ITCTower
IT Control Tower
ITCTower

DPA / RGPD

Accord de traitement des données

Cadre contractuel régissant le traitement par ITCTower des données personnelles pour le compte de ses clients (sous-traitance au sens du RGPD).

1 juin 2026

RGPD · Cet accord est intégré par référence au contrat de souscription. Une version signée est fournie sur demande.

1. Définitions

  • « Responsable du traitement » désigne le Client.
  • « Sous-traitant » désigne ITCTower SAS.
  • « Données personnelles » a le sens donné par l'article 4(1) du RGPD.

2. Objet et durée

Le Sous-traitant traite les données personnelles du Responsable du traitement aux seules fins d'exécuter le Service tel que défini au contrat. Le présent accord court pendant toute la durée du contrat principal.

3. Nature et finalités du traitement

  • Collecte d'identités et d'accès depuis les sources du Client (AD, Entra, Intune, Exchange, etc.).
  • Stockage, indexation et restitution sous forme de tableaux et rapports.
  • Génération de snapshots et exécution de contrôles de conformité.

4. Catégories de personnes et de données

  • Personnes : collaborateurs, prestataires et comptes de service du Client.
  • Données : identité (nom, e-mail, fonction), appartenances aux groupes, droits d'accès, métadonnées d'appareils, journaux d'authentification.
  • Aucune donnée sensible (santé, opinions, religion, etc.) n'est collectée par défaut.

5. Obligations du Sous-traitant

  • Traiter les données uniquement sur instructions documentées du Responsable du traitement.
  • Garantir la confidentialité par engagement formel des personnes habilitées.
  • Mettre en œuvre les mesures de sécurité décrites à l'Annexe II (chiffrement, contrôle d'accès, sauvegardes).
  • Notifier toute violation de données personnelles dans un délai maximal de 48 heures après en avoir pris connaissance.
  • Aider le Responsable du traitement à répondre aux demandes des personnes concernées et à effectuer ses analyses d'impact (PIA) lorsque nécessaire.

6. Sous-traitance ultérieure

Le Sous-traitant peut faire appel à des sous-traitants ultérieurs autorisés, listés sur la page /legal/subprocessors. Toute évolution est notifiée 30 jours avant sa mise en œuvre, le Responsable du traitement disposant d'un droit d'opposition.

7. Transferts internationaux

Tout transfert hors UE est encadré par les Clauses Contractuelles Types (CCT) de la Commission Européenne, complétées le cas échéant par des mesures supplémentaires.

8. Audit

Le Responsable du traitement peut auditer les obligations du Sous-traitant une fois par an, sur préavis de 30 jours, soit en consultant les rapports SOC 2 / ISO 27001, soit, à ses frais, par un cabinet indépendant signataire d'un accord de confidentialité.

9. Suppression des données

Au terme du contrat, le Sous-traitant restitue toutes les données personnelles sous forme exploitable (SQL, CSV) sous 7 jours, puis procède à leur suppression définitive sous 30 jours, sauf obligation légale de conservation.

10. Annexes

Annexe I : description détaillée du traitement. Annexe II : mesures techniques et organisationnelles. Annexe III : liste des sous-traitants ultérieurs autorisés.

Pour toute demande relative au DPA : dpo@itctower.io.