Data Processing Agreement
Annexe au contrat de service EchoBridge · Conforme RGPD Article 28
Parties
À compléter lors de la signature
RCS Bobigny 945 316 925
24 Rue Frida Kahlo, 93000 Bobigny
DPO: Soulemane Sidibé — N° DPO-173959
Objet, durée et nature du traitement
Service SaaS de collecte, agrégation et restitution de données relatives au bien-être au travail, à la prévention des RPS et à l'élaboration du Document Unique d'Évaluation des Risques.
| Traitement | Finalité |
|---|---|
| Hébergement et restitution des votes d'humeur pseudonymisés | Production d'agrégats pour le Responsable |
| Hébergement et restitution des signalements anonymes | Alerte du Responsable aux fins de prévention |
| Hébergement des évaluations DUERP | Génération du Document Unique conforme R.4121-1 |
| Hébergement des données d'authentification | Authentification des utilisateurs autorisés |
| Envoi d'emails transactionnels | Notification fonctionnelle des utilisateurs |
Durée : pendant toute la durée du contrat de service. Le DPA prévaut sur toute autre stipulation contractuelle relative au traitement des données personnelles.
Catégories de données et de personnes
Personnes concernées : salariés du Responsable du traitement, administrateurs RH désignés, managers et chefs d'équipe.
Données de catégorie particulière (Art. 9 RGPD)
- Votes d'humeur pseudonymisés par SHA-256
- Réponses au baromètre QVCT pseudonymisées
- Contenu des signalements (harcèlement, discrimination, mal-être) — pseudonymisés par défaut
- Données DUERP saisies par le Responsable
Instructions du Responsable du traitement
Le Sous-traitant traite les données uniquement sur instructions documentées du Responsable. Le présent DPA, les CGV et le paramétrage du Responsable constituent les instructions initiales.
Toute instruction complémentaire est formulée par écrit à dpo@echobridge.fr.
Obligations du Sous-traitant
Personnes habilitées soumises à obligation contractuelle ou légale de confidentialité. Liste tenue à jour et accessible sur demande.
- TLS 1.3 sur toutes les communications
- Hachage Argon2id des mots de passe
- Pseudonymisation SHA-256 des données comportementales
- Isolation multi-tenant par Row Level Security PostgreSQL
- MFA disponible · Logs d'audit 12 mois
- Sauvegardes journalières (Supabase Pro)
| Sous-traitant ultérieur | Rôle | Localisation |
|---|---|---|
| Supabase Inc. (via AWS) | Base de données, authentification | 🇪🇺 Irlande EU-West-1 |
| Vercel Inc. | Hébergement front-end, CDN | 🇪🇺 Zone EU |
| Resend Inc. | Emails transactionnels | 🇪🇺 Irlande |
| Groq Inc. | Moteur IA (Analyste RH — plan Sérénité uniquement) | 🇺🇸 États-Unis DPA avec CCT UE 2021/914 |
Toute évolution fait l'objet d'un avenant écrit. Le Responsable dispose d'un droit d'opposition de 30 jours avec faculté de résiliation sans pénalité.
Seules des données agrégées et anonymisées sont transmises (scores moyens, comptages, types d'alertes). Aucun identifiant individuel, email, nom ou hash utilisateur. Ces données sont anonymes au sens du Considérant 26 RGPD.
Encadrement : DPA Groq Inc. incluant les CCT UE (décision 2021/914) — voir le DPA Groq
Notification au Responsable dans les 48 heures suivant la prise de connaissance. Assistance pour la notification CNIL (délai légal : 72 heures).
Assistance pour : réponses aux droits RGPD (Art. 15-22), sécurité (Art. 32), AIPD (Art. 35), consultation préalable (Art. 36).
Audit possible une fois par année contractuelle, sur préavis de 30 jours, pendant les heures ouvrables. Rapports SOC 2 / ISO 27001 fournis en complément dès certification.
Export JSON complet mis à disposition 30 jours après cessation. Effacement définitif sous 60 jours (sauvegardes incluses). Attestation d'effacement fournie sur demande.
Obligations du Responsable
- Documenter par écrit toute instruction donnée au Sous-traitant
- Veiller au respect de ses propres obligations RGPD pendant toute la durée
- Informer ses salariés du traitement par EchoBridge (Politique de confidentialité)
- Consulter le CSE avant déploiement si requis
- Superviser le traitement et réaliser les audits prévus
Responsabilité et assurance
Conformément à l'Art. 82 RGPD, chaque partie est responsable des dommages causés par un traitement en violation du RGPD, dans les limites prévues par les CGV.
Loi applicable et signatures
Droit français. Juridiction : Tribunal de commerce de Bobigny.
Date : ____________________
Signature :
Fonction : ________________
Date : ____________________
Signature :
Annexe A — Mesures techniques et organisationnelles
- TLS 1.3 sur toutes les communications réseau
- Mots de passe hachés Argon2id + sel unique (Supabase Auth)
- Pseudonymisation comportementale SHA-256 avec pepper par entreprise
- Plancher k-anonymat côté serveur (Row Level Security PostgreSQL)
- Headers HTTP sécurité : CSP, HSTS, X-Frame-Options, X-Content-Type-Options
- Authentification multi-facteurs disponible
- Hébergement Supabase EU-West-1 (Irlande) — offre standard
- Hébergement souverain OVH/Outscale France — offre Enterprise
- Isolation multi-tenant stricte au niveau base de données
- Sauvegardes journalières (Supabase Pro)
- DPO désigné CNIL — Soulemane Sidibé (N° DPO-173959)
- Accès production restreint au strict nécessaire (CTO uniquement)
- Tests d'intrusion annuels (à partir de 50 clients actifs)
