Mentions légales

Accord de traitement des données

Date d'entrée en vigueur

9 juillet 2026

1. Parties et contexte

Le présent accord de traitement des données (« ATD ») est conclu entre Notakey Latvia, SIA, numéro d'enregistrement unifié 40103993632, siège social Ganu iela 3 – 12, Rīga, LV-1010, Lettonie (« Notakey » ou le « Sous-traitant ») et le client identifié dans le Bon de commande ou l'abonnement applicable (« Client » ou le « Responsable du traitement »). Il fait partie intégrante des Conditions de service de Notakey (le « Contrat ») et y est incorporé.

Le présent ATD s'applique lorsque Notakey traite des données à caractère personnel pour le compte du Client dans le cadre de la fourniture des Services, au sens du règlement (UE) 2016/679 (le « RGPD »). Les termes tels que « données à caractère personnel », « traitement », « responsable du traitement », « sous-traitant » et « personne concernée » ont le sens qui leur est attribué dans le RGPD.

2. Objet, durée, nature et finalité

Objet : la fourniture au Client des Services d'authentification et de signature de transactions de Notakey (notakey.cloud ou le Notakey Appliance, ainsi que l'application mobile Notakey).

Durée : la durée du Contrat, majorée de la période courant jusqu'à la suppression ou la restitution de l'ensemble des Données à caractère personnel du Client au titre de la section 10.

Nature et finalité : l'hébergement, la transmission et le traitement des données d'authentification et d'approbation de transactions, afin que les utilisateurs autorisés du Client puissent enregistrer des appareils, recevoir des demandes d'approbation et approuver ou refuser des opérations d'authentification et de signature.

Catégories de personnes concernées : les employés, prestataires, clients, membres ou autres utilisateurs finaux du Client que le Client inscrit aux Services.

Types de données à caractère personnel : identifiants d'utilisateur (tels que le nom d'utilisateur, l'adresse électronique ou le numéro de téléphone) ; données de vérification de l'inscription (telles que des codes à usage unique transmis par SMS ou WhatsApp, des assertions d'annuaire ou OpenID Connect, ou l'approbation manuelle d'un administrateur) ; données relatives à l'appareil (modèle de l'appareil, version du système d'exploitation, jeton de notification push, clé publique et certificat de l'appareil) ; et activité d'authentification/d'approbation (métadonnées des demandes, résultats d'approbation/de refus, horodatages, signatures). Les clés privées sont générées et stockées sur les appareils des utilisateurs finaux et ne sont jamais transmises à Notakey ni conservées par celle-ci. Aucun traitement de catégories particulières de données à caractère personnel (article 9 du RGPD) n'est prévu ; la vérification biométrique, lorsqu'elle est utilisée, se déroule entièrement sur l'appareil de l'utilisateur final et n'est pas reçue par Notakey.

3. Rôles et instructions

Le Client est le responsable du traitement et Notakey est le sous-traitant des Données à caractère personnel du Client. Notakey ne traitera les Données à caractère personnel du Client que sur instructions documentées du Client, y compris telles qu'énoncées dans le Contrat, le présent ATD et la configuration des Services réalisée par le Client, sauf si le traitement est requis par le droit de l'Union ou d'un État membre auquel Notakey est soumise — dans ce cas, Notakey informera le Client de cette exigence légale avant de procéder au traitement, sauf si la loi l'interdit. Notakey informera le Client si, à son avis, une instruction constitue une violation du RGPD.

4. Confidentialité

Notakey veille à ce que les personnes autorisées à traiter les Données à caractère personnel du Client soient soumises à des obligations de confidentialité contractuelles ou légales.

5. Sécurité

Notakey met en œuvre et maintient des mesures techniques et organisationnelles appropriées pour protéger les Données à caractère personnel du Client, compte tenu de l'état des connaissances, des coûts de mise en œuvre ainsi que de la nature, de la portée, du contexte et des finalités du traitement, conformément à l'article 32 du RGPD. Les mesures actuelles sont décrites à l'Annexe 2. Notakey peut les mettre à jour de temps à autre, à condition que le niveau global de protection ne soit pas réduit.

6. Sous-traitants ultérieurs

Le Client accorde à Notakey une autorisation générale de recourir aux sous-traitants ultérieurs énumérés à l'Annexe 3. Notakey informera le Client au moins 30 jours avant d'ajouter ou de remplacer un sous-traitant ultérieur ; le Client peut s'y opposer pour des motifs raisonnables tenant à la protection des données dans ce délai, auquel cas les parties collaboreront de bonne foi pour trouver une solution et, à défaut, le Client pourra résilier les Services concernés. Notakey impose à chaque sous-traitant ultérieur des obligations de protection des données équivalentes à celles du présent ATD et demeure responsable de leur exécution.

