Connexion

Accord de traitement des données

Dernière mise à jour : 15 April 2026

Le présent Data Processing Agreement (“DPA”) fait partie de l’accord entre l’entité identifiée dans le compte Accsible (“Client”, “Responsable du traitement”) et Denizcom Ltd, exerçant sous le nom Accsible, enregistrée au 71-75 Shelton Street, Covent Garden, London, WC2H 9JQ, United Kingdom (“Accsible”, “Sous-traitant”), et complète les Conditions d’utilisation et la Politique de confidentialité (ensemble, l’“Accord principal”).

Le présent DPA s’applique lorsque et dans la mesure où Accsible traite des Données à caractère personnel pour le compte du Client dans le cadre de la fourniture du Service. Il est conçu pour assurer la conformité à l’article 28 du UK GDPR, au RGPD de l’UE (Règlement 2016/679) et aux autres législations applicables en matière de protection des données.

1. Définitions

Dans le présent DPA, sauf indication contraire du contexte :

  • “Lois sur la protection des données” — le UK GDPR, le RGPD de l’UE, le Data Protection Act 2018, les Privacy and Electronic Communications Regulations 2003, et toute autre législation applicable en matière de protection des données.
  • “Données à caractère personnel” — toute information se rapportant à une personne physique identifiée ou identifiable qui est traitée par Accsible pour le compte du Client en vertu de l’Accord principal.
  • “Traitement” — toute opération effectuée sur des Données à caractère personnel, y compris la collecte, l’enregistrement, le stockage, la récupération, l’utilisation, la divulgation, l’effacement ou la destruction.
  • “Sous-traitant ultérieur” — tout tiers désigné par Accsible pour traiter des Données à caractère personnel pour le compte du Client.
  • “Personne concernée” — la personne physique identifiée ou identifiable à laquelle se rapportent les Données à caractère personnel.
  • “Utilisateur final” — un visiteur du site web du Client qui interagit avec le Widget Accsible.
  • “Incident de sécurité” — une violation de la sécurité entraînant la destruction, la perte, l’altération, la divulgation non autorisée de, ou l’accès non autorisé à, des Données à caractère personnel, de manière accidentelle ou illicite.
  • “SCC” — les Clauses contractuelles types approuvées par la Commission européenne (Décision 2021/914) ou le UK International Data Transfer Agreement (IDTA), selon le cas.

2. Portée et détails du Traitement

2.1 Objet

Accsible fournit un widget d’accessibilité et une plateforme SaaS. Lorsque le Client intègre le Widget sur son ou ses site(s) web, Accsible traite certaines Données à caractère personnel des Utilisateurs finaux pour le compte du Client.

2.2 Durée

Le Traitement commence lorsque le Client active le Widget et se poursuit pendant la durée de l’Accord principal. À la résiliation, la Section 11 du présent DPA s’applique.

2.3 Nature et finalité du Traitement

Aspect Détail
Finalité Fournir et exploiter le widget d’accessibilité ; fournir au Client, via le Tableau de bord, des analyses d’utilisation et des scores d’accessibilité ; traiter les retours soumis par les Utilisateurs finaux.
Nature du Traitement Collecte, stockage, agrégation, analyse et suppression des Données à caractère personnel, selon ce qui est nécessaire pour fournir le Service.

2.4 Types de Données à caractère personnel

  • Adresses IP (anonymisées pour les analyses ; IP complète dans les journaux de sécurité pendant une durée maximale de 90 jours)
  • Type de navigateur, version et chaîne user agent
  • Type d’appareil et système d’exploitation
  • Pages visitées et horodatages sur le site web du Client
  • Préférences d’accessibilité sélectionnées par les Utilisateurs finaux (stockées localement sur l’appareil de l’Utilisateur final ; non transmises sauf en cas de soumission de retour)
  • Soumissions de retours (nom et/ou e-mail si fournis volontairement par l’Utilisateur final)
  • Métriques agrégées de vues de pages

2.5 Catégories de Personnes concernées

  • Utilisateurs finaux — visiteurs du ou des site(s) web du Client qui interagissent avec le Widget Accsible
  • Personnel du Client — personnes qui accèdent au Tableau de bord Accsible pour le compte du Client

3. Obligations du Client (Responsable du traitement)

Le Client doit :

  • Veiller à disposer d’une base légale pour le Traitement des Données à caractère personnel et pour donner instruction à Accsible de les traiter.
  • Fournir tous les avis requis et obtenir tous les consentements nécessaires des Personnes concernées, conformément aux Lois sur la protection des données, y compris informer les Utilisateurs finaux de l’utilisation du Widget Accsible dans la propre politique de confidentialité du Client.
  • Veiller à ce que ses instructions à Accsible soient conformes aux Lois sur la protection des données.
  • Notifier rapidement à Accsible toute modification des Lois applicables sur la protection des données susceptible d’affecter les obligations de traitement d’Accsible.

