Accord de Traitement de Données

Conforme à l'article 28 du Règlement (UE) 2016/679 — RGPD

Référence : DPA-Terrilink-v1.0

Version : 2026-05

Dernière mise à jour : 03/05/2026

Sous-traitant : Terrilink (Thibault Sabathier · EI)

Document de référence. Ce DPA est proposé par Terrilink à tout client (responsable de traitement) souhaitant l'intégrer en annexe de son contrat de service. Il peut être amendé à la demande du DPO du Client. Pour toute question juridique ou demande de version signée, contactez thibault@terrilink.io.

Préambule

Le présent Accord de Traitement de Données (ci-après "le DPA") est conclu entre :

Le Responsable de traitement : {{NOM_DU_CLIENT}}, dont le siège social est situé à {{ADRESSE_CLIENT}}, immatriculé sous le numéro {{SIRET_OU_RNA_CLIENT}}, représenté par {{REPRESENTANT_LEGAL_CLIENT}}, ci-après "le Client" ;
Le Sous-traitant : TERRILINK, entreprise individuelle immatriculée sous le SIRET 952 246 965 00018, dont le siège social est situé au 1 rue Didier Daurat, 31700 Cornebarrieu, France, représentée par Thibault Sabathier, ci-après "Terrilink".

Le Client et Terrilink sont désignés conjointement "les Parties".

Le Client a souscrit ou souhaite souscrire à la plateforme Terrilink (ci-après "la Plateforme") pour la gestion de son réseau d'alumni, de diaspora ou de communauté professionnelle. Dans ce cadre, Terrilink traite des données à caractère personnel pour le compte du Client. Le présent DPA encadre ce traitement conformément à l'article 28 du Règlement (UE) 2016/679 (RGPD) et complète le contrat de service principal liant les Parties (ci-après "le Contrat principal").

Article 1 — Définitions

Les termes utilisés dans le présent DPA et commençant par une majuscule ont la signification qui leur est donnée par le RGPD. Sont notamment rappelés :

« Données personnelles » : toute information se rapportant à une personne physique identifiée ou identifiable, au sens de l'article 4(1) RGPD.
« Traitement » : toute opération portant sur des Données personnelles, au sens de l'article 4(2) RGPD.
« Personne concernée » : la personne physique dont les Données personnelles font l'objet du Traitement (alumni, étudiant, mentor, gestionnaire, etc.).
« Sous-traitant ultérieur » : tout tiers agissant pour le compte de Terrilink dans le cadre du Traitement (hébergeur, prestataire de paiement, prestataire d'envoi d'emails, etc.).
« Violation de données » : violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de Données personnelles, ou l'accès non autorisé à de telles Données.
« Autorité de contrôle » : la CNIL (Commission Nationale de l'Informatique et des Libertés) en France, ou toute autre autorité compétente au sein de l'Union européenne.

Article 2 — Objet et durée

Le présent DPA a pour objet de définir les conditions dans lesquelles Terrilink, en qualité de Sous-traitant au sens du RGPD, s'engage à effectuer pour le compte du Client les opérations de Traitement de Données personnelles nécessaires à la fourniture de la Plateforme.

Le DPA prend effet à la date de signature du Contrat principal et reste en vigueur tant que Terrilink traite des Données personnelles pour le compte du Client. Les obligations relatives à la confidentialité et à la restitution / suppression des données survivent à la fin du Contrat principal.

Article 3 — Description du Traitement

La nature, la finalité, les catégories de Données personnelles et de Personnes concernées, ainsi que la durée de conservation, sont décrites en détail dans l'Annexe 1 du présent DPA.

Terrilink s'engage à ne traiter les Données personnelles que pour les finalités définies dans cette Annexe 1 et conformément aux instructions documentées du Client. Toute demande de Traitement excédant ce périmètre devra faire l'objet d'un avenant.

Article 4 — Obligations du Sous-traitant

Conformément à l'article 28(3) du RGPD, Terrilink s'engage à :

4.1 Traiter les Données sur instructions documentées du Client

Terrilink ne traite les Données personnelles que sur instructions documentées du Client, telles que résultant du Contrat principal et du présent DPA. Si une obligation légale impose à Terrilink un traitement non couvert par ces instructions, Terrilink en informera le Client préalablement, sauf si le droit applicable interdit cette information pour des motifs importants d'intérêt public.

