Acceptation automatique lors de la souscription
Le présent accord de sous-traitance est automatiquement accepté par le cabinet client lors de l'acceptation des Conditions Générales d'Utilisation de Carriva. Il fait partie intégrante du contrat de prestation conclu entre Carriva et le cabinet.
1. Objet et champ d'application
Le présent accord de sous-traitance (ci-après le « DPA », pour Data Processing Agreement) a pour objet de définir les conditions dans lesquelles Carriva, en sa qualité de sous-traitant au sens de l'article 4.8 du RGPD, s'engage à effectuer, pour le compte du cabinet client agissant en qualité de responsable de traitement au sens de l'article 4.7 du RGPD, les opérations de traitement de données à caractère personnel décrites ci-après.
Le présent DPA s'applique à l'ensemble des traitements de données personnelles réalisés par Carriva dans le cadre de la fourniture de sa plateforme SaaS d'audit retraite, accessible à l'adresse carriva.fr, et de ses fonctionnalités connexes (analyse de relevés de carrière, génération de livrables, assistant conversationnel, projections Hypothèses).
Il est conclu en application de l'article 28 du RGPD et complète, sans s'y substituer, les Conditions Générales d'Utilisation et la Politique de Confidentialité de Carriva. En cas de contradiction entre le présent DPA et tout autre document contractuel relatif au traitement des données personnelles, les stipulations du présent DPA prévaudront.
2. Définitions
Les termes suivants, qu'ils soient employés au singulier ou au pluriel, ont dans le cadre du présent DPA la signification suivante :
- Responsable de traitement: le cabinet client (cabinet de conseil en gestion de patrimoine, CGP, CGPI, expert-comptable, avocat fiscaliste ou auditeur retraite) qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement des données personnelles de ses clients finaux.
- Sous-traitant : Carriva, société éditrice de la plateforme carriva.fr, qui traite des données personnelles pour le compte du Responsable de traitement, dans le cadre strict des instructions de celui-ci et du présent DPA.
- Données personnelles: toute information se rapportant à une personne physique identifiée ou identifiable, au sens de l'article 4.1 du RGPD, traitée par Carriva pour le compte du Responsable de traitement.
- Traitement: toute opération ou tout ensemble d'opérations effectuées sur des données personnelles, notamment la collecte, l'extraction, l'organisation, la structuration, la conservation, l'analyse, la consultation, l'utilisation, la communication, le rapprochement, la limitation, l'effacement ou la destruction.
- Personne concernée: l'assuré, client final du cabinet, dont les données personnelles font l'objet d'un traitement dans le cadre de la mission d'audit retraite confiée au Responsable de traitement.
- Sous-traitant ultérieur: tout tiers auquel Carriva confie, avec l'autorisation générale du Responsable de traitement, tout ou partie du traitement nécessaire à la fourniture du service (hébergeurs, prestataires IA, processeurs de paiement, outils de supervision, etc.).
- Violation de données: toute violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès non autorisé à des données personnelles, au sens de l'article 4.12 du RGPD.
3. Description du traitement
3.1 Nature des opérations
Dans le cadre de la fourniture de sa plateforme, Carriva réalise pour le compte du Responsable de traitement les opérations suivantes :
- Importation, extraction automatisée et structuration des relevés de carrière individuels (RIS, relevés AGIRC-ARRCO, attestations de régimes spéciaux) fournis par le Responsable de traitement ou directement par la Personne concernée.
- Analyse des carrières et détection d'anomalies (trimestres manquants, erreurs de report de salaires, incohérences de points, absence de majoration pour enfants).
- Génération de livrables destinés à la Personne concernée : rapports d'audit, lettres de réclamation aux caisses, tableaux récapitulatifs (Excel, CSV, Word, PDF).
- Calcul de projections indicatives de pension de retraite via le module Hypothèses, à partir des barèmes officiels en vigueur.
- Mise à disposition d'un assistant conversationnel (RAG) permettant au Responsable de traitement d'interroger la base documentaire retraite et, le cas échéant, le dossier spécifique d'une Personne concernée.
