Sealway
English
Join the waitlist
Open menu

Accord de traitement des données personnelles pour les clients professionnels

Dernière mise à jour : 5/6/2026

Le présent accord de traitement des données personnelles, ci-après l’« Accord », encadre les conditions dans lesquelles Ondarea Holding SAS, éditrice du service Sealway, traite des données personnelles pour le compte de ses clients professionnels dans le cadre de la fourniture du service Sealway.

Le présent Accord constitue l’accord de sous-traitance au sens de la réglementation applicable en matière de protection des données personnelles, notamment le règlement (UE) 2016/679 du 27 avril 2016, dit RGPD.

Il fait partie intégrante des Conditions générales de vente applicables aux professionnels de Sealway, ci-après les « Conditions Professionnels ».

1. Parties

Le présent Accord est conclu entre :

Le Client professionnel, personne physique ou morale utilisant Sealway dans le cadre de son activité professionnelle, ci-après le « Client » ou le « Responsable de traitement » ;

Et :

Ondarea Holding SAS, ci-après « Sealway » ou le « Sous-traitant ».

  • Forme juridique : Société par actions simplifiée
  • Capital social : 500 €
  • Siège social : 5 lotissement Séguéla, 31190 Miremont, France
  • SIREN : 944 402 676
  • RCS : Toulouse
  • N° TVA intracommunautaire : FR30944402676
  • Email de contact : [email protected]

Le Client et Sealway sont ci-après désignés ensemble les « Parties ».

2. Objet de l’Accord

Le présent Accord a pour objet de définir les conditions dans lesquelles Sealway traite, pour le compte du Client professionnel, des données personnelles contenues dans les fichiers, emails, pièces jointes, métadonnées ou autres contenus transmis à Sealway afin de créer, conserver, exporter ou vérifier des dossiers de preuve numérique.

Le présent Accord complète les Conditions Professionnels. En cas de contradiction entre le présent Accord et les Conditions Professionnels concernant les traitements réalisés par Sealway en qualité de sous-traitant, le présent Accord prévaut.

En cas de contradiction entre le présent Accord et la politique de confidentialité de Sealway concernant les traitements réalisés par Sealway pour ses propres finalités, la politique de confidentialité prévaut pour ces traitements.

3. Rôles des Parties

3.1 Traitements réalisés pour le compte du Client

Lorsque le Client transmet à Sealway des contenus contenant des données personnelles pour la création, la conservation, l’export ou la vérification de preuves numériques, le Client détermine les finalités et les moyens essentiels du traitement.

À ce titre, le Client agit en qualité de responsable de traitement.

Sealway traite ces données pour le compte du Client, selon les instructions documentées du Client et dans les limites nécessaires à la fourniture du service.

À ce titre, Sealway agit en qualité de sous-traitant.

3.2 Traitements réalisés par Sealway pour ses propres finalités

Sealway agit en qualité de responsable de traitement indépendant pour les traitements réalisés pour ses propres finalités, notamment :

  • la création, la gestion et la sécurisation des comptes utilisateurs ;
  • la gestion de la relation contractuelle et commerciale ;
  • la facturation ;
  • le paiement ;
  • la prévention de la fraude ;
  • la sécurité du service ;
  • la gestion des journaux techniques nécessaires à l’exploitation et à la sécurité ;
  • la gestion du support ;
  • le respect des obligations légales ;
  • la défense des droits de Sealway.

Ces traitements sont décrits dans la politique de confidentialité de Sealway.

4. Définitions

Les termes « données personnelles », « traitement », « responsable de traitement », « sous-traitant », « personne concernée », « violation de données personnelles » et « autorité de contrôle » ont le sens qui leur est donné par la réglementation applicable en matière de protection des données personnelles.

Les autres termes commençant par une majuscule ont le sens défini dans les Conditions Professionnels, sauf définition contraire dans le présent Accord.

5. Description des traitements confiés à Sealway

5.1 Objet du traitement

Le traitement a pour objet la fourniture du service Sealway au Client professionnel, notamment la création, la conservation, l’export et la vérification de dossiers de preuve numérique.

