Connexion

- Identifier le sens juridique exact du titre- Conserver le registre formel et concis- Respecter la structure et la casse du texte source- Vérifier la fidélité terminologique en françaisAccord de traitement des données

Dernière mise à jour : 15 April 2026

Le présent accord de traitement des données (“DPA”) fait partie de l’accord entre l’entité identifiée dans le compte Accsible (“Client”, “Responsable du traitement”) et Denizcom Ltd, exerçant sous le nom de Accsible, immatriculée au 71-75 Shelton Street, Covent Garden, London, WC2H 9JQ, United Kingdom (“Accsible”, “Sous-traitant”), et complète les Conditions d’utilisation et la Politique de confidentialité (ensemble, l’“Accord principal”).

Le présent DPA s’applique lorsque et dans la mesure où Accsible traite des données à caractère personnel pour le compte du Client dans le cadre de la fourniture du Service. Il est conçu pour garantir la conformité à l’article 28 du UK GDPR, du RGPD de l’UE (Règlement 2016/679), ainsi qu’à toute autre législation applicable en matière de protection des données.

1. Définitions

Dans le présent DPA, sauf si le contexte exige une interprétation différente :

  • “Lois sur la protection des données” — le UK GDPR, le RGPD de l’UE, le Data Protection Act 2018, le Privacy and Electronic Communications Regulations 2003, ainsi que toute autre législation applicable en matière de protection des données.
  • “Données à caractère personnel” — toute information se rapportant à une personne physique identifiée ou identifiable, traitée par Accsible pour le compte du Client dans le cadre de l’Accord principal.
  • “Traitement” — toute opération effectuée sur des données à caractère personnel, y compris la collecte, l’enregistrement, le stockage, la consultation, l’utilisation, la divulgation, l’effacement ou la destruction.
  • “Sous-traitant ultérieur” — tout tiers désigné par Accsible pour traiter des données à caractère personnel pour le compte du Client.
  • “Personne concernée” — la personne physique identifiée ou identifiable à laquelle se rapportent les données à caractère personnel.
  • “Utilisateur final” — un visiteur du site web du Client qui interagit avec le widget Accsible.
  • “Incident de sécurité” — une violation de la sécurité entraînant la destruction, la perte, l’altération, la divulgation non autorisée ou l’accès non autorisé, accidentels ou illicites, à des données à caractère personnel.
  • “CCS” — les clauses contractuelles types approuvées par la Commission européenne (Décision 2021/914) ou l’UK International Data Transfer Agreement (IDTA), selon le cas.

2. Portée et détails du traitement

2.1 Objet

Accsible fournit un widget d’accessibilité et une plateforme SaaS. Lorsque le Client intègre le Widget sur son ou ses site(s) web, Accsible traite certaines données à caractère personnel des Utilisateurs finaux pour le compte du Client.

2.2 Durée

Le traitement commence lorsque le Client active le Widget et se poursuit pendant toute la durée de l’Accord principal. En cas de résiliation, la section 11 du présent DPA s’applique.

2.3 Nature et finalité du traitement

Aspect Détail
Finalité Fourniture et exploitation du widget d’accessibilité ; fourniture d’analyses d’utilisation et de scores d’accessibilité au Client via le Tableau de bord ; traitement des retours soumis par les Utilisateurs finaux.
Nature du traitement Collecte, stockage, agrégation, analyse et suppression des données à caractère personnel, selon les besoins de la fourniture du Service.

2.4 Types de données à caractère personnel

  • Adresses IP (anonymisées pour l’analyse ; IP complète dans les journaux de sécurité pendant 90 days maximum)
  • Type de navigateur, version et chaîne user agent
  • Type d’appareil et système d’exploitation
  • Pages visitées et horodatages sur le site web du Client
  • Préférences d’accessibilité sélectionnées par les Utilisateurs finaux (stockées localement sur l’appareil de l’Utilisateur final ; non transmises sauf si un retour est soumis)
  • Soumissions de retours (nom et/ou e-mail si fournis volontairement par l’Utilisateur final)
  • Métriques agrégées de consultation des pages

2.5 Catégories de personnes concernées

  • Utilisateurs finaux — visiteurs du ou des site(s) web du Client qui interagissent avec le Widget Accsible
  • Personnel du Client — personnes qui accèdent au Tableau de bord Accsible pour le compte du Client

3. Obligations du Client (Responsable du traitement)

Le Client doit :

  • S’assurer qu’il dispose d’une base légale pour traiter des données à caractère personnel et pour demander à Accsible de les traiter.
  • Fournir tous les avis requis et obtenir tous les consentements nécessaires des Personnes concernées, conformément aux Lois sur la protection des données, y compris en informant les Utilisateurs finaux de l’utilisation du Widget Accsible dans sa propre politique de confidentialité.
  • S’assurer que ses instructions à Accsible sont conformes aux Lois sur la protection des données.
  • Informer rapidement Accsible de toute modification des Lois sur la protection des données applicables susceptible d’affecter les obligations de traitement d’Accsible.

