Contrat de sous-traitance des données personnelles

Article 28 du Règlement Général sur la Protection des Données (RGPD — Règlement UE 2016/679) · Version 1.1 du 13 mai 2026

Le présent contrat de sous-traitance (ci-après « DPA » pour Data Processing Agreement) précise les conditions dans lesquelles l'Éditeur, en sa qualité de sous-traitant, traite les données à caractère personnel pour le compte de l'Étude utilisatrice du logiciel Ma Sentinelle, en sa qualité de responsable de traitement.

Il complète et fait partie intégrante des Conditions Générales d'Utilisation (ci-après « CGU ») et de la Politique de confidentialité de Ma Sentinelle. Il est rédigé conformément à l'article 28 du RGPD et s'inspire du modèle publié par la CNIL.

1. Identification des Parties

Le Responsable de traitement (ci-après « le Responsable ») :

L'office notarial ayant souscrit un abonnement à Ma Sentinelle, identifié dans son compte utilisateur par sa raison sociale, son numéro de SIRET, son adresse postale et l'adresse e-mail du compte de souscription.

Le Sous-traitant (ci-après « le Sous-traitant » ou « l'Éditeur ») :

Mattéo COME, exerçant en Entreprise Individuelle

SIRET : 88414583000029

13 rue de Verville, 45800 Saint Jean de Braye

Email : contact@masentinelle.pro

Délégué à la protection des données (DPO) : dpo@masentinelle.pro

2. Définitions

Les termes employés au sein du présent DPA, lorsqu'ils commencent par une majuscule, ont le sens qui leur est donné par le RGPD. À titre indicatif :

« Données » : les données à caractère personnel telles que définies à l'article 4.1 du RGPD, traitées par le Sous-traitant pour le compte du Responsable dans le cadre du Service.
« Personnes concernées » : les personnes physiques auxquelles se rapportent les Données.
« Traitement » : toute opération réalisée sur les Données telle que définie à l'article 4.2 du RGPD.
« Service » : la plateforme SaaS Ma Sentinelle accessible à l'adresse masentinelle.pro.
« Sous-traitant ultérieur » : toute personne physique ou morale, publique ou privée, à laquelle le Sous-traitant fait appel pour exécuter tout ou partie du Traitement.
« Violation » : une violation de la sécurité des Données telle que définie à l'article 4.12 du RGPD.

3. Description du Traitement confié au Sous-traitant

3.1. Nature et finalité du Traitement

Le Sous-traitant est autorisé à traiter, pour le compte du Responsable, les Données nécessaires à la fourniture du Service Ma Sentinelle, et exclusivement pour les finalités suivantes :

Exécution des recherches LCB-FT (BODACC, gel des avoirs, sanctions, PPE, presse) pour le compte du Responsable ;
Exécution des recherches société (extrait Pappers, INPI, RBE, avis SIRENE) ;
Génération d'États des Risques et Pollutions à partir des références cadastrales fournies ;
Stockage des dossiers, fichiers et résultats associés au compte du Responsable ;
Génération de rapports PDF consolidés ;
Authentification des utilisateurs et traçabilité de leurs actions à des fins de sécurité.

3.2. Catégories de Données traitées

Catégorie	Exemples
Données d'identité des Personnes concernées par les recherches	Nom, prénom, date de naissance, nationalité, département de naissance
Données patrimoniales et professionnelles	Numéro SIREN, références cadastrales, fonctions exercées, mandats sociaux, bénéficiaires effectifs
Données issues de sources publiques	Annonces BODACC, mesures de gel d'avoirs, listes de sanctions internationales, résultats Google
Données du Responsable et des Utilisateurs	Nom, raison sociale, SIRET, adresse postale, e-mail professionnel, identifiants de connexion (mot de passe haché)
Données de facturation	Identifiant client Stripe, historique de paiement, factures
Données techniques	Adresse IP, journaux de connexion, navigateur, identifiant de poste autorisé

3.3. Catégories de Personnes concernées

Clients de l'Étude (personnes physiques objets des recherches) ;
Dirigeants, associés et bénéficiaires effectifs de personnes morales en lien avec un dossier ;
Notaires et collaborateurs de l'Étude utilisant le Service.

3.4. Durée du Traitement

Le Traitement est effectué pendant toute la durée du contrat de souscription au Service, telle que définie aux CGU. Les Données sont conservées dans les conditions précisées à l'article 11 du présent DPA et à la Politique de confidentialité.