5.2 Durée du traitement

Les traitements sont réalisés pendant la durée d’utilisation du service par le Client, puis pendant les durées nécessaires à la gestion de la fin du contrat, à la restitution ou suppression des données, à la sécurité, à la prévention de la fraude, à la gestion des litiges et au respect des obligations légales applicables.

Les durées de conservation applicables aux fichiers originaux, certificats, métadonnées, journaux techniques et éléments de preuve sont précisées dans les Conditions Professionnels, la politique de confidentialité et, le cas échéant, les conditions particulières de l’offre souscrite.

5.3 Nature des opérations de traitement

Sealway peut réaliser, pour le compte du Client, les opérations suivantes :

  • réception des fichiers, emails, pièces jointes et autres contenus transmis par le Client ou ses utilisateurs ;
  • analyse technique des fichiers lorsque nécessaire à la fourniture du service ;
  • parsing MIME des emails ;
  • extraction et normalisation de certaines métadonnées techniques ;
  • calcul d’empreintes cryptographiques ;
  • génération d’empreintes acoustiques déterministes pour certains contenus audio ou musicaux ;
  • constitution d’arbres de Merkle ou d’accumulateurs cryptographiques ;
  • chiffrement des fichiers originaux ;
  • chiffrement applicatif de certaines métadonnées sensibles ;
  • stockage temporaire ou prolongé selon l’offre souscrite ;
  • horodatage électronique qualifié via un prestataire de services de confiance qualifié ;
  • ancrage blockchain d’empreintes, racines de Merkle ou éléments techniques équivalents ;
  • génération de certificats et dossiers de preuve ;
  • export de dossiers de preuve ;
  • mise à disposition d’outils de vérification ;
  • suppression ou anonymisation de données selon les instructions du Client et les règles applicables ;
  • journalisation technique et sécurité ;
  • sauvegarde, réplication ou redondance lorsque cela est applicable ;
  • assistance technique nécessaire à l’utilisation du service.

5.4 Finalités du traitement

Les traitements réalisés par Sealway pour le compte du Client ont pour finalités :

  • la création de dossiers de preuve numérique ;
  • la documentation de l’existence, de l’intégrité et de la traçabilité technique d’un contenu ;
  • l’horodatage électronique qualifié d’empreintes ou d’éléments techniques ;
  • l’ancrage blockchain des preuves ;
  • la conservation sécurisée de fichiers originaux selon l’offre souscrite ;
  • l’export de dossiers de preuve ;
  • la vérification de preuves ou de fichiers ;
  • la gestion de la suppression des preuves ;
  • la sécurisation du service et la prévention des abus techniques.

Sealway ne traite pas les données du Client pour des finalités propres de prospection, d’analyse marketing, de profilage publicitaire ou de revente de données.

6. Catégories de données personnelles traitées

Selon les contenus transmis par le Client et les fonctionnalités utilisées, les données personnelles traitées peuvent inclure notamment :

  • données d’identification : nom, prénom, pseudonyme, identifiant interne ;
  • coordonnées : adresse email, adresse postale, numéro de téléphone, coordonnées professionnelles ;
  • données contenues dans des documents transmis par le Client ;
  • données contenues dans des emails transmis ou reçus par Sealway ;
  • données contenues dans les pièces jointes ;
  • métadonnées de fichiers : nom de fichier, type de fichier, taille, dates techniques, empreintes cryptographiques ;
  • métadonnées email : Message-ID, expéditeur, destinataires, sujet, date, en-têtes techniques, pièces jointes ;
  • données contractuelles, commerciales, administratives ou opérationnelles contenues dans les fichiers ;
  • données audio, visuelles ou audiovisuelles lorsque le Client transmet des photos, vidéos ou fichiers audio ;
  • données techniques : journaux de connexion, adresses IP, identifiants techniques, traces d’utilisation nécessaires à la sécurité ou à l’exploitation ;
  • certificats de preuve, empreintes cryptographiques, jetons d’horodatage, racines de Merkle et éléments techniques de vérification.

Le Client reconnaît que Sealway ne détermine pas le contenu des fichiers, emails, pièces jointes ou documents transmis au service. Le Client est seul responsable de la nature des données qu’il choisit de transmettre à Sealway.