4. Obligations d’Accsible (Sous-traitant)

Accsible doit :

  • Traiter les Données à caractère personnel uniquement sur instruction documentée du Client (y compris les instructions énoncées dans le présent DPA et dans l’Accord principal), sauf si la loi applicable l’y oblige — auquel cas Accsible en informera le Client avant le Traitement, sauf interdiction légale de le faire.
  • Veiller à ce que les personnes autorisées à traiter les Données à caractère personnel se soient engagées à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.
  • Mettre en œuvre et maintenir les mesures de sécurité techniques et organisationnelles décrites à la Section 5.
  • Respecter les conditions d’engagement des Sous-traitants ultérieurs énoncées à la Section 6.
  • Aider le Client, par des mesures techniques et organisationnelles appropriées, à remplir son obligation de répondre aux demandes des Personnes concernées (Section 7).
  • Aider le Client à assurer le respect de ses obligations au titre des articles 32 à 36 du RGPD (sécurité, notification des violations, analyses d’impact et consultation préalable), compte tenu de la nature du Traitement et des informations dont dispose Accsible.
  • Au choix du Client, supprimer ou restituer toutes les Données à caractère personnel à la résiliation de l’Accord principal (Section 11).
  • Mettre à la disposition du Client toutes les informations nécessaires pour démontrer le respect des obligations prévues à l’article 28 du RGPD, et permettre et contribuer aux audits et inspections (Section 10).
  • Informer immédiatement le Client si, de l’avis d’Accsible, une instruction du Client enfreint les Lois sur la protection des données.

5. Mesures de sécurité

Accsible met en œuvre et maintient les mesures techniques et organisationnelles suivantes pour protéger les Données à caractère personnel contre le Traitement non autorisé ou illicite, la perte accidentelle, la destruction ou les dommages :

5.1 Mesures techniques

  • Chiffrement en transit via TLS/HTTPS pour toutes les connexions, y compris la diffusion via CDN, la communication API et l’accès au Tableau de bord.
  • Hachage des mots de passe à l’aide d’algorithmes cryptographiques salés et à sens unique.
  • En-têtes Content Security Policy (CSP) pour atténuer les attaques de type cross-site scripting et les injections.
  • Protection DDoS via Cloudflare.
  • Surveillance des erreurs (Sentry) configurée pour masquer tout texte et bloquer tous les médias dans les relectures de sessions.
  • Anonymisation des adresses IP dans le traitement analytique.
  • Préférences d’accessibilité des Utilisateurs finaux stockées dans le stockage local du navigateur (côté appareil uniquement ; non transmises aux serveurs sauf en cas de soumission de retour).

5.2 Mesures organisationnelles

  • Contrôles d’accès basés sur les rôles ; accès aux Données à caractère personnel limité au personnel qui en a besoin pour accomplir ses fonctions.
  • Obligations de confidentialité pour tout le personnel et les sous-traitants ayant accès aux Données à caractère personnel.
  • Évaluations de sécurité régulières et surveillance de l’infrastructure.
  • Procédures de réponse aux incidents telles que décrites à la Section 8.
  • Politiques de conservation garantissant que les Données à caractère personnel ne sont pas conservées plus longtemps que nécessaire (voir Section 9).

6. Sous-traitants ultérieurs

6.1 Autorisation générale

Le Client accorde à Accsible une autorisation écrite générale pour engager des Sous-traitants ultérieurs afin d’effectuer des activités de Traitement spécifiques pour le compte du Client. Accsible impose à chaque Sous-traitant ultérieur, par le biais d’un contrat écrit, des obligations de protection des données au moins aussi protectrices que celles du présent DPA.

