Accord de traitement des données
Dernière mise à jour : 11 avril 2026
La version en 30 secondes
Vous êtes le responsable du traitement, nous sommes le sous-traitant, les données résident à Francfort, et nous vous prévenons dans les 48 heures si quelque chose tourne mal. Les sous-traitants ultérieurs sont nommément désignés. Les sections numérotées reprennent l'article 28 du RGPD en langage juridique.
1. Définitions
« Responsable du traitement » désigne l'entité qui détermine les finalités et les moyens du traitement des données à caractère personnel (vous, le client). « Sous-traitant » désigne CarbonTrace (exploité par Simplinity, Pays-Bas), qui traite les données à caractère personnel pour le compte du Responsable du traitement. « Sous-traitant ultérieur » désigne un tiers mandaté par le Sous-traitant pour traiter des données à caractère personnel. Les termes « Données à caractère personnel » et « Traitement » ont le sens qui leur est donné à l'article 4 du RGPD.
2. Champ d'application et finalité
Le présent accord de traitement s'applique à l'ensemble du traitement des données à caractère personnel effectué par CarbonTrace pour le compte du Responsable du traitement dans le cadre du service CarbonTrace de calcul et de reporting de l'empreinte carbone. Les catégories de données traitées comprennent : les informations de compte (nom, e-mail), les détails de l'organisation, les données relatives aux actifs informatiques, les résultats de calcul et les métadonnées d'utilisation. Les personnes concernées incluent les salariés et les utilisateurs autorisés du Responsable du traitement.
3. Obligations du sous-traitant
CarbonTrace s'engage à : traiter les données à caractère personnel uniquement sur instructions documentées du Responsable du traitement (y compris les Conditions d'utilisation et le présent accord) ; veiller à ce que les personnes autorisées à traiter les données à caractère personnel soient soumises à une obligation de confidentialité ; mettre en œuvre des mesures de sécurité techniques et organisationnelles appropriées (voir la Section 7) ; assister le Responsable du traitement dans le traitement des demandes des personnes concernées ; supprimer ou restituer l'ensemble des données à caractère personnel à la fin du service, au choix du Responsable du traitement ; et mettre à disposition toutes les informations nécessaires pour démontrer la conformité.
4. Obligations du responsable du traitement
Le Responsable du traitement s'engage à : s'assurer qu'il dispose d'une base légale pour le traitement des données à caractère personnel soumises à CarbonTrace ; fournir des instructions conformes à la législation applicable en matière de protection des données ; et informer CarbonTrace sans délai de toute modification affectant les exigences de traitement des données.
5. Sous-traitants ultérieurs
CarbonTrace fait appel aux sous-traitants ultérieurs suivants : Supabase Inc. (base de données et authentification, région UE eu-west-1), Vercel Inc. (hébergement applicatif et réseau edge), Mollie B.V. (traitement des paiements, Pays-Bas) et Resend Inc. (acheminement des e-mails transactionnels). CarbonTrace informera le Responsable du traitement au moins 30 jours avant l'ajout ou le remplacement d'un sous-traitant ultérieur. Le Responsable du traitement peut s'opposer à un nouveau sous-traitant ultérieur en écrivant à privacy@carbontrace.cloud dans un délai de 14 jours. Chaque sous-traitant ultérieur est lié par un accord de traitement des données comportant des obligations offrant un niveau de protection au moins équivalent à celui du présent accord.
6. Transferts internationaux
Le stockage principal des données se situe dans l'Union européenne (Francfort, eu-west-1). Lorsque des données à caractère personnel sont transférées hors de l'UE/EEE (par exemple, des Vercel edge functions situées dans des régions hors UE), CarbonTrace veille à la mise en place de garanties appropriées, notamment les clauses contractuelles types (Standard Contractual Clauses, SCCs) adoptées par la Commission européenne. Des analyses d'impact des transferts (Transfer Impact Assessments) sont disponibles sur demande.
7. Mesures de sécurité
CarbonTrace met en œuvre : le chiffrement en transit (TLS 1.3) et au repos (AES-256) ; la sécurité au niveau des lignes (row-level security) sur toutes les tables de la base de données ; une journalisation d'audit en ajout seul, chaînée par hachage, avec une conservation de 7 ans ; des contrôles d'accès avec permissions basées sur les rôles ; des revues de sécurité régulières ; et une analyse automatisée des vulnérabilités. Un aperçu détaillé de la sécurité est disponible sur demande à security@carbontrace.cloud.
8. Droits des personnes concernées
CarbonTrace fournit des mesures techniques pour aider le Responsable du traitement à répondre aux demandes des personnes concernées au titre des articles 15 à 22 du RGPD : export de données en libre-service (art. 20, portabilité), suppression de compte en libre-service (art. 17, effacement), modification du profil (art. 16, rectification) et accès au journal d'audit à des fins de responsabilité. Les utilisateurs peuvent exercer ces droits directement depuis Paramètres → Confidentialité et données.
9. Notification des violations de données
CarbonTrace informera le Responsable du traitement de toute violation de données à caractère personnel sans retard injustifié et, en tout état de cause, dans les 48 heures après en avoir pris connaissance. La notification comprendra : la nature de la violation, les catégories et le nombre approximatif de personnes concernées, les conséquences probables, ainsi que les mesures prises ou proposées pour atténuer la violation. Toutes les violations sont consignées dans le journal d'audit.
10. Audits et inspections
CarbonTrace met à la disposition du Responsable du traitement toutes les informations nécessaires pour démontrer la conformité au présent accord. Le Responsable du traitement peut réaliser des audits, y compris des inspections, sous réserve d'un préavis raisonnable (au moins 30 jours) et pendant les heures ouvrables normales. CarbonTrace peut proposer, à titre d'alternative, un rapport d'audit indépendant établi par un tiers. Les coûts de l'audit sont à la charge du Responsable du traitement, sauf si l'audit révèle une non-conformité de CarbonTrace.
11. Durée et résiliation
Le présent accord de traitement prend effet pour la durée du contrat de service CarbonTrace. À la résiliation, CarbonTrace supprimera l'ensemble des données à caractère personnel dans un délai de 30 jours, sauf si leur conservation est requise par la législation applicable (par exemple, les journaux d'audit conservés 7 ans en vertu de la réglementation comptable néerlandaise). Le Responsable du traitement peut demander un export de ses données avant la résiliation.
12. Droit applicable
Le présent accord de traitement est régi par le droit des Pays-Bas. Tout litige sera tranché par les tribunaux des Pays-Bas, sans préjudice du droit de la personne concernée d'introduire une réclamation auprès de l'autorité néerlandaise de protection des données (Autoriteit Persoonsgegevens).
13. Contact
Pour toute question concernant le présent accord ou pour exercer vos droits : privacy@carbontrace.cloud. Contact protection des données : Simplinity, Pays-Bas.
Besoin d'un exemplaire signé ? Contactez-nous ou écrivez à privacy@carbontrace.cloud