7. Catégories particulières de données et données sensibles

Sealway n’a pas pour objet principal le traitement de catégories particulières de données au sens du RGPD.

Toutefois, le Client peut transmettre à Sealway des contenus contenant de telles données, notamment des données relatives à la santé, à la vie privée, à des opinions, à des informations sociales, à des données professionnelles sensibles, à des procédures contentieuses ou à des informations couvertes par un secret.

Le Client est seul responsable de s’assurer qu’il dispose d’une base juridique appropriée pour transmettre ces données à Sealway et pour en demander le traitement.

Le Client s’engage à ne transmettre à Sealway que les données nécessaires à ses propres finalités et à respecter les principes de minimisation, de licéité, de transparence et de sécurité.

Sealway traite ces données uniquement selon les instructions du Client et dans les limites nécessaires à la fourniture du service.

8. Catégories de personnes concernées

Les personnes concernées peuvent inclure notamment :

  • collaborateurs, salariés, dirigeants, mandataires sociaux ou représentants du Client ;
  • clients, prospects, fournisseurs, partenaires, prestataires ou cocontractants du Client ;
  • expéditeurs et destinataires d’emails ;
  • personnes mentionnées dans les fichiers, documents, emails ou pièces jointes transmis au service ;
  • auteurs, créateurs, contributeurs ou titulaires de droits ;
  • personnes apparaissant dans des photos, vidéos ou fichiers audio ;
  • toute autre personne dont les données sont contenues dans les contenus transmis à Sealway par le Client.

9. Instructions documentées du Client

Sealway traite les données personnelles uniquement sur instruction documentée du Client.

Les instructions documentées du Client résultent notamment :

  • des Conditions Professionnels ;
  • du présent Accord ;
  • des conditions particulières de l’offre souscrite ;
  • des paramètres configurés par le Client dans le service ;
  • des actions réalisées par le Client ou ses utilisateurs dans le service ;
  • des demandes écrites adressées par le Client à Sealway ;
  • de tout contrat, devis, bon de commande ou document contractuel accepté par les Parties.

Sealway informe le Client si, selon elle, une instruction constitue une violation de la réglementation applicable en matière de protection des données personnelles, sauf si le droit applicable interdit une telle information pour des motifs importants d’intérêt public.

Sealway n’est pas tenue d’exécuter une instruction manifestement illicite, abusive, techniquement impossible ou contraire à la sécurité du service.

10. Obligations du Client

Le Client s’engage à :

  • traiter les données personnelles conformément à la réglementation applicable ;
  • déterminer une base légale appropriée pour les traitements réalisés via Sealway ;
  • informer les personnes concernées lorsque cela est requis ;
  • respecter les droits des personnes concernées ;
  • ne transmettre à Sealway que des données nécessaires, pertinentes et proportionnées ;
  • ne pas utiliser Sealway pour traiter des données illicites ou obtenues illicitement ;
  • configurer le service conformément à ses obligations internes et réglementaires ;
  • gérer les droits d’accès de ses utilisateurs ;
  • s’assurer que ses utilisateurs sont autorisés à accéder aux données et preuves de l’organisation ;
  • conserver, lorsque nécessaire, une copie indépendante des fichiers originaux et dossiers de preuve exportés ;
  • vérifier que les paramètres de conservation choisis sont adaptés à ses propres obligations légales, contractuelles ou sectorielles.

Le Client demeure responsable de la licéité, de l’exactitude, de la pertinence et de la proportionnalité des données qu’il transmet à Sealway.

11. Obligations de Sealway en qualité de sous-traitant

Sealway s’engage à :

  • traiter les données personnelles uniquement selon les instructions documentées du Client ;
  • ne pas utiliser les données du Client pour des finalités autres que la fourniture du service, sauf obligation légale contraire ;
  • mettre en œuvre des mesures techniques et organisationnelles appropriées pour protéger les données ;
  • veiller à ce que les personnes autorisées à traiter les données soient soumises à une obligation de confidentialité ;
  • aider raisonnablement le Client à respecter ses obligations en matière d’exercice des droits des personnes concernées ;
  • aider raisonnablement le Client à respecter ses obligations en matière de sécurité, de notification de violation de données et d’analyse d’impact, dans la mesure où ces obligations concernent les traitements confiés à Sealway ;
  • informer le Client des violations de données personnelles dans les conditions prévues au présent Accord ;
  • encadrer le recours à des sous-traitants ultérieurs ;
  • supprimer ou restituer les données selon les conditions prévues par le contrat, sous réserve des obligations légales applicables ;
  • mettre à disposition du Client les informations raisonnablement nécessaires pour démontrer le respect des obligations prévues par le présent Accord.

