DPA / RGPD

Accord de Traitement des Données (DPA)

Obligations du sous-traitant, mesures de sécurité et engagements RGPD pour le traitement des données personnelles.

Mis a jour le March 15, 2026Version publique

1. Préambule

Le présent Accord de Traitement des Données (ci-après « DPA » ou « Accord ») est conclu entre le Client utilisant la plateforme Laucked (ci-après « le Responsable de traitement » ou « le Client ») et la société Laucked, dont le siège social est situé au 304 S Jones Blvd, Las Vegas, 89107 Nevada, USA (ci-après « le Sous-traitant » ou « Laucked »).

Le présent DPA s'inscrit dans le cadre du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après « RGPD »), et notamment de son article 28 qui encadre les relations entre responsable de traitement et sous-traitant.

Le présent Accord a pour objet de définir les conditions dans lesquelles Laucked, en sa qualité de sous-traitant, s'engage à traiter les données à caractère personnel pour le compte du Client, dans le cadre de la fourniture des services de cybersécurité via la plateforme Laucked. Il complète et fait partie intégrante des Conditions Générales de Vente et d'Utilisation.

2. Définitions

Aux fins du présent Accord, les termes suivants ont la signification qui leur est donnée ci-dessous. Les termes non définis dans le présent Accord ont le sens qui leur est donné par le RGPD :

« Données personnelles » : toute information se rapportant à une personne physique identifiée ou identifiable, au sens de l'article 4.1 du RGPD.
« Traitement » : toute opération ou ensemble d'opérations effectuées sur des données personnelles, de manière automatisée ou non, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation, la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion, l'effacement ou la destruction.
« Responsable de traitement » : le Client, personne physique ou morale qui détermine les finalités et les moyens du traitement des données personnelles.
« Sous-traitant » : Laucked, qui traite des données personnelles pour le compte du Responsable de traitement dans le cadre de la fourniture des Services.
« Sous-traitant ultérieur » : tout tiers engagé par Laucked pour traiter des données personnelles pour le compte du Responsable de traitement.
« Violation de données » : toute violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données personnelles transmises, conservées ou traitées, ou l'accès non autorisé à de telles données.

3. Objet et champ d'application

Le présent Accord s'applique à l'ensemble des traitements de données personnelles effectués par Laucked pour le compte du Client dans le cadre de la fourniture des Services via la plateforme.

Types de données personnelles traitées :

Données d'identification des utilisateurs (nom, prénom, adresse email professionnelle)
Données d'authentification (identifiants, jetons de session)
Données techniques de connexion (adresses IP, journaux d'accès)
Données liées aux scans de sécurité (périmètre, résultats, métadonnées des vulnérabilités)
Données de communication (échanges avec le support, contenu des tickets)

Personnes concernées :

Les utilisateurs de la plateforme Laucked désignés par le Client
Les administrateurs et membres de l'équipe du Client
Toute personne dont les données personnelles sont contenues dans les systèmes analysés par les Services, dans la mesure où ces données sont accessibles dans le périmètre autorisé par le Client

Finalités du traitement :

Fourniture des Services de cybersécurité (scans, analyses, rapports)
Gestion des comptes utilisateurs et de l'authentification
Support technique et communication avec le Client
Journalisation et traçabilité pour la sécurité de la plateforme

4. Obligations du Sous-traitant

Conformément à l'article 28 du RGPD, Laucked, en sa qualité de sous-traitant, s'engage à :

