© 2025 DocUnlock, Inc. · Tous droits réservés
Le présent Contrat de traitement des données (« DPA ») est conclu par et entre le client identifié dans les Conditions d'utilisation ou le Document de commande applicables (« Client », « Contrôleur » ou « Entreprise ») et DocUnlock, Inc. (« DocUnlock », « Processeur » ou « Fournisseur de services »), et est intégré et fait partie intégrante des Conditions d'utilisation de DocUnlock disponibles sur https://www.docunlock.com/legal/terms-of-service (le « Contrat »).
Le présent DPA définit les obligations des parties en ce qui concerne le traitement des données personnelles dans le cadre de l'utilisation du Service par le Client, et s'applique dans la mesure où DocUnlock traite les données personnelles pour le compte du Client.
En cas de conflit entre la présente DPA et le Contrat, cette DPA contrôlera le traitement des données personnelles.
Les termes en majuscules qui ne sont pas définis dans les présentes ont le sens indiqué dans le Contrat. En outre :
« Loi applicable sur la protection des données » désigne toutes les lois et réglementations applicables relatives au traitement des données personnelles, y compris : (a) le Règlement général de l'UE sur la protection des données 2016/679 (« RGPD ») ; (b) le Règlement général sur la protection des données du Royaume-Uni et la Loi sur la protection des données 2018 (« RGPD ») ; (d) la Loi sur la protection des données des consommateurs de Californie, telle que modifiée par la Loi californienne sur les droits à la vie privée (« CCPA/CPRA ») ; et (e) toute autre loi applicable en matière de protection des données ou de confidentialité.
Le terme « responsable du traitement » désigne l'entité qui détermine les finalités et les moyens du traitement des données personnelles. Lorsque le CCPA/CPRA s'applique, le responsable du traitement signifie « Entreprise » tel que défini dans cette norme.
« Personne concernée » désigne une personne physique identifiée ou identifiable à laquelle les données personnelles se rapportent.
Les « données personnelles » désignent toutes les informations relatives à une personne physique identifiée ou identifiable, telle que définie dans la législation applicable en matière de protection des données. Lorsque la CCPA/CPRA s'applique, les données personnelles incluent les « informations personnelles » telles que définies dans cette norme.
Le « traitement » désigne toute opération ou ensemble d'opérations effectuées sur des données personnelles, y compris la collecte, l'enregistrement, l'organisation, la structuration, le stockage, l'adaptation, la modification, la récupération, la consultation, l'utilisation, la divulgation par transmission, diffusion, alignement, combinaison, restriction, effacement ou destruction.
« Sous-traitant » désigne l'entité qui traite les données personnelles pour le compte du responsable du traitement. Lorsque la CCPA/CPRA s'applique, le sous-traitant désigne le « fournisseur de services » tel que défini dans cette norme.
« Incident de sécurité » désigne toute destruction, perte, altération, divulgation non autorisée ou accès accidentels ou illégaux aux données personnelles transmises, stockées ou autrement traitées par DocUnlock dans le cadre du Service.
Les « clauses contractuelles types » ou « CCS » désignent les clauses contractuelles types approuvées par la Commission européenne dans la décision d'exécution (UE) 2021/914, dont le texte intégral est disponible sur https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32021D0914 et est intégré dans le présent DPA par référence le cas échéant.
« Sous-traitant » désigne tout tiers engagé par DocUnlock pour traiter les données personnelles pour le compte du client.
2.1 Rôles des parties. Le client agit en tant que contrôleur (ou entreprise) et DocUnlock agit en tant que processeur (ou fournisseur de services) en ce qui concerne les données personnelles traitées dans le cadre du Service.
2,2 Étendue du traitement. DocUnlock traitera les données personnelles uniquement pour fournir le Service au Client conformément au Contrat, au présent DPA et aux instructions documentées du Client, comme décrit dans la Section 3.
2,3 Détails du traitement. L'objet, la durée, la nature, la finalité, les types de données personnelles et les catégories de personnes concernées sont décrits à l'annexe I du présent DPA.
3.1 Instructions documentées. DocUnlock traitera les données personnelles uniquement selon les instructions documentées du client, y compris en ce qui concerne les transferts de données personnelles vers un pays tiers, sauf si la loi applicable l'exige. Dans ce cas, DocUnlock informera le Client de cette obligation légale avant le Traitement, à moins que la loi n'interdise une telle notification pour des raisons importantes d'intérêt public.
