Accord de sous-traitance RGPD — Kimoun (DPA)

Accord de sous-traitance RGPD conforme à l’article 28 du RGPD, annexe transversale aux Conditions Générales et Conditions Spécifiques Kimoun. Définit les obligations de Kimoun en qualité de sous-traitant.

Notice d’usage. Document conforme à l’article 28 du Règlement (UE) 2016/679 (RGPD), formalisant les conditions de sous-traitance entre le Client (responsable de traitement) et Kimoun (sous-traitant) pour toute Prestation impliquant un traitement de données personnelles pour le compte du Client. Annexe transversale aux Conditions Générales Kimoun et à toutes les Conditions Spécifiques applicables. À faire valider par un avocat ou juriste avant publication.

Article 1 — Préambule et objet

1.1 Contexte

Dans le cadre des Prestations qu’elle exécute pour le compte du Client au titre des Conditions Générales Kimoun (CG) et des Conditions Spécifiques (CS) applicables, Kimoun est susceptible de traiter des données personnelles pour le compte du Client.

Le présent accord (ci-après « DPA » pour Data Processing Agreement) formalise les conditions de cette sous-traitance, conformément à l’article 28 du Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel (ci-après « RGPD ») et à la loi n° 78-17 du 6 janvier 1978 modifiée.

1.2 Articulation contractuelle

Le présent DPA :

s’inscrit en complément des CG (notamment article 5) et des CS applicables à chaque Prestation ;
prévaut sur les CG et les CS pour toute question relative à la sous-traitance de données personnelles ;
entre en vigueur dès la signature ou l’acceptation d’un devis Kimoun emportant un traitement de données personnelles pour le compte du Client.

1.3 Qualités des Parties

Le Client agit en qualité de responsable de traitement au sens de l’article 4(7) du RGPD.
Kimoun agit en qualité de sous-traitant au sens de l’article 4(8) du RGPD.

Article 2 — Définitions

Les termes utilisés ont le sens qui leur est donné à l’article 4 du RGPD, notamment :

Données personnelles : toute information se rapportant à une personne physique identifiée ou identifiable.
Traitement : toute opération effectuée sur des données personnelles.
Responsable de traitement : la personne qui détermine les finalités et les moyens du traitement.
Sous-traitant : la personne qui traite des données personnelles pour le compte du responsable de traitement.
Sous-traitant ultérieur (sub-processor) : sous-traitant engagé par le sous-traitant pour réaliser tout ou partie du traitement.
Personne concernée : personne physique dont les données personnelles sont traitées.
Violation de données : violation de sécurité entraînant la destruction, la perte, l’altération, la divulgation non autorisée ou l’accès non autorisé à des données personnelles.
CNIL : Commission Nationale de l’Informatique et des Libertés, autorité de contrôle française.

Article 3 — Description des traitements

3.1 Prestations de conseil, services web, SEO et accompagnement éditorial

Élément	Description
Nature	Collecte, consultation, structuration, stockage et restitution de données dans le cadre des livrables
Finalités	Réalisation des prestations contractuelles de conseil, audit, accompagnement, mise en œuvre
Catégories de données	Données professionnelles, données de trafic, données de prospects ou clients du Client si transmises
Personnes concernées	Visiteurs et utilisateurs des sites du Client, prospects, clients, collaborateurs du Client
Durée	Durée de la mission, majorée de la durée d’archivage prévue à l’article 11

3.2 Noms de domaine et DNS

Élément	Description
Nature	Collecte, transmission et stockage de données nécessaires à l’enregistrement et à la gestion des domaines
Finalités	Réservation, renouvellement, gestion administrative et technique ; configuration DNS
Catégories de données	Données d’identification du Titulaire, contacts administratifs, techniques, de facturation
Personnes concernées	Titulaire, contacts désignés par le Client
Durée	Durée de réservation du domaine, majorée de la durée d’archivage prévue à l’article 11

