Avenant relatif au traitement des données

Dernière mise à jour : 7 mai 2026

Cette page est une traduction automatique fournie à titre de commodité. La version anglaise est la version officielle, juridiquement contraignante, et prévaut en cas de divergence.

1. Introduction

Le présent Avenant relatif au traitement des données (« DPA ») complète le contrat conclu entre vous (le « Client ») et Austrat Trading Corp., exerçant sous le nom de Signatura (« Signatura », « nous » ou « nos »), au titre de nos Conditions d'utilisation (le « Contrat »). Il s'applique chaque fois que Signatura traite des Données à caractère personnel pour le compte du Client et est automatiquement intégré au Contrat — aucune copie signée n'est requise pour qu'il s'applique, bien qu'une version contresignée soit disponible sur demande à l'adresse [email protected].

En cas de conflit entre le présent DPA et le Contrat, le présent DPA prévaut en ce qui concerne le traitement des Données à caractère personnel.

2. Définitions

  • Données à caractère personnel, Responsable du traitement, Sous-traitant, Sous-traitant ultérieur, Personne concernée, Traiter/Traitement, Catégories particulières de données à caractère personnel et Violation de données à caractère personnel ont le sens qui leur est attribué dans le GDPR (et les termes équivalents au titre du UK GDPR lorsqu'il s'applique).
  • EU SCCs désigne les Clauses contractuelles types approuvées par la Commission européenne dans la décision 2021/914 du 4 juin 2021.
  • Avenant du Royaume-Uni désigne l'Avenant relatif aux transferts internationaux de données annexé aux Clauses contractuelles types de la Commission européenne, émis par l'Information Commissioner's Office du Royaume-Uni en vertu de l'article 119A du Data Protection Act 2018.

3. Rôles et champ d'application

Pour les Données à caractère personnel traitées au titre du Contrat, les parties conviennent de ce qui suit :

  • Le Client est le Responsable du traitement des Données à caractère personnel des utilisateurs finaux, signataires, contacts et destinataires de documents du Client (« Données à caractère personnel du Client »).
  • Signatura est le Sous-traitant des Données à caractère personnel du Client et ne les traite que sur instructions documentées du Client.
  • Signatura agit également en tant que Responsable du traitement indépendant à des fins limitées — facturation du compte, surveillance de la sécurité, prévention de la fraude, intégrité de la piste d'audit et conservation légale des registres aux fins de la validité juridique de la signature électronique. À ces fins, la Politique de confidentialité propre à Signatura s'applique.

4. Objet, durée, nature et finalité

  • Objet : le traitement des Données à caractère personnel du Client nécessaire à la fourniture de la plateforme de signature électronique Signatura.
  • Durée : la durée du Contrat, majorée de toute période postérieure à la résiliation requise pour la conservation légale des registres en vertu des lois applicables en matière de signature électronique.
  • Nature et finalité : stockage des documents, envoi des liens de signature, collecte des signatures, génération de la piste d'audit, détection facultative des champs assistée par IA (Auto-Sign) et autres fonctionnalités décrites dans la Documentation.
  • Catégories de Personnes concernées : le personnel du Client, les signataires (y compris les signataires extérieurs au Client) et les destinataires des documents envoyés via le Service.
  • Catégories de Données à caractère personnel : nom, adresse e-mail, adresse IP, agent utilisateur, image de la signature, valeurs saisies/paraphées, contenu des documents, horodatages de la piste d'audit et valeurs des champs de formulaire renseignées par les signataires. Signatura n'exige pas de Catégories particulières de données à caractère personnel et demande au Client de ne pas téléverser de champs de Données à caractère personnel qui en contiennent ; si de telles données figurent dans le contenu d'un document, elles ne sont traitées que dans le cadre de l'exécution du contrat.

5. Instructions du Client

Le Contrat, le présent DPA et l'utilisation par le Client des fonctionnalités et options de configuration du Service constituent ensemble les instructions complètes et définitives du Client à Signatura pour le traitement des Données à caractère personnel du Client. Signatura ne traitera les Données à caractère personnel du Client que conformément à ces instructions, sauf obligation contraire imposée par le droit applicable (auquel cas Signatura informera le Client de cette obligation légale avant le traitement, sauf si la loi l'interdit pour des motifs importants d'intérêt public).

6. Confidentialité

Signatura veille à ce que le personnel autorisé à traiter les Données à caractère personnel du Client soit soumis à des obligations de confidentialité écrites et ait reçu une formation appropriée en matière de protection des données.

7. Sécurité

Signatura met en œuvre des mesures techniques et organisationnelles appropriées pour protéger les Données à caractère personnel du Client, décrites en détail à l'adresse getsignatura.com/security. Celles-ci comprennent le TLS 1.3 en transit, l'AES-256 au repos, la sécurité au niveau des lignes dans la base de données, le chiffrement côté serveur des jetons OAuth, le scellement de l'empreinte du document (SHA-256) et la journalisation de la piste d'audit.

8. Sous-traitants ultérieurs

Le Client autorise Signatura à faire appel aux sous-traitants ultérieurs répertoriés à l'adresse getsignatura.com/sub-processors. Signatura s'appuie sur les conditions commerciales de protection des données publiées par chaque sous-traitant ultérieur (qui imposent généralement au sous-traitant ultérieur des obligations équivalentes à celles du présent DPA) et demeure responsable envers le Client de l'exécution des obligations de chaque sous-traitant ultérieur en lien avec le Service.

Signatura informera le Client au moins 30 jours avant d'ajouter ou de remplacer un sous-traitant ultérieur. Le Client peut s'y opposer pour des motifs raisonnables de protection des données dans un délai de 14 jours à compter de la notification ; si les parties ne parviennent pas à s'accorder sur une solution, le Client peut résilier la partie concernée du Service sans pénalité.

9. Transferts internationaux de données

Les Données à caractère personnel du Client peuvent être transférées et traitées aux États-Unis et dans d'autres pays où opèrent nos sous-traitants ultérieurs. Les garanties suivantes s'appliquent :

  • Depuis l'EEE : les Clauses contractuelles types de l'UE (Module Deux, Responsable du traitement à Sous-traitant) sont intégrées au présent DPA par référence, avec la Clause 7 (clause d'amarrage), la Clause 9(a) Option 2 (autorisation générale écrite pour les sous-traitants ultérieurs), la Clause 11(a) sans l'organe indépendant facultatif de règlement des litiges, la Clause 17 Option 1 régie par le droit irlandais, et la Clause 18(b) désignant les tribunaux irlandais.
  • Depuis le Royaume-Uni : l'Avenant du Royaume-Uni est intégré par référence, les Tableaux 1, 2 et 3 étant complétés à l'aide des sélections correspondantes des Clauses contractuelles types de l'UE indiquées ci-dessus, et l'Importateur étant autorisé à résilier conformément à la Section 19 de l'Avenant du Royaume-Uni.
  • Autres juridictions : Signatura s'appuie sur les garanties de transfert international publiées par chaque sous-traitant ultérieur pour le flux concerné, et applique des mesures techniques appropriées (TLS 1.3 en transit, AES-256 au repos) à titre de protections complémentaires.

10. Demandes des Personnes concernées

Signatura, compte tenu de la nature du traitement, aide le Client par des mesures techniques et organisationnelles appropriées, dans la mesure du possible, à s'acquitter de son obligation de répondre aux demandes des Personnes concernées exerçant leurs droits en vertu du droit applicable (accès, rectification, effacement, limitation, opposition, portabilité, réexamen des décisions automatisées). Lorsque Signatura reçoit directement une demande d'une Personne concernée, elle oriente la Personne concernée vers le Client (responsable du traitement) sans retard injustifié, sauf lorsque Signatura agit en tant que responsable du traitement indépendant (par exemple, pour l'intégrité de la piste d'audit).

11. Notification de Violation de données à caractère personnel

Signatura informera le Client sans retard injustifié et, en tout état de cause, dans un délai de 72 heures à compter de la prise de connaissance d'une Violation de données à caractère personnel affectant les Données à caractère personnel du Client. La notification comprendra les informations requises par l'article 33(3) du GDPR dans la mesure où elles sont alors connues, et Signatura apportera une coopération raisonnable aux obligations d'enquête, d'atténuation et de notification réglementaire du Client.

12. Assistance en matière d'AIPD

Sur demande raisonnable, Signatura fournira au Client les informations nécessaires à la réalisation d'analyses d'impact relatives à la protection des données et de consultations préalables des autorités de contrôle, y compris des informations sur la fonctionnalité de prise de décision automatisée Auto-Sign.

13. Audits

Signatura mettra à la disposition du Client toutes les informations raisonnablement nécessaires pour démontrer le respect du présent DPA, y compris en fournissant des copies de certifications, des résumés des rapports d'audit pertinents et de la documentation de sécurité. Le Client peut, au maximum une fois par an (ou plus fréquemment si une Violation de données à caractère personnel est survenue ou si une autorité de contrôle l'exige), réaliser un audit moyennant un préavis écrit raisonnable et pendant les heures ouvrables normales, sous réserve des obligations de confidentialité. Les audits sur site sont à la charge du Client.

14. Restitution ou suppression des Données à caractère personnel

Dans un délai de 30 jours suivant la résiliation ou l'expiration du Contrat, Signatura, au choix du Client, supprimera ou restituera l'ensemble des Données à caractère personnel du Client et supprimera les copies existantes, sauf si leur conservation est requise par le droit applicable — en particulier, les documents signés et leurs pistes d'audit sont conservés pendant la durée requise par les lois relatives à la conservation des registres de signature électronique (par exemple, l'ESIGN Act, eIDAS et les textes équivalents) et pendant tout délai de prescription plus long applicable à la transaction sous-jacente.

15. Responsabilité

La responsabilité de chaque partie au titre du présent DPA est soumise aux limitations et exclusions de responsabilité prévues dans le Contrat. Aucune double indemnisation n'est autorisée : toute responsabilité acquittée au titre de l'un des documents éteint la responsabilité équivalente au titre de l'autre.

16. Droit applicable

Le présent DPA est régi par le droit spécifié dans le Contrat, sauf en ce qui concerne les Clauses contractuelles types de l'UE, l'Avenant du Royaume-Uni et l'Avenant suisse, ces instruments étant régis par les droits spécifiés dans ces instruments eux-mêmes.

17. Contact

Pour toute question relative au DPA, contactez [email protected] ou [email protected].