Instructions documentées : traiter les données personnelles uniquement sur instruction documentée du Responsable de traitement, y compris en ce qui concerne les transferts de données vers un pays tiers, sauf obligation légale contraire. Dans ce dernier cas, Laucked informera le Responsable de traitement de cette obligation avant le traitement, sauf interdiction légale.
Confidentialité du personnel : garantir que les personnes autorisées à traiter les données personnelles se sont engagées à respecter la confidentialité ou sont soumises à une obligation légale appropriée de confidentialité.
Mesures de sécurité : mettre en œuvre toutes les mesures techniques et organisationnelles requises en vertu de l'article 32 du RGPD, telles que détaillées à la section 6 du présent Accord.
Sous-traitance ultérieure : respecter les conditions visées à la section 5 du présent Accord pour le recours à des sous-traitants ultérieurs.
Assistance : aider le Responsable de traitement, par des mesures techniques et organisationnelles appropriées, à s'acquitter de son obligation de répondre aux demandes d'exercice des droits des personnes concernées.
Suppression ou restitution : au choix du Responsable de traitement, supprimer ou restituer toutes les données personnelles au terme de la prestation, et détruire les copies existantes, sauf obligation légale de conservation.
Audit : mettre à la disposition du Responsable de traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues par l'article 28 du RGPD et permettre la réalisation d'audits.

5. Sous-traitants ultérieurs

Le Client autorise Laucked à recourir à des sous-traitants ultérieurs pour l'exécution de certaines activités de traitement, sous réserve du respect des conditions suivantes :

Notification : Laucked informera le Client de tout projet de changement concernant l'ajout ou le remplacement d'un sous-traitant ultérieur, en lui communiquant l'identité du sous-traitant, la nature des traitements concernés et la localisation des données. Le Client disposera d'un délai de trente (30) jours pour formuler des objections motivées.
Engagements équivalents : Laucked s'assure que chaque sous-traitant ultérieur est lié par des obligations contractuelles offrant un niveau de protection des données personnelles au moins équivalent à celui prévu par le présent Accord.
Responsabilité : Laucked demeure pleinement responsable devant le Client de l'exécution par ses sous-traitants ultérieurs de leurs obligations en matière de protection des données.

La liste des sous-traitants ultérieurs actuellement utilisés par Laucked est disponible sur demande auprès du DPO à l'adresse contact@laucked.com. Cette liste inclut notamment les prestataires d'hébergement, de traitement des paiements et d'acheminement des emails.

6. Mesures de sécurité techniques et organisationnelles

Conformément à l'article 32 du RGPD, Laucked met en œuvre les mesures de sécurité techniques et organisationnelles suivantes, adaptées au risque présenté par les traitements :

a) Chiffrement

Chiffrement des données en transit via TLS 1.2 ou supérieur pour toutes les communications
Chiffrement des données au repos via AES-256 pour les bases de données et les systèmes de stockage
Gestion sécurisée des clés de chiffrement avec rotation régulière

b) Pseudonymisation

Application de techniques de pseudonymisation lorsque la finalité du traitement le permet
Séparation des données d'identification et des données de traitement

c) Contrôle d'accès

Contrôle d'accès basé sur les rôles (RBAC) avec principe du moindre privilège
Authentification multifacteur obligatoire pour les accès administratifs et les systèmes sensibles
Revue régulière des droits d'accès et révocation immédiate en cas de départ d'un collaborateur

d) Journalisation et surveillance

Journalisation exhaustive des accès aux données personnelles et des opérations de traitement
Surveillance continue des systèmes avec alertes automatisées en cas d'activité anormale
Conservation sécurisée des journaux pendant 12 mois minimum

e) Continuité d'activité et reprise après sinistre

Plan de continuité d'activité (PCA) documenté et testé régulièrement
Plan de reprise d'activité (PRA) avec objectifs de temps de reprise (RTO) et de point de reprise (RPO) définis
Sauvegardes régulières des données avec stockage géographiquement séparé
Tests de restauration effectués au minimum une fois par trimestre

f) Sécurité physique et organisationnelle

Hébergement dans des centres de données certifiés (ISO 27001, SOC 2)
Formation et sensibilisation du personnel à la protection des données
Procédures de gestion des incidents de sécurité documentées et régulièrement mises à jour

7. Notification des violations de données

En cas de violation de données personnelles au sens de l'article 4.12 du RGPD, Laucked s'engage à :