3.3 Infogérance et hébergement web

Élément	Description
Nature	Hébergement, administration, supervision, sauvegarde et restauration des données hébergées
Finalités	Mise à disposition et maintien en condition opérationnelle de l’environnement d’hébergement
Catégories de données	Toutes données personnelles contenues dans les sites, applications et bases de données du Client
Personnes concernées	Variables selon les usages du Client : visiteurs, clients, prospects, collaborateurs
Durée	Durée de la Prestation, majorée de la durée de conservation prévue à l’article 11

3.4 Messagerie électronique Zimbra

Élément	Description
Nature	Commercialisation et coordination du service ; aucun accès direct au contenu des messages par Kimoun
Finalités	Mise à disposition et continuité du service de messagerie
Catégories de données	Identifiants des comptes, données de configuration ; contenus traités exclusivement par l’opérateur sous-jacent
Personnes concernées	Utilisateurs des boîtes du Client, correspondants éventuels
Durée	Durée de la Prestation, majorée de la durée de conservation prévue à l’article 11

3.5 Impression et produits print

Élément	Description
Nature	Réception, traitement technique et impression de fichiers fournis par le Client
Finalités	Production des supports imprimés commandés
Catégories de données	Données présentes dans les fichiers à imprimer (variables selon les supports)
Personnes concernées	Variables selon les contenus fournis par le Client
Durée	Durée d’exécution de la commande, majorée de la durée d’archivage technique prévue à la CS Impression

3.6 Détail spécifique par mission

Lorsque la mission présente des caractéristiques particulières (volume important, données sensibles), un descriptif détaillé est annexé au devis.

Article 4 — Obligations et droits du Client (responsable de traitement)

Le Client s’engage à :

documenter par écrit toute instruction donnée à Kimoun relativement au traitement ;
veiller à ce que les instructions soient conformes au RGPD et à toute législation applicable ;
s’assurer que les personnes concernées ont été informées conformément aux articles 12 à 14 du RGPD ;
garantir disposer d’une base légale appropriée pour chaque traitement confié ;
superviser le traitement, notamment via les audits prévus à l’article 12 ;
notifier à Kimoun toute évolution des finalités ou catégories de traitement.

Le Client demeure responsable de la réalisation d’une analyse d’impact (AIPD) lorsque requise par l’article 35 du RGPD.

Article 5 — Obligations de Kimoun (sous-traitant)

Conformément à l’article 28(3) du RGPD, Kimoun s’engage à :

5.1 Traiter les données uniquement sur instruction documentée du Client

Kimoun informe immédiatement le Client si une instruction constitue à son avis une violation du RGPD. Kimoun ne procède à aucun transfert de données vers un pays tiers sans en informer préalablement le Client.

5.2 Veiller à la confidentialité

Kimoun veille à ce que les personnes autorisées à traiter les données s’engagent à respecter la confidentialité par engagement écrit ou en raison d’une obligation légale.

5.3 Mettre en œuvre des mesures de sécurité (article 32 RGPD)

Kimoun met en œuvre des mesures techniques et organisationnelles appropriées, notamment : pseudonymisation et chiffrement, confidentialité, intégrité, disponibilité et résilience des systèmes, rétablissement en cas d’incident, évaluation régulière de l’efficacité des mesures, gestion des accès, politique de mise à jour de sécurité. Le détail figure en Annexe A.

5.4 Conditions de recours à des sous-traitants ultérieurs

Kimoun n’engage pas de nouveau sous-traitant ultérieur sans autorisation écrite préalable du Client. En cas d’autorisation générale, Kimoun informe le Client de tout changement avec un préavis permettant d’émettre des objections dans trente (30) jours. La liste des sous-traitants ultérieurs autorisés figure en Annexe B.

5.5 Assistance pour les droits des personnes concernées

Kimoun aide le Client à donner suite aux demandes d’exercice des droits des personnes concernées (articles 12 à 22 du RGPD). Les demandes adressées directement à Kimoun sont transmises sans délai au Client.

5.6 Assistance pour les obligations articles 32 à 36 RGPD

Kimoun aide le Client à respecter ses obligations en matière de sécurité, notification de violation, analyses d’impact et consultation préalable de l’autorité de contrôle.

