Accord de Traitement des Données
Data Processing Agreement — RGPD Article 28
Dernière mise à jour : 23 mars 2026
Préambule
Le présent Accord de Traitement des Données (ci-après « DPA ») est conclu entre l'Utilisateur et/ou l'Organisation qu'il représente (ci-après « le Client ») et MILEO TECHNOLOGY, société par actions simplifiée unipersonnelle (SASU), RCS Paris 980 529 481, TVA FR17980529481, 47 Boulevard de Courcelles, 75008 Paris, représentée par Nathan Lafontaine, Président (ci-après « le Prestataire »), conformément à l'article 28 du Règlement Général sur la Protection des Données (RGPD — UE 2016/679).
Ce DPA fait partie intégrante des Conditions Générales d'Utilisation et des Conditions Générales de Vente de MileoApp. En acceptant ces conditions, le Client accepte également le présent DPA.
Article 1 — Objet et périmètre
Le Prestataire traite des données personnelles pour le compte du Client dans le cadre exclusif de la fourniture du service MileoApp. Le présent accord définit les obligations respectives des parties en matière de protection des données personnelles.
Article 2 — Données traitées
2.1 — Données des Utilisateurs du Client
| Catégorie | Données | Finalité | Base légale |
|---|---|---|---|
| Identification | Nom complet, email professionnel, rôle | Gestion des comptes utilisateurs | Art. 6.1.b — Contrat |
| Authentification | Mot de passe (hash Argon2id), secret MFA (chiffré) | Sécurité des accès | Art. 6.1.f — Intérêt légitime |
| Connexion | Adresse IP, user-agent, empreinte appareil | Détection d'intrusion, audit | Art. 6.1.c — Obligation légale (NIS 2) |
| Audit | Actions effectuées, horodatage | Conformité NIS 2 / ANSSI | Art. 6.1.c — Obligation légale |
| Métier | Contenus créés par le Client (plans, rapports, documents) | Fourniture du Service | Art. 6.1.b — Contrat |
2.2 — Données des Clients Finaux (portail MyMileo)
Lorsque le Client utilise le module MyMileo (portail client), le Prestataire peut être amené à traiter les données personnelles des clients finaux du Client (ci-après « Clients Finaux »). Dans ce cadre, le Client est responsable de traitement et le Prestataire agit en qualité de sous-traitant.
| Catégorie | Données | Finalité | Base légale (du Client) |
|---|---|---|---|
| Identification | Nom complet, email, entreprise | Accès au portail client | Art. 6.1.b — Contrat (Client ↔ Client Final) |
| Accès par lien | Adresse IP, user-agent, horodatage de consultation | Traçabilité et sécurité d'accès | Art. 6.1.f — Intérêt légitime |
| Documents partagés | Rapports d'intervention, plans, documents techniques | Consultation par le Client Final | Art. 6.1.b — Contrat (Client ↔ Client Final) |
Le Client reconnaît être responsable de traitement pour les données personnelles de ses Clients Finaux et s'engage à :
- Disposer d'une base légale valide (contrat de prestation, consentement) pour le traitement des données de ses Clients Finaux via MileoApp.
- Informer ses Clients Finaux conformément aux articles 13 et 14 du RGPD de l'utilisation de MileoApp comme outil de traitement, en utilisant le cas échéant le modèle de mention d'information fourni par le Prestataire.
- Répondre aux demandes d'exercice de droits (accès, rectification, effacement, portabilité) de ses Clients Finaux, avec l'assistance technique du Prestataire si nécessaire.
- Ne pas transmettre au Prestataire de données sensibles au sens de l'article 9 du RGPD (données de santé, données biométriques, opinions politiques, etc.) concernant ses Clients Finaux, sauf accord écrit préalable.
Article 3 — Obligations du Prestataire
Conformément à l'article 28.3 du RGPD, le Prestataire s'engage à :
- Instruction documentée (Art. 28.3.a) — Ne traiter les données que sur instruction documentée du Client, sauf obligation légale contraire.
- Confidentialité (Art. 28.3.b) — Garantir que les personnes autorisées à traiter les données sont soumises à une obligation de confidentialité.
- Sécurité (Art. 28.3.c) — Mettre en œuvre les mesures techniques et organisationnelles appropriées (détaillées à l'Article 5).
- Sous-traitance (Art. 28.3.d) — Ne pas recruter de sous-traitant ultérieur sans autorisation écrite préalable du Client.
- Assistance (Art. 28.3.e) — Aider le Client à répondre aux demandes d'exercice des droits des personnes concernées.
- Conformité (Art. 28.3.f) — Aider le Client pour les obligations des articles 32 à 36 (sécurité, notification, DPIA).
- Suppression (Art. 28.3.g) — Au terme de la prestation, supprimer ou restituer toutes les données personnelles, et détruire les copies existantes.
- Audit (Art. 28.3.h) — Mettre à disposition toutes les informations nécessaires pour démontrer le respect des obligations, y compris permettre la réalisation d'audits.
Article 4 — Sous-traitants ultérieurs
Le Prestataire fait appel aux sous-traitants suivants, acceptés par le Client :
| Sous-traitant | Finalité | Localisation | Garanties |
|---|---|---|---|
| OVHcloud SAS | Hébergement serveurs et base de données | Roubaix, France (UE) | DPA OVH, certifié ISO 27001, HDS |
| Have I Been Pwned | Vérification de compromission d'email | Australie | K-anonymity : seuls 5 caractères du hash SHA-1 sont transmis. Aucune donnée personnelle identifiable n'est envoyée. |
Le Prestataire informera le Client de tout changement de sous-traitant avec un préavis de 30 jours. Le Client pourra s'opposer à ce changement.