4.2 Garantir la confidentialité des données

Terrilink garantit que les personnes autorisées à traiter les Données personnelles s'engagent à respecter la confidentialité ou sont soumises à une obligation légale appropriée de confidentialité. L'accès aux Données est strictement limité aux personnes ayant un besoin opérationnel légitime, dans le cadre de leurs missions.

4.3 Mettre en œuvre les mesures de sécurité appropriées

Terrilink prend toutes les mesures techniques et organisationnelles requises au titre de l'article 32 du RGPD pour assurer un niveau de sécurité adapté au risque. Ces mesures sont décrites en détail dans l'Annexe 3 (Mesures Techniques et Organisationnelles).

4.4 Recourir à des Sous-traitants ultérieurs sous conditions

Le Client autorise par avance le recours par Terrilink à des Sous-traitants ultérieurs pour l'exécution du Traitement. La liste des Sous-traitants ultérieurs autorisés à la date de signature figure en Annexe 2.

Terrilink informe le Client par email, avec un préavis de trente (30) jours, de tout projet d'ajout ou de remplacement d'un Sous-traitant ultérieur. Le Client dispose d'un droit d'objection motivé, à exercer dans ce délai. À défaut d'objection écrite reçue dans les 30 jours, le Sous-traitant ultérieur est réputé accepté. En cas d'objection légitime, les Parties recherchent une solution acceptable de bonne foi ; à défaut, le Client peut résilier le Contrat principal sans pénalité.

Terrilink impose à chaque Sous-traitant ultérieur, par contrat écrit, des obligations de protection des données équivalentes à celles définies dans le présent DPA, et reste pleinement responsable de l'exécution par ces Sous-traitants ultérieurs de leurs obligations.

4.5 Aider le Client à répondre aux droits des Personnes concernées

Compte tenu de la nature du Traitement, Terrilink met à disposition du Client, dans la Plateforme, les fonctionnalités techniques nécessaires pour répondre aux demandes d'exercice des droits prévus aux articles 15 à 22 du RGPD : droit d'accès, de rectification, d'effacement, de limitation, d'opposition, de portabilité.

Lorsqu'une demande adressée directement à Terrilink concerne les Personnes concernées du Client, Terrilink la transmet au Client dans un délai de cinq (5) jours ouvrés et apporte son assistance technique pour permettre au Client d'y répondre dans les délais légaux.

4.6 Aider le Client à respecter ses obligations de sécurité et d'analyse d'impact

Terrilink assiste le Client, dans la mesure raisonnable et compte tenu des informations dont elle dispose, pour :

la mise en œuvre des mesures de sécurité appropriées (article 32 RGPD) ;
la notification des Violations de données aux autorités et aux Personnes concernées (articles 33 et 34 RGPD) ;
la réalisation d'analyses d'impact relatives à la protection des données (AIPD, article 35 RGPD), notamment en fournissant la documentation technique disponible ;
la consultation préalable de l'autorité de contrôle (article 36 RGPD).

4.7 Notifier toute Violation de données

Terrilink notifie au Client toute Violation de données affectant les Données personnelles traitées pour son compte, dans un délai maximum de soixante-douze (72) heures à compter de sa connaissance effective de la Violation.

La notification précise, dans la mesure du possible :

la nature de la Violation, les catégories et le nombre approximatif de Personnes concernées et d'enregistrements concernés ;
le nom et les coordonnées du DPO de Terrilink ou du point de contact technique ;
les conséquences probables de la Violation ;
les mesures prises ou proposées pour y remédier et atténuer les éventuelles conséquences négatives.

Si toutes les informations ne peuvent être communiquées simultanément, elles le seront de manière échelonnée, sans retard indu.

4.8 Restituer ou supprimer les Données à la fin du Contrat

À la fin de la prestation, et selon le choix du Client formalisé par écrit, Terrilink :

restitue au Client l'ensemble des Données personnelles dans un format structuré, couramment utilisé et lisible par machine (typiquement JSON ou CSV), sous trente (30) jours ;
ou supprime définitivement les Données personnelles, y compris des sauvegardes, sous quatre-vingt-dix (90) jours, sauf obligation légale de conservation ;
ou applique une combinaison des deux options sur instructions du Client.

