Contrat de sous-traitance (DPA)
(Annexe RGPD au contrat de service)
Version : 1.0
Date : octobre 2025
Entre les parties :
Copilhost SAS (siège : 61 rue de Lyon, 75012 Paris)
et
Le Client (identifié dans le compte Copanel)
Article 1 — Objet
Le présent accord encadre le traitement des données personnelles effectué par Copilhost en tant que sous-traitant, pour le compte du Client, responsable du traitement, dans le cadre de la fourniture de services d’hébergement et de gestion de sites WordPress.
Article 2 — Description du traitement
| Élément | Description |
|---|---|
| Finalité | Fourniture, hébergement, maintenance, sauvegarde et sécurité des sites WordPress du client. |
| Nature | Stockage, transmission, exécution, sauvegarde, support technique. |
| Durée | Pendant la durée du contrat et 30 jours post-résiliation pour sauvegardes. |
| Données traitées | Données contenues dans les sites hébergés, logs, backups, e-mails transactionnels. |
| Catégories de personnes | Administrateurs, contributeurs, utilisateurs finaux, visiteurs des sites clients. |
Article 3 — Obligations de Copilhost (Sous-traitant)
Copilhost s’engage à :
- Traiter les données uniquement sur instruction du Client.
- Garantir la confidentialité des personnes autorisées à traiter les données.
- Mettre en œuvre les mesures de sécurité techniques et organisationnelles détaillées dans la PSSI.
- Aider le Client à respecter ses obligations RGPD (droits, sécurité, AIPD).
- Informer sans délai en cas de violation de données.
- Supprimer ou restituer les données à la fin du contrat.
- Tenir à disposition les preuves de conformité (registre, TIA, AIPD simplifiée).
Article 4 — Sous-traitants ultérieurs autorisés
Copilhost est autorisé à recourir aux prestataires suivants :
| Prestataire | Pays / Région | Garanties |
|---|---|---|
| Google Cloud Platform (Belgique) | 🇪🇺 | DPA + SCC |
| Cloudflare Enterprise | 🌍 | DPA + SCC |
| MailChannels | 🇨🇦 / 🇺🇸 | DPA + SCC |
| MXroute (optionnel) | 🇺🇸 | Pas de DPA UE public – usage client optionnel |
| Grafana | 🇪🇺 | DPA |
| Crisp | 🇫🇷 | DPA |
| Brevo (Sendinblue) | 🇫🇷 | DPA |
| Stripe | 🇮🇪 / 🇺🇸 | DPA + SCC |
| PayPal | 🇱🇺 / 🇺🇸 | DPA + SCC |
| Notion | 🇺🇸 | DPA + SCC |
Toute modification de cette liste donnera lieu à notification au Client au moins 30 jours à l’avance.
Article 5 — Assistance et coopération
Copilhost assiste le Client :
- dans la réponse aux demandes d’accès, rectification, suppression ;
- en cas d’audit RGPD du Client (sur demande motivée) ;
- dans la réalisation d’une AIPD si nécessaire.
Article 6 — Sécurité
Copilhost garantit :
- isolation par pods Kubernetes,
- chiffrement AES-256 (repos) / TLS 1.3 (transit),
- sauvegardes chiffrées et restaurables,
- journalisation et alertes 24/7,
- accès nominatif et MFA.
Article 7 — Transferts hors EEE
Copilhost s’assure que tout transfert hors EEE est encadré par :
- Clauses contractuelles types (SCC) ou DPA conformes RGPD,
- et des mesures techniques compensatoires (chiffrement, minimisation, segmentation). Un résumé détaillé figure dans la Fiche TIA v1.0.
Article 8 — Responsabilité
Chaque partie est responsable du respect de ses obligations légales respectives :
- Copilhost : sécurité, confidentialité, assistance ;
- Client : licéité du traitement et transparence envers ses utilisateurs.
Article 9 — Fin de contrat
À la résiliation :
- suppression complète des pods / sauvegardes sous 30 jours,
- conservation des factures 10 ans,
- remise d’un certificat de suppression sur demande.
Article 10 — Coordonnées RGPD
- Copilhost (Sous-traitant) : contact@copilhost.com
- Client (Responsable du traitement) : adresse renseignée dans le Copanel.
Ce DPA est accepté électroniquement par le Client lors de l’activation de son compte Copanel.
Pour Copilhost – Alexis Fichou, CEO
Pour le Client – Signature électronique via Copanel