4. Obligations du Sous-traitant

Le Sous-traitant s'engage, conformément à l'article 28 du RGPD, à :

4.1. Traiter les Données uniquement sur instruction documentée du Responsable

Le Sous-traitant ne traite les Données que sur instruction documentée du Responsable, y compris en ce qui concerne les transferts hors de l'Union européenne. Les CGU, la Politique de confidentialité et le présent DPA constituent les instructions documentées du Responsable.

Toute action effectuée par le Responsable depuis l'interface du Service (lancement d'une recherche, suppression d'un dossier, demande d'export, etc.) constitue également une instruction documentée.

Si le Sous-traitant estime qu'une instruction du Responsable constitue une violation du RGPD ou de toute autre disposition de droit de l'Union ou du droit d'un État membre relative à la protection des Données, il en informe immédiatement le Responsable.

4.2. Garantir la confidentialité du personnel

Le Sous-traitant veille à ce que les personnes autorisées à traiter les Données soient soumises à une obligation de confidentialité contractuelle ou légale appropriée. Le Sous-traitant étant une Entreprise Individuelle, l'éditeur est seul à accéder aux Données pour les besoins de la maintenance du Service. En cas de recours à des prestataires (administrateur système, développeur), des engagements de confidentialité écrits sont mis en place.

4.3. Mettre en œuvre les mesures de sécurité requises (article 32)

Le Sous-traitant met en œuvre les mesures techniques et organisationnelles appropriées listées à l'article 9 du présent DPA pour garantir un niveau de sécurité adapté aux risques.

4.4. Aider le Responsable à respecter ses propres obligations

Le Sous-traitant assiste le Responsable, dans la mesure du possible et compte tenu de la nature du Traitement, pour :

Répondre aux demandes des Personnes concernées exerçant leurs droits (accès, rectification, effacement, portabilité, opposition, limitation) ;
Garantir la sécurité du Traitement (article 32) ;
Notifier toute Violation aux autorités de contrôle et aux Personnes concernées (articles 33 et 34) ;
Réaliser les analyses d'impact relatives à la protection des données (AIPD) (articles 35 et 36) lorsque celles-ci s'avèrent nécessaires.

Cette assistance s'effectue par les fonctions natives du Service (export en un clic, demande de suppression de compte avec délai d'annulation de 30 jours) et, si nécessaire, par échange e-mail avec le Sous-traitant à dpo@masentinelle.pro. Toute demande non couverte par les fonctions natives sera traitée dans un délai maximum de 30 jours.

4.5. Mettre à disposition les informations nécessaires

Le Sous-traitant met à la disposition du Responsable toutes les informations nécessaires à la démonstration de la conformité aux obligations prévues à l'article 28 du RGPD, notamment via :

La présente documentation contractuelle (DPA, CGU, Politique de confidentialité) ;
Le document SECURITE.md de l'extension navigateur Ma Sentinelle ;
Toute documentation complémentaire fournie sur demande à dpo@masentinelle.pro.

5. Sous-traitants ultérieurs

5.1. Autorisation générale préalable

Le Responsable autorise par avance et de manière générale le Sous-traitant à faire appel aux Sous-traitants ultérieurs listés à l'article 5.2 ci-dessous pour la fourniture du Service. Le Sous-traitant s'engage à conclure avec chacun de ces Sous-traitants ultérieurs un contrat imposant les mêmes obligations en matière de protection des données que celles prévues par le présent DPA, conformément à l'article 28.4 du RGPD.

5.2. Liste des Sous-traitants ultérieurs autorisés

Sous-traitant	Rôle	Localisation	Garanties
OVH SAS	Hébergement de l'infrastructure (VPS, base de données, fichiers utilisateurs, sauvegardes)	France (Roubaix / Strasbourg)	Hébergeur de Données de Santé (HDS) — ISO 27001 — DPA OVH disponible publiquement
Stripe Payments Europe Ltd	Traitement des paiements et stockage des données de facturation	UE (Irlande), avec transferts éventuels US (Data Privacy Framework)	Certifié PCI DSS Level 1 — Standard Contractual Clauses (SCC) UE
Google Ireland Ltd (Google Custom Search API)	Recherche web associée aux noms de Personnes concernées (uniquement nom + prénom transmis ; aucune autre Donnée)	UE (Irlande), avec transferts éventuels US (Data Privacy Framework)	Standard Contractual Clauses (SCC) UE — Conditions Google Cloud DPA

Précision importante. Les services consultés en lecture par Ma Sentinelle pour le compte du Responsable — INPI/RNE (registre des bénéficiaires effectifs), BODACC, Géorisques (BRGM), INSEE (recherche d'entreprises), DGCCRF (gel des avoirs), OpenSanctions, Pappers — sont des registres publics ou des bases de données accessibles librement. Ils ne sont pas qualifiés de Sous-traitants ultérieurs au sens de l'article 28 du RGPD : ils agissent en tant que responsables de traitement autonomes pour leurs propres bases. Ma Sentinelle se borne à interroger ces services pour récupérer des informations publiques, sans leur transmettre les Données autres que celles strictement nécessaires à la requête.