3.2 Portée des instructions. Les instructions du client pour le traitement sont énoncées dans le contrat, le présent DPA et tout document de commande applicable. Le client peut émettre des instructions écrites supplémentaires conformément aux termes du contrat.
3.3 Notification de conformité. Si DocUnlock estime raisonnablement qu'une instruction du client enfreint la loi applicable en matière de protection des données, DocUnlock en informera rapidement le client et pourra suspendre l'exécution de l'instruction concernée jusqu'à ce que le client modifie ou confirme l'instruction.
4.1 Obligations relatives au personnel DocUnlock garantit que tout le personnel autorisé à traiter les données personnelles est lié par des obligations de confidentialité écrites, qu'elles soient contractuelles ou légales.
4,2 Limitations d'accès. DocUnlock limite l'accès aux données personnelles au personnel qui en a besoin pour exécuter les obligations prévues par le Contrat, et veille à ce que ce personnel traite les données personnelles uniquement conformément aux instructions du client.
5,1 Mesures de sécurité. DocUnlock mettra en œuvre et maintiendra des mesures techniques et organisationnelles appropriées pour protéger les données personnelles contre tout traitement non autorisé ou illégal, toute perte accidentelle, toute destruction ou tout dommage. Ces mesures sont décrites à l'annexe II et comprennent, au minimum :
(a) Chiffrement des données personnelles en transit (TLS 1.2+) et au repos (AES-256) ; (b) Contrôles d'accès basés sur les rôles et authentification multifactorielle ; (c) Examens réguliers des accès et journalisation des audits ; (d) Sécurité du réseau, y compris pare-feu, détection des intrusions et segmentation du réseau ; (e) Planification de la réponse aux incidents avec surveillance de sécurité 24h/24 et 7j/7 ; (f) Évaluations régulières des vulnérabilités et tests d'intrusion ; (g) Capacités de continuité des activités et de reprise après sinistre ; et (h) Formation annuelle de sensibilisation à la sécurité pour tout le personnel ayant accès aux données personnelles.
5,2 Conformité SOC 2. DocUnlock dispose de la certification SOC 2 Type II (ou équivalente) couvrant les critères de service de confiance en matière de sécurité, de disponibilité et de confidentialité. DocUnlock fournira un résumé de son rapport SOC 2 le plus récent sur demande écrite du Client, sous réserve des exigences de confidentialité standard de DocUnlock.
5,3 Amélioration continue. DocUnlock testera, évaluera et évaluera régulièrement l'efficacité de ses mesures de sécurité, en tenant compte de l'état de l'art, des coûts de mise en œuvre, de la nature, de la portée, du contexte et des finalités du traitement, ainsi que du risque pour les personnes concernées.
6.1 Autorisation. Le client fournit une autorisation écrite générale à DocUnlock pour engager des sous-traitants pour traiter les données personnelles. La liste actuelle des sous-traitants figure à l'annexe III et à l'annexe A des Conditions d'utilisation.
6.2 Obligations du sous-traitant. DocUnlock conclura un accord écrit avec chaque sous-traitant imposant des obligations de protection des données non moins protectrices que celles énoncées dans le présent DPA, y compris des obligations en matière de confidentialité, de sécurité et de restrictions au traitement.
6,3 Notification des modifications. DocUnlock informera le Client au moins trente (30) jours avant d'engager un nouveau sous-traitant ou de remplacer un sous-processeur existant. Les clients peuvent s'abonner aux notifications en envoyant un e-mail à privacy@docunlock.com ou via les paramètres de leur compte.
6,4 Droit d'opposition. Le client peut s'opposer à un nouveau sous-traitant en adressant une notification écrite à privacy@docunlock.com dans les trente (30) jours suivant la réception de la notification. L'opposition doit inclure des motifs spécifiques et raisonnables liés à la protection des données. DocUnlock travaillera de bonne foi pour répondre à l'objection, ce qui peut inclure la fourniture d'informations supplémentaires, la mise en œuvre de garanties supplémentaires ou la proposition d'une configuration de service alternative. Si DocUnlock ne peut raisonnablement répondre à l'objection, l'une ou l'autre des parties peut résilier la partie concernée du Service sur notification écrite, et le Client recevra un remboursement au prorata des frais prépayés.
6,5 Responsabilité. DocUnlock reste entièrement responsable des actes et omissions de ses sous-traitants, dans la même mesure que DocUnlock serait responsable s'il effectuait le Traitement directement.