Délai de notification : notifier le Responsable de traitement de toute violation de données personnelles dans un délai maximum de quarante-huit (48) heures après en avoir pris connaissance, par email à l'adresse de contact du Client enregistrée sur la plateforme.
Contenu de la notification : la notification comprendra, dans la mesure du possible :
- La nature de la violation, y compris les catégories et le nombre approximatif de personnes concernées
- Les catégories et le nombre approximatif d'enregistrements de données personnelles concernés
- Le nom et les coordonnées du DPO ou du point de contact de Laucked
- Les conséquences probables de la violation
- Les mesures prises ou proposées pour remédier à la violation et atténuer ses effets négatifs
Coopération : Laucked fournira toute l'assistance raisonnable au Responsable de traitement pour lui permettre de respecter ses propres obligations de notification auprès de l'autorité de contrôle (article 33 RGPD) et de communication aux personnes concernées (article 34 RGPD).
Documentation : Laucked documentera toute violation de données personnelles, y compris les faits relatifs à la violation, ses effets et les mesures correctives prises. Cette documentation sera mise à disposition du Responsable de traitement sur demande.

8. Assistance au Responsable de traitement

Laucked s'engage à assister le Responsable de traitement dans le respect de ses obligations au titre du RGPD, et notamment :

Droits des personnes concernées : aider le Responsable de traitement à répondre aux demandes d'exercice des droits des personnes concernées (accès, rectification, effacement, limitation, portabilité, opposition), par des mesures techniques et organisationnelles appropriées. Laucked transmettra au Responsable de traitement, dans les meilleurs délais et au plus tard sous cinq (5) jours ouvrés, toute demande reçue directement d'une personne concernée.
Analyse d'impact (AIPD) : fournir au Responsable de traitement les informations nécessaires à la réalisation d'une analyse d'impact relative à la protection des données, lorsque le type de traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques.
Consultation préalable de la CNIL : assister le Responsable de traitement dans le cadre d'une consultation préalable auprès de l'autorité de contrôle, conformément à l'article 36 du RGPD, en fournissant toute information pertinente demandée.
Registre des traitements : tenir un registre des catégories d'activités de traitement effectuées pour le compte du Responsable de traitement, conformément à l'article 30.2 du RGPD.

9. Audit et contrôle

Le Responsable de traitement dispose du droit de vérifier le respect par Laucked des obligations prévues par le présent Accord et par le RGPD :

Droit d'audit : le Client peut réaliser ou faire réaliser par un auditeur tiers indépendant, à ses frais, un audit des mesures techniques et organisationnelles mises en œuvre par Laucked. L'audit devra être notifié avec un préavis raisonnable de trente (30) jours minimum et sera réalisé pendant les heures ouvrables, sans perturber le fonctionnement normal des Services.
Rapport annuel : Laucked fournira au Client, sur demande, un rapport annuel synthétique décrivant les mesures de sécurité mises en œuvre, les incidents de sécurité survenus le cas échéant, et les actions correctives appliquées.
Certifications : Laucked s'efforce d'obtenir et de maintenir des certifications de sécurité reconnues (ISO 27001, SOC 2 Type II) et mettra à disposition du Client les attestations et rapports de certification pertinents, sous réserve des obligations de confidentialité applicables.
Coopération : Laucked s'engage à coopérer pleinement avec le Responsable de traitement et à mettre à sa disposition toutes les informations nécessaires pour démontrer le respect de ses obligations au titre du présent Accord et de l'article 28 du RGPD.

10. Transferts de données hors UE

Laucked étant établie aux États-Unis, certains traitements de données personnelles peuvent impliquer des transferts en dehors de l'Espace Économique Européen. Dans ce cas, Laucked met en place les mécanismes de protection suivants conformément au chapitre V du RGPD :