Article 5 — Mesures de sécurité (Art. 32)
Le Prestataire met en œuvre les mesures suivantes :
Chiffrement
- En transit : TLS 1.2/1.3 avec cipher suites ANSSI (AES-256-GCM, ChaCha20-Poly1305, X25519)
- Au repos : LUKS2 AES-256-XTS sur les volumes de données
- Mots de passe : Argon2id (64 Mo mémoire, 3 itérations) — recommandation ANSSI R29
Contrôle d'accès
- Authentification JWT RS256 avec rotation des clés
- Authentification multifacteur (MFA TOTP) obligatoire pour les administrateurs
- Rôles hiérarchiques : Owner > Admin > User > Viewer
- ABAC (Attribute-Based Access Control) avec restrictions IP et horaires
- Row-Level Security PostgreSQL : isolation stricte des données entre organisations
Journalisation
- Audit log structuré JSON avec chaînage d'intégrité SHA-256
- Traçabilité : utilisateur, action, horodatage, IP, request ID
- Rétention : 1 an glissant (conformité NIS 2)
Infrastructure
- Durcissement serveur conforme ANSSI actionnable-linux (15 contrôles)
- Sauvegardes chiffrées GPG quotidiennes avec WAL archiving
- Contrôle d'intégrité fichiers (AIDE)
- Détection d'intrusion (fail2ban, auditd, rkhunter)
Article 6 — Transferts hors UE
Aucun transfert de données personnelles hors de l'Union européenne n'est effectué. L'hébergement est situé chez OVHcloud à Roubaix, France.
La seule communication hors UE concerne Have I Been Pwned (Australie), qui ne reçoit aucune donnée personnelle identifiable (k-anonymity : 5 premiers caractères d'un hash SHA-1).
Article 7 — Notification de violation
Le Prestataire notifie le Client de toute violation de données personnelles dans un délai maximum de 48 heures après en avoir pris connaissance, conformément à l'article 33.2 du RGPD.
La notification inclut :
- La nature de la violation
- Les catégories et le nombre approximatif de personnes concernées
- Les conséquences probables
- Les mesures prises ou proposées
Le Prestataire dispose d'un système automatisé de détection de fuites (Have I Been Pwned) et de notification (email DPO + email utilisateurs).
Article 8 — Droit d'audit
Le Client peut auditer ou faire auditer le respect du présent accord, avec un préavis raisonnable de 30 jours. Le Prestataire met à disposition :
- Le registre des traitements (API :
GET /admin/gdpr/registry) - Le rapport de conformité NIS 2 (API :
GET /admin/compliance/nis2) - L'analyse d'impact (DPIA)
- Les journaux d'audit
- Le plan de réponse aux incidents
Article 9 — Portail Client (MyMileo)
9.1 — Accès par compte
Le Client peut inviter ses Clients Finaux à créer un compte sur MileoApp avec un rôle restreint (lecture seule). Dans ce cas, le Client Final est soumis aux mêmes obligations d'acceptation des documents contractuels (CGU, Politique de confidentialité) et bénéficie des mêmes droits RGPD que tout Utilisateur de la plateforme (accès, rectification, effacement, portabilité).
9.2 — Accès par lien partagé
Le Client peut générer des liens d'accès sécurisés permettant à ses Clients Finaux de consulter des documents sans créer de compte. Ces liens :
- Ont une durée de validité configurable par le Client (par défaut : 30 jours).
- Sont à usage unique ou multiple selon la configuration du Client.
- Ne collectent que les données de connexion minimales (adresse IP, user-agent, horodatage de consultation) à des fins de traçabilité.
- Affichent un bandeau d'information RGPD précisant l'identité du responsable de traitement, la finalité de la collecte, et les droits du Client Final.
Le Client est responsable de la diffusion de ces liens et veille à ne les partager qu'avec les personnes autorisées.
9.3 — Suppression des données des Clients Finaux
Les données des Clients Finaux (comptes, accès par lien) sont supprimées :
- À la demande du Client ou du Client Final.
- À l'expiration du lien d'accès (pour les accès par lien).
- Lors de la résiliation de l'Abonnement du Client, selon les modalités de l'article 10.
Article 10 — Restitution et suppression
À l'expiration ou à la résiliation du contrat, le Client dispose d'un délai de 30 jours pour exporter ses données via les outils de la plateforme (RGPD Art. 20 — portabilité).
Passé ce délai, le Prestataire procède à la suppression sécurisée de toutes les données personnelles du Client, sauf obligation légale de conservation. Un certificat de destruction peut être fourni sur demande.
Article 11 — Durée
Le présent accord est conclu pour la durée de la relation contractuelle entre les parties. Il prend fin à la restitution ou suppression complète des données personnelles.
Article 12 — Droit applicable
Le présent accord est soumis au droit français et au RGPD (UE 2016/679). En cas de litige, les tribunaux compétents de Paris seront seuls compétents.
Article 13 — Contact
- MILEO TECHNOLOGY (SASU) — RCS Paris 980 529 481
- 47 Boulevard de Courcelles, 75008 Paris
- DPO : dpo@mileoapp.fr
- Téléphone : 01 89 71 47 99