Enveloppe
Créer ma page

Accord de Traitement des Données (DPA)

Dernière mise à jour : 24 avril 2026

Le présent accord de traitement des données (« DPA ») complète les CGU d'Enveloppe conformément à l'article 28 du RGPD, lorsque Enveloppe agit en qualité de sous-traitant pour le compte de l'Utilisateur (« Responsable de traitement »).

1. Objet et durée

Le DPA s'applique pendant toute la durée de l'abonnement de l'Utilisateur et prend fin à la résiliation effective du compte.

2. Nature et finalité du traitement

  • Nature : stockage temporaire, transmission et restitution de fichiers.
  • Finalité : permettre la collecte de documents par les clients de l'Utilisateur.
  • Types de données : celles choisies par l'Utilisateur et les Déposants ; Enveloppe n'oriente ni ne limite le contenu par défaut.
  • Catégories de personnes concernées : clients ou tout tiers utilisant une page de dépôt.

3. Obligations d'Enveloppe

  • Traiter les données uniquement sur instruction documentée de l'Utilisateur (les CGU et la configuration de la page constituent l'instruction initiale).
  • Garantir la confidentialité via clauses de confidentialité liant son personnel.
  • Mettre en œuvre des mesures techniques et organisationnelles appropriées (chiffrement en transit et au repos, journalisation, contrôle d'accès RBAC).
  • Notifier tout incident de sécurité à l'Utilisateur dans un délai de 72 heures après en avoir eu connaissance.
  • Assister l'Utilisateur dans l'exercice des droits des personnes concernées.
  • Supprimer ou restituer les données à la fin du DPA, selon le choix de l'Utilisateur.

4. Sous-traitants ultérieurs autorisés

  • Hyperfluid / CaaStor — hébergement applicatif et stockage objet, UE.
  • Stripe — paiements (facturation uniquement, pas de fichiers déposés).
  • Resend — envoi des emails de notification.

Enveloppe informera l'Utilisateur de tout changement concernant l'ajout ou le remplacement d'un sous-traitant avec un préavis de 30 jours, permettant à l'Utilisateur de s'y opposer.

5. Transferts internationaux

L'hébergement principal est européen. Si un sous-traitant traite des données hors UE, le transfert est encadré par les Clauses Contractuelles Types approuvées par la Commission européenne.

6. Mesures de sécurité

  • Chiffrement TLS 1.2+ en transit.
  • Chiffrement au repos via le stockage objet du fournisseur.
  • Authentification forte pour l'accès pro (Keycloak, SSO).
  • Isolation logique des tenants.
  • Sauvegardes chiffrées quotidiennes, testées périodiquement.
  • Audit des accès administratifs.

7. Restitution et suppression

À la fin du DPA, l'Utilisateur peut exporter ses données (métadonnées et liens de téléchargement) pendant 30 jours. Passé ce délai, Enveloppe procède à la suppression définitive, y compris des sauvegardes dans leur cycle de rotation (90 jours maximum).

8. Contact

contact@enveloppe.eu