Data Processing Agreement
Accord de traitement des données conforme au RGPD entre Kotana et ses clients.
Introduction
Ce DPA fait partie intégrante du contrat de service entre Kotana SAS (ci-après "Kotana") et le Client. Il définit les conditions de traitement des données personnelles conformément au Règlement Général sur la Protection des Données (RGPD) 2016/679.
1. Définitions et champ d'application
Le présent accord de traitement des données (DPA) définit les conditions dans lesquelles Kotana SAS traite les données personnelles pour le compte de ses clients.
• Responsable du traitement : le Client qui détermine les finalités et moyens du traitement
• Sous-traitant : Kotana SAS qui traite les données pour le compte du Client
• Données personnelles : toute information relative à une personne physique identifiée ou identifiable
2. Nature et finalité du traitement
Types de données traitées :
• Données d'identification (nom, prénom, email)
• Données professionnelles (fonction, entreprise)
• Données de connexion (logs, IP)
• Données métier (artistes, contrats, royalties)
Finalités : fourniture et amélioration des services Kotana
3. Mesures de sécurité
Kotana s'engage à mettre en œuvre les mesures techniques et organisationnelles appropriées :
• Chiffrement des données en transit (TLS 1.3) et au repos (AES-256)
• Authentification forte et gestion des accès
• Sauvegardes quotidiennes chiffrées
• Tests de sécurité réguliers et audits
• Formation du personnel à la protection des données
4. Localisation et transferts de données
Les données sont hébergées exclusivement dans l'Union Européenne.
Datacenters principaux : France (Paris) et Allemagne (Francfort)
Aucun transfert de données hors UE sans autorisation préalable du Client.
En cas de transfert nécessaire, application des clauses contractuelles types de la Commission Européenne.
5. Sous-traitance ultérieure
Kotana peut faire appel à des sous-traitants ultérieurs pour :
• Hébergement : AWS Europe (France/Allemagne)
• Emails transactionnels : SendGrid (données minimales)
• Paiements : Stripe (données de paiement uniquement)
Le Client est informé et peut s'opposer aux nouveaux sous-traitants dans un délai de 30 jours.
6. Droits des personnes concernées
Kotana assiste le Client dans le traitement des demandes :
• Droit d'accès aux données
• Droit de rectification
• Droit à l'effacement
• Droit à la portabilité
• Droit d'opposition
Délai de réponse : 72 heures maximum
7. Notification des violations
En cas de violation de données, Kotana s'engage à :
• Notifier le Client dans les 24 heures
• Fournir toutes les informations nécessaires
• Coopérer pour limiter les impacts
• Documenter la violation et les mesures prises
• Mettre en œuvre des mesures correctives
8. Audits et contrôles
Le Client peut :
• Demander des attestations de conformité
• Réaliser des audits (maximum 1 par an)
• Consulter les rapports de sécurité
• Accéder aux certifications (ISO 27001, SOC 2)
Les audits sont réalisés avec un préavis de 30 jours.
9. Restitution et suppression des données
À la fin du contrat :
• Export des données dans un format standard (30 jours)
• Suppression sécurisée des données
• Certificat de destruction fourni
• Conservation uniquement si obligation légale
• Suppression des sauvegardes après 90 jours
10. Responsabilité et assurance
Kotana dispose d'une assurance responsabilité civile professionnelle.
Couverture : violations de données et non-conformité RGPD
Plafond de garantie : 5 millions d'euros
Indemnisation en cas de sanctions dues à une faute de Kotana
Acceptation et signature
En utilisant les services Kotana, le Client accepte les termes du présent DPA. Une version signée peut être demandée à l'adresse dpo@kotana.com.
Pour Kotana SAS
[Nom du représentant]
DPO - Data Protection Officer
Date : À la signature
Pour le Client
Nom : _______________
Fonction : _______________
Date : _______________