Clauses contractuelles types (CCT) : les transferts de données personnelles vers des pays tiers sont encadrés par les clauses contractuelles types adoptées par la Commission européenne (décision d'exécution 2021/914 du 4 juin 2021), incorporées par référence au présent Accord.
Décisions d'adéquation : lorsque le pays destinataire bénéficie d'une décision d'adéquation de la Commission européenne, les transferts s'effectuent sur ce fondement.
Mesures supplémentaires : conformément aux recommandations 01/2020 du CEPD, Laucked met en œuvre des mesures techniques supplémentaires (chiffrement de bout en bout des données en transit et au repos, pseudonymisation, segmentation réseau) et organisationnelles (politique d'accès restreint, sensibilisation du personnel) pour garantir un niveau de protection essentiellement équivalent à celui garanti au sein de l'EEE.
Évaluation d'impact du transfert : Laucked réalise une évaluation d'impact du transfert (Transfer Impact Assessment) pour chaque flux de données vers un pays tiers, afin de vérifier que le cadre juridique du pays destinataire n'empêche pas le sous-traitant de respecter ses obligations.

11. Durée et suppression des données

Le présent Accord entre en vigueur à la date d'acceptation des Conditions Générales de Vente et d'Utilisation par le Client et reste en vigueur pendant toute la durée de la relation contractuelle entre les parties. Les obligations de confidentialité et de sécurité survivent à la cessation de l'Accord.

À l'expiration ou à la résiliation du contrat principal, et sur instruction du Responsable de traitement, Laucked procédera, dans un délai de trente (30) jours :

Option 1 — Restitution : à la restitution de l'ensemble des données personnelles traitées pour le compte du Client, dans un format structuré, couramment utilisé et lisible par machine.
Option 2 — Suppression : à la suppression sécurisée et irréversible de l'ensemble des données personnelles traitées pour le compte du Client, y compris les copies de sauvegarde, sauf obligation légale de conservation. Un certificat de destruction sera fourni au Client sur demande.

En l'absence d'instruction du Client dans un délai de trente (30) jours suivant la fin du contrat, Laucked procédera à la suppression sécurisée des données conformément à l'option 2 ci-dessus.

Les données dont la conservation est imposée par une obligation légale (données de facturation, journaux de connexion) seront conservées pendant la durée légalement requise, dans des conditions de sécurité appropriées, puis supprimées à l'expiration de cette période.

12. Contact DPO

Pour toute question relative au présent Accord de Traitement des Données, au traitement de vos données personnelles par Laucked en qualité de sous-traitant, ou pour exercer vos droits, vous pouvez contacter notre Délégué à la Protection des Données :

Email : contact@laucked.com
Courrier postal : Laucked — DPO — 304 S Jones Blvd, Las Vegas, 89107 Nevada, USA
Site web : www.laucked.com

Le DPO s'engage à accuser réception de toute demande dans un délai de cinq (5) jours ouvrés et à y répondre de manière complète dans un délai d'un (1) mois, conformément aux exigences du RGPD. Ce délai peut être prolongé de deux (2) mois supplémentaires en cas de demande complexe, sous réserve d'en informer le demandeur dans le délai initial.

En cas de litige relatif au traitement des données personnelles, le Client peut également saisir l'autorité de contrôle compétente. Pour les personnes résidant en France, l'autorité compétente est la Commission Nationale de l'Informatique et des Libertés (CNIL) — 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 — www.cnil.fr.

DPA / RGPD

Accord de Traitement des Données (DPA)

Obligations du sous-traitant, mesures de sécurité et engagements RGPD pour le traitement des données personnelles.

Mis a jour le March 15, 2026Version publique

1. Préambule

2. Définitions

Aux fins du présent Accord, les termes suivants ont la signification qui leur est donnée ci-dessous. Les termes non définis dans le présent Accord ont le sens qui leur est donné par le RGPD :

« Données personnelles » : toute information se rapportant à une personne physique identifiée ou identifiable, au sens de l'article 4.1 du RGPD.
« Traitement » : toute opération ou ensemble d'opérations effectuées sur des données personnelles, de manière automatisée ou non, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation, la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion, l'effacement ou la destruction.
« Responsable de traitement » : le Client, personne physique ou morale qui détermine les finalités et les moyens du traitement des données personnelles.
« Sous-traitant » : Laucked, qui traite des données personnelles pour le compte du Responsable de traitement dans le cadre de la fourniture des Services.
« Sous-traitant ultérieur » : tout tiers engagé par Laucked pour traiter des données personnelles pour le compte du Responsable de traitement.
« Violation de données » : toute violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données personnelles transmises, conservées ou traitées, ou l'accès non autorisé à de telles données.

