Accord de traitement des données

Documents de l’ensemble contractuel

• Accord de traitement des données (DPA). Conditions bilatérales côté sous-traitant régissant le traitement par Syncanix des données personnelles du client au titre de l’article 28 du RGPD. Définit les finalités du traitement, les catégories de données, les sous-traitants ultérieurs, les mesures de sécurité et les SLA de notification de violation.
• Clauses contractuelles types (SCCs) — Module Deux. Décision d’exécution 2021/914 de la Commission européenne, Module Deux (de sous-traitant à sous-traitant). Régit les transferts de données personnelles hors de l’EEE vers des sous-traitants ultérieurs opérant depuis des pays tiers.
• Addendum de transfert international de données (IDTA) de l’ICO du Royaume-Uni. Addendum étendant les SCCs Module Deux pour couvrir les transferts de données personnelles du Royaume-Uni, conformément au modèle publié par l’ICO du Royaume-Uni.
• Avenant FADP suisse. Avenant de transition étendant les SCCs pour couvrir les transferts de données personnelles soumises à la Loi fédérale suisse sur la protection des données (FADP), comme l’exigent les directives du PFPDT (FDPIC).
• Addenda régionaux. Addenda légers pour la UAE PDPL, la KSA PDPL (Arabie saoudite), la loi israélienne sur la protection de la vie privée + Amendement 13, la loi égyptienne 151/2020 et d’autres juridictions MENA lorsque le déploiement d’un client les déclenche.

Périmètre du DPA (obligations de l’article 28)

Le DPA reprend chaque obligation que l’article 28(3) du RGPD impose à un sous-traitant :

• Instructions uniquement (art. 28 § 3(a)). Syncanix traite les données personnelles du client uniquement sur instructions documentées du client, y compris les transferts vers des pays tiers.
• Confidentialité (art. 28 § 3(b)). Tout employé ou prestataire de Syncanix ayant accès aux données personnelles du client est tenu à une obligation de confidentialité.
• Sécurité (art. 28 § 3(c) + art. 32). Chiffrement au repos via AWS KMS, chiffrement en transit via TLS 1.3, IAM au moindre privilège et les contrôles documentés sur la page de sécurité →.
• Recours à des sous-traitants ultérieurs (art. 28 § 2 + § 4). Autorisation préalable du client pour les changements de sous-traitants ultérieurs ; politique de préavis de modification de 30 jours sur la page des sous-traitants → ; les mêmes obligations de l’article 28 sont répercutées sur chaque sous-traitant ultérieur.
• Assistance pour les demandes d’exercice de droits (art. 28 § 3(e)). Syncanix assiste les clients pour les demandes d’accès des personnes concernées (DSAR) (articles 15 à 22, couvrant l’accès, la rectification, l’effacement, la limitation, la portabilité et l’opposition) dans le cadre du SLA d’accusé de réception de 24 heures / d’exécution en 30 jours.
• Notification des violations (art. 33). Notification au client dans les 24 heures suivant la confirmation d’une violation de données personnelles affectant ses données. Le client (responsable du traitement) conserve l’obligation de notifier les autorités de contrôle et les personnes concernées.
• Coopération aux audits (art. 28 § 3(h)). Fenêtre d’audit annuelle et preuves à la demande (rapports SOC 2, certificat ISO 27001 lorsqu’il est disponible) pour justifier les obligations du sous-traitant.
• Suppression / restitution (art. 28 § 3(g)). À la résiliation, les données personnelles du client sont restituées ou supprimées selon l’instruction du client dans un délai de 30 jours, toutes les copies de sauvegarde étant purgées dans un délai supplémentaire de 90 jours. Une courte marge de suppression logique est conservée conformément à l’article 17 (Effacement) afin de pouvoir revenir sur des demandes accidentelles.

Clauses contractuelles types (SCCs)

Les transferts internationaux depuis l’EEE vers un sous-traitant ultérieur dans un pays tiers (États-Unis, Canada, etc.) sont régis par les SCCs Module Deux — le modèle de sous-traitant à sous-traitant de la Commission européenne (Décision d’exécution 2021/914, en vigueur depuis le 27 June 2021). Les annexes documentant les catégories de données, les finalités du traitement et les mesures de sécurité sont renseignées par sous-traitant ultérieur, comme indiqué sur la page des sous-traitants →. Le client signe les SCCs en tant qu’exportateur de données ; Syncanix signe en tant qu’importateur de données.