- Hébergement, conservation et sauvegarde des données dans l'espace client du Responsable de traitement pendant la durée de la prestation.
3.2 Finalités du traitement
Le traitement est réalisé aux seules finalités suivantes, toutes directement rattachées à la mission du Responsable de traitement :
- Réalisation d'audits de carrière et de droits à la retraite au bénéfice des clients finaux du cabinet.
- Conseil patrimonial et accompagnement de la Personne concernée dans la préparation de sa retraite.
- Génération des livrables contractuels remis par le cabinet à son client final (rapport d'audit, lettre-type de réclamation, simulation Hypothèses).
- Assistance du collaborateur du cabinet dans l'interprétation des règles réglementaires applicables au dossier de la Personne concernée.
Carriva s'interdit expressément de traiter les données personnelles pour toute autre finalité, notamment à des fins de prospection commerciale directe vis-à-vis des Personnes concernées, de revente, de profilage tiers ou d'entraînement de modèles d'intelligence artificielle à usage général.
3.3 Catégories de données traitées
Les données personnelles traitées par Carriva pour le compte du Responsable de traitement relèvent des catégories suivantes :
- Données d'identification :nom, nom d'usage, prénoms, numéro de sécurité sociale (NIR), date et lieu de naissance, sexe.
- Données de situation familiale :situation matrimoniale, nombre d'enfants, dates de naissance des enfants (pour la détermination de la Majoration de Durée d'Assurance).
- Données de carrière :historique des employeurs, périodes d'affiliation, trimestres cotisés, trimestres assimilés, salaires portés au compte, points AGIRC-ARRCO, régimes de rattachement successifs.
- Données de rémunération :revenus annuels d'activité, indemnités journalières, allocations chômage portées au compte.
- Données de contact : adresse postale, adresse électronique et numéro de téléphone, lorsque le Responsable de traitement choisit de les renseigner dans la fiche client.
Carriva ne traite aucune donnée appartenant à une catégorie particulière au sens de l'article 9 du RGPD (santé, opinions, origine, orientation sexuelle, biométrie) ni aucune donnée d'infraction au sens de l'article 10 du RGPD.
3.4 Catégories de personnes concernées
Les personnes concernées par le traitement sont exclusivement les clients finaux (assurés) du Responsable de traitement ayant fait l'objet d'une prestation d'audit retraite ou de conseil patrimonial entrant dans le champ de la plateforme Carriva.
3.5 Durée du traitement
Le traitement est réalisé pendant toute la durée du contrat de prestation conclu entre Carriva et le Responsable de traitement, et cesse dans les conditions prévues à l'article 5.6 du présent DPA. Les données sont restituées ou supprimées, au choix du Responsable de traitement, à l'issue de la relation contractuelle.
4. Obligations du Responsable de traitement
Le Responsable de traitement s'engage, au titre du présent DPA, à :
- Déterminer la base légale appropriée de chaque traitement au sens de l'article 6 du RGPD (exécution du contrat de mission d'audit retraite, consentement explicite de la Personne concernée ou intérêt légitime dûment documenté).
- Informer les Personnes concernées, au moment de la collecte de leurs données, du recours à Carriva en qualité de sous-traitant, des finalités poursuivies, de la durée de conservation et des droits dont elles disposent en application des articles 12 à 23 du RGPD.
- Recueillir, lorsque cela est requis, le consentement explicite et éclairé de la Personne concernée, en particulier pour l'import du relevé de carrière et l'activation de l'assistant conversationnel.
- Documenter le traitement dans son propre registre des activités de traitement en application de l'article 30.1 du RGPD.
- Donner à Carriva des instructions licites, documentées et conformes au RGPD, et ne transmettre à la plateforme aucune donnée hors du périmètre décrit à l'article 3 du présent DPA.
- Gérer, sous sa seule responsabilité, les accès de ses collaborateurs à la plateforme (création, révocation, droits applicables, activation de l'authentification à deux facteurs).