Terrilink fournit au Client, sur demande, une attestation écrite de suppression.

4.9 Auditabilité et démonstration de conformité

Terrilink met à disposition du Client toute information nécessaire pour démontrer le respect des obligations du présent DPA et de l'article 28 RGPD.

Le Client peut, après préavis raisonnable d'au moins quinze (15) jours et au maximum une fois par an (sauf en cas de Violation de données ou demande de l'autorité de contrôle), réaliser ou faire réaliser un audit de conformité, à ses frais et dans des conditions ne perturbant pas l'activité normale de Terrilink. Les rapports d'audit sont strictement confidentiels.

En alternative à un audit sur site, Terrilink peut fournir des certifications externes, rapports de tests d'intrusion ou attestations de conformité (ISO 27001, SOC 2, ou équivalent).

Article 5 — Obligations du Responsable de traitement

Le Client s'engage à :

fournir à Terrilink des instructions licites et compatibles avec le RGPD ;
garantir qu'il dispose d'une base légale appropriée (consentement, intérêt légitime, exécution d'un contrat, etc.) pour le Traitement des Données personnelles confiées à Terrilink ;
fournir aux Personnes concernées une information conforme aux articles 13 et 14 du RGPD ;
tenir à jour son registre des activités de traitement (article 30 RGPD) ;
répondre aux demandes d'exercice des droits des Personnes concernées dans les délais légaux ;
notifier les Violations de données aux autorités et aux Personnes concernées lorsque la loi l'exige.

Article 6 — Localisation des données et transferts hors Union européenne

Les Données personnelles sont hébergées par défaut sur des serveurs situés en France, exploités par OVHcloud SAS (cf. Annexe 2). Terrilink ne procède à aucun transfert de Données hors de l'Union européenne sans en avoir préalablement informé le Client et mis en place les garanties appropriées prévues par le chapitre V du RGPD (Clauses Contractuelles Types adoptées par la Commission européenne, règles d'entreprise contraignantes, ou décision d'adéquation).

Lorsqu'un Sous-traitant ultérieur est établi hors de l'UE (par exemple Stripe Inc. aux États-Unis pour les opérations de paiement transitant par Stripe Payments Europe Limited en Irlande), Terrilink veille à ce que les Clauses Contractuelles Types (CCT) signées avec ce sous-traitant couvrent le transfert et que des mesures supplémentaires soient mises en place lorsque l'analyse de risque (Schrems II) le requiert.

Article 7 — Responsabilité

Chaque Partie est responsable du respect de ses propres obligations au titre du RGPD. La responsabilité de Terrilink ne pourra être engagée que dans les limites prévues au Contrat principal et dans le respect des dispositions impératives du RGPD, notamment l'article 82.

Aucune disposition du présent DPA ne saurait limiter la responsabilité d'une Partie en cas de manquement intentionnel ou de faute lourde de sa part, ni faire obstacle à une indemnisation directe d'une Personne concernée par celle des Parties qui aurait causé le dommage.

Article 8 — Durée et résiliation

Le DPA est conclu pour la durée du Contrat principal. Il prend fin de plein droit à l'extinction de celui-ci, sous réserve des obligations qui survivent par leur nature (confidentialité, restitution / suppression des données).

Toute résiliation anticipée du Contrat principal entraîne celle du présent DPA dans les mêmes conditions.

Article 9 — Litiges et droit applicable

Le présent DPA est régi par le droit français. Tout litige relatif à son interprétation ou à son exécution qui n'aurait pu être réglé à l'amiable sera soumis à la compétence exclusive des tribunaux du ressort du siège social de Terrilink, sauf disposition légale impérative contraire.

Article 10 — Dispositions diverses

Si une stipulation du présent DPA est jugée invalide ou inapplicable, les autres stipulations conservent leur plein effet. Toute modification du DPA fait l'objet d'un avenant écrit signé par les deux Parties. En cas de contradiction entre le DPA et le Contrat principal sur une question relative à la protection des Données personnelles, le DPA prévaut.

