conformité comme preuve suffisante. Les audits sur place nécessiteront une coordination préalable avec au moins 30 jours d'anticipation et devront être réalisés sans interférer avec l'exploitation de la sécurité.
10. Restitution ou suppression des données
À la fin de la relation contractuelle, World Delete procédera, selon les indications du Responsable, à :
- Supprimer toutes les données personnelles traitées, ou
- Les restituer de manière sécurisée dans un format structuré et lisible.
La suppression sera effectuée par effacement sécurisé certifié (wipe 3-pass) conformément à ISO 27040, avec conservation d'une trace documentaire de l'opération.
11. Confidentialité
Toute information, documentation ou donnée à laquelle World Delete a accès sera considérée comme confidentielle. Le Sous-traitant garantira que l'ensemble de son personnel et de ses sous-traitants ultérieurs maintiennent des obligations de secret professionnel indéfinies, y compris après la résiliation du contrat.
12. Législation applicable et juridiction
Le présent Accord sera régi par les lois de l'État de Floride (États-Unis), sans préjudice des règles impératives du Règlement (UE) 2016/679 (RGPD). Les parties se soumettent aux tribunaux du comté de Miami-Dade, Floride, avec renonciation à tout autre for. En cas de conflit d'interprétation, la version anglaise du document prévaudra.