12. Confidentialité

Sealway veille à ce que les personnes autorisées à traiter les données personnelles pour son compte soient soumises à une obligation de confidentialité appropriée.

L’accès interne aux données est limité aux personnes ayant besoin d’y accéder pour les besoins de l’exploitation, de la maintenance, de la sécurité, du support ou du respect des obligations légales applicables.

L’architecture de chiffrement de Sealway est conçue afin que, dans les conditions normales d’exploitation du service, les fichiers originaux et les métadonnées sensibles conservés ne soient pas consultables en clair par les employés ou intervenants de Sealway.

À la date du présent Accord, Sealway n’intègre pas de fonctionnalité opérationnelle permettant à ses employés ou intervenants de consulter directement en clair les fichiers originaux ou métadonnées sensibles des utilisateurs.

13. Mesures de sécurité

Sealway met en œuvre des mesures techniques et organisationnelles destinées à protéger les données personnelles traitées pour le compte du Client.

Ces mesures peuvent inclure notamment :

  • chiffrement des fichiers originaux avant stockage ;
  • chiffrement symétrique AES-256-GCM avec une clé propre à chaque preuve ;
  • chiffrement de la clé symétrique de chaque preuve au moyen d’un mécanisme de chiffrement asymétrique rattaché à l’organisation concernée ;
  • recours à un service externe de gestion de clés ;
  • absence de conservation directe par Sealway de la clé privée de l’organisation ;
  • chiffrement applicatif de certaines métadonnées sensibles avant stockage en base de données ;
  • chiffrement des bases de données au repos ;
  • contrôles d’accès ;
  • gestion des habilitations ;
  • journalisation technique ;
  • mesures de sauvegarde, réplication ou redondance lorsque cela est applicable ;
  • hébergement principal de l’infrastructure applicative en Union européenne ;
  • mesures de prévention des accès non autorisés ;
  • surveillance et mesures de sécurité destinées à prévenir les abus techniques ;
  • séparation logique des organisations et des données associées.

Le chiffrement applicatif avant enregistrement a pour objectif de réduire les risques d’accès non autorisé aux données sensibles en clair, notamment en cas d’accès illégitime, d’incident de sécurité, de compromission partielle d’un système ou d’exposition non autorisée de la base de données.

Aucune architecture ne pouvant être présentée comme inviolable, Sealway ne garantit pas une sécurité absolue.

Le Client reconnaît que la sécurité du service dépend également de ses propres pratiques, notamment la protection de ses comptes, terminaux, identifiants, exports, accès administrateurs et dossiers de preuve téléchargés.

14. Sous-traitants ultérieurs

Le Client autorise Sealway à recourir à des sous-traitants ultérieurs pour fournir le service.

Ces sous-traitants peuvent intervenir notamment pour :

  • l’hébergement ;
  • le stockage ;
  • la gestion de clés ;
  • l’horodatage électronique qualifié ;
  • l’ancrage blockchain ;
  • le paiement ;
  • la sécurité ;
  • le support ;
  • l’envoi de notifications ;
  • la mesure technique d’usage ou de performance ;
  • la maintenance de l’infrastructure.

Sealway impose à ses sous-traitants ultérieurs des obligations de protection des données substantiellement équivalentes à celles prévues par le présent Accord, lorsque ces sous-traitants traitent des données personnelles pour le compte du Client.

Sealway demeure responsable à l’égard du Client de l’exécution des obligations confiées à ses sous-traitants ultérieurs, dans les limites prévues par les Conditions Professionnels et le présent Accord.