Annexe 1 — Description détaillée du Traitement

Nature et finalité du Traitement

Hébergement, gestion et exploitation d'une plateforme SaaS de gestion d'un réseau alumni, de diaspora ou de communauté professionnelle, comprenant notamment : annuaire des membres, communications internes, événements, cotisations, mentorat, enquêtes d'insertion (CGE/CTI), tableau de bord d'administration.

Catégories de Personnes concernées

Anciens élèves et étudiants en cours de cursus du Client ;
Membres et adhérents de l'association ou de la communauté du Client ;
Mentors et mentorés inscrits aux programmes de mentorat ;
Gestionnaires, administrateurs et personnels habilités du Client ;
Tiers volontairement ajoutés (intervenants, partenaires) si applicable.

Catégories de Données personnelles traitées

Catégorie	Exemples
Données d'identification	Nom, prénom, civilité, photo de profil, identifiant utilisateur
Données de contact	Adresse email, numéro de téléphone, adresse postale
Données académiques	Promotion, programme suivi, diplôme obtenu, école d'origine
Données professionnelles	Employeur, intitulé de poste, secteur d'activité, ancienneté, lien LinkedIn déclaratif
Données de localisation	Ville, pays de résidence (déclaratif)
Données financières (cotisations)	Montants, dates de paiement, statut de cotisation. Les coordonnées bancaires complètes ne sont pas stockées par Terrilink — elles sont traitées directement par Stripe (cf. Annexe 2).
Données d'enquête d'insertion (CGE/CTI)	Réponses au questionnaire d'insertion : statut emploi, type de contrat, rémunération brute annuelle déclarée, satisfaction de la formation
Données d'usage technique	Logs de connexion, adresse IP, type d'appareil, horodatage des actions, identifiants de session

Terrilink ne traite aucune donnée sensible au sens de l'article 9 RGPD (origine raciale, opinions politiques, convictions religieuses, données de santé, orientation sexuelle, etc.) sauf si le Client en a explicitement manifesté la nécessité pour une finalité précise et licite, par avenant au présent DPA.

Durées de conservation

Catégorie	Durée active	Durée d'archivage
Profil membre actif	Tant que le compte est actif	3 ans après dernière activité, puis suppression ou anonymisation
Données de cotisation	Année en cours	10 ans (obligation comptable)
Réponses aux enquêtes d'insertion	Période de la campagne	5 ans pour exploitation statistique anonymisée au-delà
Logs techniques	13 mois maximum	—
Compte supprimé à la demande	Suppression immédiate	Sauvegardes purgées sous 90 jours

Annexe 2 — Liste des Sous-traitants ultérieurs autorisés

À la date de version du présent DPA, Terrilink recourt aux Sous-traitants ultérieurs suivants :

Sous-traitant	Finalité	Pays / Localisation	Garanties
OVHcloud SAS	Hébergement de la Plateforme et des bases de données	France (Roubaix, Strasbourg, Gravelines)	Hébergeur certifié ISO 27001, SecNumCloud (en cours pour certains datacenters), DPA OVHcloud signé
Stripe Payments Europe Limited	Traitement des paiements de cotisations et événements payants	Irlande (filiale UE de Stripe Inc.)	DPA Stripe signé ; CCT pour transferts éventuels vers Stripe Inc. (États-Unis) ; certifications PCI-DSS niveau 1
Brevo (ex-Sendinblue)	Envoi d'emails transactionnels et de relances aux Personnes concernées	France	Hébergement UE, DPA Brevo signé, certification ISO 27001
Functional Software, Inc. (Sentry)	Suivi des erreurs applicatives et alertes de performance	États-Unis (option de stockage UE disponible et activée pour Terrilink)	DPA Sentry signé, Clauses Contractuelles Types (CCT) pour transferts éventuels, données techniques uniquement (logs d'erreur, traces) — aucune donnée personnelle des Personnes concernées n'est volontairement transmise

La liste à jour est consultable à tout moment sur cette page. Toute modification fait l'objet d'une notification au Client conformément à l'article 4.4.

