Accord de traitement des données personnelles

Mentions légales CGV CGU DPA Politique de confidentialité

Accord de traitement des données personnelles (DPA)

Version : 3.0 Date d’entrée en vigueur : 2026-04-22

ENTRE

Le Responsable de traitement (ci-après « le Client ») :

Toute personne morale ayant souscrit, par un Bon de commande signé, au logiciel Aegis Vetis édité par ADRIEN VINET CONSULTING SASU.

Le Sous-traitant (ci-après « l’Éditeur » ou « le Sous-traitant ») :

ADRIEN VINET CONSULTING SASU Société par actions simplifiée unipersonnelle au capital de 100,00 € Siège social : 14 rue Bausset, 75015 Paris, France SIRET : 982 646 556 00018 — RCS Paris 982 646 556 N° TVA intracommunautaire : FR70982646556 Représentée par son Président, Adrien VINET, dûment habilité Délégué à la protection des données (DPO) : dpo@aegis-vetis.io

Article 1 — Objet et périmètre restreint

1.1 Objet

Le présent Accord de traitement des données personnelles (ci-après « DPA ») définit les conditions dans lesquelles l’Éditeur traite, pour le compte du Client, des données à caractère personnel dans le cadre de certaines activités limitativement énumérées ci-après, conformément à l’article 28 du Règlement (UE) 2016/679 (ci-après « RGPD »).

1.2 Périmètre restreint

Le logiciel Aegis Vetis est déployé exclusivement sur l’infrastructure du Client, sous sa responsabilité opérationnelle. L’Éditeur n’exploite pas le logiciel pour le compte du Client, ne collecte par défaut aucune donnée opérationnelle, et n’accède pas aux systèmes du Client.

L’Éditeur n’agit en qualité de sous-traitant du Client au sens de l’article 28 du RGPD que dans les situations limitativement énumérées ci-dessous :

  • (i) les accès ponctuels et supervisés consentis par le Client à l’Éditeur dans le cadre d’une demande de Support Ponctuel, selon les modalités définies par le Client (bastion, VPN dédié, session partagée) ;
  • (ii) le traitement des données administratives collectées par l’Éditeur via le Portail éditeur aux fins de la gestion du Contrat, à savoir : données d’identification des interlocuteurs du Client, données de facturation, contenu des tickets de support, documentation adressée au Client.

En dehors de ces deux périmètres, l’Éditeur n’intervient pas en qualité de sous-traitant du Client. Les données présentes sur l’infrastructure du Client et traitées par le logiciel y demeurent sous la responsabilité exclusive du Client.

1.3 Durée

Le présent DPA prend effet à la date d’effet du Contrat et demeure en vigueur pendant toute la durée du Contrat. Il se prolonge jusqu’à la suppression complète des données personnelles traitées par l’Éditeur, conformément à l’article 12 du présent DPA.

Article 2 — Définitions

Outre les termes définis aux Conditions Générales de Vente et aux Conditions Générales d’Utilisation, les termes ci-dessous ont, pour l’application du présent DPA, la signification suivante :

Données Administratives : données à caractère personnel traitées par l’Éditeur via le Portail éditeur aux fins de la gestion du Contrat, à l’exclusion de toute autre catégorie. Leurs catégories précises sont listées à l’article 4.

Données Opérationnelles : données à caractère personnel éventuellement présentes sur l’infrastructure du Client et traitées par le logiciel Aegis Vetis dans cette infrastructure (logs Kubernetes, configurations, métadonnées, événements, manifests, secrets, métriques, résultats d’audit). Ces données ne font pas l’objet du présent DPA et relèvent de la responsabilité exclusive du Client.

Données de Support Ponctuel : données à caractère personnel auxquelles l’Éditeur est exposé incidemment lors d’un Support Ponctuel dans l’infrastructure du Client, limitativement à la durée et au périmètre de l’intervention consentie par le Client, sans conservation par l’Éditeur au-delà de ce qui est nécessaire au diagnostic et à la réponse.