6,6 Sous-processeurs AI et LLM. Lorsque DocUnlock fait appel à des fournisseurs d'IA ou de grands modèles linguistiques en tant que sous-processeurs :
(a) Les données client sont traitées uniquement dans le but de fournir le Service ; (b) Les données client ne sont pas utilisées pour la formation ou l'amélioration des modèles ; (c) Les données client ne sont pas conservées au-delà de la durée nécessaire pour générer le résultat demandé, sauf si la loi l'exige ; et (d) DocUnlock maintient les engagements contractuels de chaque sous-traitant AI/LLM reflétant les obligations énoncées aux points a) à c).
7.1 Assistance. DocUnlock aidera le client à répondre aux demandes des personnes concernées exerçant leurs droits en vertu de la législation applicable en matière de protection des données, y compris les droits d'accès, de rectification, d'effacement, de restriction, de portabilité et d'opposition.
7,2 Notification. Si DocUnlock reçoit une demande directement d'une personne concernée, DocUnlock redirigera rapidement la demande au client, sauf si la loi l'interdit, et ne répondra pas à la demande sans l'autorisation préalable du client, sauf pour confirmer que la demande concerne le client.
7.3 Mesures raisonnables. DocUnlock fournira l'assistance technique et organisationnelle raisonnablement nécessaire pour permettre au Client de répondre aux demandes des personnes concernées, en tenant compte de la nature du Traitement.
8,1 Notification. DocUnlock informera le Client dans les meilleurs délais, après avoir pris connaissance de tout Incident de sécurité affectant les données personnelles du Client.
8,2 Contenu. La notification comprendra, dans la mesure où cela est connu :
(a) La nature de l'incident de sécurité, y compris les catégories et le nombre approximatif de personnes concernées et d'enregistrements de données personnelles concernés ; (b) Le nom et les coordonnées du responsable de la protection des données de DocUnlock ; (c) Les conséquences probables de l'incident de sécurité ; et (d) Les mesures prises ou proposées pour traiter l'incident de sécurité et en atténuer les effets.
8,3 Mises à jour continues. Lorsque des informations complètes ne sont pas disponibles au moment de la notification initiale, DocUnlock fournira les informations par étapes sans plus tarder.
8,4 Coopération. DocUnlock coopérera avec le Client et prendra des mesures raisonnables pour aider à l'investigation, à l'atténuation et à la résolution de l'Incident de sécurité, et aidera le Client à remplir ses obligations de notification des violations auprès des autorités de surveillance et des personnes concernées.
8,5 Documentation. DocUnlock documentera tous les incidents de sécurité, y compris les faits, les effets et les mesures correctives prises, et mettra cette documentation à la disposition du client et des autorités de supervision sur demande.
9.1 Assistance. DocUnlock fournira une assistance raisonnable au Client dans la réalisation d'évaluations d'impact sur la protection des données et de consultations préalables avec les autorités de surveillance lorsque cela est requis en vertu des articles 35 et 36 du RGPD, en tenant compte de la nature du traitement et des informations dont DocUnlock dispose.
DocUnlock est basé aux États-Unis. Les données personnelles collectées via le site marketing et traitées via la plate-forme sont stockées et traitées aux États-Unis.
11,1 Informations d'audit. DocUnlock mettra à la disposition du Client toutes les informations raisonnablement nécessaires pour démontrer la conformité à la présente DPA et à la Loi applicable en matière de protection des données.
11,2 Droits d'audit. DocUnlock mettra à la disposition du Client une copie de son rapport SOC 2 Type II le plus récent sur demande écrite, sous réserve de l'exécution d'un accord de confidentialité sous une forme acceptable pour DocUnlock. Le client convient que la réception du rapport SOC 2 satisfait aux obligations d'audit et d'inspection de DocUnlock en vertu du présent DPA et de toute loi applicable en matière de protection des données obligeant DocUnlock à démontrer le respect de ses obligations en tant que sous-traitant.
11,3 Rapports SOC 2. DocUnlock peut répondre aux demandes d'audit en fournissant son rapport SOC 2 de type II le plus récent (ou un audit ou une certification tiers équivalent), à condition qu'il traite des questions pertinentes à la demande d'audit. Si le rapport SOC 2 ne répond pas de manière adéquate aux préoccupations du client, celui-ci conserve ses droits d'audit en vertu de la section 11.2.
11,4 Audits réglementaires. DocUnlock coopérera et fournira une assistance raisonnable à toute autorité de surveillance qui a besoin d'accéder aux installations ou à la documentation de DocUnlock dans le cadre d'une enquête relative au traitement des données personnelles dans le cadre du présent DPA.