Addendum IDTA de l’ICO du Royaume-Uni

Pour les transferts de données personnelles du Royaume-Uni, les SCCs seules ne suffisent pas depuis le Brexit. L’addendum de transfert international de données (IDTA) de l’ICO du Royaume-Uni, publié le 21 March 2022, étend les SCCs en un instrument compatible avec le droit britannique de la protection des données. L’addendum de Syncanix est le modèle publié par l’ICO renseigné avec les mêmes annexes que les SCCs.

Avenant FADP suisse

La Loi fédérale sur la protection des données (FADP, version révisée en vigueur depuis le 1 September 2023) régit les données personnelles suisses. L’avenant suisse de Syncanix est un pont léger : il remplace « Union européenne » par « Suisse » dans les sections pertinentes des SCCs, désigne le PFPDT (FDPIC, Préposé fédéral à la protection des données et à la transparence) comme autorité de contrôle et intègre les droits des personnes concernées propres au droit suisse.

Addenda régionaux

Les juridictions MENA imposent leurs propres exigences contractuelles côté sous-traitant, traitées par des addenda régionaux légers déclenchés par le déploiement du client :

• UAE PDPL (Décret-loi fédéral 45/2021 + DIFC DP Law 5/2020 + ADGM). Centré sur le consentement ; les transferts internationaux nécessitent une décision d’adéquation ou un contrat.
• Saudi PDPL. Application intégrale depuis le 14 Sep 2024. Notification de violation sous 72 heures à la SDAIA. Les transferts internationaux nécessitent l’approbation de la SDAIA. Un représentant local est requis lorsque les seuils de chiffre d’affaires sont atteints.
• Loi israélienne sur la protection de la vie privée + Amendement 13 (en vigueur le 15 Aug 2025). Aligné sur le RGPD ; définition élargie des « informations personnelles » ; délégué à la protection de la vie privée obligatoire ; amendes pouvant atteindre 5 % du chiffre d’affaires.
• Loi égyptienne 151/2020. Licence de transfert international + consentement par défaut.
• Loi qatarienne 13/2016 PDPPL. Régime de consentement + notification.
• Bahrain PDPL 30/2018. Enregistrement des responsables du traitement ; consentement.
• Décret royal omanais 6/2022 PDPL. Licence de transfert international.
• Jordan PDPL 24/2023. DPO conditionnel ; droits des personnes concernées.

Examen par le conseil juridique

Le modèle de DPA, les SCCs Module Deux, l’addendum IDTA du Royaume-Uni, l’avenant FADP suisse et les addenda régionaux sont examinés par le conseil juridique en protection de la vie privée de l’UE avant chaque mise en service commerciale. La validation est consignée dans docs/legal/counsel-sign-off.md avec le nom du conseil juridique, la date d’examen et le périmètre. L’examen par le conseil juridique constitue un point de blocage du lancement. Tant que le conseil juridique n’a pas donné son accord, des copies de travail de l’ensemble contractuel sont partagées bilatéralement sur demande via admin@syncanix.com.

Comment demander l’ensemble contractuel

1. Envoyez un e-mail à admin@syncanix.com en indiquant le nom de votre entité juridique, la ou les juridictions de déploiement et les addenda dont vous avez besoin (Royaume-Uni, Suisse, KSA, UAE, Israël, etc.).
2. Syncanix renvoie la copie de travail dans un délai de 2 jours ouvrés, renseignée avec les annexes des sous-traitants ultérieurs applicables à votre déploiement.
3. La négociation et la contre-signature se font par e-mail ou via un flux DocuSign / Adobe-Sign, selon la préférence du client.
4. Une fois la validation du conseil juridique obtenue, cette page proposera directement ici les modèles publiés signés sous forme de téléchargements .pdf .

Liens connexes

• Liste des sous-traitants → — les entités auxquelles renvoient les annexes des SCCs.
• Aperçu de la sécurité → — les mesures de l’article 32 reprises dans le DPA.
• Avis de confidentialité → — périmètre de l’instruction du responsable du traitement de l’article 28 § 3(a).
• État de conformité → — preuves SOC 2 / ISO 27001 justifiant l’article 32.