4. Obligations d’Accsible (Sous-traitant)

Accsible doit :

  • Traiter les données à caractère personnel uniquement sur instructions documentées du Client (y compris les instructions énoncées dans le présent DPA et dans l’Accord principal), sauf si la loi applicable l’exige — auquel cas Accsible informera le Client avant le traitement, sauf interdiction légale de le faire.
  • S’assurer que les personnes autorisées à traiter des données à caractère personnel se sont engagées à la confidentialité ou sont soumises à une obligation légale appropriée de confidentialité.
  • Mettre en œuvre et maintenir les mesures de sécurité techniques et organisationnelles décrites à la section 5.
  • Respecter les conditions de recours à des Sous-traitants ultérieurs énoncées à la section 6.
  • Aider le Client, au moyen de mesures techniques et organisationnelles appropriées, à remplir son obligation de répondre aux demandes des Personnes concernées (section 7).
  • Aider le Client à assurer le respect de ses obligations au titre des articles 32–36 du RGPD (sécurité, notification des violations, analyses d’impact et consultation préalable), en tenant compte de la nature du traitement et des informations dont dispose Accsible.
  • Au choix du Client, supprimer ou restituer toutes les données à caractère personnel à la résiliation de l’Accord principal (section 11).
  • Mettre à la disposition du Client toutes les informations nécessaires pour démontrer le respect des obligations prévues à l’article 28 du RGPD, et permettre les audits et inspections et y contribuer (section 10).
  • Informer immédiatement le Client si, selon Accsible, une instruction du Client enfreint les Lois sur la protection des données.

5. Mesures de sécurité

Accsible met en œuvre et maintient les mesures techniques et organisationnelles suivantes pour protéger les données à caractère personnel contre tout traitement non autorisé ou illicite, toute perte accidentelle, destruction ou détérioration :

5.1 Mesures techniques

  • Chiffrement en transit via TLS/HTTPS pour toutes les connexions, y compris la diffusion via CDN, la communication API et l’accès au Tableau de bord.
  • Hachage des mots de passe à l’aide d’algorithmes cryptographiques salés à sens unique.
  • En-têtes Content Security Policy (CSP) pour atténuer les attaques de type cross-site scripting et injection.
  • Protection DDoS via Cloudflare.
  • Surveillance des erreurs (Sentry) configurée pour masquer tout texte et bloquer tous les médias dans les relectures de session.
  • Anonymisation des adresses IP dans le traitement analytique.
  • Préférences d’accessibilité des Utilisateurs finaux stockées dans le stockage local du navigateur (uniquement côté appareil ; non transmises aux serveurs sauf si un retour est soumis).

5.2 Mesures organisationnelles

  • Contrôles d’accès fondés sur les rôles ; accès aux données à caractère personnel limité au personnel qui en a besoin pour exercer ses fonctions.
  • Obligations de confidentialité pour tout le personnel et les prestataires ayant accès aux données à caractère personnel.
  • Évaluations de sécurité régulières et surveillance de l’infrastructure.
  • Procédures de réponse aux incidents telles que décrites à la section 8.
  • Politiques de conservation garantissant que les données à caractère personnel ne sont pas conservées plus longtemps que nécessaire (voir section 9).

6. Sous-traitants ultérieurs

6.1 Autorisation générale

Le Client accorde à Accsible une autorisation écrite générale de recourir à des Sous-traitants ultérieurs pour effectuer des activités de traitement spécifiques pour le compte du Client. Accsible imposera à chaque Sous-traitant ultérieur, par contrat écrit, des obligations de protection des données au moins aussi protectrices que celles prévues dans le présent DPA.