15. Liste des sous-traitants ultérieurs

À la date du présent Accord, les principaux prestataires susceptibles d’intervenir dans le cadre du service incluent notamment :

PrestataireRôle principalLocalisation ou information utile
Scaleway SASHébergement applicatif, stockage, sécurité, gestion de clés et services techniques associésFrance / Union européenne selon les services utilisés
Cloudflare, Inc.Hébergement du site public statique, services réseau, sécurité et distribution de contenuÉtats-Unis et infrastructure mondiale, selon les services utilisés
Prestataire de services de confiance qualifié eIDASÉmission d’horodatages électroniques qualifiésUnion européenne ou pays couvert par le cadre eIDAS, selon prestataire utilisé
StripePaiement lorsque l’achat est réalisé via StripeSelon les conditions Stripe applicables
ApplePaiement, achat intégré ou abonnement lorsque l’achat est réalisé via Apple App StoreSelon les conditions Apple applicables
GooglePaiement, achat intégré ou abonnement lorsque l’achat est réalisé via Google PlaySelon les conditions Google applicables

Cette liste peut évoluer en fonction des besoins techniques, réglementaires, économiques ou de sécurité du service.

Sealway peut tenir à disposition du Client, sur demande raisonnable, une liste actualisée des sous-traitants ultérieurs traitant des données personnelles pour le compte du Client, sous réserve des contraintes de sécurité et de confidentialité applicables.

16. Évolution des sous-traitants ultérieurs

Sealway peut ajouter ou remplacer un sous-traitant ultérieur.

Lorsque ce changement concerne un sous-traitant traitant des données personnelles pour le compte du Client et présente un impact significatif sur les traitements confiés, Sealway informe le Client par tout moyen approprié, notamment par mise à jour du présent Accord, notification dans le service, email ou documentation mise à disposition.

Le Client peut formuler une objection écrite et motivée dans un délai raisonnable à compter de l’information.

L’objection doit être fondée sur des motifs légitimes tenant à la protection des données personnelles.

Si les Parties ne parviennent pas à trouver une solution raisonnable, le Client peut résilier l’offre concernée dans les conditions prévues par les Conditions Professionnels ou les conditions particulières applicables.

17. Transferts hors Union européenne

Sealway s’efforce de privilégier l’hébergement et le traitement des données applicatives principales au sein de l’Union européenne.

Certains prestataires, notamment ceux intervenant pour le site public, la sécurité réseau, le paiement, les plateformes d’applications, le support ou certains services techniques, peuvent impliquer des transferts de données hors de l’Union européenne ou de l’Espace économique européen.

Lorsque des données personnelles traitées pour le compte du Client font l’objet d’un transfert hors de l’Union européenne ou de l’Espace économique européen, Sealway veille à ce que ce transfert repose sur un mécanisme juridiquement approprié, tel qu’une décision d’adéquation, des clauses contractuelles types, des mesures supplémentaires ou tout autre mécanisme reconnu par la réglementation applicable.

Le Client reconnaît que certains traitements réalisés par des plateformes tierces, notamment Apple, Google ou Stripe, peuvent également être régis par les propres conditions et politiques de ces plateformes.

18. Assistance à l’exercice des droits des personnes concernées

Dans la mesure où la demande concerne des données traitées par Sealway en qualité de sous-traitant, Sealway aide raisonnablement le Client à répondre aux demandes d’exercice des droits des personnes concernées.

Cette assistance peut notamment consister à :

  • mettre à disposition les fonctionnalités permettant au Client d’accéder, d’exporter ou de supprimer certaines données ;
  • répondre aux demandes techniques raisonnables du Client ;
  • fournir des informations nécessaires à l’identification des traitements concernés ;
  • aider le Client à comprendre les limites techniques applicables, notamment en cas d’ancrage blockchain ou de conservation de jetons par un prestataire qualifié.

Si une personne concernée adresse directement à Sealway une demande relative à un traitement réalisé pour le compte du Client, Sealway peut, lorsque cela est possible et pertinent, inviter cette personne à contacter le Client ou transmettre la demande au Client.

Sealway ne répond pas directement à la demande au nom du Client, sauf instruction documentée du Client, obligation légale ou traitement relevant des propres finalités de Sealway.

