Accord de Traitement des Donnees (DPA)

Mentions legales CGU CGV Confidentialite DPA Licence

ADRIEN VINET CONSULTING SASU — Aegis Vetis

Dernière mise à jour : 24 mars 2026

Ce DPA standard est publié sur aegis-vetis.io/legal/dpa. Pour les Clients soumis à HDS, une version personnalisée est disponible sur demande à dpo@aegis-vetis.io.

ENTRE

Le Responsable du traitement (ci-après « le Client ») :

Toute personne morale ayant souscrit un contrat de service Aegis Vetis (Conditions Générales de Vente, ci-après « CGV »).

Le Sous-traitant (ci-après « Aegis Vetis » ou « le Sous-traitant ») :

  • Raison sociale : ADRIEN VINET CONSULTING SASU
  • SIRET : 982 646 556 00018 — RCS Paris 982 646 556
  • Capital social : 100,00 EUR
  • Siège social : 14 rue Bausset, 75015 Paris, France
  • Représentant légal : Adrien VINET, Président
  • Délégué à la protection des données (DPO) : dpo@aegis-vetis.io

Article 1 — Objet et durée

1.1. Le présent Accord de Traitement des Données Personnelles (ci-après « DPA ») définit les conditions dans lesquelles le Sous-traitant traite des Données Personnelles pour le compte du Client, conformément à l'article 28 du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel (ci-après « RGPD »).

1.2. Le présent DPA entre en vigueur à la date de signature des CGV ou, à défaut de signature formelle, à la date de première utilisation du service Aegis Vetis par le Client.

1.3. Le DPA demeure en vigueur pendant toute la durée du contrat principal (CGV) et se prolonge jusqu'à la suppression complète des Données Personnelles conformément à l'article 9 du présent accord.

Article 2 — Nature, finalité et base légale du traitement

2.1. Nature du traitement. Aegis Vetis est un control plane Kubernetes qui déploie un agent léger sur les clusters du Client. Cet agent collecte des métadonnées d'infrastructure (et non des données métier) afin de réaliser des audits de conformité. Le Sous-traitant procède aux opérations suivantes :

  • Collecte de métadonnées Kubernetes via l'agent déployé sur les clusters du Client ;
  • Stockage des résultats d'audit de conformité ;
  • Génération de rapports d'audit au format PDF et HTML ;
  • Pseudonymisation des identifiants personnels dans les données d'audit ;
  • Hébergement et mise à disposition de la plateforme de gestion.

2.2. Finalités du traitement. Les Données Personnelles sont traitées exclusivement pour les finalités suivantes :

  • Évaluation de la conformité des clusters Kubernetes du Client aux référentiels applicables (CIS Benchmark, ANSSI, SecNumCloud 3.2, HDS, NIS2, RGPD) ;
  • Détection des violations de politiques de sécurité et de conformité ;
  • Génération de rapports d'audit destinés au Client ;
  • Support technique au bénéfice du Client.

2.3. Base légale. Le traitement est fondé sur l'exécution des instructions documentées du Client en sa qualité de Responsable du traitement, conformément à l'article 28, paragraphe 3, point a) du RGPD.

2.4. Le Sous-traitant n'accède jamais au contenu des workloads, aux Secrets Kubernetes (valeurs), aux variables d'environnement des conteneurs, aux logs applicatifs ni aux données métier du Client.

Article 3 — Catégories de données et personnes concernées

3.1. Catégories de Données Personnelles traitées

Catégorie Exemples Sensibilité
Métadonnées d'infrastructure Noms de nœuds, noms de pods, namespaces, labels, annotations Standard
Configurations de sécurité Règles RBAC, Network Policies, Pod Security Admission Standard
Résultats d'audit Scores de conformité, violations détectées, historique des évaluations Standard
Données d'identification Adresse e-mail, rôle dans l'organisation, identifiant utilisateur Standard
Logs d'utilisation de la plateforme Connexions, actions réalisées, horodatages, adresses IP Standard

3.2. Données jamais collectées

Le Sous-traitant s'engage à ne jamais collecter les données suivantes :

  • Valeurs des Secrets Kubernetes ;
  • Variables d'environnement des conteneurs ;
  • Logs applicatifs ;
  • Contenu des volumes persistants ;
  • Données métier du Client ;
  • Clés privées et certificats TLS.

3.3. Catégories particulières de données (article 9 du RGPD)

Le Sous-traitant ne traite aucune donnée de santé au sens de l'article 9 du RGPD. Pour les Clients opérant dans le secteur de la santé et soumis à la certification HDS, les données traitées par Aegis Vetis demeurent exclusivement des métadonnées d'infrastructure. Une annexe HDS complémentaire est disponible sur demande à dpo@aegis-vetis.io.

3.4. Personnes concernées

  • Les administrateurs et utilisateurs de la plateforme Aegis Vetis ;
  • Indirectement, les personnes dont les données transitent par les clusters Kubernetes du Client, dans la stricte mesure où leurs identifiants apparaissent dans les métadonnées d'infrastructure (noms de nœuds, labels).