Personnes concernées : personnes physiques dont les données à caractère personnel sont traitées au titre du présent DPA (article 5).

Support Ponctuel : prestation d’assistance technique fournie par l’Éditeur au Client à la demande expresse et ponctuelle de ce dernier, dans les conditions de l’article 8 des CGU.

Sous-traitant ultérieur : toute personne physique ou morale, publique ou privée, qui traite des données à caractère personnel pour le compte de l’Éditeur dans l’exécution du présent DPA.

Article 3 — Nature, finalités et base légale du traitement

3.1 Nature du traitement

Au titre du présent DPA, l’Éditeur effectue les opérations de traitement suivantes :

  • la création, la maintenance et l’authentification des accès au Portail éditeur pour les Utilisateurs habilités par le Client ;
  • le traitement des données de facturation (émission, transmission, archivage des factures) ;
  • la réception, le traitement et l’archivage des tickets de Support Ponctuel ;
  • la mise à disposition de documentation adressée au Client via le Portail éditeur ;
  • la tenue des journaux d’accès et d’activité du Portail éditeur nécessaires à la sécurité et à la traçabilité ;
  • au titre des Support Ponctuels, l’intervention d’un préposé de l’Éditeur sur l’infrastructure du Client pour la seule durée et dans le seul périmètre consentis par ce dernier.

3.2 Finalités

Les traitements décrits à l’article 3.1 sont effectués exclusivement aux finalités suivantes :

  • exécution administrative du Contrat (accès au Portail éditeur, téléchargement de la Licence, suivi de compte) ;
  • facturation et recouvrement ;
  • fourniture du Support Ponctuel ;
  • respect des obligations légales et comptables de l’Éditeur (tenue des livres comptables, conservation des factures).

3.3 Base légale

Les traitements effectués par l’Éditeur reposent sur l’exécution des instructions documentées du Client, conformément à l’article 28, paragraphe 3, du RGPD. Les CGV, les CGU, le présent DPA et le Bon de commande constituent les instructions documentées initiales du Client. Toute instruction complémentaire est adressée par le Client par écrit à l’adresse dpo@aegis-vetis.io.

3.4 Exclusions explicites

L’Éditeur n’accède jamais par défaut à l’infrastructure du Client, ni aux Données Opérationnelles éventuellement traitées par le logiciel dans cette infrastructure.

L’Éditeur ne met en œuvre aucune fonctionnalité de télémétrie applicative, de remontée de journaux, de collecte automatique de diagnostic ou de callback réseau depuis les instances du logiciel déployées chez le Client.

Le logiciel ne comporte aucun canal de support ouvert à l’initiative de l’Éditeur sur les systèmes du Client. Les accès effectués au titre d’un Support Ponctuel sont strictement encadrés par l’article 8 des CGU et l’article 7 du présent DPA.

Article 4 — Catégories de données traitées

4.1 Données Administratives

Au titre du périmètre administratif défini à l’article 1.2 (ii), l’Éditeur traite les catégories de données suivantes :

CatégorieExemplesSensibilité
Identification professionnelle des interlocuteurs du ClientNom, prénom, fonction, adresse de courrier électronique professionnelle, téléphone professionnelStandard
Identification des Utilisateurs habilités au Portail éditeurIdentifiant de compte, rôle dans l’organisation, préférences d’interfaceStandard
Données de facturationRaison sociale, adresse de facturation, numéro SIREN, coordonnées bancaires professionnelles communiquées par le Client pour le règlement par virement SEPA, historique des facturesStandard
Journaux d’accès au Portail éditeurHorodatages de connexion, adresses IP de connexion, actions effectuées dans le Portail éditeurStandard
Contenus de tickets et pièces jointesMessages du Client, éléments techniques fournis par le Client (logs, extraits, manifests anonymisés)Variable (dépend de ce que le Client transmet)

Aucune autre catégorie de données n’est traitée par l’Éditeur au titre du périmètre administratif.