19. Assistance en matière de sécurité et d’analyse d’impact

Sealway aide raisonnablement le Client à respecter ses obligations relatives à la sécurité des traitements, aux violations de données personnelles et aux analyses d’impact relatives à la protection des données, dans la mesure où ces obligations concernent les traitements confiés à Sealway et où les informations nécessaires sont à la disposition de Sealway.

Cette assistance peut prendre la forme :

  • de documentation de sécurité ;
  • d’informations sur les mesures techniques et organisationnelles ;
  • d’informations sur les sous-traitants ultérieurs ;
  • d’échanges avec le support ;
  • d’informations relatives à un incident ou à une violation de données ;
  • de réponses à des questionnaires raisonnables de conformité ou de sécurité.

Toute assistance excédant les moyens raisonnables inclus dans le service peut faire l’objet d’une facturation complémentaire ou d’un accord spécifique entre les Parties.

20. Violation de données personnelles

Sealway notifie au Client toute violation de données personnelles affectant les données traitées pour son compte dans les meilleurs délais après en avoir pris connaissance.

La notification contient, dans la mesure où ces informations sont disponibles :

  • la nature de la violation ;
  • les catégories et le volume approximatif de données concernées ;
  • les catégories et le nombre approximatif de personnes concernées, lorsque ces informations sont disponibles ;
  • les conséquences probables de la violation ;
  • les mesures prises ou proposées pour remédier à la violation ou en limiter les effets ;
  • le point de contact disponible pour obtenir des informations complémentaires.

Lorsque toutes les informations ne sont pas disponibles au moment de la notification initiale, Sealway peut les communiquer progressivement.

Le Client demeure responsable de déterminer s’il doit notifier la violation à une autorité de contrôle ou aux personnes concernées lorsque Sealway agit en qualité de sous-traitant.

Sealway ne procède pas à une notification aux personnes concernées pour le compte du Client, sauf instruction documentée du Client, obligation légale ou accord spécifique.

21. Sort des données en fin de contrat

À la fin de la relation contractuelle, le Client peut télécharger ou exporter les dossiers de preuve et éléments disponibles selon les fonctionnalités du service et les conditions de l’offre souscrite.

À l’issue des durées de conservation applicables, Sealway supprime, anonymise ou archive les données selon les Conditions Professionnels, la politique de confidentialité, le présent Accord et les obligations légales applicables.

La suppression peut concerner notamment les fichiers originaux conservés, les métadonnées associées et les éléments nécessaires à la régénération du dossier de preuve.

Certains éléments techniques déjà émis peuvent rester vérifiables ou conservés, notamment :

  • jetons d’horodatage ;
  • empreintes cryptographiques ;
  • racines de Merkle ;
  • ancrages blockchain ;
  • journaux techniques nécessaires à la sécurité, à la preuve ou à la défense des droits de Sealway ;
  • factures et données comptables ;
  • éléments devant être conservés en vertu d’une obligation légale.

Les éléments ancrés sur blockchain ne contiennent jamais le fichier original en clair. L’ancrage repose exclusivement sur des empreintes cryptographiques, notamment des empreintes SHA-512, des racines de Merkle, des jetons d’horodatage ou des éléments techniques équivalents nécessaires à la vérification.

22. Demandes d’autorités compétentes

En cas de demande d’une autorité administrative, judiciaire ou réglementaire compétente portant sur des données traitées pour le compte du Client, Sealway traite la demande conformément au droit applicable.

Lorsque cela est légalement autorisé, Sealway informe le Client de la demande.

Si la demande porte sur des fichiers ou métadonnées chiffrés, Sealway ne peut produire que les éléments dont elle dispose effectivement, ce qui peut inclure des fichiers ou métadonnées sous forme chiffrée, des empreintes cryptographiques, des certificats de preuve, des journaux techniques, des informations de compte ou des éléments de facturation, selon la nature de la demande et les obligations légales applicables.

23. Audit et démonstration de conformité

Sealway met à disposition du Client les informations raisonnablement nécessaires pour démontrer le respect des obligations prévues par le présent Accord.