- S'acquitter des sommes dues au titre de l'abonnement Carriva dans les conditions prévues aux CGU.
5. Obligations du Sous-traitant Carriva
Carriva, en sa qualité de sous-traitant, s'engage à respecter l'ensemble des obligations prévues par l'article 28 du RGPD et, en particulier, les engagements détaillés ci-après.
5.1 Confidentialité
Carriva s'engage à traiter les données personnelles uniquement sur instruction documentée du Responsable de traitement, y compris en ce qui concerne les transferts de données vers un pays tiers ou une organisation internationale, sauf obligation légale à laquelle Carriva serait soumise en vertu du droit de l'Union ou du droit de l'État membre.
Carriva garantit que les personnes autorisées à traiter les données sont soumises à une obligation légale ou contractuelle de confidentialité d'une rigueur équivalente à celle imposée par le présent DPA, et qu'elles n'accèdent aux données que dans la stricte mesure nécessaire à l'exécution de leurs missions.
5.2 Sécurité du traitement
Conformément à l'article 32 du RGPD, Carriva met en oeuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, incluant notamment :
- Chiffrement en transit :l'ensemble des échanges entre le navigateur du Responsable de traitement, la plateforme et les sous-traitants ultérieurs est protégé par TLS 1.3, selon des mesures alignées sur les recommandations d'hygiène de l'ANSSI.
- Chiffrement au repos :les données de carrière, les fichiers importés et les livrables générés sont stockés chiffrés et hébergés dans l'Union européenne, via les sous-traitants listés à l'article 5.3.
- Contrôle d'accès RBAC :chaque utilisateur du cabinet dispose d'un rôle limité au strict nécessaire. Les droits d'administration sont séparés des droits d'utilisation courante.
- Authentification des opérateurs Carriva :les collaborateurs Carriva disposant d'un accès administratif à la production utilisent une authentification renforcée (mots de passe forts, clés SSH). L'accès est limité au strict nécessaire.
- Journalisation et traçabilité : chaque accès à un dossier client, chaque export et chaque action administrative sont enregistrés dans un journal horodaté, conservé à des fins de preuve et de supervision.
- Isolation des environnements :l'environnement de production est isolé par containerisation Docker avec segmentation réseau interne. Aucune donnée réelle de Personne concernée n'est utilisée à des fins de développement ou de test.
- Scrubbing du NIR dans la supervision :le numéro de sécurité sociale, ainsi que les autres identifiants directs, sont expurgés automatiquement (scrubbing) avant toute transmission aux outils de supervision d'erreurs (Sentry), de sorte qu'aucun identifiant direct n'apparaisse dans les traces techniques.
- Sauvegardes : les sauvegardes de la base de données sont réalisées quotidiennement et conservées sur un stockage distinct du serveur de production.
- Gestion des vulnérabilités : Carriva applique un processus de mise à jour régulière des composants logiciels et assure une veille active sur les vulnérabilités rendues publiques.
5.3 Sous-traitants ultérieurs
Le Responsable de traitement autorise expressément Carriva à recourir aux sous-traitants ultérieurs listés ci-dessous pour la fourniture du service. Carriva s'engage à n'imposer à chacun de ces sous-traitants ultérieurs que des obligations en matière de protection des données équivalentes à celles fixées par le présent DPA, par voie de contrat écrit.