5.3. Modification de la liste

Le Sous-traitant informe le Responsable, par notification e-mail à l'adresse du compte de souscription et par mise à jour de la présente page, de tout projet de changement concernant l'ajout ou le remplacement d'un Sous-traitant ultérieur, en respectant un préavis minimum de trente (30) jours.

Le Responsable dispose alors de ce délai pour s'opposer à ces changements ; cette opposition doit être motivée par des raisons sérieuses et documentées liées à la protection des Données. En cas d'opposition légitime persistante, le Sous-traitant pourra ne pas mettre en œuvre le changement, ou bien, s'il s'avère indispensable à la fourniture du Service, le Responsable disposera de la faculté de résilier son abonnement sans pénalité.

6. Droits des Personnes concernées

Le Sous-traitant assiste le Responsable, par les outils mis à disposition au sein du Service et par échange e-mail avec le DPO du Sous-traitant, pour répondre aux demandes des Personnes concernées exerçant leurs droits prévus aux articles 15 à 22 du RGPD :

Droit d'accès (article 15) : export ZIP/JSON disponible depuis l'espace Facturation → « Données personnelles ».
Droit de rectification (article 16) : modification directe des Données du compte par l'Utilisateur ; pour les Données métier, demande au support.
Droit à l'effacement (article 17) : demande de suppression de compte avec délai d'annulation de 30 jours.
Droit à la limitation (article 18) : sur demande au DPO.
Droit à la portabilité (article 20) : export ZIP en un clic.
Droit d'opposition (article 21) : sur demande au DPO.

Le Sous-traitant transmet sans délai au Responsable toute demande qui lui serait adressée directement par une Personne concernée et qui relèverait du Responsable.

7. Notification des Violations de Données

Le Sous-traitant notifie au Responsable toute Violation de Données dans un délai maximum de 72 heures après en avoir pris connaissance, par e-mail à l'adresse du compte de souscription. La notification comprend :

La nature de la Violation, y compris, dans la mesure du possible, les catégories et le nombre approximatif de Personnes concernées et d'enregistrements de Données concernés ;
Les coordonnées du DPO du Sous-traitant ;
Les conséquences probables de la Violation ;
Les mesures prises ou proposées pour remédier à la Violation et, le cas échéant, pour en atténuer les conséquences.

Si toutes ces informations ne peuvent être communiquées en même temps, elles peuvent l'être de manière échelonnée sans retard injustifié.

8. Sort des Données en fin de contrat

À la résiliation du contrat de souscription, et au choix du Responsable :

Le Responsable peut, depuis son espace de facturation, exporter l'intégralité de ses Données avant la fin de l'accès ;
Les Données sont ensuite conservées pendant 30 jours à compter de la fin de l'abonnement (période d'annulation), puis supprimées de manière irréversible des serveurs de production ;
Les Données sont également supprimées des sauvegardes selon le cycle de rotation prévu (au plus tard 90 jours après la fin de l'abonnement) ;
Les Données de facturation soumises à obligation légale de conservation (10 ans) sont conservées pendant cette durée, conformément aux articles L.123-22 et R.123-174 du Code de commerce, en accès restreint à des fins comptables.

Une attestation de suppression peut être fournie sur demande du Responsable.

Cas particulier — Archivage LCB-FT (article L.561-12 du Code monétaire et financier). Les rapports de vigilance LCB-FT générés via le Service (PDF horodatés relatifs aux personnes physiques, sociétés et bénéficiaires effectifs) constituent des éléments de la diligence LCB-FT propre au Responsable. À ce titre, le Responsable est tenu de les conserver pendant cinq (5) ans à compter de la fin de la relation d'affaires avec la personne ou la société objet de la recherche, conformément à l'article L.561-12 du CMF. Le Sous-traitant n'a pas la qualité de dépositaire de ces archives : il appartient au Responsable de télécharger et d'archiver les rapports dans son propre système de gestion documentaire dès leur génération. Le Sous-traitant met à disposition, depuis l'interface du Service, des fonctions d'export individuel (PDF) et global (ZIP) pour faciliter cet archivage.