5.7 Notification de violation de données

Kimoun notifie au Client toute violation de données dans les meilleurs délais et au plus tard 72 heures après en avoir pris connaissance. La notification comprend : nature de la violation, conséquences probables, mesures prises ou proposées, coordonnées du point de contact Kimoun.

Il appartient au Client de notifier la CNIL (article 33 RGPD) et les personnes concernées (article 34 RGPD).

5.8 Restitution et suppression des données en fin de Prestation

Au choix du Client, Kimoun supprime ou restitue les données à l’issue de la Prestation dans un délai maximum de trente (30) jours. Une attestation de suppression peut être délivrée sur demande.

5.9 Mise à disposition d’informations et audit

Kimoun met à disposition du Client les informations nécessaires pour démontrer le respect du présent DPA et permettre la réalisation d’audits dans les conditions de l’article 12.

5.10 Registre des activités de traitement

Conformément à l’article 30(2) du RGPD, Kimoun tient un registre des activités de traitement pour le compte du Client.

Article 6 — Sous-traitants ultérieurs (sub-processors)

6.1 Sous-traitant ultérieur principal : OVH

Le sous-traitant ultérieur principal est OVH SAS (OVHcloud), pour les activités d’hébergement, d’infrastructure et de messagerie Zimbra. Les engagements RGPD d’OVH sont publiés sur ovhcloud.com.

6.2 Changements de sous-traitants ultérieurs

Tout ajout ou remplacement est notifié au Client avec un préavis raisonnable. Le Client dispose de trente (30) jours pour s’opposer en motivant son opposition. En cas d’opposition sans accord, le Client peut résilier la Prestation concernée.

6.3 Obligations imposées aux sous-traitants ultérieurs

Kimoun s’assure que tout sous-traitant ultérieur est soumis à des obligations équivalentes à celles du présent DPA. Kimoun demeure pleinement responsable de leur exécution vis-à-vis du Client.

Article 7 — Localisation des données et transferts hors UE

7.1 Localisation principale

Les données sont localisées dans l’Union européenne : centres de données OVH en France ou dans l’UE ; données de gestion administrative conservées en France.

7.2 Transferts hors UE

Aucun transfert hors EEE sans décision d’adéquation de la Commission européenne, garanties appropriées (clauses contractuelles types post-Schrems II), ou autre dérogation article 49 RGPD.

Article 8 — Sécurité du traitement

Kimoun met en œuvre les mesures décrites à l’article 5.3 et en Annexe A, réévaluées périodiquement. Les mesures de l’opérateur sous-jacent s’ajoutent à celles de Kimoun.

Article 9 — Notification des violations de données

Kimoun détecte, qualifie et trace les violations affectant les traitements pour le compte du Client. Elle coopère pleinement pour permettre la notification à la CNIL et la communication aux personnes concernées. Toute violation est documentée conformément à l’article 33(5) du RGPD.

Article 10 — Droits des personnes concernées

L’information des personnes concernées incombe au Client. Kimoun fournit l’assistance technique nécessaire à l’exercice effectif des droits (extraction, rectification, effacement, portabilité, restriction).

Article 11 — Durée de conservation et fin du traitement

Kimoun conserve les données pour la durée strictement nécessaire à l’exécution de la Prestation. À l’issue, suppression ou restitution au choix du Client. Par exception, conservation pour obligations légales : pièces comptables dix (10) ans, justificatifs d’exécution pour la durée légale applicable.

Article 12 — Audit et inspection

12.1 Droit d’audit

Au plus une (1) fois par an, sauf incident de sécurité ou suspicion de manquement, le Client peut procéder à un audit, à ses frais.

12.2 Modalités

Information préalable d’au moins quinze (15) jours ouvrés, pendant les heures ouvrées, sans perturbation déraisonnable, après signature d’un engagement de confidentialité.

12.3 Audits par questionnaire

Pour les audits routiniers, Kimoun peut proposer un dispositif documentaire (questionnaire, attestation, certifications).

