Reglyo

Data Processing Agreement (DPA)

Le présent Accord de Traitement des Données (Data Processing Agreement, ci-après « DPA ») encadre les modalités selon lesquelles Reglyo, en qualité de sous-traitant, traite des données à caractère personnel pour le compte de ses clients (responsables de traitement), conformément à l'article 28 du Règlement (UE) 2016/679 (RGPD).

Dernière mise à jour : 10 mai 2026Version 1.0

1. Préambule

Le présent DPA fait partie intégrante du contrat de service conclu entre :

  • Le Client(ci-après le « Responsable de traitement ») : l'Utilisateur ou l'Organisation ayant souscrit un abonnement au Service Reglyo.
  • Reglyo (ci-après le « Sous-traitant ») : [À COMPLÉTER : raison sociale exacte], dont le siège est situé [À COMPLÉTER : adresse ligne 1], [À COMPLÉTER : code postal] [À COMPLÉTER : ville], France.

Le présent DPA prévaut sur toute disposition contraire des Conditions Générales d'Utilisation pour ce qui concerne strictement le traitement de données à caractère personnel.

2. Définitions

Les termes en majuscule non définis dans le présent DPA ont la signification qui leur est donnée par le RGPD (Règlement (UE) 2016/679) — notamment : « Données à caractère personnel », « Traitement », « Responsable de traitement », « Sous-traitant », « Personne concernée », « Violation de données à caractère personnel ».

3. Objet et nature du traitement

Le Sous-traitant est autorisé à traiter, pour le compte du Responsable de traitement, les Données à caractère personnel nécessaires pour fournir les services suivants :

  • Hébergement des données saisies dans la plateforme Reglyo ;
  • Génération de documents de conformité (registres, plans d'action, DPIA) ;
  • Analyse automatisée du site web du Responsable (Module Scanner RGPD) ;
  • Réponses contextualisées du module Assistant IA, fondées sur le RGPD/AI Act/NIS2 ;
  • Notifications réglementaires par email.

La nature du traitement est exclusivement conservatoire et opérationnelle. Les données ne sont en aucun cas exploitées à des fins de marketing, de revente ou de profilage commercial.

4. Durée

Le présent DPA prend effet à la date d'acceptation des CGU par le Responsable de traitement et reste en vigueur tant que le Sous-traitant traite des données pour son compte. Il prendra fin automatiquement à la résiliation du contrat de service, sous réserve des obligations post-contractuelles (cf. paragraphe 13).

5. Catégories de personnes et de données concernées

Personnes concernées : salariés, mandataires sociaux, prestataires, clients et prospects du Responsable de traitement, dont les données sont saisies dans la plateforme.

Catégories de données :

  • Données d'identification professionnelle (nom, prénom, fonction, email, téléphone)
  • Données contractuelles (registres de traitements, informations sur les sous-traitants)
  • Données techniques (logs d'accès aux outils IA inventoriés, métadonnées des documents générés)

Le Responsable de traitement s'engage à ne pas saisirde données sensibles au sens de l'article 9 du RGPD (santé, opinions politiques, religion, orientation sexuelle, etc.) dans la plateforme Reglyo, sauf accord écrit préalable du Sous-traitant et mise en place de mesures techniques renforcées.

6. Obligations du Sous-traitant

Le Sous-traitant s'engage à :

  • Traiter les Données à caractère personnel uniquement sur instruction documentée du Responsable de traitement (les CGU et la configuration de la plateforme valant instructions documentées) ;
  • Garantir la confidentialité des données (engagements de confidentialité signés par toute personne y ayant accès au sein du Sous-traitant) ;
  • Mettre en œuvre les mesures techniques et organisationnelles décrites au paragraphe 7 ;
  • Respecter les conditions d'intervention de Sous-traitants ultérieurs (paragraphe 8) ;
  • Notifier le Responsable de traitement de toute Violation de données dans les meilleurs délais (paragraphe 10) ;
  • Apporter son assistance au Responsable de traitement pour le respect de ses propres obligations RGPD (paragraphe 11) ;
  • Restituer ou supprimer les données à la fin du contrat selon les modalités du paragraphe 13.