12,1 Durée. DocUnlock traitera les données personnelles pendant la durée du contrat, sauf indication contraire du client.
12,2 Suppression. À la résiliation ou à l'expiration du Contrat, DocUnlock supprimera toutes les données personnelles de ses systèmes de production dans quatre-vingt-dix (90) jours. Le client n'a pas besoin de faire un choix affirmatif ; la suppression se fera automatiquement à moins que le client ne demande par écrit une période de transition plus longue avant la résiliation.
12,3 Conservation des sauvegardes. Les données personnelles peuvent persister dans les systèmes de sauvegarde cryptés jusqu'à quatre-vingt-dix (90) jours après la suppression des systèmes de production, de telle sorte que la période de conservation totale maximale après la résiliation ne dépasse pas quatre-vingt-dix (90) jours. Pendant cette période, les données de sauvegarde sont cryptées, leur accès est restreint et traitées comme inaccessibles du point de vue fonctionnel. DocUnlock réappliquera les demandes de suppression en attente si les données de sauvegarde sont restaurées à des fins de reprise après sinistre.
12,4 Exceptions légales. DocUnlock peut conserver les données personnelles dans la mesure requise par la loi applicable, à condition que DocUnlock limite cette conservation aux données et à la durée requises et en informe le client sauf si la loi l'interdit.
12,5 Attestation. À la demande écrite du client, DocUnlock fournira une confirmation écrite que les données personnelles ont été supprimées conformément à cette section.
Dans la mesure où la CCPA/CPRA s'applique au traitement des données personnelles par DocUnlock pour le compte du client :
13,1 Statut du fournisseur de services. DocUnlock est un « fournisseur de services » au sens de la CCPA/CPRA et traite les informations personnelles uniquement pour le compte du client et aux fins commerciales spécifiées dans le Contrat.
13,2 Activités interdites. DocUnlock ne va pas :
(a) Vendre ou partager des informations personnelles ; (b) Conserver, utiliser ou divulguer des informations personnelles à des fins autres que les fins commerciales spécifiées dans le Contrat, y compris à des fins commerciales autres que la fourniture du Service ; (c) Conserver, utiliser ou divulguer des informations personnelles en dehors de la relation commerciale directe entre DocUnlock et le Client ; ou (d) Combiner les informations personnelles reçues du client avec les informations personnelles reçues d'autres sources, sauf autorisation expresse de la CCPA/CPRA.
13,3 Certification de conformité. DocUnlock certifie qu'il comprend et respectera les restrictions des sections 13.1 et 13.2.
13,4 Assistance en matière de droits des consommateurs. DocUnlock aidera le Client à répondre aux demandes vérifiables des consommateurs en vertu de la CCPA/CPRA, y compris les demandes de connaissance, de suppression, de correction et de refus de la vente ou du partage.
13,5 Notification d'incapacité à se conformer. DocUnlock informera le Client s'il détermine qu'il ne peut plus remplir ses obligations en vertu de la CCPA/CPRA. À la suite d'une telle notification, le Client peut prendre des mesures raisonnables et appropriées pour mettre fin à l'utilisation non autorisée des informations personnelles et y remédier.
13,6 Droit de surveillance. Le client a le droit de prendre des mesures raisonnables et appropriées pour s'assurer que DocUnlock utilise les informations personnelles d'une manière conforme aux obligations du client en vertu de la CCPA/CPRA. DocUnlock se conformera aux demandes raisonnables du Client pour vérifier la conformité.
14,1 Loi applicable. Le présent DPA est régi par les lois énoncées dans l'Accord, sauf que les CCS sont régies par la loi de l'État membre de l'UE dans lequel le Contrôleur est établi (ou, lorsque le Contrôleur n'est pas établi dans un État membre de l'UE, par les lois de l'Irlande).
14,2 Ordre de priorité. En cas de conflit : (a) les CCS l'emportent sur le présent DPA ; (b) le présent DPA prévaut sur le Contrat ; et (c) l'Accord prévaut à tous autres égards.
14,3 Divisibilité. Si l'une des dispositions du présent DPA est jugée invalide ou inapplicable, les autres dispositions restent pleinement en vigueur.
14,4 Durée. Ce DPA entre en vigueur dès l'acceptation du Contrat par le Client et reste en vigueur jusqu'à ce que toutes les Données personnelles soient supprimées ou renvoyées conformément à la Section 12.
