← Retour à l'inscription

Accord de Traitement des Données

Data Processing Agreement — RGPD Article 28

Dernière mise à jour : 22 mars 2026

Préambule

Le présent Accord de Traitement des Données (ci-après « DPA ») est conclu entre l'Utilisateur et/ou l'Organisation qu'il représente (ci-après « le Client ») et MILEO TECHNOLOGY, société par actions simplifiée unipersonnelle (SASU), RCS Paris 980 529 481, TVA FR17980529481, 47 Boulevard de Courcelles, 75008 Paris, représentée par Nathan Lafontaine, Président (ci-après « le Prestataire »), conformément à l'article 28 du Règlement Général sur la Protection des Données (RGPD — UE 2016/679).

Ce DPA fait partie intégrante des Conditions Générales d'Utilisation et des Conditions Générales de Vente de MileoApp. En acceptant ces conditions, le Client accepte également le présent DPA.

Article 1 — Objet et périmètre

Le Prestataire traite des données personnelles pour le compte du Client dans le cadre exclusif de la fourniture du service MileoApp. Le présent accord définit les obligations respectives des parties en matière de protection des données personnelles.

Article 2 — Données traitées

CatégorieDonnéesFinalitéBase légale
IdentificationNom complet, email professionnel, rôleGestion des comptes utilisateursArt. 6.1.b — Contrat
AuthentificationMot de passe (hash Argon2id), secret MFA (chiffré)Sécurité des accèsArt. 6.1.f — Intérêt légitime
ConnexionAdresse IP, user-agent, empreinte appareilDétection d'intrusion, auditArt. 6.1.c — Obligation légale (NIS 2)
AuditActions effectuées, horodatageConformité NIS 2 / ANSSIArt. 6.1.c — Obligation légale
MétierContenus créés par le Client (plans, rapports, documents)Fourniture du ServiceArt. 6.1.b — Contrat

Article 3 — Obligations du Prestataire

Conformément à l'article 28.3 du RGPD, le Prestataire s'engage à :

  1. Instruction documentée (Art. 28.3.a) — Ne traiter les données que sur instruction documentée du Client, sauf obligation légale contraire.
  2. Confidentialité (Art. 28.3.b) — Garantir que les personnes autorisées à traiter les données sont soumises à une obligation de confidentialité.
  3. Sécurité (Art. 28.3.c) — Mettre en œuvre les mesures techniques et organisationnelles appropriées (détaillées à l'Article 5).
  4. Sous-traitance (Art. 28.3.d) — Ne pas recruter de sous-traitant ultérieur sans autorisation écrite préalable du Client.
  5. Assistance (Art. 28.3.e) — Aider le Client à répondre aux demandes d'exercice des droits des personnes concernées.
  6. Conformité (Art. 28.3.f) — Aider le Client pour les obligations des articles 32 à 36 (sécurité, notification, DPIA).
  7. Suppression (Art. 28.3.g) — Au terme de la prestation, supprimer ou restituer toutes les données personnelles, et détruire les copies existantes.
  8. Audit (Art. 28.3.h) — Mettre à disposition toutes les informations nécessaires pour démontrer le respect des obligations, y compris permettre la réalisation d'audits.

Article 4 — Sous-traitants ultérieurs

Le Prestataire fait appel aux sous-traitants suivants, acceptés par le Client :

Sous-traitantFinalitéLocalisationGaranties
OVHcloud SASHébergement serveurs et base de donnéesRoubaix, France (UE)DPA OVH, certifié ISO 27001, HDS
Have I Been PwnedVérification de compromission d'emailAustralieK-anonymity : seuls 5 caractères du hash SHA-1 sont transmis. Aucune donnée personnelle identifiable n'est envoyée.

Le Prestataire informera le Client de tout changement de sous-traitant avec un préavis de 30 jours. Le Client pourra s'opposer à ce changement.

Article 5 — Mesures de sécurité (Art. 32)

Le Prestataire met en œuvre les mesures suivantes :

Chiffrement

  • En transit : TLS 1.2/1.3 avec cipher suites ANSSI (AES-256-GCM, ChaCha20-Poly1305, X25519)
  • Au repos : LUKS2 AES-256-XTS sur les volumes de données
  • Mots de passe : Argon2id (64 Mo mémoire, 3 itérations) — recommandation ANSSI R29

Contrôle d'accès

  • Authentification JWT RS256 avec rotation des clés
  • Authentification multifacteur (MFA TOTP) obligatoire pour les administrateurs
  • Rôles hiérarchiques : Owner > Admin > User > Viewer
  • ABAC (Attribute-Based Access Control) avec restrictions IP et horaires
  • Row-Level Security PostgreSQL : isolation stricte des données entre organisations

Journalisation

  • Audit log structuré JSON avec chaînage d'intégrité SHA-256
  • Traçabilité : utilisateur, action, horodatage, IP, request ID
  • Rétention : 1 an glissant (conformité NIS 2)

Infrastructure

  • Durcissement serveur conforme ANSSI actionnable-linux (15 contrôles)
  • Sauvegardes chiffrées GPG quotidiennes avec WAL archiving
  • Contrôle d'intégrité fichiers (AIDE)
  • Détection d'intrusion (fail2ban, auditd, rkhunter)

Article 6 — Transferts hors UE

Aucun transfert de données personnelles hors de l'Union européenne n'est effectué. L'hébergement est situé chez OVHcloud à Roubaix, France.

La seule communication hors UE concerne Have I Been Pwned (Australie), qui ne reçoit aucune donnée personnelle identifiable (k-anonymity : 5 premiers caractères d'un hash SHA-1).

Article 7 — Notification de violation

Le Prestataire notifie le Client de toute violation de données personnelles dans un délai maximum de 48 heures après en avoir pris connaissance, conformément à l'article 33.2 du RGPD.

La notification inclut :

  • La nature de la violation
  • Les catégories et le nombre approximatif de personnes concernées
  • Les conséquences probables
  • Les mesures prises ou proposées

Le Prestataire dispose d'un système automatisé de détection de fuites (Have I Been Pwned) et de notification (email DPO + email utilisateurs).

Article 8 — Droit d'audit

Le Client peut auditer ou faire auditer le respect du présent accord, avec un préavis raisonnable de 30 jours. Le Prestataire met à disposition :

  • Le registre des traitements (API : GET /admin/gdpr/registry)
  • Le rapport de conformité NIS 2 (API : GET /admin/compliance/nis2)
  • L'analyse d'impact (DPIA)
  • Les journaux d'audit
  • Le plan de réponse aux incidents

Article 9 — Restitution et suppression

À l'expiration ou à la résiliation du contrat, le Client dispose d'un délai de 30 jours pour exporter ses données via les outils de la plateforme (RGPD Art. 20 — portabilité).

Passé ce délai, le Prestataire procède à la suppression sécurisée de toutes les données personnelles du Client, sauf obligation légale de conservation. Un certificat de destruction peut être fourni sur demande.

Article 10 — Durée

Le présent accord est conclu pour la durée de la relation contractuelle entre les parties. Il prend fin à la restitution ou suppression complète des données personnelles.

Article 11 — Droit applicable

Le présent accord est soumis au droit français et au RGPD (UE 2016/679). En cas de litige, les tribunaux compétents de Paris seront seuls compétents.

Article 12 — Contact

  • MILEO TECHNOLOGY (SASU) — RCS Paris 980 529 481
  • 47 Boulevard de Courcelles, 75008 Paris
  • DPO : dpo@mileoapp.fr
  • Téléphone : 01 89 71 47 99
Retour à l'inscription