Accord de traitement des données (DPA)
En vigueur le : May 17, 2026
Le présent Accord de traitement des données (« DPA ») fait partie des Conditions générales d'utilisation ou de tout autre accord écrit (l'« Accord ») entre LicensePulse (« LicensePulse », « Sous-traitant ») et le client identifié dans le bon de commande ou désigné par ailleurs (« Client », « Responsable »). Il s'applique chaque fois que LicensePulse traite des Données personnelles pour le compte du Client.
En cas de conflit entre l'Accord et le DPA en matière de protection des données, le DPA prévaut.
1. Définitions
Les termes en majuscules non définis ici ont le sens donné dans l'Accord ou dans les Lois applicables.
- « Lois applicables » désigne le RGPD (UE 2016/679), le UK GDPR, la LPD suisse, le CCPA / CPRA et toute autre loi régissant le traitement de Données personnelles.
- « Données personnelles », « Responsable », « Sous-traitant », « Sous-traitant ultérieur », « Traitement », « Personne concernée » ont le sens du RGPD.
- « Clauses Contractuelles Types » (« CCT ») désigne les CCT UE adoptées par la Décision d'exécution 2021/914.
2. Objet et rôles
- Objet : traitement par LicensePulse de Données personnelles pour fournir le Service.
- Durée : jusqu'à la fin de l'Accord et la clôture de toute période d'export post-résiliation.
- Catégories de Personnes concernées : employés et prestataires du Client figurant dans les enregistrements de licences, et toute autre personne reflétée dans le Contenu client.
- Catégories de Données personnelles : coordonnées professionnelles (nom, email professionnel), attributs d'usage de licences (nom d'utilisateur, département, horodatage d'activité), et toute autre Donnée personnelle que le Client choisit de téléverser.
- Catégories particulières : aucune attendue. Le Client ne doit pas téléverser de données sensibles (Article 9 RGPD), de Données de santé protégées ou de données de carte de paiement.
- Rôles : le Client est Responsable ; LicensePulse est Sous-traitant. Pour les données de comptes des utilisateurs propres au Client (par ex. l'admin IT du Client qui se connecte à LicensePulse), LicensePulse agit comme Responsable distinct pour les finalités limitées énoncées dans notre Politique de confidentialité.
3. Obligations de LicensePulse
LicensePulse :
- Traite les Données personnelles uniquement sur instructions documentées du Client, y compris pour les transferts internationaux, sauf obligation légale (auquel cas nous informerons le Client sauf interdiction).
- Garantit la confidentialité — les personnes autorisées à traiter les Données personnelles sont liées par des engagements de confidentialité.
- Met en œuvre des mesures techniques et organisationnelles appropriées (voir Annexe II) pour protéger les Données personnelles contre tout traitement non autorisé ou illicite et toute perte accidentelle.
- Engage des Sous-traitants ultérieurs uniquement aux conditions de l'article 5.
- Assiste le Client, compte tenu de la nature du traitement, pour : - Les réponses aux Demandes des Personnes concernées (Articles 15 à 22 RGPD, article 6). - Les analyses d'impact relatives à la protection des données (Article 35 RGPD). - Les notifications aux autorités et Personnes concernées (Articles 33-34 RGPD).
- Notifie le Client de toute Violation de Données personnelles sans retard excessif et au plus tard sous 72 heures après en avoir pris connaissance (article 7).
- À la résiliation, restitue ou supprime les Données personnelles selon l'article 9.
- Met à disposition toutes les informations nécessaires pour démontrer la conformité au DPA, et permet les audits selon l'article 8.
4. Obligations du Client
Le Client garantit :
- Disposer d'une base légale pour fournir des Données personnelles à LicensePulse et pour donner les instructions de traitement.
- Avoir fourni les informations requises et obtenu les consentements requis des Personnes concernées.
- Que ses instructions sont conformes aux Lois applicables.
- Qu'il ne téléversera pas de données hors des catégories ci-dessus.
5. Sous-traitants ultérieurs
- Le Client autorise LicensePulse à recourir aux Sous-traitants ultérieurs listés à https://licensepulse.app/subprocessors. La liste est reproduite dans
subprocessors.md. - LicensePulse donne au moins 14 jours de préavis avant tout nouveau Sous-traitant ultérieur (l'abonnement à cette page est suffisant). Le Client peut s'opposer pour motif raisonnable ; à défaut de résolution sous 30 jours, le Client peut résilier la portion affectée du Service avec remboursement au prorata.
- LicensePulse impose aux Sous-traitants ultérieurs des obligations au moins aussi protectrices que le présent DPA, et reste responsable de leur exécution.
6. Demandes des Personnes concernées
Si LicensePulse reçoit directement une demande d'une Personne concernée du Client, LicensePulse (a) ne répondra pas sur le fond et (b) la transmettra au Client sans retard excessif. LicensePulse assistera le Client pour répondre (par ex. par export, correction ou suppression sur instruction).
Le Client peut effectuer de nombreuses opérations directement via le Service (export, suppression, correction).
7. Violations de Données personnelles
LicensePulse notifiera le Client sans retard excessif et au plus tard sous 72 heures après avoir pris connaissance d'une Violation de Données personnelles le concernant. La notification inclura, dans la mesure du possible :
- La nature de la violation, y compris les catégories et le nombre approximatif de Personnes concernées et d'enregistrements.
- Les conséquences probables.
- Les mesures prises ou proposées pour atténuer.
- Un point de contact chez LicensePulse pour plus d'informations.
LicensePulse fournira des mises à jour pendant l'enquête et un post-mortem final sous 30 jours.
8. Audits
LicensePulse mettra à disposition, sur demande :
- Ses certifications de sécurité et conformité actuelles (lorsque disponibles — par ex. rapports SOC 2).