| Prestataire | Finalité | Localisation | Base du transfert |
|---|---|---|---|
| Stripe | Encaissement des abonnements et facturation | Irlande, États-Unis | Clauses contractuelles types (CCT 2021) |
| Anthropic | Fourniture du modèle de langage pour l'assistant conversationnel (RAG) | États-Unis | Clauses contractuelles types, DPA Anthropic |
| OpenAI | Génération d'embeddings pour la base documentaire RAG | États-Unis | Clauses contractuelles types, DPA OpenAI |
| PostHog | Analytics produit pseudonymisé et mesure d'usage | Union européenne | Hébergement UE, DPA PostHog |
| Sentry | Supervision applicative et suivi d'erreurs (avec scrubbing du NIR) | Union européenne | Hébergement UE, DPA Sentry |
| Resend | Acheminement des courriels transactionnels (vérification, notifications, livrables) | États-Unis | Clauses contractuelles types, DPA Resend |
| Cloudflare | CDN, protection anti-DDoS et pare-feu applicatif | Réseau mondial, UE/US | Clauses contractuelles types, DPA Cloudflare |
| Inngest | Orchestration de tâches asynchrones (emails, rétention, traitement différé) | États-Unis | Clauses contractuelles types (CCT 2021) |
Carriva informera le Responsable de traitement, par courrier électronique ou par notification dans la plateforme, de tout changement envisagé concernant l'ajout ou le remplacement d'un sous-traitant ultérieur, avec un préavis minimum de trente (30) jours. Le Responsable de traitement dispose, pendant ce délai, de la faculté d'élever des objections motivées à l'encontre de ces changements.
Si Carriva ne peut tenir compte des objections formulées, le Responsable de traitement pourra résilier le contrat de prestation sans pénalité, moyennant un préavis raisonnable.
5.4 Notification des violations de données
Carriva notifie au Responsable de traitement, dans un délai maximal de soixante-douze (72) heures après en avoir pris connaissance, toute violation de données personnelles le concernant, par courrier électronique adressé au contact privilégié déclaré par le cabinet dans la plateforme.
La notification contient, dans la mesure du possible et de manière progressive si l'ensemble des informations ne peut être fourni dans le délai initial :
- La description de la nature de la violation, y compris, si possible, les catégories et le nombre approximatif de Personnes concernées et d'enregistrements concernés.
- Le nom et les coordonnées du point de contact Carriva auprès duquel des informations complémentaires peuvent être obtenues.
- La description des conséquences probables de la violation.
- La description des mesures prises ou envisagées par Carriva pour remédier à la violation et, le cas échéant, atténuer ses éventuelles conséquences négatives.
Il appartient au Responsable de traitement, après analyse, de procéder, le cas échéant, à la notification de la violation à la CNIL et à l'information des Personnes concernées dans les conditions prévues aux articles 33 et 34 du RGPD.
5.5 Assistance à l'exercice des droits des personnes
Carriva met à la disposition du Responsable de traitement, dans la plateforme, les outils nécessaires pour répondre aux demandes d'exercice des droits formulées par les Personnes concernées au titre des articles 15 à 22 du RGPD, à savoir :
- Droit d'accès et droit d'obtenir une copie des données (article 15).
- Droit de rectification des données inexactes (article 16).
- Droit à l'effacement, dit « droit à l'oubli » (article 17).
- Droit à la limitation du traitement (article 18).
- Droit à la portabilité des données (article 20).
- Droit d'opposition au traitement (article 21).
En cas de demande adressée directement à Carriva par une Personne concernée, Carriva transmettra la demande sans délai au Responsable de traitement, qui en assure seul l'instruction et la réponse. Carriva prête son concours raisonnable, compte tenu de la nature du traitement et des informations à sa disposition, à la prise en charge de ces demandes.
5.6 Restitution ou suppression des données en fin de contrat
Au terme de la prestation, pour quelque motif que ce soit, Carriva procède, au choix du Responsable de traitement expressément formulé dans un délai de trente (30) jours à compter de la fin du contrat, et à défaut automatiquement à la suppression :
- Soit à la restitution intégrale des données personnelles au Responsable de traitement, dans un format structuré, couramment utilisé et lisible par machine, suivie de leur suppression.
- Soit à la destruction définitive de l'ensemble des données personnelles, y compris des copies de sauvegarde, à l'exception de celles dont la conservation est imposée par une obligation légale.
Les sauvegardes chiffrées antérieures sont purgées selon le cycle normal de rotation, au plus tard dans les quatre-vingt-dix (90) jours suivant la fin du contrat. Carriva atteste par écrit, sur demande, de la bonne exécution de cette opération.