Article 4 — Obligations du Sous-traitant

4.1. Instructions documentées

Le Sous-traitant traite les Données Personnelles uniquement sur instruction documentée du Client, y compris en ce qui concerne les transferts de données vers un pays tiers. Si le Sous-traitant est tenu par le droit de l'Union ou le droit d'un État membre de procéder à un traitement non prévu par les instructions du Client, il en informe le Client avant le traitement, sauf interdiction légale.

4.2. Confidentialité

Le Sous-traitant veille à ce que les personnes autorisées à traiter les Données Personnelles s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.

4.3. Sécurité du traitement (article 32 du RGPD)

Le Sous-traitant met en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, notamment :

  • Chiffrement en transit : TLS 1.3 pour toutes les communications entre l'agent, le control plane et les utilisateurs ;
  • Chiffrement au repos : AES-256 pour les données stockées ;
  • Hachage des mots de passe : bcrypt avec facteur de coût adapté ;
  • Intégrité des webhooks : signature HMAC-SHA256 ;
  • Authentification renforcée : authentification multifacteur (MFA) disponible pour tous les utilisateurs ;
  • Principe du moindre privilège : contrôle d'accès basé sur les rôles (RBAC) ;
  • Journalisation : audit trail complet de toutes les actions sur la plateforme ;
  • Tests de sécurité : tests d'intrusion annuels réalisés par un tiers indépendant ;
  • Plan de réponse aux incidents : procédure documentée de gestion des incidents de sécurité.

4.4. Sous-traitants ultérieurs

Les conditions de recours à des sous-traitants ultérieurs sont définies à l'article 5 du présent DPA.

4.5. Assistance au Client

Le Sous-traitant assiste le Client, dans la mesure du possible et compte tenu de la nature du traitement, pour :

  • Répondre aux demandes d'exercice des droits des personnes concernées (article 7) ;
  • Garantir le respect des obligations de sécurité du traitement (article 32 du RGPD) ;
  • Notifier les violations de données personnelles à l'autorité de contrôle (article 33 du RGPD) et aux personnes concernées (article 34 du RGPD) ;
  • Réaliser une analyse d'impact relative à la protection des données (AIPD, article 35 du RGPD) ;
  • Consulter l'autorité de contrôle préalablement à un traitement (article 36 du RGPD).

4.6. Notification des violations de données personnelles

En cas de violation de Données Personnelles au sens de l'article 4, point 12, du RGPD, le Sous-traitant notifie le Client dans un délai maximum de 72 heures après en avoir pris connaissance, par courrier électronique adressé au contact désigné par le Client.

La notification comprend :

  • La nature de la violation, y compris les catégories et le nombre approximatif de personnes concernées et d'enregistrements de données touchés ;
  • Le nom et les coordonnées du DPO du Sous-traitant ;
  • Les conséquences probables de la violation ;
  • Les mesures prises ou proposées pour remédier à la violation et atténuer ses effets.

4.7. Audit

Les conditions d'audit sont définies à l'article 8 du présent DPA.

4.8. Sort des données en fin de contrat

Les conditions de restitution et de suppression des données sont définies à l'article 9 du présent DPA.

Article 5 — Sous-traitants ultérieurs

5.1. Liste des sous-traitants ultérieurs autorisés

Le Client autorise le recours aux sous-traitants ultérieurs suivants :

Sous-traitant Finalité Siège social Localisation des données Garanties
OVHcloud SAS Hébergement de l'infrastructure du control plane Roubaix, France France ISO 27001, HDS
Scaleway SAS Hébergement de l'offre SaaS Paris, France France ISO 27001
Stripe Payments Europe Ltd Traitement des paiements Dublin, Irlande Union européenne (Irlande) PCI-DSS, RGPD

5.2. Modification de la liste

Le Sous-traitant informe le Client de tout projet de modification de la liste des sous-traitants ultérieurs (ajout ou remplacement) avec un préavis minimum de 30 jours calendaires.

Le Client dispose de ce délai pour émettre des objections motivées. En cas d'objection légitime non résolue dans un délai raisonnable, le Client peut résilier le contrat de service sans pénalité.

5.3. Responsabilité

Le Sous-traitant demeure pleinement responsable à l'égard du Client de l'exécution par ses sous-traitants ultérieurs de leurs obligations en matière de protection des Données Personnelles. Le Sous-traitant conclut avec chaque sous-traitant ultérieur un contrat imposant les mêmes obligations de protection des données que celles prévues au présent DPA.

Article 6 — Transferts de données hors de l'Union européenne

6.1. Offre SaaS

Les Données Personnelles traitées dans le cadre de l'offre SaaS sont hébergées exclusivement en France, auprès d'OVHcloud SAS (Roubaix) et de Scaleway SAS (Paris). Le traitement des paiements est assuré par Stripe Payments Europe Ltd, dont le siège est situé à Dublin, Irlande, au sein de l'Union européenne.

Aucun transfert de Données Personnelles n'est effectué en dehors de l'Union européenne.

6.2. Offre Enterprise On-Premise

Les Données Personnelles traitées dans le cadre de l'offre Enterprise On-Premise résident exclusivement sur l'infrastructure du Client. Le Sous-traitant n'effectue aucun transfert de données.