- Les réponses à des questionnaires de sécurité standardisés (par ex. CAIQ-Lite — voir
caiq-lite.md).
Si le Client estime raisonnablement ces documents insuffisants, il peut, une fois par 12 mois sur préavis de 30 jours, mener un audit à ses frais, par un auditeur indépendant agréé par les deux parties, en heures ouvrées, sans perturbation du Service. L'auditeur signera des engagements de confidentialité acceptables avant tout audit. Les coûts cumulés au-delà de 5 000 USD par audit sont à la charge du Client, sauf si l'audit révèle une non-conformité matérielle, auquel cas LicensePulse paie.
9. Restitution et suppression
À la résiliation, le Client peut exporter les Données personnelles via les outils intégrés ou sur demande écrite pendant 30 jours. Au-delà, LicensePulse supprimera les Données personnelles des systèmes actifs sous 30 jours, et des sauvegardes sous 90 jours (rotation des sauvegardes), sauf rétention requise par la loi. Sur demande écrite, LicensePulse fournira une attestation de suppression.
10. Transferts internationaux
Lorsque les Données personnelles du Client sont transférées de l'UE/EEE, du Royaume-Uni ou de la Suisse vers LicensePulse aux États-Unis, les parties intègrent par référence :
- Les CCT UE (Module 2 : Responsable vers Sous-traitant) adoptées par la Décision 2021/914.
- L'Addendum UK aux CCT UE (formulaire ICO, version B1.0).
- Pour la Suisse, les CCT s'appliquent avec références à la LPD suisse et au Préposé fédéral.
Pour les CCT :
- Module 2 s'applique (Responsable à Sous-traitant).
- Clause 7 (Clause d'amarrage) : incluse.
- Clause 9 option 2 (autorisation écrite générale pour les Sous-traitants ultérieurs), avec 14 jours de préavis.
- Clause 11 option (résolution indépendante des litiges) : non sélectionnée.
- Clause 17 loi applicable : Irlande.
- Clause 18 for : Irlande.
- Annexe I.A (Parties) : le Client est l'exportateur ; LicensePulse l'importateur.
- Annexe I.B (Description du transfert) : voir article 2 ci-dessus.
- Annexe I.C (Autorité de contrôle compétente) : autorité de l'État membre où l'exportateur est établi (ou Irlande à défaut).
- Annexe II (Mesures techniques et organisationnelles) : ci-dessous.
- Annexe III (Sous-traitants ultérieurs) : la liste à https://licensepulse.app/subprocessors.
11. Dispositions spécifiques CCPA (Californie)
Pour les Données personnelles concernant des résidents de Californie :
- LicensePulse est un Service Provider au sens du CCPA/CPRA.
- LicensePulse ne (a) vendra ni ne partagera de Données personnelles ; (b) ne conservera, n'utilisera ni ne divulguera les Données personnelles en dehors de la relation directe avec le Client ; (c) ne combinera les Données personnelles avec des informations d'autres sources sauf permission CCPA/CPRA.
- LicensePulse atteste comprendre et respecter ces restrictions.
12. Responsabilité
La responsabilité de chaque partie au titre du DPA est soumise aux limitations et exclusions de l'Accord.
13. Ordre de priorité
En cas de conflit entre (a) les CCT, (b) le DPA et (c) l'Accord, l'ordre est : CCT > DPA > Accord.
Annexe I — Description du traitement
A. Parties - Exportateur (Responsable) : Client, identifié dans l'Accord. - Importateur (Sous-traitant) : LicensePulse.
B. Description du transfert
| Élément | Détail |
|---|---|
| Catégories de Personnes concernées | Personnel du Client et (optionnellement) utilisateurs finaux dont le Client suit l'usage de licences |
| Catégories de Données personnelles | Noms, emails professionnels, noms d'utilisateurs, identifiants de département / centre de coûts, enregistrements d'usage logiciel, métadonnées contractuelles |
| Catégories particulières | Aucune |
| Fréquence | Continue (pendant la durée de l'Accord) |
| Nature | Hébergement, analyse, alertes, reporting |
| Finalité | Fourniture du Service |
| Conservation | Selon l'article 9 |
C. Autorité de contrôle compétente : selon l'article 10.
Annexe II — Mesures techniques et organisationnelles
LicensePulse met en œuvre au minimum :
- Contrôle d'accès : RBAC (Propriétaire / Admin / Lecteur) ; isolation par tenant via
org_id; mots de passe hashés bcrypt ; clés API agent hashées SHA-256 ; révocation à la demande. - Chiffrement : TLS 1.2+ en transit ; AES-256 au repos sur le volume de base de données.
- Sécurité réseau : surface publique HTTPS uniquement ; aucun port entrant vers l'infrastructure interne ; limites de débit par clé API.
- Journalisation et supervision : journaux d'accès applicatifs, journaux de synchronisation des intégrations, suivi d'erreurs ; rétention minimale 90 jours.
- Sauvegardes : sauvegardes Postgres quotidiennes, rétention 7 jours, restauration ponctuelle sous 24 heures, exercices trimestriels.
- Personnel : engagements de confidentialité dans les contrats de travail ; accès strictement nécessaire.
- Réponse aux incidents : plan documenté ; notification 72 heures ; post-mortem 30 jours.
- Gestion des Sous-traitants ultérieurs : contrats écrits avec obligations équivalentes ; liste publiée avec mécanisme de préavis.
- Gestion des vulnérabilités : scan des dépendances ; correctifs sous 30 jours ; boîte de divulgation à security@licensepulse.app.
Annexe III — Sous-traitants ultérieurs
Voir https://licensepulse.app/subprocessors. Au May 17, 2026, la liste est reproduite dans subprocessors.md.
LicensePulse — legal@licensepulse.app