3. Objet et champ d'application

Le présent Accord s'applique à l'ensemble des traitements de données personnelles effectués par Laucked pour le compte du Client dans le cadre de la fourniture des Services via la plateforme.

Types de données personnelles traitées :

Données d'identification des utilisateurs (nom, prénom, adresse email professionnelle)
Données d'authentification (identifiants, jetons de session)
Données techniques de connexion (adresses IP, journaux d'accès)
Données liées aux scans de sécurité (périmètre, résultats, métadonnées des vulnérabilités)
Données de communication (échanges avec le support, contenu des tickets)

Personnes concernées :

Les utilisateurs de la plateforme Laucked désignés par le Client
Les administrateurs et membres de l'équipe du Client
Toute personne dont les données personnelles sont contenues dans les systèmes analysés par les Services, dans la mesure où ces données sont accessibles dans le périmètre autorisé par le Client

Finalités du traitement :

Fourniture des Services de cybersécurité (scans, analyses, rapports)
Gestion des comptes utilisateurs et de l'authentification
Support technique et communication avec le Client
Journalisation et traçabilité pour la sécurité de la plateforme

4. Obligations du Sous-traitant

Conformément à l'article 28 du RGPD, Laucked, en sa qualité de sous-traitant, s'engage à :

Instructions documentées : traiter les données personnelles uniquement sur instruction documentée du Responsable de traitement, y compris en ce qui concerne les transferts de données vers un pays tiers, sauf obligation légale contraire. Dans ce dernier cas, Laucked informera le Responsable de traitement de cette obligation avant le traitement, sauf interdiction légale.
Confidentialité du personnel : garantir que les personnes autorisées à traiter les données personnelles se sont engagées à respecter la confidentialité ou sont soumises à une obligation légale appropriée de confidentialité.
Mesures de sécurité : mettre en œuvre toutes les mesures techniques et organisationnelles requises en vertu de l'article 32 du RGPD, telles que détaillées à la section 6 du présent Accord.
Sous-traitance ultérieure : respecter les conditions visées à la section 5 du présent Accord pour le recours à des sous-traitants ultérieurs.
Assistance : aider le Responsable de traitement, par des mesures techniques et organisationnelles appropriées, à s'acquitter de son obligation de répondre aux demandes d'exercice des droits des personnes concernées.
Suppression ou restitution : au choix du Responsable de traitement, supprimer ou restituer toutes les données personnelles au terme de la prestation, et détruire les copies existantes, sauf obligation légale de conservation.
Audit : mettre à la disposition du Responsable de traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues par l'article 28 du RGPD et permettre la réalisation d'audits.

5. Sous-traitants ultérieurs

Le Client autorise Laucked à recourir à des sous-traitants ultérieurs pour l'exécution de certaines activités de traitement, sous réserve du respect des conditions suivantes :

Notification : Laucked informera le Client de tout projet de changement concernant l'ajout ou le remplacement d'un sous-traitant ultérieur, en lui communiquant l'identité du sous-traitant, la nature des traitements concernés et la localisation des données. Le Client disposera d'un délai de trente (30) jours pour formuler des objections motivées.
Engagements équivalents : Laucked s'assure que chaque sous-traitant ultérieur est lié par des obligations contractuelles offrant un niveau de protection des données personnelles au moins équivalent à celui prévu par le présent Accord.
Responsabilité : Laucked demeure pleinement responsable devant le Client de l'exécution par ses sous-traitants ultérieurs de leurs obligations en matière de protection des données.