14,5 Amendements. Ce DPA ne peut être modifié que par écrit et signé par les deux parties, sauf que DocUnlock peut mettre à jour les annexes pour refléter les modifications apportées aux sous-processeurs (sous réserve des exigences de notification de la section 6.3) ou aux mesures de sécurité.
14,6 Contactez. Toutes les notifications en vertu de cette DPA doivent être envoyées à :
DocUnlock, Inc. À l'attention du responsable juridique et de la protection des données PO Box 15683 San Francisco, CA 94115
Courrier électronique : legal@docunlock.com/dpo@docunlock.com
A. Liste des Parties
Exportateur de données (contrôleur/entreprise) :
Importateur de données (processeur/fournisseur de services) :
B. Objet et durée
C. Nature et finalité du traitement
DocUnlock traite les données personnelles aux fins suivantes :
D. Types de données personnelles
Les données personnelles traitées peuvent inclure, en fonction de l'utilisation du Service par le Client :
E. Catégories de personnes concernées
F. Données sensibles
DocUnlock ne collecte pas intentionnellement ni n'exige la soumission de catégories sensibles ou spéciales de données personnelles. Cependant, le client peut télécharger des documents contenant de telles données. Lorsque le client soumet des données sensibles, il est responsable de s'assurer qu'une base légale et des garanties appropriées existent en vertu de la législation applicable en matière de protection des données.
DocUnlock met en œuvre et maintient les mesures de sécurité suivantes, qui correspondent aux mesures décrites dans l'Annexe B du Contrat :
Contrôle d'accès
Chiffrement
Sécurité du réseau
Sécurité physique
Sécurité du personnel
Réponse aux incidents
Continuité des activités
Sécurité des applications
Surveillance et journalisation
Sous-processeur
Finalité
Activités de traitement
Catégories de données personnelles
Lieu
Mécanisme de transfert
Plateforme Google Cloud (Google LLC)Hébergement de l'infrastructure, traitement AI/LLMStockage, calcul, hébergement et traitement des données clientsToutes les données des clients, y compris les données personnelles qu'elles contiennentSCCs (module 3)
AnthropiqueTraitement AI/LLMAnalyse de documents et traitement des fonctionnalités basé sur l'IADonnées clients soumises pour traitement, qui peuvent inclure des données personnellesSCCs (module 3)
IA ouverte
Traitement AI/LLMAnalyse de documents et traitement des fonctionnalités basé sur l'IADonnées clients soumises pour traitement, qui peuvent inclure des données personnellesSCCs (module 3)
PosteHog
Analyse des produitsCollecte et analyse des données d'utilisation et de performanceDonnées d'utilisation, identifiants d'appareils, adresses IPSCCs (module 3)
SentinelleSurveillance des erreursCollecte et analyse des erreursRapports d'erreurs, données de session, informations sur l'appareilSCCs (module 3)
HubSpot
Gestion de la relation clientCommunications avec les clients et gestion des comptesNom, adresse e-mail, nom de l'entreprise, historique des communicationsSCCs (module 3)
DocUnlock maintient les engagements contractuels des sous-traitants AI/LLM selon lesquels les données des clients ne sont pas utilisées pour la formation ou l'amélioration des modèles. Pour vous abonner aux notifications de modification du sous-processeur, contactez privacy@docunlock.com.
Cette annexe fournit les informations nécessaires pour compléter les SCC.
Clause 7 — Clause d'amarrage : La clause d'ancrage optionnelle est incluse.
Clause 9 — Sous-processeurs : L'option 2 (autorisation écrite générale) s'applique, avec un délai de notification de trente (30) jours.
Clause 11 — Réparation : La langue optionnelle permettant un règlement indépendant des litiges n'est pas incluse.
Clause 17 — Loi applicable : Les CCT sont régies par les lois de l'Irlande.
Article 18 — Forum : Les litiges découlant des CCS seront résolus devant les tribunaux irlandais.
Le texte intégral des CCT est incorporé par référence, comme indiqué dans la section 1 du présent DPA. Dans la mesure où un client a besoin d'une copie complète des CCS, DocUnlock en fournira une sur demande écrite à legal@docunlock.com.
Général : support@docunlock.com
Mentions légales : legal@docunlock.com
Confidentialité : privacy@docunlock.com
Sécurité : security@docunlock.com
Délégué à la protection des données : dpo@docunlock.com
DocUnlock, Inc.
Case postale 15683
San Francisco, Californie 94115
Dernière mise à jour : 1er janvier 2026