Accord de traitement des données (DPA) – article 28 du RGPD

Le présent document type décrit l'accord de traitement des données (Data Processing Agreement) conclu entre la commune cliente, agissant en qualité de responsable de traitement, et la société OCLIC Informatique, agissant en qualité de sous-traitant au sens de l'article 28 du Règlement (UE) 2016/679 (RGPD). Il encadre les traitements de données à caractère personnel réalisés dans le cadre de l'exploitation de la plateforme « Ma Mairie en Ligne ».

1. Objet et durée

Le présent accord a pour objet de définir les conditions dans lesquelles le sous-traitant traite, pour le compte et sur instruction documentée du responsable de traitement, les données à caractère personnel nécessaires à la fourniture du service de création, d'hébergement et d'administration du site internet de la commune et de ses modules.

Il prend effet à la date de souscription au service et demeure en vigueur pendant toute la durée du contrat principal. À l'issue de celui-ci, les obligations relatives à la confidentialité, à la restitution et à la suppression des données survivent jusqu'à leur complète exécution.

2. Nature et finalité des traitements

Les traitements ont pour finalité exclusive la mise à disposition et le bon fonctionnement de la plateforme, à savoir :

  • l'hébergement et la diffusion du site internet de la commune ;
  • la gestion des modules activés : demandes d'état civil, dossiers d'urbanisme, portail famille, prise de rendez-vous, signalements, formulaires de contact et autres services en ligne ;
  • l'assistance et le support technique aux agents communaux ;
  • le cas échéant, la mise à disposition d'un assistant conversationnel d'aide à la rédaction, fondé sur l'intelligence artificielle ;
  • la sécurité, la sauvegarde et la maintenance de l'ensemble.

Le sous-traitant s'interdit tout traitement à des fins propres, commerciales ou de profilage non prévues par le responsable de traitement.

3. Catégories de données et de personnes concernées

Selon les modules activés par la commune, les traitements peuvent porter sur les catégories de données suivantes :

  • données d'identification : nom, prénom, date et lieu de naissance, adresse postale, adresse électronique, numéro de téléphone ;
  • données relatives aux démarches : objet des demandes d'état civil ou d'urbanisme, références de dossiers, pièces justificatives transmises ;
  • données relatives au portail famille : composition du foyer, inscriptions aux services périscolaires ;
  • données de connexion et techniques : journaux de connexion, adresses IP, données de navigation.

Les personnes concernées sont les administrés de la commune, les usagers des services en ligne, ainsi que les agents et élus utilisateurs de la plateforme.

4. Obligations du sous-traitant

Le sous-traitant s'engage à :

  • ne traiter les données que sur instruction documentée du responsable de traitement, y compris en matière de transferts hors Union européenne ;
  • garantir la confidentialité des données et veiller à ce que les personnes autorisées à les traiter soient soumises à une obligation de confidentialité ;
  • mettre en œuvre les mesures techniques et organisationnelles appropriées pour assurer la sécurité des données ;
  • assister le responsable de traitement, par des mesures appropriées, pour répondre aux demandes d'exercice des droits des personnes concernées ;
  • aider le responsable de traitement à respecter ses obligations en matière de sécurité, de notification de violation et d'analyse d'impact ;
  • notifier au responsable de traitement toute violation de données à caractère personnel dans les meilleurs délais et au plus tard dans les soixante-douze (72) heures suivant sa prise de connaissance ;
  • tenir un registre des catégories d'activités de traitement effectuées pour le compte du responsable de traitement ;
  • mettre à disposition du responsable de traitement toutes les informations nécessaires pour démontrer le respect des obligations de l'article 28 du RGPD.

5. Sous-traitants ultérieurs autorisés

Le responsable de traitement autorise le recours aux sous-traitants ultérieurs suivants, chacun encadré par un accord de traitement des données conforme au RGPD :

  • Hébergeur européen : prestataire d'hébergement dont les serveurs et les données sont localisés en France, assurant l'hébergement de la plateforme, le stockage des données et les sauvegardes.
  • Anthropic (États-Unis) : fournisseur du moteur d'intelligence artificielle utilisé par l'assistant conversationnel d'aide à la rédaction, sollicité via une interface de programmation (API). Ce recours est encadré par un accord de traitement des données prévoyant un engagement de non-réutilisation des données transmises et de non-conservation de celles-ci à des fins d'entraînement des modèles.

Le sous-traitant informe le responsable de traitement de tout changement envisagé concernant l'ajout ou le remplacement d'un sous-traitant ultérieur, lui laissant la possibilité d'émettre des objections.

6. Localisation et transferts de données

Les données traitées dans le cadre de la plateforme sont hébergées et stockées en France, chez un hébergeur établi dans l'Union européenne. La plateforme n'est ni un cloud souverain ni un service qualifié SecNumCloud ; cette précision est apportée en toute transparence.

En toute honnêteté, lorsque la commune active l'assistant d'intelligence artificielle, certaines données saisies dans cet assistant sont transmises à la société Anthropic, dont les serveurs sont situés aux États-Unis. Ce transfert hors de l'Union européenne est encadré par des garanties appropriées au sens du chapitre V du RGPD, notamment les clauses contractuelles types de la Commission européenne et l'accord de traitement des données conclu avec Anthropic, assorti des engagements de non-réutilisation et de non-conservation à des fins d'entraînement mentionnés ci-dessus. La commune reste libre de ne pas activer ce module.

7. Sécurité

Le sous-traitant met en œuvre des mesures de sécurité adaptées au niveau de risque, notamment :

  • le chiffrement des communications par protocole TLS (HTTPS) ;
  • la réalisation de sauvegardes régulières et leur conservation sécurisée ;
  • le contrôle des accès, fondé sur l'authentification des utilisateurs et la limitation des habilitations au strict nécessaire ;
  • la journalisation des accès et la surveillance des incidents de sécurité.

8. Sort des données en fin de contrat

Au terme de la prestation, et selon le choix exprimé par le responsable de traitement, le sous-traitant procède à la restitution des données dans un format exploitable (export) ou à leur suppression. Après restitution ou à défaut d'instruction contraire, le sous-traitant supprime les données ainsi que les copies existantes, sauf obligation légale de conservation. La suppression effective est attestée sur demande.

9. Droits des personnes et assistance

Le responsable de traitement demeure l'interlocuteur des personnes concernées pour l'exercice de leurs droits d'accès, de rectification, d'effacement, de limitation, d'opposition et de portabilité. Le sous-traitant lui apporte son assistance, dans la mesure du possible et par des mesures techniques et organisationnelles appropriées, pour répondre à ces demandes dans les délais réglementaires.

10. Éditeur et formalisation

La plateforme « Ma Mairie en Ligne » est éditée par OCLIC Informatique, établie à Limoges. L'accord de traitement des données complet et signé, comportant l'ensemble des annexes contractuelles, est fourni à la commune sur simple demande.

Document type fourni à titre indicatif, à faire valider par votre conseil juridique. Dernière mise à jour : 2026.