Accords de traitement des donnees
DPA, sous-traitants et transferts

ComplyTrust agit en qualite de sous-traitant. Le client demeure responsable du traitement et nous fournit des instructions documentees pour les finalites KYC et LCB-FT.

• Traitement limite aux instructions ecrites du client.
• Confidentialite et habilitation du personnel.
• Mesures techniques et organisationnelles: chiffrement, controles d acces, journalisation.
• Assistance RGPD: droits des personnes, analyses d impact, notification d incident.
• Audit raisonnable et preuve de conformite disponible sur demande.
• Fin de contrat: restitution ou suppression des donnees selon retention legale.

Les sous-traitants ulterieurs (hebergement, stockage, OCR, email, supervision) sont encadres par des DPA avec obligations equivalentes et clauses de securite.

• Clauses contractuelles de securite alignees au RGPD.
• Acces restreint et traçabilite des actions sensibles.
• Notification prealable des changements de sous-traitant.
• Registre des sous-traitants et evaluation periodique.
• Procedure de notification d incident et engagement de cooperation.

Meme si l hebergement principal est en UE, chaque prestataire est verifie afin d identifier d eventuels transferts internationaux et les encadrer.

• Mise en place de SCC si un transfert est requis.
• Analyse d impact du transfert et mesures supplementaires adaptees.
• Chiffrement fort et gestion des cles en UE lorsque possible.
• Minimisation des donnees et limitation des flux.
• Transparence et information au client via le DPA.