Data Processing Agreement (DPA)

Version 2026.05 · en vigueur depuis le 15 mai 2026

Le présent Data Processing Agreement (DPA) est conclu entre :

- Le Responsable du traitement : le Client de Coffrify (l'organisation cliente).
- Le Sous-traitant : Evorax Technologies (Micro-entreprise, SIREN 102146594, sis 13 rue des chevreuils, 68990 Heimsbrunn, France).

Il fait partie intégrante des CGV B2B et a vocation à encadrer le traitement des données personnelles conformément à l'article 28 du RGPD.

1. Définitions

Les termes "Données à caractère personnel", "Traitement", "Sous-traitant", "Sous-traitant ultérieur" et "Violation" ont le sens défini par le RGPD (Règlement UE 2016/679).

2. Objet & durée

Le DPA régit le traitement des données personnelles que le Sous-traitant effectue pour le compte du Responsable dans le cadre de la fourniture du service Coffrify. Il prend effet à la souscription au service Pro/Ultra et reste en vigueur jusqu'à la suppression de toutes les données du Client.

3. Nature & finalité du traitement

  • Nature : stockage chiffré, transmission, restitution de fichiers.
  • Finalité : exécution du service Coffrify (transfert sécurisé).
  • Durée : durée de l'abonnement + délais de suppression contractuels.

4. Catégories de personnes concernées

Membres du workspace du Client, destinataires des transferts (peuvent être tiers), administrateurs IT du Client.

5. Catégories de données traitées

  • Identifiants (email, nom, mot de passe haché).
  • Métadonnées de transfert (taille, dates, expirations, nombre de téléchargements).
  • Contenu des fichiers (chiffré AES-256 server-side ou E2E v1 zero-knowledge).
  • Données de facturation (gérées via Stripe — voir DPA Stripe).
  • Logs techniques (IP, user-agent, horodatage).

6. Obligations du Sous-traitant

  1. Traiter les Données uniquement sur instruction documentée du Responsable.
  2. Garantir la confidentialité des Données et former le personnel autorisé.
  3. Mettre en œuvre les mesures techniques et organisationnelles (TOM) appropriées (Art. 32 RGPD).
  4. Notifier toute violation de Données au Responsable dans les 72h suivant sa découverte.
  5. Aider le Responsable à répondre aux demandes des personnes concernées (Art. 12-23 RGPD).
  6. Permettre des audits & inspections dans les conditions de l'Article 12.
  7. Tenir un registre des traitements (Art. 30.2 RGPD).

7. Sous-traitants ultérieurs

Le Client autorise le recours aux sous-traitants ultérieurs listés publiquement sur /legal/subprocessors. Tout ajout fera l'objet d'une notification 30 jours à l'avance. Le Client peut s'y opposer par écrit, ce qui ouvre la possibilité de résiliation sans frais.

8. Mesures techniques & organisationnelles (TOM)

  • Chiffrement : AES-256-GCM server-side et E2E v1 zero-knowledge (au choix).
  • Transport : TLS 1.3 sur tous les endpoints (HSTS, preload).
  • Stockage : Scaleway Multi-AZ Paris (souveraineté UE).
  • Accès : authentification multi-facteurs disponible, RBAC granulaire, audit logs.
  • Sauvegardes : point-in-time recovery 30 jours (base de données).
  • Tests d'intrusion : audits annuels par tiers indépendant (à partir de 2027).
  • Plan de reprise : RTO 4h, RPO 1h (cible Ultra).

9. Notification de violation

En cas de Violation, le Sous-traitant notifie le Responsable à legal@evorax.fr dans les 72 heures suivant la découverte, en précisant : nature, catégories et nombre approximatif de personnes concernées, conséquences probables, mesures prises ou proposées.

10. Restitution & suppression

À la fin du contrat, le Client peut exporter ses données au format ouvert via l'API ou son dashboard. Sans demande dans les 30 jours, le Sous-traitant supprime définitivement toutes les Données (purge immédiate + 30 jours en sauvegardes techniques puis effacement).

11. Transferts hors UE

Les Données principales (fichiers, base) restent dans l'Union européenne. Quelques sous-traitants opèrent depuis les USA (Vercel, SendGrid) sous couvert des Standard Contractual Clauses (SCC) approuvées par la Commission européenne (décision 2021/914).

12. Audit & inspection

Le Client peut demander un audit annuel des engagements DPA. Le Sous-traitant met à disposition les rapports d'audit récents (SOC 2 dès 2027). Les audits sur site sont possibles sur préavis de 30 jours, à la charge du Client si non-justifié par un incident.

13. Signature électronique

DPA déclenché à la souscription
L'acceptation des CGV B2B au moment de la souscription Pro/Ultra vaut acceptation pleine et entière du présent DPA. Pour une signature formelle PDF/DocuSign-like, contactez legal@evorax.fr.