4.2 Données de Support Ponctuel

Au titre du périmètre du Support Ponctuel défini à l’article 1.2 (i), l’Éditeur peut être exposé incidemment à des données à caractère personnel présentes dans l’environnement du Client, pour la seule durée de l’intervention consentie par le Client.

L’Éditeur ne conserve ces données que dans la stricte mesure nécessaire au diagnostic et à la réponse. Les éléments techniques nécessaires au suivi du ticket (extraits de logs, diagnostics) transmis par le Client à l’Éditeur sont soumis aux durées de conservation du présent DPA (article 6).

4.3 Catégories particulières de données

L’Éditeur ne traite aucune donnée relevant des catégories particulières au sens de l’article 9 du RGPD (données de santé, données biométriques, données génétiques, opinions politiques, convictions religieuses, orientation sexuelle) ni des données relatives aux condamnations pénales au sens de l’article 10 du RGPD.

Si un Support Ponctuel venait à exposer l’Éditeur à de telles données dans l’environnement du Client, l’Éditeur en limite immédiatement le traitement, en informe le Client sans délai, et ne conserve aucune donnée de cette nature.

4.4 Données non collectées — précision expresse

L’Éditeur s’engage, de manière ferme, à ne pas collecter les Données Opérationnelles telles que définies à l’article 2. Cela couvre notamment, à titre indicatif et non exhaustif :

  • les valeurs des Secrets Kubernetes et des ConfigMaps du Client ;
  • les variables d’environnement des conteneurs du Client ;
  • les logs applicatifs et logs système du Client ;
  • les logs et événements Kubernetes du Client ;
  • les configurations, manifests et fichiers YAML du Client ;
  • le contenu des volumes persistants du Client ;
  • les données métier du Client et de ses propres clients ou utilisateurs ;
  • les clés privées, certificats et éléments cryptographiques du Client ;
  • les résultats d’audit produits par le logiciel dans l’infrastructure du Client ;
  • les métadonnées d’infrastructure Kubernetes du Client.

4.5 Cas particulier des Secrets Kubernetes

Pour évaluer certains contrôles structurels (type de secret, existence d’un certificat, chiffrement au repos, rotation), l’agent Aegis Vetis déployé dans l’infrastructure du Client doit disposer de droits de lecture (get, list, watch) sur les ressources secrets du cluster. Ces droits sont documentés publiquement à l’adresse aegis-vetis.io/securite#rbac et versionnés avec chaque release du Logiciel.

L’Éditeur s’engage expressément à ce que le code du Logiciel :

  • n’exporte jamais la valeur décodée d’un Secret en dehors du cluster du Client ;
  • ne journalise jamais la valeur décodée d’un Secret, que ce soit dans un journal local, dans un rapport généré, dans un ticket de support ou dans toute autre sortie du Logiciel ;
  • ne transmette jamais la valeur décodée d’un Secret à l’Éditeur, ni directement, ni indirectement via les canaux de Support Ponctuel.

L’agent extrait, des ressources secrets, uniquement les métadonnées techniques nécessaires à l’évaluation (nom, espace de noms, type, annotations, champ type, date de création, références). Cette propriété est vérifiée par les tests d’intégration publiés avec chaque release et fait l’objet d’une documentation dans le livret Sécurité.

Cet engagement est opposable à l’Éditeur et constitue une obligation essentielle au titre du présent DPA.

Article 5 — Personnes concernées

Les personnes concernées par les traitements opérés par l’Éditeur au titre du présent DPA sont :

  • les Utilisateurs habilités par le Client à accéder au Portail éditeur (administrateurs, équipes techniques, équipes de conformité, référents support) ;
  • les interlocuteurs désignés par le Client pour la gestion commerciale et administrative du Contrat (signataires, personnes en charge de la facturation) ;
  • le cas échéant, les personnes physiques dont les données sont incidemment présentes dans les contenus transmis par le Client via le Portail éditeur ou auxquelles l’Éditeur est exposé au titre d’un Support Ponctuel.