7. Assistance au Client

Compte tenu de la nature du traitement, Notakey assistera le Client par des mesures techniques et organisationnelles appropriées, dans la mesure du possible, pour s'acquitter de son obligation de donner suite aux demandes des personnes concernées (chapitre III du RGPD), ainsi que pour respecter les obligations du Client au titre des articles 32–36 du RGPD (sécurité, notification des violations, analyses d'impact relatives à la protection des données et consultation préalable), dans chaque cas à la demande raisonnable du Client. Si une personne concernée contacte directement Notakey au sujet de l'utilisation des Services par le Client, Notakey transmettra la demande au Client sans retard injustifié.

8. Notification des violations de données à caractère personnel

Notakey notifiera au Client, sans retard injustifié après en avoir pris connaissance, toute violation de données à caractère personnel touchant les Données à caractère personnel du Client, et fournira les informations raisonnablement à la disposition de Notakey pour aider le Client à respecter ses propres obligations de notification au titre des articles 33 et 34 du RGPD, en complétant la notification à mesure que des informations supplémentaires deviennent disponibles.

9. Transferts internationaux

Notakey traite les Données à caractère personnel du Client dans l'Espace économique européen. notakey.cloud est hébergé sur Oracle Cloud Infrastructure. Lorsqu'un sous-traitant ultérieur traite des données à caractère personnel en dehors de l'EEE (voir l'Annexe 3), Notakey s'assure qu'une garantie de transfert appropriée est en place, telle que les clauses contractuelles types de la Commission européenne ou une décision d'adéquation (y compris le cadre de protection des données UE–États-Unis (EU–US Data Privacy Framework), lorsque le destinataire est certifié).

10. Suppression et restitution des données

À la résiliation ou à l'expiration des Services, Notakey, au choix du Client, supprimera ou restituera l'ensemble des Données à caractère personnel du Client et supprimera les copies existantes sans retard injustifié, sauf si le droit de l'Union ou d'un État membre exige leur conservation ultérieure.

11. Audits

Notakey mettra à la disposition du Client les informations raisonnablement nécessaires pour démontrer le respect du présent ATD, et autorisera et contribuera aux audits, y compris les inspections, réalisés par le Client ou par un auditeur mandaté par le Client, sous réserve d'un préavis raisonnable, au maximum une fois au cours de toute période de 12 mois, sauf si une violation de données à caractère personnel ou une autorité de contrôle exige qu'il en soit autrement, pendant les heures ouvrables normales et dans le respect d'obligations de confidentialité. Notakey pourra, dans un premier temps, répondre à une demande d'audit en fournissant des rapports d'audit ou des certifications existants, lorsque ceux-ci répondent raisonnablement à l'objet de la demande.

12. Responsabilité et ordre de priorité

La responsabilité de chaque partie au titre du présent ATD est soumise aux limitations de responsabilité prévues dans le Contrat. En cas de conflit entre le présent ATD et le Contrat concernant le traitement des données à caractère personnel, le présent ATD prévaut.

Annexe 1 — Détails du traitement

Tels qu'énoncés à la section 2 du présent ATD (objet, durée, nature et finalité, catégories de personnes concernées et types de données à caractère personnel).

Annexe 2 — Mesures techniques et organisationnelles

  • Les clés privées des utilisateurs finaux sont générées et stockées dans le stockage sécurisé adossé au matériel de l'appareil et ne sont jamais transmises à Notakey ni conservées par celle-ci ; chaque approbation est signée cryptographiquement sur l'appareil.
  • Les données en transit sont chiffrées au moyen du protocole TLS.
  • Les contenus des demandes d'approbation ne sont transmis à l'appareil qu'après que l'utilisateur a accepté la notification push ; les fournisseurs de notifications push (APNs/FCM) reçoivent des jetons, et non le contenu des demandes.
  • De plus amples détails sur les mesures techniques et organisationnelles de Notakey sont à la disposition du Client, sur demande, à l'adresse info@notakey.com.

Annexe 3 — Sous-traitants ultérieurs autorisés

  • Oracle Cloud Infrastructure — hébergement de notakey.cloud.
  • Apple Inc. (Apple Push Notification service) — transmission des notifications push aux appareils iOS.
  • Google LLC (Firebase Cloud Messaging) — transmission des notifications push aux appareils Android.
  • Functional Software, Inc. (Sentry) — diagnostic des erreurs et des plantages de l'application.

Lorsque la configuration d'intégration du Client utilise l'envoi de codes à usage unique par SMS ou WhatsApp, le fournisseur de transmission de messages reçoit le numéro de téléphone de l'utilisateur final à des fins de transmission. Une liste à jour des sous-traitants ultérieurs est disponible, sur demande, à l'adresse info@notakey.com.