Modèle public d'accord de traitement des données conforme au RGPD Art. 28. Pour un usage contractuel formel, demandez la version signée à votre Responsable de traitement.
Avant d'entrer dans le détail des douze articles, voici la répartition des responsabilités au sens du Règlement (UE) 2016/679. Cette structure est le fondement de toutes les obligations qui suivent.
Le Client. Définit les finalités et les moyens du traitement. Détient le pouvoir décisionnel sur les données stockées dans le coffre : choix des secrets, des destinataires, de la politique d'accès et de la durée de conservation.
ARDNTECH EI. Exécute le traitement pour le compte du Client, dans le strict respect de ses instructions documentées et dans les limites de l'objet précisé à l'article 2 du présent DPA.
Vos utilisateurs. Membres des organisations du Client et destinataires de partages de secrets. Bénéficient des droits Art. 15 à 22 RGPD, outillés techniquement par Aegirex.
El presente Acuerdo de Tratamiento (en adelante «DPA») complementa las Condiciones Generales de Uso de Aegirex y precisa las obligaciones respectivas del Responsable del tratamiento (el Cliente) y del Encargado del tratamiento (el Editor de Aegirex) en el sentido del Reglamento (UE) 2016/679 (RGPD).
Encargado del tratamiento: ARDNTECH EI, inscrita en el RCS con el n.° 913308706, cuyo domicilio social se sitúa en 24 rue de la Glau 08700 Gespunsart. DPO: dpo@aegirex.eu.
Responsable del tratamiento: la persona moral o física que se suscribe a Aegirex y utiliza el servicio para almacenar y compartir secretos digitales.
Aegirex es un servicio de almacenamiento de secretos con cifrado de extremo a extremo (zero-knowledge). El Encargado trata los datos por cuenta del Responsable del tratamiento únicamente con los siguientes fines:
El Encargado trata las siguientes categorías de datos, y únicamente estas:
| Categoría | Datos afectados | Base legal (art. 6 RGPD) |
|---|---|---|
| Cuenta de usuario | Dirección de correo, hash Argon2id de la contraseña maestra, clave pública OpenPGP, nombre opcional. | Ejecución del contrato (art. 6.1.b) |
| Secretos almacenados | Blobs OpenPGP opacos (cifrados). El Encargado no puede leerlos. | Ejecución del contrato (art. 6.1.b) |
| Diarios de auditoría | Eventos de conexión, creación/lectura/compartido/eliminación de secretos, IP, user-agent, firmas HMAC. | Interés legítimo en la seguridad (art. 6.1.f) |
| Facturación | Razón social, SIREN, dirección, correo de facturación, historial de pagos. | Obligación legal contable (art. 6.1.c) |
Las personas afectadas son: (a) los usuarios autorizados por el Responsable del tratamiento a acceder a Aegirex; (b) en su caso, los destinatarios de compartidos de secretos iniciados por estos usuarios; (c) los contactos identificados en las facturas emitidas al Responsable del tratamiento.
Los datos se conservan durante los siguientes plazos:
El Responsable del tratamiento autoriza expresamente al Encargado a recurrir a los siguientes subcontratistas ulteriores:
| Subcontratista | Finalidad | País de tratamiento |
|---|---|---|
| Brevo SAS | Envío de correos transaccionales (notificación, verificación de correo). | FR |
| Stancer SAS | Tratamiento de pagos en línea. | FR |
| Alojador (a precisar en el contrato) | Alojamiento de la infraestructura de aplicación y bases de datos. | FR / EU |
Todo cambio de subcontratista ulterior es objeto de una notificación al Responsable del tratamiento con un preaviso mínimo de 30 días, permitiéndole ejercer un derecho de oposición motivado.
El Encargado implementa las siguientes medidas (lista indicativa no limitativa):
Conforme al artículo 33 del RGPD, el Encargado notifica al Responsable del tratamiento toda violación de datos de carácter personal en 48 horas desde el conocimiento de la violación. La notificación precisa la naturaleza, el alcance, las consecuencias probables y las medidas tomadas o previstas.
El Encargado proporciona al Responsable del tratamiento las herramientas que permiten responder a las solicitudes de las personas afectadas (derecho de acceso, rectificación, supresión, portabilidad, oposición) directamente desde la interfaz de usuario. Para toda solicitud no cubierta por la interfaz, el Encargado asiste al Responsable en 5 días laborables.
Al final del contrato (resolución, no renovación), el Responsable del tratamiento dispone de 30 días para exportar sus datos vía la funcionalidad nativa de exportación de portabilidad. Al final de este plazo, el conjunto de datos del Responsable se elimina de manera irreversible de las bases de producción. Las copias de seguridad cifradas se purgan en 90 días adicionales (rotación de retención estándar).
No se efectúa ninguna transferencia de datos hacia un país tercero fuera de la UE/EEE. El Encargado no recurre a prestadores sujetos al CLOUD Act (US), al FISA Section 702, ni a jurisdicciones equivalentes. Si tal transferencia llegara a ser técnicamente necesaria en el futuro, el Encargado deberá obtener el acuerdo expreso y previo del Responsable del tratamiento.
El Responsable del tratamiento puede mandatar a un auditor independiente (a sus expensas) para verificar la conformidad del Encargado con los compromisos del presente DPA, sujeto a un preaviso razonable de 15 días y un compromiso de confidencialidad. El Encargado proporciona también, bajo solicitud, todo documento que permita demostrar su conformidad (registro de tratamientos, informes de pentest, etc.). Para toda solicitud: dpo@aegirex.eu.
Le présent modèle vaut engagement contractuel lorsqu'il est annexé à un bon de commande Business ou Enterprise. Pour une version signée numériquement, nominative et adaptée à vos sous-traitants et à votre juridiction, adressez votre demande à votre Responsable de traitement ou directement au DPO d'ARDNTECH EI.