9. Mesures de sécurité (article 32 du RGPD)

Le Sous-traitant met en œuvre les mesures techniques et organisationnelles suivantes pour assurer un niveau de sécurité adapté aux risques :

9.1. Mesures techniques

Chiffrement des communications en transit via HTTPS/TLS (certificats Let's Encrypt renouvelés automatiquement) ;
Hachage des mots de passe utilisateurs avec ASP.NET Identity (PBKDF2 avec salt par utilisateur) ;
Authentification par jeton JWT signé avec clé secrète stockée hors de la base, en variable d'environnement ;
Limitation du débit des requêtes (rate limiting) sur les endpoints sensibles ;
Chiffrement des identifiants RBE/INPI dans l'extension navigateur du notaire (AES-GCM 256 bits avec clé stockée dans le storage cloisonné de l'extension) ;
Sauvegardes quotidiennes automatiques avec rotation ;
Hébergement exclusivement en France (OVH) ;
Politique CORS restrictive (origine unique autorisée).

9.2. Mesures organisationnelles

Accès aux serveurs de production restreint à l'éditeur, par SSH avec clé publique ; aucun mot de passe SSH ;
Comptes utilisateurs séparés (root désactivé pour les opérations courantes) ;
Politique de gestion des incidents documentée ;
Tenue à jour d'un registre des activités de Traitement (article 30 du RGPD) ;
Audit régulier du code et des dépendances logicielles.

10. Audit

Le Responsable peut, à ses frais et après préavis raisonnable d'au moins trente (30) jours, demander la communication d'éléments documentaires permettant de vérifier le respect par le Sous-traitant de ses obligations au titre du présent DPA. Cette demande s'effectue par écrit auprès du DPO du Sous-traitant.

Le Sous-traitant met à disposition les informations requises dans un délai raisonnable. Les informations communiquées au titre de l'audit sont strictement confidentielles et ne peuvent être utilisées qu'aux seules fins de vérification de la conformité.

Toute mission d'audit sur site doit être proportionnée, justifiée par un manquement présumé documenté, et son périmètre doit être préalablement convenu entre les Parties.

11. Durée du DPA

Le présent DPA prend effet à la date de son acceptation par le Responsable (case à cocher dédiée au moment de la souscription) et demeure en vigueur pendant toute la durée du contrat de souscription tel que défini aux CGU.

Les obligations relatives à la confidentialité, à la sécurité et au sort des Données en fin de contrat survivent à la résiliation du DPA pour la durée nécessaire à leur exécution.

12. Dispositions générales

12.1. Modification

Le Sous-traitant peut être amené à modifier le présent DPA pour tenir compte d'évolutions légales ou réglementaires, ou pour préciser ses engagements opérationnels. Toute modification substantielle sera notifiée au Responsable au moins trente (30) jours avant son entrée en vigueur, par e-mail à l'adresse du compte de souscription. Le Responsable est invité à accepter la nouvelle version pour continuer à utiliser le Service. À défaut, l'abonnement peut être résilié sans pénalité.

12.2. Hiérarchie des documents

En cas de contradiction entre le présent DPA et les CGU ou la Politique de confidentialité, les stipulations du DPA prévalent pour les questions relatives à la protection des Données.

12.3. Loi applicable et juridiction

Le présent DPA est soumis au droit français. Tout litige relatif à son interprétation ou à son exécution relève de la compétence des tribunaux d'Orléans, sous réserve des dispositions impératives contraires en matière de consommation et de protection des données.

13. Acceptation

L'acceptation du présent DPA s'effectue par case à cocher dédiée au moment de la souscription au Service. La date, l'heure et la version du DPA acceptée sont enregistrées dans la base de données du Service à des fins de preuve.

Pour les comptes existants à la date de mise en service de la version 1.0, l'acceptation est sollicitée à la prochaine connexion via une interface dédiée.

Version 1.1 — date d'application : 13 mai 2026.

Historique des versions :

v1.1 (2026-05-13) — ajout d'un paragraphe (section 8) sur l'archivage LCB-FT de cinq ans à la charge du Responsable (article L.561-12 du CMF), avec clarification de la qualité de Sous-traitant non-dépositaire de ces archives.
v1.0 (2026-05-10) — version initiale.

Pour toute question relative au présent DPA : dpo@masentinelle.pro.

Document inspiré du modèle CNIL : cnil.fr/fr/exemple-de-clauses-de-sous-traitance.