Article 6 — Durées de conservation

Les durées de conservation des données traitées par l’Éditeur sont les suivantes :

Catégorie de donnéesDurée de conservation
Données d’identification et d’accès au Portail éditeurDurée du Contrat, puis suppression dans un délai de 30 jours calendaires à compter de la fin du Contrat
Données de facturation et pièces comptables10 ans à compter de la clôture de l’exercice comptable concerné, conformément à l’article L.123-22 du Code de commerce
Contenus de tickets et journaux de Support Ponctuel12 mois à compter de la clôture du ticket, puis anonymisation ou suppression
Journaux d’accès au Portail éditeur12 mois glissants
Sauvegardes chiffrées du Portail éditeur90 jours glissants
Données de prospection commerciale (formulaire de demande de démonstration sans suite)3 ans à compter du dernier contact avec la personne concernée

Au-delà de ces durées, les données sont supprimées ou anonymisées de manière irréversible, sous réserve des exceptions prévues à l’article 12.4.

Article 7 — Obligations de l’Éditeur

7.1 Instructions documentées

L’Éditeur traite les données personnelles uniquement sur instruction documentée du Client. Les CGV, les CGU, le présent DPA et le Bon de commande constituent ces instructions initiales. Toute instruction complémentaire est formalisée par écrit (avenant, courrier électronique à dpo@aegis-vetis.io, ticket dans le Portail éditeur).

Si l’Éditeur est tenu par le droit de l’Union ou le droit d’un État membre de procéder à un traitement non prévu par les instructions du Client, il en informe le Client avant le traitement, sauf interdiction légale.

7.2 Confidentialité

L’Éditeur veille à ce que les personnes autorisées à traiter les données personnelles (préposés, prestataires) s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.

7.3 Encadrement du Support Ponctuel

Toute intervention au titre du Support Ponctuel respecte les principes suivants :

  • l’intervention n’a lieu que sur demande expresse et ponctuelle du Client ;
  • les modalités d’accès sont fournies et contrôlées par le Client ;
  • l’accès est limité dans le temps à la durée strictement nécessaire à l’intervention ;
  • le périmètre de l’intervention est défini préalablement par le Client ;
  • l’intervention fait l’objet d’une journalisation par l’Éditeur, mise à disposition du Client sur demande ;
  • aucun dispositif d’accès distant permanent à l’infrastructure du Client n’est mis en place par l’Éditeur.

7.4 Sécurité des traitements

L’Éditeur met en œuvre, pour les données traitées au titre du présent DPA, les mesures techniques et organisationnelles appropriées au regard du risque, dans les conditions de l’article 8.

7.5 Assistance au Client

L’Éditeur assiste le Client, dans la mesure du possible et compte tenu de la nature du traitement et de son périmètre restreint :

  • pour répondre aux demandes d’exercice des droits des personnes concernées (article 10 du présent DPA) ;
  • pour satisfaire les obligations de sécurité (article 32 du RGPD) ;
  • pour la notification des violations de données (articles 33 et 34 du RGPD) ;
  • pour la réalisation d’une analyse d’impact relative à la protection des données (article 35 du RGPD) lorsque celle-ci est requise ;
  • pour la consultation préalable de l’autorité de contrôle (article 36 du RGPD) lorsque celle-ci est requise.

7.6 Notification des violations de données

En cas de violation de données personnelles traitées par l’Éditeur au titre du présent DPA, l’Éditeur notifie le Client dans un délai maximum de soixante-douze (72) heures après en avoir pris connaissance, par courrier électronique adressé au contact désigné par le Client.

La notification comprend :

  • la nature de la violation, les catégories et le nombre approximatif de personnes concernées et d’enregistrements touchés ;
  • les coordonnées du DPO de l’Éditeur ;
  • les conséquences probables de la violation ;
  • les mesures prises ou proposées pour remédier à la violation et atténuer ses effets.

La présente clause ne s’applique qu’aux données traitées par l’Éditeur au titre du présent DPA. Les violations affectant les Données Opérationnelles dans l’infrastructure du Client relèvent de la responsabilité du Client.