6.2 Sous-traitants ultérieurs actuels

Les Sous-traitants ultérieurs suivants sont engagés à la date du présent DPA :

Sous-traitant ultérieur Finalité Lieu
Cloudflare, Inc. CDN, protection DDoS, diffusion de contenu pour le Widget et l’API Global (siège aux USA) ; traitement des données UE/UK dans le cadre des SCC
Functional Software, Inc. (Sentry) Surveillance des erreurs et diagnostics de performance USA ; traitement dans le cadre des SCC
Google LLC (Google Analytics) Analyses agrégées du trafic du site web (uniquement sur la base du consentement) USA ; traitement dans le cadre des SCC et du EU-US Data Privacy Framework
Stripe, Inc. Traitement des paiements et gestion des abonnements USA ; certifié PCI DSS Niveau 1 ; traitement dans le cadre des SCC

6.3 Modifications des Sous-traitants ultérieurs

Accsible notifiera le Client par e-mail au moins 30 jours avant d’ajouter ou de remplacer un Sous-traitant ultérieur. La notification inclura le nom du Sous-traitant ultérieur, le Traitement qu’il effectuera et son lieu d’implantation.

Si le Client a une objection raisonnable à un nouveau Sous-traitant ultérieur pour des raisons liées à la protection des données, il doit en informer Accsible par écrit dans les 14 jours suivant la réception de la notification. Les parties discuteront de la préoccupation de bonne foi. Si les parties ne peuvent pas résoudre l’objection dans un délai de 30 jours, le Client peut résilier le Service concerné en fournissant un avis écrit, et Accsible remboursera les frais prépayés pour la partie inutilisée de la période d’abonnement.

7. Droits des Personnes concernées

Accsible, compte tenu de la nature du Traitement, aide le Client par des mesures techniques et organisationnelles appropriées à remplir ses obligations de répondre aux demandes des Personnes concernées exerçant leurs droits en vertu des Lois sur la protection des données, y compris :

  • Droit d’accès
  • Droit de rectification
  • Droit à l’effacement (“droit à l’oubli”)
  • Droit à la limitation du Traitement
  • Droit à la portabilité des données
  • Droit d’opposition

Si Accsible reçoit directement une demande d’une Personne concernée concernant les données du Client, Accsible redirigera rapidement la Personne concernée vers le Client et informera le Client de la demande, sauf interdiction légale de le faire. Accsible ne répondra pas directement à ces demandes, sauf instruction du Client ou obligation légale.

8. Notification des Incidents de sécurité

8.1 Notification

Accsible notifiera au Client tout Incident de sécurité confirmé sans retard injustifié et, en tout état de cause, dans un délai maximal de 48 heures après en avoir pris connaissance. La notification sera envoyée à l’adresse e-mail associée au compte du Client (ou à une autre adresse désignée par le Client à cette fin).

8.2 Contenu de la notification

La notification inclura, dans la mesure des informations disponibles au moment de l’envoi :

  • Une description de la nature de l’Incident de sécurité, y compris les catégories et le nombre approximatif de Personnes concernées et d’enregistrements de données concernés.
  • Le nom et les coordonnées du point de contact chez Accsible.
  • Une description des conséquences probables de l’incident.
  • Une description des mesures prises ou proposées pour remédier à l’incident, y compris les mesures visant à en atténuer les effets.

8.3 Obligations continues

Accsible fournira des informations supplémentaires au fur et à mesure qu’elles seront disponibles et coopérera avec les demandes raisonnables du Client pour enquêter sur l’Incident de sécurité, y remédier et en atténuer les effets. Accsible aidera également le Client à remplir ses propres obligations de notification de violation auprès des autorités de contrôle et des Personnes concernées en vertu des articles 33 et 34 du RGPD.

8.4 Conservation des enregistrements

Accsible conservera un enregistrement de tous les Incidents de sécurité, y compris les faits entourant l’incident, ses effets et les mesures correctives prises.

9. Conservation des données

Accsible conserve les Données à caractère personnel traitées dans le cadre du présent DPA comme suit :

  • Journaux de sécurité (adresses IP complètes) : Jusqu’à 90 jours, puis suppression définitive.
  • Données analytiques agrégées : Anonymisées sur une base mensuelle ; les données de session individuelles ne sont pas conservées.
  • Soumissions de retours des Utilisateurs finaux : Conservées pendant la durée de l’Accord principal ; supprimées dans les 30 jours suivant la résiliation.
  • Données de surveillance des erreurs (Sentry) : Jusqu’à 90 jours.
  • Métriques d’utilisation du Widget : Agrégées et anonymisées ; aucune donnée au niveau individuel n’est conservée au-delà du Traitement.

Accsible ne conservera pas les Données à caractère personnel plus longtemps que nécessaire aux fins de la fourniture du Service ou que requis par la loi applicable.