6. Audits et inspections
Le Responsable de traitement dispose, conformément à l'article 28.3.h du RGPD, d'un droit d'audit lui permettant de vérifier le respect par Carriva des obligations souscrites au titre du présent DPA.
Ce droit s'exerce selon les modalités suivantes :
- Un audit documentaire peut être demandé une fois par an par le Responsable de traitement, moyennant un préavis écrit raisonnable de trente (30) jours adressé au délégué à la protection des données de Carriva.
- Carriva met à disposition la documentation technique et organisationnelle pertinente : politique de sécurité, architecture applicative, liste à jour des sous-traitants ultérieurs, rapports d'analyse de vulnérabilités, procédures de gestion des incidents.
- En cas de violation avérée de données, le Responsable de traitement peut, sans attendre l'échéance annuelle, demander un audit ciblé dans un délai raisonnable.
- Les audits sur site sont réservés aux situations exceptionnelles justifiées par un soupçon sérieux et documenté, et s'exercent selon un protocole convenu préalablement par les parties, dans le respect de la continuité d'exploitation et de la confidentialité des données des autres cabinets clients.
- Les frais d'audit sont pris en charge par le Responsable de traitement, sauf si l'audit révèle un manquement significatif de Carriva à ses obligations, auquel cas ces frais sont intégralement remboursés par Carriva.
7. Durée et résiliation
Le présent DPA prend effet à la date d'acceptation des Conditions Générales d'Utilisation par le Responsable de traitement et demeure en vigueur pendant toute la durée du contrat de prestation, tant que Carriva traite des données personnelles pour le compte du Responsable de traitement.
Il peut être résilié de plein droit par le Responsable de traitement en cas de manquement grave de Carriva à ses obligations au titre du présent DPA, non réparé dans un délai de trente (30) jours à compter d'une mise en demeure par lettre recommandée avec accusé de réception restée infructueuse.
Les stipulations relatives à la confidentialité, à la restitution ou à la suppression des données et à la responsabilité survivent à l'expiration ou à la résiliation du présent DPA, pour la durée nécessaire à leur exécution.
8. Responsabilité et indemnisation
Chacune des parties répond, dans les conditions prévues par l'article 82 du RGPD, du dommage causé par un traitement qui méconnaîtrait les obligations à sa charge.
La responsabilité de Carriva au titre du présent DPA est strictement limitée, dans la mesure permise par la loi, aux dommages directs et prévisibles résultant d'un manquement fautif de Carriva à ses obligations contractuelles. La responsabilité globale de Carriva est plafonnée, pour l'année considérée, à un montant correspondant aux sommes effectivement versées par le Responsable de traitement à Carriva au titre de l'abonnement au cours des douze (12) mois précédant le fait générateur de la responsabilité.
Carriva souscrit une police d'assurance de responsabilité civile professionnelle couvrant les conséquences pécuniaires de sa responsabilité civile contractuelle, y compris en matière de protection des données personnelles. Une attestation peut être communiquée au Responsable de traitement sur demande écrite.
9. Droit applicable et juridiction compétente
Le présent DPA est régi par le droit français et par les règlements européens applicables, au premier rang desquels le Règlement (UE) 2016/679 du 27 avril 2016 (RGPD).
Tout litige relatif à son interprétation, sa validité ou son exécution sera, à défaut d'accord amiable préalable, soumis à la compétence exclusive des tribunaux de Paris, sauf disposition légale impérative contraire.
Le présent DPA complète sans s'y substituer les Conditions Générales d'Utilisation et la Politique de Confidentialité de Carriva. En cas de contradiction sur les questions de traitement de données personnelles, le présent DPA prévaut.
Une question sur cet accord de sous-traitance ?
Le délégué à la protection des données de Carriva est à la disposition des cabinets clients pour toute question relative au traitement des données personnelles ou à la signature d'un DPA bilatéral complémentaire.
Email DPO
Nous répondons sous 48h ouvrées.