7.7 Registre des traitements

L’Éditeur tient à jour un registre des catégories d’activités de traitement effectuées pour le compte du Client, conformément à l’article 30, paragraphe 2, du RGPD.

Article 8 — Mesures techniques et organisationnelles

8.1 Mesures techniques

Pour les Données Administratives traitées via le Portail éditeur, l’Éditeur met en œuvre, conformément à l’article 32 du RGPD, les mesures techniques suivantes :

  • Chiffrement en transit : TLS 1.3 pour toutes les communications ;
  • Chiffrement au repos : AES-256 pour les bases de données et les sauvegardes ;
  • Authentification : hachage des mots de passe par bcrypt avec facteur de coût adapté ; authentification multifacteur disponible pour les Utilisateurs ;
  • Contrôle d’accès : principe du moindre privilège et contrôle d’accès basé sur les rôles (RBAC) au sein du Portail éditeur ;
  • Journalisation : traçabilité des accès et des actions sur le Portail éditeur ;
  • Sauvegardes : sauvegardes chiffrées régulières, testées périodiquement ;
  • Séparation des environnements : isolation stricte entre environnements de production, de recette et de développement ;
  • Signature des paquets de livraison : les images de conteneurs et les paquets de référentiels publiés par l’Éditeur sont signés cryptographiquement afin de garantir leur intégrité et leur provenance.

8.2 Mesures organisationnelles

  • sensibilisation et engagements de confidentialité du personnel de l’Éditeur ;
  • politique de gestion des incidents et des violations de données ;
  • registre des traitements à jour ;
  • procédure de journalisation des interventions de Support Ponctuel ;
  • encadrement contractuel des sous-traitants ultérieurs par une clause de sous-traitance conforme à l’article 28, paragraphe 4, du RGPD.

8.3 Certifications et démarches

L’Éditeur s’engage à une démarche continue d’amélioration de ses mesures techniques et organisationnelles. Une démarche de certification ISO/IEC 27001 est en cours de structuration. Les jalons de cette démarche feront l’objet d’une communication spécifique au Client lorsqu’ils seront confirmés.

8.4 Périmètre des mesures

Les mesures décrites au présent article concernent exclusivement les données traitées par l’Éditeur au titre du présent DPA. La sécurité de l’infrastructure sur laquelle le logiciel est déployé chez le Client relève de la responsabilité exclusive du Client.

Article 9 — Sous-traitants ultérieurs

9.1 Autorisation générale

Le Client autorise l’Éditeur à recourir aux sous-traitants ultérieurs listés à l’article 9.2 du présent DPA, aux seules fins listées.

9.2 Liste des sous-traitants ultérieurs

À la date de signature du présent DPA, l’Éditeur a recours aux sous-traitants ultérieurs suivants :

Sous-traitant ultérieurFinalitéLocalisation des traitements et des donnéesGaranties
OVHcloud SAS — 2 rue Kellermann, 59100 Roubaix, France — RCS Lille Métropole 424 761 419Fourniture du matériel et des services d’infrastructure sur lesquels ADRIEN VINET CONSULTING SASU opère le site aegis-vetis.io, le Portail éditeur app.aegis-vetis.io, les bases de données associées, ainsi que l’acheminement des courriers électroniques commerciaux et de support via un relais SMTP authentifiéFranceISO/IEC 27001, HDS

Cette liste est limitative à la date du présent DPA. Aucun autre sous-traitant ultérieur n’intervient dans le traitement des données au titre du présent DPA.

9.3 Modification de la liste

L’Éditeur informe le Client de tout projet d’ajout, de remplacement ou de modification de la liste des sous-traitants ultérieurs, par courrier électronique, avec un préavis minimum de trente (30) jours calendaires.

Le Client peut émettre des objections motivées par écrit, adressées à dpo@aegis-vetis.io, dans ce délai. En cas d’objection légitime non résolue dans un délai raisonnable, le Client peut résilier le Contrat sans pénalité, sans préjudice du remboursement des sommes payées d’avance et non utilisées à la date d’effet de la résiliation.