10. Audits et conformité

10.1 Informations

Accsible mettra à la disposition du Client, sur demande raisonnable, toutes les informations raisonnablement nécessaires pour démontrer le respect de ses obligations en vertu du présent DPA et de l’article 28 du RGPD.

10.2 Droits d’audit

Le Client (ou un auditeur tiers indépendant désigné par le Client) peut effectuer un audit des activités de Traitement et des mesures de sécurité d’Accsible, sous réserve des conditions suivantes :

  • Le Client doit fournir un préavis écrit d’au moins 30 jours pour toute demande d’audit.
  • Les audits doivent être effectués pendant les heures normales de bureau (du lundi au vendredi, de 09:00 à 18:00 GMT) et ne doivent pas perturber de manière déraisonnable les opérations d’Accsible.
  • Le Client ne peut effectuer plus de un audit par période de 12 mois, sauf exigence d’une autorité de contrôle ou à la suite d’un Incident de sécurité confirmé.
  • L’auditeur doit être lié par des obligations de confidentialité au moins aussi protectrices que celles de l’Accord principal.
  • Accsible peut satisfaire une demande d’audit en fournissant un rapport SOC 2 Type II actuel, un certificat ISO 27001 ou une certification indépendante équivalente, si disponible.

10.3 Coopération

Accsible coopérera avec le Client et toute autorité de contrôle qui exige l’accès aux installations ou aux registres d’Accsible dans le cadre du présent DPA.

11. Restitution et suppression des données

À la résiliation ou à l’expiration de l’Accord principal, le Client peut demander, dans un délai de 30 jours, qu’Accsible :

  • Restitue toutes les Données à caractère personnel dans un format structuré, couramment utilisé et lisible par machine ; ou
  • Supprime toutes les Données à caractère personnel et confirme la suppression par écrit.

Si le Client ne formule pas de demande dans les 30 jours suivant la résiliation, Accsible supprimera définitivement toutes les Données à caractère personnel, sauf dans la mesure où la conservation est requise par la loi applicable (par exemple, les registres de facturation à des fins fiscales). Lorsque la conservation est légalement requise, Accsible isolera et protégera les données et limitera le Traitement à la finalité imposée par la loi.

12. Transferts internationaux

Accsible est établie au Royaume-Uni. Lorsque des Données à caractère personnel sont transférées à des Sous-traitants ultérieurs situés en dehors du Royaume-Uni ou de l’EEE, Accsible veille à ce que des garanties appropriées soient en place, notamment :

  • UK International Data Transfer Agreement (IDTA) ou Addendum britannique aux SCC
  • Clauses contractuelles types de l’UE (SCC) — Décision de la Commission 2021/914
  • Décisions d’adéquation du Secretary of State du Royaume-Uni ou de la Commission européenne
  • Le cas échéant, mesures supplémentaires complémentaires telles que recommandées par l’ICO ou l’EDPB

Une copie du mécanisme de transfert pertinent sera mise à la disposition du Client sur demande écrite.

13. Responsabilité

La responsabilité de chaque partie au titre du présent DPA est soumise aux limitations et exclusions de responsabilité énoncées dans l’Accord principal (Conditions d’utilisation), étant entendu qu’aucune des parties n’exclut ni ne limite sa responsabilité pour les violations des Lois sur la protection des données dans la mesure où une telle exclusion ou limitation n’est pas autorisée par la loi applicable.

14. Durée et prééminence

14.1 Durée

Le présent DPA prend effet à la date à laquelle le Client intègre pour la première fois le Widget Accsible et reste en vigueur pendant la durée de l’Accord principal, puis jusqu’à ce que toutes les Données à caractère personnel aient été supprimées ou restituées conformément à la Section 11.

14.2 Prééminence

En cas de conflit entre le présent DPA et l’Accord principal, le présent DPA prévaut en ce qui concerne le Traitement et la protection des Données à caractère personnel.

14.3 Modifications

Accsible peut mettre à jour le présent DPA pour refléter les changements des Lois sur la protection des données ou des activités de Traitement. Les modifications importantes seront notifiées au Client au moins 30 jours à l’avance par e-mail. La poursuite de l’utilisation du Service après la date d’entrée en vigueur des modifications vaut acceptation.

15. Contact

Pour toute question ou demande relative au présent DPA, contactez-nous à :

  • Contact pour la protection des données : [email protected]
  • Incidents de sécurité : [email protected]
  • Siège social : Denizcom Ltd, 71-75 Shelton Street, Covent Garden, London, WC2H 9JQ, United Kingdom
  • Enregistrement ICO : ZC114350