6.3. Évolution

En cas de nécessité de transfert hors de l'Union européenne à l'avenir, le Sous-traitant mettra en œuvre les garanties appropriées prévues par le chapitre V du RGPD (clauses contractuelles types de la Commission européenne, décision d'adéquation, ou règles d'entreprise contraignantes) et en informera préalablement le Client.

Article 7 — Droits des personnes concernées

7.1. Le Client, en sa qualité de Responsable du traitement, est responsable de la gestion des demandes d'exercice des droits des personnes concernées (accès, rectification, effacement, limitation, portabilité, opposition).

7.2. Lorsque le Sous-traitant reçoit directement une demande d'une personne concernée, il la transmet au Client sans délai et sans y répondre lui-même, sauf instruction contraire du Client.

7.3. Le Sous-traitant met à la disposition du Client les outils techniques suivants pour faciliter l'exercice des droits :

  • Export des données : API d'export aux formats JSON et CSV ;
  • Suppression des données : interface d'administration et API de suppression ;
  • Journaux d'audit : traçabilité complète des opérations de traitement permettant de documenter les réponses aux demandes.

Article 8 — Audit et vérification

8.1. Le Sous-traitant met à la disposition du Client toutes les informations nécessaires pour démontrer le respect des obligations prévues à l'article 28 du RGPD et contribue aux audits, y compris les inspections, réalisés par le Client ou un auditeur mandaté par celui-ci.

8.2. Le Client peut réaliser ou faire réaliser un audit une fois par an, sous réserve d'un préavis écrit de 30 jours calendaires. L'audit est réalisé par un tiers indépendant soumis à une obligation de confidentialité. Les frais de l'audit sont à la charge du Client.

8.3. En alternative à un audit sur site, le Sous-traitant peut fournir au Client un rapport de type SOC 2 Type II réalisé par un cabinet indépendant, couvrant les contrôles relatifs à la sécurité, la disponibilité et la confidentialité.

8.4. Le périmètre de l'audit est strictement limité aux Données Personnelles traitées pour le compte du Client dans le cadre du présent DPA.

Article 9 — Sort des données en fin de contrat

9.1. À l'expiration ou à la résiliation du contrat de service, le Client dispose d'un délai de 30 jours calendaires pour exporter l'ensemble de ses Données Personnelles via les outils mis à sa disposition (API d'export aux formats JSON et CSV).

9.2. À l'issue de ce délai d'exportation, le Sous-traitant procède à la suppression définitive de l'ensemble des Données Personnelles du Client dans un délai de 30 jours calendaires supplémentaires.

9.3. Sur demande écrite du Client, le Sous-traitant fournit une attestation de suppression définitive des données dans un délai de 15 jours ouvrables suivant la suppression effective.

9.4. Exception. Les données strictement nécessaires au respect des obligations légales de conservation sont conservées pendant la durée prescrite par la loi, notamment les archives de facturation pendant une durée de 10 ans conformément à l'article L. 123-22 du Code de commerce.

9.5. Offre Enterprise On-Premise. Lorsque le Client utilise l'offre Enterprise On-Premise, les Données Personnelles résident exclusivement sur l'infrastructure du Client. Le Sous-traitant n'a aucune donnée à restituer ni à supprimer, à l'exception des éventuelles données de compte utilisateur hébergées sur la plateforme de gestion.

Article 10 — Responsabilité

10.1. La responsabilité du Sous-traitant au titre du présent DPA est limitée conformément aux dispositions de l'article 16 des CGV.

10.2. Chaque partie est responsable des dommages causés par un traitement qui ne respecte pas les obligations du RGPD qui lui incombent spécifiquement, conformément à l'article 82 du RGPD.

10.3. Le Sous-traitant n'est pas responsable des traitements réalisés par le Client postérieurement à l'exportation des Données Personnelles.

Article 11 — Dispositions finales

11.1. Hiérarchie des normes. En cas de contradiction entre le présent DPA et les CGV, les dispositions du DPA prévalent pour tout ce qui concerne le traitement des Données Personnelles.

11.2. Droit applicable. Le présent DPA est régi par le droit français.

11.3. Juridiction compétente. Tout litige relatif à l'interprétation ou à l'exécution du présent DPA est soumis à la compétence exclusive du Tribunal de Commerce de Paris.

11.4. Modification. Le Sous-traitant peut modifier le présent DPA avec un préavis de 30 jours calendaires notifié par courrier électronique au Client. En cas d'évolution réglementaire imposant une mise en conformité, ce préavis est réduit à 15 jours calendaires. La poursuite de l'utilisation du service après l'entrée en vigueur des modifications vaut acceptation.

11.5. Annexes. Les annexes suivantes sont disponibles sur demande à dpo@aegis-vetis.io :

  • Annexe HDS — Dispositions complémentaires pour les Clients soumis à la certification Hébergeur de Données de Santé ;
  • Annexe Sécurité — Description détaillée des mesures techniques et organisationnelles.

ADRIEN VINET CONSULTING SASU

Représentée par Adrien VINET, Président

Date : 24 mars 2026