Accord de Traitement des Données MCO
Conformité RGPD - Article 28
Cet accord définit les modalités de traitement des données personnelles dans le cadre de nos services MCO, conformément au Règlement Général sur la Protection des Données (RGPD).
Article 1 - Définitions et rôles
- Responsable du traitement
- Le Client, qui détermine les finalités et moyens du traitement des données
- Sous-traitant
- CTN Solutions, qui traite les données pour le compte du Client dans le cadre des services MCO
- Données personnelles
- Toute information relative à une personne physique identifiée ou identifiable
- Violation de données
- Violation de sécurité entraînant la destruction, perte, altération ou divulgation non autorisée de données
Article 2 - Objet et périmètre du traitement
Dans le cadre des services MCO, CTN Solutions peut être amené à traiter les catégories de données suivantes pour le compte du Client :
Données hébergées
- • Bases de données applicatives
- • Fichiers et documents
- • Logs et journaux
- • Sauvegardes
Personnes concernées
- • Utilisateurs finaux du Client
- • Employés du Client
- • Clients du Client
- • Prospects et partenaires
CTN Solutions traite les données exclusivement selon les instructions documentées du Client et dans le cadre strict de la fourniture des services MCO.
Article 3 - Obligations du sous-traitant
CTN Solutions s'engage à :
Confidentialité
Garantir que les personnes autorisées à traiter les données sont soumises à une obligation de confidentialité
Sécurité
Mettre en œuvre les mesures techniques et organisationnelles appropriées pour garantir la sécurité des données
Assistance
Aider le Client à répondre aux demandes d'exercice des droits des personnes concernées
Documentation
Tenir un registre des activités de traitement et fournir toute documentation nécessaire aux audits
Article 4 - Mesures de sécurité
Les mesures de sécurité mises en œuvre varient selon le niveau de service souscrit :
| Mesure de sécurité | Basic | Standard | Premium |
|---|---|---|---|
| Chiffrement en transit (TLS 1.3) | |||
| Chiffrement au repos (AES-256) | |||
| Sauvegardes quotidiennes | |||
| Test de restauration | Trimestriel | Mensuel | Mensuel + PRA |
| Monitoring sécurité | Basique | Avancé | Premium + SIEM |
| Audit sécurité | - | Annuel | Trimestriel |
| Isolation réseau | Standard | Renforcée | Zero-trust |
Article 5 - Localisation et transferts
Localisation des données
Datacenter principal
AWS Paris (eu-west-3) - France
Certifications : ISO 27001, SOC 2, PCI DSS
Sauvegardes
Réplication dans la même région (multi-AZ)
Aucun transfert hors Union Européenne
Aucun transfert de données en dehors de l'Union Européenne n'est effectué sans l'accord explicite du Client et la mise en place de garanties appropriées.
Article 6 - Sous-traitants ultérieurs
CTN Solutions fait appel aux sous-traitants ultérieurs suivants :
| Sous-traitant | Service | Localisation | Certifications |
|---|---|---|---|
| Amazon Web Services | Infrastructure cloud | France (Paris) | ISO 27001 SOC 2 |
| Stripe | Traitement paiements | Irlande | PCI-DSS Level 1 |
| Sentry | Monitoring erreurs | UE | SOC 2 Type II |
Le Client est informé de tout changement concernant l'ajout ou le remplacement de sous-traitants ultérieurs avec un préavis de 30 jours.
Article 7 - Notification des violations
Procédure en cas de violation
Notification sous 24h
CTN Solutions notifie le Client dans les 24h après avoir pris connaissance d'une violation de données personnelles.
La notification comprend :
- • Nature de la violation et catégories de données concernées
- • Nombre approximatif de personnes et d'enregistrements concernés
- • Conséquences probables de la violation
- • Mesures prises ou proposées pour remédier à la violation
- • Coordonnées du DPO pour obtenir plus d'informations
Article 8 - Durée de conservation
Les durées de conservation des données dans le cadre des services MCO sont :
Données de production
Pendant toute la durée du contrat
Sauvegardes
30 jours glissants
Logs de sécurité
12 mois
Après résiliation
30 jours pour export, puis suppression définitive
Article 9 - Droits des personnes concernées
CTN Solutions s'engage à assister le Client dans la gestion des demandes d'exercice des droits des personnes concernées :
Les demandes sont traitées sous 48h ouvrées et transmises au Client avec les éléments techniques nécessaires à leur traitement.
Article 10 - Audit et contrôle
Droits d'audit du Client
Le Client dispose du droit de vérifier le respect des obligations de CTN Solutions :
- Audit sur site une fois par an avec préavis de 30 jours
- Questionnaires de sécurité et conformité
- Accès aux certifications et rapports d'audit tiers
- Documentation des mesures de sécurité mises en œuvre
Article 11 - Fin du traitement
À la fin de la prestation de services, CTN Solutions s'engage à :
Option 1 : Restitution
Retourner toutes les données personnelles au Client dans un format structuré et couramment utilisé (export complet).
Option 2 : Suppression
Supprimer toutes les données personnelles et fournir une attestation de destruction sécurisée.
Le Client dispose de 30 jours après la fin du contrat pour récupérer ses données. Passé ce délai, les données sont automatiquement supprimées de manière sécurisée.
Article 12 - Contact DPO
Délégué à la Protection des Données
Nom
Corentin Mas
dpo@ctn-solutions.com
Contact urgences
support@ctn-solutions.com
Adresse
34 rue de Maubeuge, 75009, Paris, France
Cet Accord de Traitement des Données est conforme à l'Article 28 du RGPD et fait partie intégrante des Conditions Générales MCO. Il garantit la protection et la confidentialité des données personnelles traitées dans le cadre de nos services.
Version du 31 juillet 2025 - CTN Solutions