Ces informations peuvent notamment prendre la forme :

  • du présent Accord ;
  • de documentation relative à la sécurité ;
  • de réponses à des questionnaires raisonnables ;
  • d’informations sur les sous-traitants ultérieurs ;
  • d’attestations, certifications ou rapports disponibles, lorsqu’ils existent ;
  • de descriptions des mesures techniques et organisationnelles.

Tout audit sur site ou audit technique intrusif doit faire l’objet d’un accord préalable écrit entre les Parties.

Un audit ne doit pas compromettre la sécurité, la confidentialité, la disponibilité ou l’intégrité du service, ni porter atteinte aux droits d’autres clients ou utilisateurs.

Sealway peut refuser ou encadrer toute demande d’audit disproportionnée, abusive, excessive, insuffisamment motivée ou présentant un risque pour la sécurité du service.

Les coûts liés à un audit spécifique demandé par le Client peuvent être supportés par le Client, sauf accord contraire.

24. Registre et documentation

Sealway tient, lorsque cela est requis par la réglementation applicable, une documentation relative aux traitements réalisés en qualité de sous-traitant.

Le Client demeure responsable de son propre registre des activités de traitement lorsque celui-ci est requis.

Sealway fournit au Client, sur demande raisonnable, les informations nécessaires pour l’aider à documenter les traitements confiés à Sealway.

25. Localisation et résilience des données

L’infrastructure applicative principale de Sealway est hébergée en Europe auprès de Scaleway SAS, sous réserve des informations prévues dans les Conditions Professionnels, la politique de confidentialité et la liste des sous-traitants ultérieurs.

Les fichiers conservés peuvent être stockés dans un object storage privé avec des mécanismes de réplication ou de redondance destinés à améliorer la disponibilité et la résilience du service.

Les mécanismes de réplication, sauvegarde ou redondance peuvent évoluer pour des raisons techniques, économiques, réglementaires ou de sécurité.

26. Ancrage blockchain et données personnelles

Sealway n’inscrit jamais de fichier original ni de contenu en clair sur une blockchain publique.

Les éléments ancrés correspondent à des empreintes cryptographiques, racines de Merkle, jetons d’horodatage ou éléments techniques équivalents nécessaires à la vérification.

Le Client reconnaît que les éléments ancrés sur blockchain peuvent être techniquement impossibles à supprimer une fois inscrits sur une blockchain publique.

Le Client reconnaît que cette caractéristique est inhérente au mécanisme d’ancrage blockchain utilisé pour assurer la traçabilité des preuves.

27. Coopération avec l’autorité de contrôle

Dans la mesure requise par la réglementation applicable, les Parties coopèrent avec l’autorité de contrôle compétente.

Lorsque Sealway reçoit une demande d’une autorité de contrôle concernant un traitement réalisé pour le compte du Client, Sealway peut en informer le Client lorsque cela est légalement autorisé.

28. Responsabilité

Chaque Partie est responsable du respect des obligations qui lui incombent au titre de la réglementation applicable en matière de protection des données personnelles.

Le Client est responsable de la licéité des traitements, de l’information des personnes concernées, de la détermination des bases légales, de la gestion des droits des personnes et de la conformité des instructions transmises à Sealway.

Sealway est responsable du respect de ses obligations en qualité de sous-traitant, dans les limites prévues par le présent Accord, les Conditions Professionnels et la réglementation applicable.

Les limitations de responsabilité prévues dans les Conditions Professionnels s’appliquent au présent Accord, sauf disposition légale impérative contraire.

29. Durée de l’Accord

Le présent Accord entre en vigueur à compter de l’acceptation des Conditions Professionnels ou de la première utilisation de Sealway par le Client professionnel.

Il demeure applicable pendant toute la durée pendant laquelle Sealway traite des données personnelles pour le compte du Client.

Certaines stipulations continuent de produire effet après la fin de la relation contractuelle, notamment celles relatives à la confidentialité, à la sécurité, au sort des données, à la preuve, à la responsabilité, aux demandes d’autorités et aux éléments devant être conservés en vertu d’une obligation légale ou pour la défense des droits de Sealway.

