Accord de traitement des données (DPA)
Conforme à l’article 28 du RGPD. Ce texte décrit les engagements de Filarr lorsqu’il traite des données pour le compte d’un client professionnel. Une version signée est disponible sur demande à contact@filarr.com.
1. Parties et rôles
Le présent accord encadre le traitement de données à caractère personnel par Filarr (édité par Mathis Belouar-Pruvot, « le Sous-traitant ») pour le compte du client professionnel (« le Responsable de traitement ») dans le cadre de l’utilisation des services Filarr Send / File Request / Teams. Il complète les Conditions générales d’utilisation et la Politique de confidentialité.
2. Objet, durée, nature et finalité
Objet : le transfert et la collecte de fichiers chiffrés de bout en bout et les métadonnées associées. Durée : la durée du contrat de service. Nature et finalité : héberger des fichiers chiffrés (illisibles par le Sous-traitant) et leurs métadonnées afin de permettre leur partage ou leur collecte par le Responsable de traitement et ses correspondants.
3. Catégories de données et de personnes
Données traitées : contenu des fichiers (chiffré, opaque pour le Sous-traitant) ; métadonnées techniques (horodatages, taille, nombre de vues, pays et sous-réseau /16 — jamais l’adresse IP complète, qui n’est conservée que sous forme de condensat) ; pour les comptes : adresse e-mail et données de facturation. Personnes concernées : les utilisateurs du Responsable de traitement et leurs correspondants (déposants/destinataires).
4. Obligations du Sous-traitant
Le Sous-traitant : (a) ne traite les données que sur instruction documentée du Responsable de traitement ; (b) garantit la confidentialité des personnes autorisées à traiter ; (c) met en œuvre les mesures de sécurité décrites à l’article 7 ; (d) assiste le Responsable de traitement pour répondre aux demandes d’exercice des droits des personnes ; (e) l’assiste pour la notification des violations et, le cas échéant, les analyses d’impact ; (f) supprime ou restitue les données en fin de contrat ; (g) informe immédiatement le Responsable de traitement s’il estime qu’une instruction constitue une violation du RGPD ou d’une autre disposition applicable en matière de protection des données.
5. Sous-traitants ultérieurs
Le Responsable de traitement autorise le recours aux sous-traitants ultérieurs listés publiquement, à jour, sur la page Sous-traitants. Le Sous-traitant informe avant l’ajout ou le remplacement de tout sous-traitant ultérieur et permet l’objection. Il impose à chaque sous-traitant ultérieur des obligations de protection équivalentes.
6. Transferts internationaux
Les fichiers chiffrés sont stockés en Union européenne (Cloudflare R2, Frankfurt). Lorsqu’un sous-traitant est établi hors UE, le transfert est encadré par les Clauses contractuelles types de la Commission européenne. Pour le contenu des fichiers, le chiffrement de bout en bout fait qu’aucun transfert ne porte sur des données lisibles.
7. Mesures techniques et organisationnelles
Chiffrement de bout en bout des fichiers (AES-256-GCM) avec clés générées et détenues côté client ; la clé ne transite jamais en clair par le serveur. Mots de passe de partage dérivés via Argon2id (résistant à la force brute). Chiffrement en transit (TLS). Cloisonnement des données par compte/organisation. Minimisation : adresses IP conservées uniquement sous forme de condensat ; localisation réduite au pays et au sous-réseau /16. Rétention courte et expiration automatique des partages. Révocation et suppression réelle des objets de stockage. Journaux d’audit en métadonnées uniquement.
8. Violation de données
Le Sous-traitant notifie le Responsable de traitement sans retard injustifié après avoir eu connaissance d’une violation affectant les données traitées pour son compte, et fournit les informations utiles pour permettre au Responsable de respecter ses propres obligations de notification.
9. Audit
Le Sous-traitant met à disposition les informations nécessaires pour démontrer le respect de l’article 28 RGPD et permet des audits raisonnables, sur préavis, dans le respect de la confidentialité et de la sécurité des autres clients.
10. Suppression et restitution
En fin de contrat, et au choix du Responsable de traitement, le Sous-traitant supprime ou restitue les données, et supprime les copies existantes, sauf obligation légale de conservation. Les partages expirent et sont supprimés automatiquement.