6. Mesures de sécurité techniques et organisationnelles

Conformément à l'article 32 du RGPD, Laucked met en œuvre les mesures de sécurité techniques et organisationnelles suivantes, adaptées au risque présenté par les traitements :

a) Chiffrement

Chiffrement des données en transit via TLS 1.2 ou supérieur pour toutes les communications
Chiffrement des données au repos via AES-256 pour les bases de données et les systèmes de stockage
Gestion sécurisée des clés de chiffrement avec rotation régulière

b) Pseudonymisation

Application de techniques de pseudonymisation lorsque la finalité du traitement le permet
Séparation des données d'identification et des données de traitement

c) Contrôle d'accès

Contrôle d'accès basé sur les rôles (RBAC) avec principe du moindre privilège
Authentification multifacteur obligatoire pour les accès administratifs et les systèmes sensibles
Revue régulière des droits d'accès et révocation immédiate en cas de départ d'un collaborateur

d) Journalisation et surveillance

Journalisation exhaustive des accès aux données personnelles et des opérations de traitement
Surveillance continue des systèmes avec alertes automatisées en cas d'activité anormale
Conservation sécurisée des journaux pendant 12 mois minimum

e) Continuité d'activité et reprise après sinistre

Plan de continuité d'activité (PCA) documenté et testé régulièrement
Plan de reprise d'activité (PRA) avec objectifs de temps de reprise (RTO) et de point de reprise (RPO) définis
Sauvegardes régulières des données avec stockage géographiquement séparé
Tests de restauration effectués au minimum une fois par trimestre

f) Sécurité physique et organisationnelle

Hébergement dans des centres de données certifiés (ISO 27001, SOC 2)
Formation et sensibilisation du personnel à la protection des données
Procédures de gestion des incidents de sécurité documentées et régulièrement mises à jour

7. Notification des violations de données

En cas de violation de données personnelles au sens de l'article 4.12 du RGPD, Laucked s'engage à :

Délai de notification : notifier le Responsable de traitement de toute violation de données personnelles dans un délai maximum de quarante-huit (48) heures après en avoir pris connaissance, par email à l'adresse de contact du Client enregistrée sur la plateforme.
Contenu de la notification : la notification comprendra, dans la mesure du possible :
- La nature de la violation, y compris les catégories et le nombre approximatif de personnes concernées
- Les catégories et le nombre approximatif d'enregistrements de données personnelles concernés
- Le nom et les coordonnées du DPO ou du point de contact de Laucked
- Les conséquences probables de la violation
- Les mesures prises ou proposées pour remédier à la violation et atténuer ses effets négatifs
Coopération : Laucked fournira toute l'assistance raisonnable au Responsable de traitement pour lui permettre de respecter ses propres obligations de notification auprès de l'autorité de contrôle (article 33 RGPD) et de communication aux personnes concernées (article 34 RGPD).
Documentation : Laucked documentera toute violation de données personnelles, y compris les faits relatifs à la violation, ses effets et les mesures correctives prises. Cette documentation sera mise à disposition du Responsable de traitement sur demande.

8. Assistance au Responsable de traitement

Laucked s'engage à assister le Responsable de traitement dans le respect de ses obligations au titre du RGPD, et notamment :

Droits des personnes concernées : aider le Responsable de traitement à répondre aux demandes d'exercice des droits des personnes concernées (accès, rectification, effacement, limitation, portabilité, opposition), par des mesures techniques et organisationnelles appropriées. Laucked transmettra au Responsable de traitement, dans les meilleurs délais et au plus tard sous cinq (5) jours ouvrés, toute demande reçue directement d'une personne concernée.
Analyse d'impact (AIPD) : fournir au Responsable de traitement les informations nécessaires à la réalisation d'une analyse d'impact relative à la protection des données, lorsque le type de traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques.
Consultation préalable de la CNIL : assister le Responsable de traitement dans le cadre d'une consultation préalable auprès de l'autorité de contrôle, conformément à l'article 36 du RGPD, en fournissant toute information pertinente demandée.
Registre des traitements : tenir un registre des catégories d'activités de traitement effectuées pour le compte du Responsable de traitement, conformément à l'article 30.2 du RGPD.