9.4 Encadrement contractuel

L’Éditeur conclut avec chaque sous-traitant ultérieur un contrat imposant les mêmes obligations de protection des données que celles prévues au présent DPA, conformément à l’article 28, paragraphe 4, du RGPD.

L’Éditeur demeure pleinement responsable à l’égard du Client de l’exécution par ses sous-traitants ultérieurs de leurs obligations en matière de protection des données.

Article 10 — Droits des personnes concernées

10.1 Responsabilité du Client

Le Client, en sa qualité de responsable de traitement, est responsable de la gestion des demandes d’exercice des droits des personnes concernées (accès, rectification, effacement, limitation, portabilité, opposition, décision automatisée), conformément aux articles 15 à 22 du RGPD.

10.2 Transmission au Client des demandes reçues par l’Éditeur

Lorsque l’Éditeur reçoit directement une demande d’une personne concernée portant sur des données traitées au titre du présent DPA, il la transmet au Client sans délai et sans y répondre lui-même, sauf instruction contraire documentée du Client.

10.3 Moyens techniques mis à disposition du Client

L’Éditeur met à disposition du Client, pour les Données Administratives, les moyens techniques suivants :

  • Accès et export : fonction de consultation et d’export des données personnelles de compte au format lisible (JSON ou CSV) depuis le Portail éditeur ;
  • Rectification : interface permettant au Client et aux Utilisateurs habilités de modifier les données de compte et de facturation ;
  • Effacement : fonction de suppression de compte Utilisateur, dans les limites de l’article 12 du présent DPA ;
  • Journaux d’audit : traçabilité des actions, permettant de documenter les réponses aux demandes.

10.4 Données Opérationnelles — exclusion

Les demandes d’exercice de droits portant sur des Données Opérationnelles relèvent exclusivement de la responsabilité du Client. L’Éditeur ne disposant pas de ces données, il n’est pas en mesure d’y contribuer.

Article 11 — Audit

11.1 Droit d’audit

L’Éditeur met à la disposition du Client toutes les informations nécessaires pour démontrer le respect des obligations prévues à l’article 28 du RGPD, et contribue aux audits, y compris les inspections, réalisés par le Client ou un auditeur mandaté par lui.

11.2 Modalités

Le Client peut réaliser ou faire réaliser un audit une fois par an, sous réserve d’un préavis écrit de trente (30) jours calendaires adressé à dpo@aegis-vetis.io. L’audit est réalisé par un tiers indépendant soumis à une obligation de confidentialité. Il peut être conduit par audit documentaire, entretiens à distance et, le cas échéant, inspection sur site après accord préalable des Parties sur le calendrier et les modalités.

Les frais de l’audit sont à la charge du Client. Les frais engagés par l’Éditeur au-delà d’une journée-homme par audit peuvent être refacturés au Client sur présentation d’un détail des prestations.

11.3 Alternative documentaire

En alternative à un audit complet, l’Éditeur peut satisfaire à son obligation par la fourniture au Client :

  • des certifications en vigueur de ses sous-traitants ultérieurs (notamment ISO 27001 et HDS d’OVHcloud SAS) ;
  • de rapports non confidentiels de tests d’intrusion réalisés par un tiers indépendant sur le Portail éditeur ;
  • de la description détaillée des mesures techniques et organisationnelles de l’article 8 du présent DPA.

11.4 Périmètre

Le périmètre de l’audit est strictement limité aux données traitées par l’Éditeur au titre du présent DPA. Les Données Opérationnelles résidant dans l’infrastructure du Client ne font pas l’objet du droit d’audit prévu au présent article.

Article 12 — Transferts hors de l’Union européenne

12.1 Absence de transfert

Les données traitées par l’Éditeur au titre du présent DPA sont hébergées exclusivement au sein de l’Union européenne, sur l’infrastructure matérielle opérée par l’Éditeur à partir de matériel loué auprès d’OVHcloud SAS en France.

Aucun transfert de données personnelles n’est effectué hors de l’Union européenne au titre du présent DPA.