6.2 Sous-traitants ultérieurs actuels

Les Sous-traitants ultérieurs suivants sont engagés à la date du présent DPA :

Sous-traitant ultérieur Finalité Localisation
Cloudflare, Inc. CDN, protection DDoS, diffusion de contenu pour le Widget et l’API Global (siège aux USA) ; traitement des données UE/UK sous CCS
Functional Software, Inc. (Sentry) Surveillance des erreurs et diagnostics de performance USA ; traitement sous CCS
Google LLC (Google Analytics) Analyses agrégées du trafic du site web (uniquement sur consentement) USA ; traitement sous CCS et EU-US Data Privacy Framework
Stripe, Inc. Traitement des paiements et gestion des abonnements USA ; certifié PCI DSS Level 1 ; traitement sous CCS

6.3 Modifications des Sous-traitants ultérieurs

Accsible informera le Client par e-mail au moins 30 days avant d’ajouter ou de remplacer un Sous-traitant ultérieur. La notification comprendra le nom du Sous-traitant ultérieur, le traitement qu’il effectuera et sa localisation.

Si le Client a une objection raisonnable à l’encontre d’un nouveau Sous-traitant ultérieur pour des motifs de protection des données, le Client doit en informer Accsible par écrit dans les 14 days suivant la réception de la notification. Les parties discuteront de la préoccupation de bonne foi. Si les parties ne parviennent pas à résoudre l’objection dans un délai de 30 days, le Client peut résilier le Service concerné en adressant une notification écrite, et Accsible remboursera tous les frais prépayés pour la partie non utilisée de la durée de l’abonnement.

7. Droits des Personnes concernées

Accsible doit, en tenant compte de la nature du traitement, aider le Client au moyen de mesures techniques et organisationnelles appropriées à remplir ses obligations de réponse aux demandes des Personnes concernées exerçant leurs droits en vertu des Lois sur la protection des données, y compris :

  • Droit d’accès
  • Droit de rectification
  • Droit à l’effacement (“droit à l’oubli”)
  • Droit à la limitation du traitement
  • Droit à la portabilité des données
  • Droit d’opposition

Si Accsible reçoit directement une demande d’une Personne concernée concernant les données du Client, Accsible doit rediriger rapidement la Personne concernée vers le Client et informer le Client de la demande, sauf interdiction légale de le faire. Accsible ne répondra pas directement à de telles demandes, sauf instruction du Client ou obligation légale.

8. Notification des incidents de sécurité

8.1 Notification

Accsible notifiera au Client tout Incident de sécurité confirmé sans retard injustifié et, en tout état de cause, dans les 48 hours suivant le moment où il en a eu connaissance. La notification sera envoyée à l’adresse e-mail associée au compte du Client (ou à une autre adresse désignée par le Client à cette fin).

8.2 Contenu de la notification

La notification comprendra, dans la mesure où ces informations sont disponibles au moment de l’envoi :

  • Une description de la nature de l’Incident de sécurité, y compris les catégories et le nombre approximatif de Personnes concernées et d’enregistrements de données concernés.
  • Le nom et les coordonnées de la personne de contact chez Accsible.
  • Une description des conséquences probables de l’incident.
  • Une description des mesures prises ou proposées pour remédier à l’incident, y compris les mesures visant à en atténuer les effets.

8.3 Obligations continues

Accsible fournira des informations complémentaires dès qu’elles seront disponibles et coopérera avec les demandes raisonnables du Client visant à enquêter sur l’Incident de sécurité, à y remédier et à en atténuer les effets. Accsible aidera également le Client à satisfaire à ses propres obligations de notification des violations auprès des autorités de contrôle et des Personnes concernées en vertu des articles 33 et 34 du RGPD.

8.4 Tenue de registres

Accsible tiendra un registre de tous les Incidents de sécurité, y compris les faits entourant l’incident, ses effets et les mesures correctives prises.

9. Conservation des données

Accsible conserve les données à caractère personnel traitées au titre du présent DPA comme suit :

  • Journaux de sécurité (adresses IP complètes) : Jusqu’à 90 days, puis suppression définitive.
  • Données analytiques agrégées : Anonymisées sur une base mensuelle ; les données de session individuelles ne sont pas conservées.
  • Soumissions de retours des Utilisateurs finaux : Conservées pendant la durée de l’Accord principal ; supprimées dans les 30 days suivant la résiliation.
  • Données de surveillance des erreurs (Sentry) : Jusqu’à 90 days.
  • Métriques d’utilisation du Widget : Agrégées et anonymisées ; aucune donnée au niveau individuel n’est conservée au-delà du traitement.

Accsible ne conservera pas les données à caractère personnel plus longtemps que nécessaire aux fins de la fourniture du Service ou que l’exige la loi applicable.