9. Audit et contrôle

Le Responsable de traitement dispose du droit de vérifier le respect par Laucked des obligations prévues par le présent Accord et par le RGPD :

Droit d'audit : le Client peut réaliser ou faire réaliser par un auditeur tiers indépendant, à ses frais, un audit des mesures techniques et organisationnelles mises en œuvre par Laucked. L'audit devra être notifié avec un préavis raisonnable de trente (30) jours minimum et sera réalisé pendant les heures ouvrables, sans perturber le fonctionnement normal des Services.
Rapport annuel : Laucked fournira au Client, sur demande, un rapport annuel synthétique décrivant les mesures de sécurité mises en œuvre, les incidents de sécurité survenus le cas échéant, et les actions correctives appliquées.
Certifications : Laucked s'efforce d'obtenir et de maintenir des certifications de sécurité reconnues (ISO 27001, SOC 2 Type II) et mettra à disposition du Client les attestations et rapports de certification pertinents, sous réserve des obligations de confidentialité applicables.
Coopération : Laucked s'engage à coopérer pleinement avec le Responsable de traitement et à mettre à sa disposition toutes les informations nécessaires pour démontrer le respect de ses obligations au titre du présent Accord et de l'article 28 du RGPD.

10. Transferts de données hors UE

Clauses contractuelles types (CCT) : les transferts de données personnelles vers des pays tiers sont encadrés par les clauses contractuelles types adoptées par la Commission européenne (décision d'exécution 2021/914 du 4 juin 2021), incorporées par référence au présent Accord.
Décisions d'adéquation : lorsque le pays destinataire bénéficie d'une décision d'adéquation de la Commission européenne, les transferts s'effectuent sur ce fondement.
Mesures supplémentaires : conformément aux recommandations 01/2020 du CEPD, Laucked met en œuvre des mesures techniques supplémentaires (chiffrement de bout en bout des données en transit et au repos, pseudonymisation, segmentation réseau) et organisationnelles (politique d'accès restreint, sensibilisation du personnel) pour garantir un niveau de protection essentiellement équivalent à celui garanti au sein de l'EEE.
Évaluation d'impact du transfert : Laucked réalise une évaluation d'impact du transfert (Transfer Impact Assessment) pour chaque flux de données vers un pays tiers, afin de vérifier que le cadre juridique du pays destinataire n'empêche pas le sous-traitant de respecter ses obligations.

11. Durée et suppression des données

À l'expiration ou à la résiliation du contrat principal, et sur instruction du Responsable de traitement, Laucked procédera, dans un délai de trente (30) jours :

Option 1 — Restitution : à la restitution de l'ensemble des données personnelles traitées pour le compte du Client, dans un format structuré, couramment utilisé et lisible par machine.
Option 2 — Suppression : à la suppression sécurisée et irréversible de l'ensemble des données personnelles traitées pour le compte du Client, y compris les copies de sauvegarde, sauf obligation légale de conservation. Un certificat de destruction sera fourni au Client sur demande.

12. Contact DPO

Email : contact@laucked.com
Courrier postal : Laucked — DPO — 304 S Jones Blvd, Las Vegas, 89107 Nevada, USA
Site web : www.laucked.com

Accord de Traitement des Données (DPA)

1. Préambule

2. Définitions

3. Objet et champ d&apos;application

4. Obligations du Sous-traitant

5. Sous-traitants ultérieurs

6. Mesures de sécurité techniques et organisationnelles

7. Notification des violations de données

8. Assistance au Responsable de traitement

9. Audit et contrôle

10. Transferts de données hors UE

11. Durée et suppression des données

12. Contact DPO

Accord de Traitement des Données (DPA)

1. Préambule

2. Définitions

3. Objet et champ d&apos;application

4. Obligations du Sous-traitant

5. Sous-traitants ultérieurs

6. Mesures de sécurité techniques et organisationnelles

7. Notification des violations de données

8. Assistance au Responsable de traitement

9. Audit et contrôle

10. Transferts de données hors UE

11. Durée et suppression des données

12. Contact DPO

3. Objet et champ d'application

3. Objet et champ d'application