12.2 Données Opérationnelles

Les Données Opérationnelles résident exclusivement sur l’infrastructure du Client, qui en assure seul la localisation et la sécurisation. L’Éditeur n’intervient pas dans le stockage ni le transit de ces données.

12.3 Évolution

Toute modification susceptible d’entraîner un transfert de données hors de l’Union européenne constitue une modification de la liste des sous-traitants ultérieurs au sens de l’article 9.3, soumise à l’information préalable du Client avec un préavis de trente (30) jours calendaires et à son droit d’objection. Dans ce cas, l’Éditeur mettrait en œuvre les garanties appropriées prévues au chapitre V du RGPD.

Article 13 — Sort des données en fin de Contrat

13.1 Période d’export

À la date de fin du Contrat, quelle qu’en soit la cause, le Client dispose d’un délai de trente (30) jours calendaires pour exporter l’ensemble de ses Données Administratives depuis le Portail éditeur (fonction de consultation et d’export en JSON ou CSV). L’accès en mode lecture est maintenu à cette seule fin pendant cette période.

13.2 Suppression

À l’issue du délai prévu à l’article 13.1, l’Éditeur procède à la suppression des Données Administratives dans un délai de trente (30) jours calendaires supplémentaires, tant dans l’environnement de production que dans les sauvegardes.

13.3 Attestation

Sur demande écrite du Client adressée à dpo@aegis-vetis.io, l’Éditeur fournit une attestation de suppression dans un délai de quinze (15) Jours Ouvrés suivant l’achèvement de la suppression.

13.4 Obligations légales de conservation

Par exception aux articles 13.2 et 13.3, les données strictement nécessaires au respect des obligations légales de conservation de l’Éditeur sont conservées pendant la durée prescrite par la loi, notamment :

  • les archives comptables et factures, conservées pendant dix (10) ans conformément à l’article L.123-22 du Code de commerce ;
  • les éléments nécessaires à la défense en justice, conservés pendant la durée des actions en responsabilité légalement prescrites ;
  • toute autre obligation légale ou réglementaire applicable.

Ces données conservées au titre des obligations légales ne font l’objet d’aucun traitement ultérieur autre que celui strictement nécessaire, et demeurent protégées par les mesures de l’article 8.

13.5 Données Opérationnelles

Les Données Opérationnelles demeurant dans l’infrastructure du Client à la fin du Contrat sont sous la responsabilité exclusive du Client, qui en assure la conservation, la suppression ou toute autre opération selon ses besoins. L’Éditeur n’a aucune donnée à restituer ni à supprimer sur ce périmètre.

Article 14 — Responsabilité

La responsabilité de l’Éditeur au titre du présent DPA est limitée conformément aux dispositions de l’article 9 des CGV.

Chaque Partie est responsable des dommages causés par un traitement qui ne respecte pas les obligations du RGPD qui lui incombent spécifiquement, conformément à l’article 82 du RGPD.

Article 15 — Dispositions finales

15.1 Hiérarchie des normes

En cas de contradiction entre le présent DPA et les CGV ou les CGU, les dispositions du DPA prévalent pour tout ce qui concerne le traitement des données personnelles.

15.2 Droit applicable et juridiction

Le présent DPA est régi par le droit français. Tout litige relatif à son interprétation ou à son exécution, à défaut de résolution amiable, relève de la compétence exclusive du Tribunal de commerce de Paris.

15.3 Modification

L’Éditeur peut modifier le présent DPA avec un préavis de trente (30) jours calendaires notifié au Client par courrier électronique. En cas d’évolution réglementaire imposant une mise en conformité, ce préavis est réduit à quinze (15) jours calendaires. Tout ajout de sous-traitant ultérieur suit la procédure spécifique de l’article 9.3.

15.4 Contact DPO

ADRIEN VINET CONSULTING SASU — DPO 14 rue Bausset, 75015 Paris, France dpo@aegis-vetis.io

ADRIEN VINET CONSULTING SASU — 14 rue Bausset, 75015 Paris, France Version 3.0 — 2026-04-22