Cadre RGPD Art. 28

Accord de Traitement des Données (DPA)

Dernière mise à jour : Mars 2026

1. Objet du traitement

Le présent Accord de Traitement des Données (DPA) est conclu conformément à l'article 28 du RGPD entre le Client (responsable de traitement) et OmniRealm SAS (sous-traitant), opérant le service WarDek.

WarDek traite des données personnelles pour le compte du Client dans le cadre exclusif de la fourniture du service d'audit de sécurité et de conformité.

Finalités du traitement : Exécution des scans de sécurité, génération de rapports d'audit, gestion des comptes utilisateurs et facturation.

2. Types de données traitées

Les catégories de données personnelles traitées sont :

Domaines scannés

URLs et noms de domaine soumis à l'audit

Résultats de scan

Vulnérabilités détectées, scores, rapports

Emails utilisateurs

Adresses email pour authentification

Données de facturation

Gérées par Stripe (PCI-DSS)

Personnes concernées : Utilisateurs du service WarDek et propriétaires des domaines scannés.

3. Durée de conservation

Les données sont conservées selon les durées suivantes :

12 mois

Résultats de scan et rapports d'audit

Durée du compte

Données de profil utilisateur

30 jours après suppression

Données post-résiliation (export possible)

6 ans

Factures et données comptables (obligation légale)

À l'expiration des durées, les données sont supprimées ou anonymisées de manière irréversible.

4. Mesures de sécurité

OmniRealm met en oeuvre les mesures techniques et organisationnelles suivantes conformément à l'article 32 du RGPD :

Chiffrement AES-256 au repos
TLS 1.3 en transit
Authentification multi-facteurs
Sauvegardes chiffrées quotidiennes
Journalisation des accès
Tests de pénétration réguliers

5. Sous-traitants ultérieurs

Les sous-traitants ultérieurs autorisés pour le traitement des données sont :

Hébergement VPS (France / UE)

Hébergement infrastructure et base de données PostgreSQL

Stripe (UE (Ireland))

Traitement des paiements (certifié PCI-DSS Level 1)

Resend (UE)

Envoi d'emails transactionnels

Tout changement de sous-traitant est notifié au Client avec un préavis de 30 jours. Le Client peut s'opposer au changement dans ce délai.

6. Droits du responsable de traitement

Le Client, en tant que responsable de traitement, dispose des droits suivants :

  • Audit - Droit d'auditer la conformité du sous-traitant (sur rendez-vous)
  • Instructions - Donner des instructions documentées sur le traitement
  • Suppression - Demander la suppression ou le retour des données
  • Notification - Être informé sous 48h en cas de violation de données
  • Portabilité - Export des données dans un format structuré (JSON/CSV)

7. Transferts internationaux

Les données sont hébergées et traitées exclusivement au sein de l'Union Européenne.

Aucun transfert de données hors UE n'est effectué. En cas de nécessité future, des Clauses Contractuelles Types (CCT) de la Commission Européenne seraient mises en place.

Base légale : Article 28 du RGPD (sous-traitance) et Article 46 (garanties pour transferts, le cas échéant).

8. Contact DPO

Pour toute question relative à cet accord ou au traitement de vos données :

Délégué à la Protection des Données

[email protected]

OmniRealm SAS - France