7. Mesures de sécurité (article 32 RGPD)

Le Sous-traitant met en œuvre les mesures techniques et organisationnelles appropriées suivantes :

  • Chiffrement : chiffrement TLS 1.3 en transit et chiffrement AES-256 au repos pour toutes les données stockées (Supabase Postgres avec column encryption pour les champs sensibles).
  • Cloisonnement multi-tenant :Row-Level Security (RLS) Postgres garantissant qu'une Organisation ne peut jamais accéder aux données d'une autre.
  • Authentification forte :connexion via lien magique unique (Resend) ou OAuth Google avec vérification de l'email professionnel.
  • Gestion des accès : principe du moindre privilège, authentification à deux facteurs (2FA) obligatoire pour les comptes administrateurs internes Reglyo.
  • Sauvegardes : snapshots quotidiens chiffrés avec rétention de 30 jours, restauration testée mensuellement.
  • Journalisation : traçabilité des accès et modifications pendant 12 mois minimum.
  • Sécurité applicative : revue de code par les pairs, dépendances mises à jour automatiquement (Dependabot), tests automatisés sur chaque déploiement.
  • Plan de continuité : infrastructure multi-AZ (Vercel + Supabase Frankfurt), monitoring 24/7 (Sentry).
  • Formation : sensibilisation annuelle des équipes Reglyo aux risques RGPD et bonnes pratiques de cybersécurité.

8. Sous-traitants ultérieurs

Le Responsable de traitement autorise le Sous-traitant à recourir aux sous-traitants ultérieurs listés dans la politique de confidentialité (section 5).

Tout ajout ou changement de sous-traitant ultérieur sera notifié au Responsable de traitement par email au moins trente (30) joursavant son entrée en vigueur. Le Responsable peut s'y opposer, auquel cas le contrat de service pourra être résilié sans frais s'il n'est pas possible de poursuivre le service sans ce sous-traitant.

9. Transferts hors UE

La majorité des données sont stockées dans l'Union européenne (Frankfurt, Allemagne). Lorsqu'un transfert vers un pays tiers est nécessaire (par exemple Resend, Anthropic, Voyage AI), il est encadré par :

  • Les Clauses Contractuelles Types(CCT/SCC) approuvées par la Commission européenne par décision 2021/914 ;
  • Le cas échéant, des mesures techniques additionnelles(chiffrement, pseudonymisation) lorsque le pays tiers ne bénéficie pas d'une décision d'adéquation ;
  • Une analyse d'impact des transferts (TIA) documentée et tenue à disposition du Responsable de traitement sur demande.

10. Notification des violations

En cas de Violation de données à caractère personnel concernant les données du Responsable de traitement, le Sous-traitant le notifiera sans délai indu et au plus tard dans les 72 heuressuivant la prise de connaissance de la violation, par email à l'adresse de contact renseignée dans le compte.

La notification précisera, dans la mesure du possible :

  • La nature de la violation et les catégories de données concernées ;
  • Le nombre approximatif de personnes concernées ;
  • Les conséquences probables ;
  • Les mesures prises ou envisagées pour limiter les effets négatifs.

11. Assistance au Responsable de traitement

Le Sous-traitant assistera le Responsable de traitement, dans la mesure du possible, pour répondre aux obligations suivantes :

  • Répondre aux demandes d'exercice des droits des personnes concernées (accès, rectification, effacement, portabilité, opposition) ;
  • Réaliser une analyse d'impact relative à la protection des données (AIPD/DPIA) en fournissant les informations nécessaires sur la nature du traitement ;
  • Démontrer le respect des obligations RGPD (audit, certification, registre des traitements).

12. Audit

Le Responsable de traitement peut, à ses frais, faire procéder à un audit du respect des obligations du présent DPA, par lui-même ou par un auditeur tiers indépendant qu'il mandate, sous réserve d'un préavis raisonnable de trente (30) jours et de l'engagement de confidentialité de l'auditeur.

À titre alternatif, le Sous-traitant peut fournir au Responsable les rapports d'audit tiers les plus récents (par exemple SOC 2 Type II de ses sous-traitants ultérieurs) tenant lieu de preuves de conformité.

13. Fin du contrat

À la fin du contrat de service, le Responsable de traitement choisit :

  • La restitution :export complet des données dans un format ouvert (JSON ou CSV) — disponible pendant 30 jours via la plateforme ;
  • La suppression :à défaut d'export ou de demande contraire, les données seront irrémédiablement supprimées dans les 30 jours suivant la fin du contrat (y compris dans les sauvegardes, conformément aux cycles de rotation).

Une attestation de suppression peut être fournie sur demande à dpo@reglyo.fr.

Pour toute question relative à ce DPA, contactez le DPO Reglyo à dpo@reglyo.fr. Une version signée électroniquement peut être fournie aux clients qui en font la demande.