30. Modification de l’Accord

Sealway peut modifier le présent Accord afin de tenir compte de l’évolution du service, de la réglementation, de ses prestataires, de ses mesures de sécurité ou de ses modalités de traitement.

Les modifications sont applicables à compter de leur publication ou de la date indiquée lors de leur notification.

En cas de modification substantielle affectant les traitements réalisés pour le compte du Client, Sealway informe le Client par tout moyen approprié.

Si le Client refuse une modification substantielle pour un motif légitime lié à la protection des données personnelles, il peut cesser d’utiliser le service ou résilier l’offre concernée dans les conditions prévues par les Conditions Professionnels ou les conditions particulières applicables.

31. Droit applicable et juridiction compétente

Le présent Accord est régi par le droit français.

En cas de litige relatif au présent Accord, les Parties s’efforcent de rechercher une solution amiable.

À défaut de résolution amiable, les tribunaux compétents de Toulouse seront seuls compétents, sous réserve des dispositions légales impératives applicables.

Annexe 1 — Description synthétique des traitements

ÉlémentDescription
Responsable de traitementClient professionnel
Sous-traitantOndarea Holding SAS, éditrice de Sealway
Service concernéSealway
Objet du traitementCréation, conservation, export et vérification de dossiers de preuve numérique
DuréeDurée d’utilisation du service, puis durées nécessaires à la suppression, restitution, sécurité, preuve, obligations légales et défense des droits
Nature des traitementsRéception, parsing, normalisation, hachage, chiffrement, stockage, horodatage, ancrage blockchain, génération de certificats, export, vérification, suppression, journalisation
FinalitésConstitution, conservation, sécurisation, export et vérification de preuves numériques
Catégories de donnéesFichiers, emails, pièces jointes, métadonnées, données de compte, logs, empreintes, certificats, jetons d’horodatage, éléments d’ancrage
Catégories de personnesCollaborateurs, clients, prospects, fournisseurs, partenaires, cocontractants, expéditeurs, destinataires, personnes mentionnées ou visibles dans les contenus transmis
Sous-traitants ultérieursHébergement, stockage, gestion de clés, horodatage qualifié, paiement, sécurité, support, notifications, plateformes applicatives
Mesures principalesChiffrement des fichiers, chiffrement applicatif des métadonnées sensibles, KMS, séparation logique par organisation, contrôles d’accès, journalisation, hébergement européen principal

Annexe 2 — Mesures techniques et organisationnelles principales

1. Chiffrement

  • Chiffrement des fichiers originaux avant stockage.
  • Chiffrement symétrique AES-256-GCM avec une clé propre à chaque preuve.
  • Chiffrement de la clé symétrique de chaque preuve au moyen d’un mécanisme asymétrique rattaché à l’organisation.
  • Utilisation d’un service externe de gestion de clés.
  • Chiffrement applicatif de certaines métadonnées sensibles avant stockage en base.
  • Chiffrement des bases de données au repos.

2. Contrôle d’accès

  • Accès au service via compte utilisateur.
  • Séparation logique des organisations.
  • Gestion des droits selon les fonctionnalités disponibles.
  • Accès interne limité aux besoins nécessaires à l’exploitation, à la sécurité, au support ou aux obligations légales.

3. Journalisation et sécurité

  • Journalisation technique des événements nécessaires à la sécurité et à l’exploitation.
  • Mesures destinées à détecter ou prévenir les usages abusifs.
  • Mesures de protection contre les accès non autorisés.
  • Mesures de sauvegarde, réplication ou redondance lorsque cela est applicable.

4. Hébergement et stockage

  • Infrastructure applicative principale hébergée en Europe.
  • Stockage des fichiers originaux sous forme chiffrée.
  • Object storage privé pour l’archivage des fichiers conservés.
  • Réplication ou redondance lorsque cela est applicable.

5. Preuve et vérification

  • Calcul d’empreintes cryptographiques.
  • Horodatage électronique qualifié via un prestataire qualifié eIDAS.
  • Intégration de chaque preuve à un mécanisme d’ancrage blockchain.
  • Ancrage sans inscription du fichier original en clair.
  • Dossiers de preuve conçus pour être vérifiables indépendamment de Sealway.