Aller au contenu principal
EXIOR
Pilot
Data Processing Agreement (DPA)

Accord de traitement des données — art. 28 RGPD

Version v3 · 1er mai 2026 · S'applique à toute prestation Cartographie et Run impliquant des données à caractère personnel.

1. Parties & rôles

Le Client est responsable de traitement (« controller »). Exior est sous-traitant (« processor ») au sens de l'article 28 RGPD. Exior agit exclusivement sur instructions documentées du Client.

2. Objet & finalité

Le traitement par Exior a pour finalité unique la fourniture des prestations Cartographie / Run décrites dans le bon de commande. Aucun traitement à finalité commerciale propre, aucun enrichissement de modèles tiers, aucune réutilisation de données client.

3. Catégories de données

  • Données financières comptables (FEC, GL, comptes consolidés) — selon le périmètre Cartographie.
  • Données opérationnelles (CRM extracts, ERP exports, ticketing) — selon Cartographie / Run.
  • Données RH agrégées (effectif, masse salariale, turnover) — sans données nominatives sauf accord explicite.
  • Données de contact des utilisateurs administrateurs (email, nom, fonction, langue).
Pas de données de santé, pas de données biométriques, pas de PII consommateurs (sauf option Sovereign sectorielle).

4. Durée

Pendant la durée du contrat. À la fin : suppression complète sous 30 jours, sauf demande de restitution préalable du Client.

5. Sous-traitants ultérieurs

Liste publique des sous-traitants : Stripe (paiement, US/IE), Hostinger / OVH / hébergeur EU (hébergement). Pour Sovereign : sous-traitance limitée à ce qui est explicitement validé contractuellement (souvent : aucune).

6. Localisation

Hébergement UE par défaut. Aucun transfert hors UE sans clauses contractuelles types (SCC) art. 46 RGPD ou décision d'adéquation. Sovereign peut exiger un hébergement strictement EU ou national, sans aucun sous-traitant hors-UE.

7. Sécurité

  • Chiffrement TLS 1.3 en transit, AES-256 au repos.
  • IAM strict, MFA obligatoire pour les opérateurs Exior.
  • Audit log signé append-only (CLAUDE.md § 10).
  • Cloisonnement par client : aucune donnée d'un client n'enrichit l'analyse d'un autre.
  • Pen-test trimestriel sur les lignes rouges (cf. doctrine Exior § X).

8. Droits des personnes concernées

Le Client (controller) reste l'interlocuteur des personnes concernées. Exior coopère sous 72 h ouvrées pour répondre aux demandes d'accès, rectification, effacement, portabilité, opposition.

9. Notification de violation

En cas de violation de données, Exior notifie le Client sous 24 heures de la découverte, par email à l'adresse du DPO ou du contact contractuel.

10. Audit & contrôle

Le Client peut auditer Exior une fois par an, à ses frais, avec préavis de 30 jours. Pour Sovereign : audit annuel par tier indépendant choisi par le Client, intégré au contrat-cadre.

11. Suppression & restitution

À la résiliation, le Client peut demander la restitution complète de ses données (export brut + dump structuré). Exior procède ensuite à la suppression définitive sous 30 jours, avec attestation signée.

12. Droit applicable

Droit français. Conformité RGPD (UE). Pour US : compatibilité CCPA et State privacy laws via DPA addendum sur demande.

Pour signature électronique du DPA : demande dédiée.