Accord de Traitement des Données (DPA)
Conforme à l'article 28 du RGPD — définit les conditions de traitement des données personnelles par Imprizio en qualité de sous-traitant.
1. Préambule
Le présent Accord de Traitement des Données (DPA) est conclu entre :
- Le sous-traitantBELSON (marque Imprizio), SAS au capital de 3 000 €, RCS 810 843 243, 69 rue Crozatier, 75012 Paris
- Le responsable du traitementLe client B2B signataire du contrat
Ce DPA complète et s'intégre au contrat principal. Il définit les conditions dans lesquelles Imprizio traite les données personnelles pour le compte du client, conformément à l'article 28 du RGPD.
2. Finalités du traitement
Imprizio traite les données personnelles du client pour les finalités suivantes :
- Gestion des utilisateursCréation et gestion des comptes utilisateurs de la plateforme B2B.
- Gestion des commandesSuivi, production et livraison des commandes d'impression.
- FacturationÉmission et gestion des factures d'abonnement et de commandes.
- Support techniqueRésolution des demandes de support et incidents.
- SécuritéJournalisation, audit et prévention de la fraude.
3. Catégories de données et personnes concernées
- Personnes concernéesUtilisateurs de la plateforme B2B (employés du client), clients finaux du client.
- Données d'identificationNom, prénom, email professionnel, fonction, service.
- Données de commandeAdresses de livraison, historique de commandes, fichiers transmis.
- Données financièresFactures, coordonnées de facturation (traitées par le prestataire de paiement).
- Données techniquesLogs de connexion (IP tronquée, navigateur), audit log.
4. Sous-traitants subsequents
Imprizio recourt aux sous-traitants suivants pour le traitement des données :
- HébergementScaleway (France, zone FR-PAR) — ISO 27001, SOC 2 Type II, HDS.
- PaiementPrestataire bancaire agréé DSP2 (données cartographiées, aucun stockage sur nos serveurs).
- Email transactionnelPrestataire hébergé en UE.
- FacturationPennylane (hébergement UE).
Imprizio s'engage à notifier le client en cas d'ajout ou de remplacement d'un sous-traitant, avec un délai de 30 jours pour objection. Tous les sous-traitants sont liés par des accords garantissant un niveau de protection équivalent au RGPD.
5. Mesures de sécurité
- Chiffrement en transitTLS 1.2+ sur toutes les connexions.
- Chiffrement au reposAES-256 pour les sauvegardes et données sensibles.
- AuthentificationMots de passe hachés (bcrypt/argon2), 2FA disponible.
- Contrôle d'accèsPrincipe du moindre privilège, revue trimestrielle.
- RéseauSegmentation, WAF, protection DDoS Scaleway.
- SauvegardesQuotidiennes, chiffrées, rétention 30 jours, tests de restauration mensuels.
- SupervisionMonitoring 24/7, alerting automatique, logs centralisés.
- AuditAudit de sécurité annuel, traçabilité complète (audit log).
6. Notification de violation de données
En cas de violation de données personnelles, Imprizio s'engage à :
- DétectionDétecter et documenter l'incident dans les plus brefs délais.
- Notification au clientNotifier le responsable du traitement sous 48h après découverte, avec description, conséquences et mesures prises.
- CoopérationCoopérer avec le client pour la notification à la CNIL (sous 72h) et aux personnes concernées, si nécessaire.
- DocumentationDocumenter l'incident, les mesures correctives et le plan de prévention.
7. Durées de conservation et suppression
- Données opérationnellesDurée du contrat + 1 an après fin de contrat.
- Factures10 ans (obligations légales, Code de commerce).
- Logs techniques13 mois max (recommandation CNIL).
- Comptes inactifsSuppression après 24 mois sans connexion.
- Post-résiliationConservation 90 jours pour export, puis suppression définitive.
À la fin du contrat, Imprizio supprime toutes les données personnelles du client (hors obligations légales) et fournit une attestation de suppression sur demande.
8. Assistance aux droits des personnes concernées
Imprizio assiste le client dans la réponse aux demandes d'exercice de droits (accès, rectification, effacement, opposition, portabilité) dans la mesure où les données sont accessibles depuis la plateforme. Le client reste responsable de la réponse finale à la personne concernée.
Contact DPO : utilisez le formulaire de contact ci-dessous.
9. Audit et contrôle
Le client peut, après notification préalable de 15 jours, auditer la conformité d'Imprizio aux obligations du présent DPA. L'audit se déroule pendant les heures ouvrables, dans le respect des mesures de sécurité d'Imprizio et de la confidentialité des autres clients.
Imprizio fournit sur demande : le registre des traitements, les certifications de ses sous-traitants (Scaleway ISO 27001, SOC 2), et les rapports d'audit de sécurité annuels.
10. Transferts hors UE
Aucun transfert de données vers un pays tiers (hors UE) n'est effectué. L'ensemble de l'infrastructure (hébergement, sauvegardes, emails) est situé en France (Scaleway, zone FR-PAR) ou en UE.
11. Registre des traitements
Imprizio maintient un registre des traitements conforme à l'article 30 du RGPD. Ce registre est accessible aux administrateurs du compte B2B depuis les paramètres de la plateforme, et disponible sur demande via le formulaire de contact.
Le registre contient pour chaque traitement : la finalité, les catégories de données, les personnes concernées, les destinataires, les durées de conservation, et les mesures de sécurité.
12. Évolution du DPA
Le présent DPA peut être modifié en cas d'évolution réglementaire, technique ou organisationnelle. Le client sera notifié 30 jours avant toute modification substantielle. La version en vigueur est accessible à l'adresse https://impriz.io/dpa.
DPA version 23 juin 2026.
Besoin du DPA signé ou du registre des traitements ?
Écrivez-nous, nous fournissons les documents de conformité et répondons à vos audits.