10. Audits & conformité

10.1 Informations

Accsible mettra à la disposition du Client, sur demande raisonnable, toutes les informations raisonnablement nécessaires pour démontrer le respect de ses obligations au titre du présent DPA et de l’article 28 du RGPD.

10.2 Droits d’audit

Le Client (ou un auditeur tiers indépendant désigné par le Client) peut procéder à un audit des activités de traitement et des mesures de sécurité d’Accsible, sous réserve des conditions suivantes :

  • Le Client doit fournir un préavis écrit d’au moins 30 days’ pour toute demande d’audit.
  • Les audits doivent être réalisés pendant les heures normales de bureau (Monday–Friday, 09:00–18:00 GMT) et ne doivent pas perturber de manière déraisonnable les activités d’Accsible.
  • Le Client ne peut effectuer pas plus d’un audit par période de 12 months, sauf si une autorité de contrôle l’exige ou à la suite d’un Incident de sécurité confirmé.
  • L’auditeur sera tenu par des obligations de confidentialité au moins aussi protectrices que celles prévues dans l’Accord principal.
  • Accsible peut satisfaire à une demande d’audit en fournissant un rapport SOC 2 Type II à jour, un certificat ISO 27001 ou une certification indépendante équivalente, si disponible.

10.3 Coopération

Accsible coopérera avec le Client et toute autorité de contrôle qui exige l’accès aux installations ou aux registres d’Accsible dans le cadre du présent DPA.

11. Restitution et suppression des données

À la résiliation ou à l’expiration de l’Accord principal, le Client peut demander, dans un délai de 30 days, qu’Accsible :

  • Restitue toutes les données à caractère personnel dans un format structuré, couramment utilisé et lisible par machine ; ou
  • Supprime toutes les données à caractère personnel et confirme la suppression par écrit.

Si le Client ne formule pas de demande dans les 30 days suivant la résiliation, Accsible supprimera définitivement toutes les données à caractère personnel, sauf dans la mesure où leur conservation est requise par la loi applicable (par exemple, les registres de facturation à des fins de conformité fiscale). Lorsque la conservation est légalement requise, Accsible isolera et protégera les données et limitera le traitement à la finalité imposée par la loi.

12. Transferts internationaux

Accsible est établi au United Kingdom. Lorsque des données à caractère personnel sont transférées à des Sous-traitants ultérieurs situés en dehors du UK ou de l’EEE, Accsible s’assure que des garanties appropriées sont en place, notamment :

  • UK International Data Transfer Agreement (IDTA) ou addendum britannique aux CCS
  • Clauses contractuelles types de l’UE (CCS) — Décision de la Commission 2021/914
  • Décisions d’adéquation du Secretary of State britannique ou de la Commission européenne
  • Le cas échéant, des mesures supplémentaires recommandées par l’ICO ou le CEPD

Une copie du mécanisme de transfert pertinent sera mise à la disposition du Client sur demande écrite.

13. Responsabilité

La responsabilité de chaque partie au titre du présent DPA est soumise aux limitations et exclusions de responsabilité énoncées dans l’Accord principal (Conditions d’utilisation), sauf qu’aucune des parties n’exclut ni ne limite sa responsabilité en cas de violation des Lois sur la protection des données dans la mesure où une telle exclusion ou limitation n’est pas autorisée par la loi applicable.

14. Durée et primauté

14.1 Durée

Le présent DPA prend effet à la date à laquelle le Client intègre pour la première fois le Widget Accsible et reste en vigueur pendant la durée de l’Accord principal, puis jusqu’à ce que toutes les données à caractère personnel aient été supprimées ou restituées conformément à la section 11.

14.2 Primauté

En cas de conflit entre le présent DPA et l’Accord principal, le présent DPA prévaudra en ce qui concerne le traitement et la protection des données à caractère personnel.

14.3 Modifications

Accsible peut mettre à jour le présent DPA afin de refléter les évolutions des Lois sur la protection des données ou des activités de traitement. Les modifications substantielles seront notifiées au Client au moins 30 days à l’avance par e-mail. La poursuite de l’utilisation du Service après la date d’entrée en vigueur des modifications vaut acceptation.

15. Contact

Pour toute question ou demande relative au présent DPA, contactez-nous à :

  • Contact protection des données : [email protected]
  • Incidents de sécurité : [email protected]
  • Siège social : Denizcom Ltd, 71-75 Shelton Street, Covent Garden, London, WC2H 9JQ, United Kingdom
  • Enregistrement ICO : ZC114350