Article 13 — Responsabilité

Chaque Partie est responsable des manquements qui lui sont imputables au titre du présent DPA (article 82 RGPD). La responsabilité de Kimoun est plafonnée selon les CS applicables à la Prestation concernée. Cette limitation ne s’applique pas en cas de faute lourde, manquement caractérisé aux dispositions impératives du RGPD, ou dommage corporel.

Article 14 — Durée, modification, fin du DPA

14.1 Durée

Le DPA prend effet à la date d’acceptation du premier devis Kimoun emportant un traitement de données personnelles et demeure applicable pendant toute la durée des Prestations le nécessitant.

14.2 Modifications

Le DPA peut être modifié par avenant pour intégrer les évolutions législatives, réglementaires ou des recommandations CNIL/CEPD.

14.3 Fin du DPA

Le DPA prend fin à la cessation de toutes les Prestations concernées, ou par dénonciation pour manquement grave après mise en demeure restée sans effet pendant trente (30) jours. Les obligations de suppression/restitution et de conservation légale survivent à la fin du DPA.

Article 15 — Articulation avec les CG et CS Kimoun

Le présent DPA constitue une annexe transversale aux CG et à toutes les CS applicables. En cas de contradiction sur les questions de traitement de données personnelles, le présent DPA prévaut.

Ordre de prévalence pour les sujets relevant du DPA :

Le devis signé et ses avenants
Le présent DPA
Les Conditions Spécifiques applicables
Les Conditions Générales
Les autres annexes

Article 16 — Loi applicable et juridiction

Le présent DPA est soumis au droit français et au Règlement (UE) 2016/679. Conformément à l’article 12 des CG, tout litige fera l’objet d’une tentative préalable de résolution amiable, puis sera de la compétence exclusive des tribunaux de Pointe-à-Pitre.

Annexe A — Mesures techniques et organisationnelles de sécurité

A.1 Mesures techniques

Chiffrement en transit (TLS 1.2 minimum, TLS 1.3 lorsque disponible) ;
Chiffrement au repos des données sensibles lorsque pertinent ;
Authentification renforcée des accès administrateurs (clés SSH, double facteur) ;
Cloisonnement des environnements clients ;
Pare-feu et mécanismes anti-bruteforce ;
Mise à jour de sécurité régulière des composants administrés ;
Sauvegardes selon les modalités de chaque CS ;
Journalisation des accès et opérations sensibles ;
Supervision des événements de sécurité.

A.2 Mesures organisationnelles

Engagement de confidentialité signé par toute personne habilitée ;
Principe du moindre privilège dans l’attribution des accès ;
Procédure de gestion des accès (ouverture, modification, révocation) ;
Procédure de gestion des incidents et de notification des violations ;
Documentation des traitements et tenue du registre article 30 RGPD ;
Sensibilisation régulière à la protection des données ;
Évaluation périodique des mesures de sécurité.

A.3 Mesures de l’opérateur sous-jacent

Les mesures OVH s’ajoutent aux mesures Kimoun et incluent notamment : sécurité physique des centres de données, redondance, plans de continuité, certifications applicables (ISO 27001, SecNumCloud le cas échéant, HDS pour les services concernés).

Annexe B — Liste des sous-traitants ultérieurs autorisés

Sous-traitant ultérieur	Rôle	Activités concernées	Localisation
OVH SAS (OVHcloud)	Hébergement, infrastructure, messagerie Zimbra	Infogérance et hébergement web ; messagerie Zimbra ; DNS hébergé chez OVH	France / Union européenne
OVH SAS (OVHcloud)	Enregistrement de noms de domaine	Domaines et DNS	France / Union européenne

Toute modification est notifiée au Client dans les conditions de l’article 6.2.

Accord de sous-traitance RGPD Kimoun — version 1.01 — entrée en vigueur le 28 avril 2026
Kimoun — route de Boisvin, 97160 Le Moule — SIRET 477 746 275 00031 — kimoun.com

Sur cette page: