Dernière mise à jour : 7 mai 2026
Le présent Avenant relatif au traitement des données (« DPA ») complète le contrat conclu entre vous (le « Client ») et Austrat Trading Corp., exerçant sous le nom de Signatura (« Signatura », « nous » ou « nos »), au titre de nos Conditions d'utilisation (le « Contrat »). Il s'applique chaque fois que Signatura traite des Données à caractère personnel pour le compte du Client et est automatiquement intégré au Contrat — aucune copie signée n'est requise pour qu'il s'applique, bien qu'une version contresignée soit disponible sur demande à l'adresse [email protected].
En cas de conflit entre le présent DPA et le Contrat, le présent DPA prévaut en ce qui concerne le traitement des Données à caractère personnel.
Pour les Données à caractère personnel traitées au titre du Contrat, les parties conviennent de ce qui suit :
Le Contrat, le présent DPA et l'utilisation par le Client des fonctionnalités et options de configuration du Service constituent ensemble les instructions complètes et définitives du Client à Signatura pour le traitement des Données à caractère personnel du Client. Signatura ne traitera les Données à caractère personnel du Client que conformément à ces instructions, sauf obligation contraire imposée par le droit applicable (auquel cas Signatura informera le Client de cette obligation légale avant le traitement, sauf si la loi l'interdit pour des motifs importants d'intérêt public).
Signatura veille à ce que le personnel autorisé à traiter les Données à caractère personnel du Client soit soumis à des obligations de confidentialité écrites et ait reçu une formation appropriée en matière de protection des données.
Signatura met en œuvre des mesures techniques et organisationnelles appropriées pour protéger les Données à caractère personnel du Client, décrites en détail à l'adresse getsignatura.com/security. Celles-ci comprennent le TLS 1.3 en transit, l'AES-256 au repos, la sécurité au niveau des lignes dans la base de données, le chiffrement côté serveur des jetons OAuth, le scellement de l'empreinte du document (SHA-256) et la journalisation de la piste d'audit.
Le Client autorise Signatura à faire appel aux sous-traitants ultérieurs répertoriés à l'adresse getsignatura.com/sub-processors. Signatura s'appuie sur les conditions commerciales de protection des données publiées par chaque sous-traitant ultérieur (qui imposent généralement au sous-traitant ultérieur des obligations équivalentes à celles du présent DPA) et demeure responsable envers le Client de l'exécution des obligations de chaque sous-traitant ultérieur en lien avec le Service.
Signatura informera le Client au moins 30 jours avant d'ajouter ou de remplacer un sous-traitant ultérieur. Le Client peut s'y opposer pour des motifs raisonnables de protection des données dans un délai de 14 jours à compter de la notification ; si les parties ne parviennent pas à s'accorder sur une solution, le Client peut résilier la partie concernée du Service sans pénalité.
Les Données à caractère personnel du Client peuvent être transférées et traitées aux États-Unis et dans d'autres pays où opèrent nos sous-traitants ultérieurs. Les garanties suivantes s'appliquent :
Signatura, compte tenu de la nature du traitement, aide le Client par des mesures techniques et organisationnelles appropriées, dans la mesure du possible, à s'acquitter de son obligation de répondre aux demandes des Personnes concernées exerçant leurs droits en vertu du droit applicable (accès, rectification, effacement, limitation, opposition, portabilité, réexamen des décisions automatisées). Lorsque Signatura reçoit directement une demande d'une Personne concernée, elle oriente la Personne concernée vers le Client (responsable du traitement) sans retard injustifié, sauf lorsque Signatura agit en tant que responsable du traitement indépendant (par exemple, pour l'intégrité de la piste d'audit).
Signatura informera le Client sans retard injustifié et, en tout état de cause, dans un délai de 72 heures à compter de la prise de connaissance d'une Violation de données à caractère personnel affectant les Données à caractère personnel du Client. La notification comprendra les informations requises par l'article 33(3) du GDPR dans la mesure où elles sont alors connues, et Signatura apportera une coopération raisonnable aux obligations d'enquête, d'atténuation et de notification réglementaire du Client.
Sur demande raisonnable, Signatura fournira au Client les informations nécessaires à la réalisation d'analyses d'impact relatives à la protection des données et de consultations préalables des autorités de contrôle, y compris des informations sur la fonctionnalité de prise de décision automatisée Auto-Sign.
Signatura mettra à la disposition du Client toutes les informations raisonnablement nécessaires pour démontrer le respect du présent DPA, y compris en fournissant des copies de certifications, des résumés des rapports d'audit pertinents et de la documentation de sécurité. Le Client peut, au maximum une fois par an (ou plus fréquemment si une Violation de données à caractère personnel est survenue ou si une autorité de contrôle l'exige), réaliser un audit moyennant un préavis écrit raisonnable et pendant les heures ouvrables normales, sous réserve des obligations de confidentialité. Les audits sur site sont à la charge du Client.
Dans un délai de 30 jours suivant la résiliation ou l'expiration du Contrat, Signatura, au choix du Client, supprimera ou restituera l'ensemble des Données à caractère personnel du Client et supprimera les copies existantes, sauf si leur conservation est requise par le droit applicable — en particulier, les documents signés et leurs pistes d'audit sont conservés pendant la durée requise par les lois relatives à la conservation des registres de signature électronique (par exemple, l'ESIGN Act, eIDAS et les textes équivalents) et pendant tout délai de prescription plus long applicable à la transaction sous-jacente.
La responsabilité de chaque partie au titre du présent DPA est soumise aux limitations et exclusions de responsabilité prévues dans le Contrat. Aucune double indemnisation n'est autorisée : toute responsabilité acquittée au titre de l'un des documents éteint la responsabilité équivalente au titre de l'autre.
Le présent DPA est régi par le droit spécifié dans le Contrat, sauf en ce qui concerne les Clauses contractuelles types de l'UE, l'Avenant du Royaume-Uni et l'Avenant suisse, ces instruments étant régis par les droits spécifiés dans ces instruments eux-mêmes.
Pour toute question relative au DPA, contactez [email protected] ou [email protected].