1. Objet
Le présent accord (Data Processing Agreement, DPA) encadre les traitements de données à caractère personnel effectués par OpsTech SAS en qualité de sous-traitant, pour le compte du client en qualité de responsable de traitement, dans le cadre des prestations souscrites.
2. Description des traitements
Selon le périmètre contractuel : hébergement de workloads agentiques, exécution de workflows automatisés, accès aux connecteurs métier configurés par le client. La durée et la finalité de chaque traitement sont précisées au contrat.
3. Localisation
Les données sont traitées et stockées exclusivement dans l'Union européenne, par défaut en France (Scaleway, OVHcloud). Aucun transfert hors UE n'est effectué sans accord exprès du client. OpsTech garantit ne pas être soumis au Cloud Act américain.
4. Sous-traitants ultérieurs
La liste des sous-traitants ultérieurs est tenue à jour. Toute modification est notifiée au client préalablement, qui dispose d'un droit d'opposition motivé.
5. Mesures de sécurité
Les mesures techniques et organisationnelles sont décrites dans notre document sécurité : chiffrement au repos et en transit, authentification forte, journalisation, isolation des tenants, sauvegardes chiffrées.
6. Notification d'incident
OpsTech notifie au client toute violation de données personnelles dans un délai maximal de 48 heures après en avoir pris connaissance, et coopère à la mise en œuvre des mesures correctives.
7. Réversibilité
Le client peut récupérer l'intégralité de ses données et configurations à tout moment, dans des formats standards. Les données sont supprimées de manière sécurisée à l'issue du contrat, sur demande.