Annexe 3 — Mesures Techniques et Organisationnelles (TOM)

1. Chiffrement en transit

Communications client ↔ serveur : TLS 1.2 minimum (terminaison TLS Nginx, certificats émis par autorité de certification reconnue).
Envoi d'emails transactionnels : TLS 1.2 minimum avec validation stricte du certificat serveur (rejectUnauthorized=true).
Webhook Stripe : signature HMAC-SHA256 vérifiée systématiquement à la réception.

2. Chiffrement au repos

Mots de passe utilisateurs : hachage bcrypt avec sel unique par utilisateur (cost factor 10 ; upgrade vers cost 12 prévu en Q3 2026).
Secrets API de tiers (clés d'envoi d'emails par tenant, etc.) : chiffrement AES-256-GCM avec IV aléatoire et tag d'authentification 128 bits.
Stockage disque serveur : chiffrement assuré par l'hébergeur OVHcloud (attestation disponible sur demande).

3. Authentification et contrôle d'accès

Authentification utilisateur par JWT signé en HS256, expiration 7 jours, transport via cookie httpOnly + secure + sameSite=lax.
Politique de complexité minimale appliquée à l'inscription.
Rate limiting : 5 tentatives de connexion par tranche de 15 minutes, 120 requêtes API par minute par utilisateur.
Isolation multi-tenant : base de données dédiée par tenant, validation cross-tenant à chaque requête.
Authentification à deux facteurs (2FA) pour les administrateurs : en feuille de route, déploiement prévu en Q3 2026.
Côté Client : possibilité de définir une politique de complexité de mot de passe et de limitation des tentatives.

4. Continuité et disponibilité

Sauvegardes : snapshots quotidiens du serveur (VPS OVHcloud).
Cibles : RTO 24h, RPO 24h.
Procédure de restauration documentée et testée périodiquement.

5. Sécurité applicative

Headers de sécurité HTTP appliqués (Helmet) : X-Frame-Options, X-Content-Type-Options, Referrer-Policy.
CORS configuré en liste blanche explicite des domaines autorisés (pas de wildcard).
Validation systématique des entrées utilisateur (express-validator) : protection contre injection et XSS.
Uploads de fichiers : validation MIME stricte, limite de taille 10 Mo, sanitization du nom de fichier, isolation par tenant.
Journalisation applicative : Winston, rotation des journaux (10 Mo × 5 fichiers), niveau info en production.
Mises à jour régulières des dépendances logicielles, surveillance des avis de sécurité (CVE), application des correctifs critiques sous 72 h.

6. Gestion des incidents

Détection : monitoring serveur (PM2, logs Nginx), traçage des erreurs applicatives via Sentry.
Procédure de réponse : qualification, confinement, éradication, retour à la normale, post-mortem.
Notification au Client en cas de Violation de données dans un délai de 72 heures, conformément à l'article 4.7 du présent DPA et à l'article 33 du RGPD.

7. Anonymisation et pseudonymisation

Les exports statistiques agrégés (notamment les benchmarks d'enquêtes d'insertion) sont anonymisés à la source : aucune donnée individuelle n'est restituée dans ces exports. Lorsqu'une suppression complète n'est pas possible pour des raisons d'obligation légale (archivage comptable), les données conservées sont pseudonymisées.

8. Feuille de route sécurité 2026

Terrilink communique de manière transparente sur les évolutions de sécurité en cours d'implémentation :

Q2 2026 : activation TLS sur la connexion application ↔ base de données.
Q3 2026 : 2FA TOTP pour les administrateurs ; journalisation des actions admin sensibles avec rétention de 12 mois ; endpoints RGPD data-export et request-deletion en libre accès depuis l'espace utilisateur ; upgrade bcrypt vers cost factor 12.
Q4 2026 : renforcement de la Content Security Policy (suppression des directives unsafe-inline).

Le Client est informé des jalons franchis sur demande ou via une page de roadmap publique.

Signature

Les Parties reconnaissent avoir pris connaissance du présent DPA et de ses Annexes, et s'engagent à les respecter dans l'intégralité de leurs dispositions.

Pour le Client

Nom : {{NOM}}
Fonction : {{FONCTION}}
Date :
Signature :

Pour Terrilink

Nom : Thibault Sabathier
Qualité : Entrepreneur individuel · SIRET 952 246 965 00018
Date :
Signature :