Accord de Traitement des Données (DPA)
Aviş de Traduction
⚠️ AVIS IMPORTANT : Ce document a été traduit du turc. En cas de divergence entre cette traduction et la version originale turque, la version turque prévaudra.
Vous pouvez trouver le document original turc à : https://evaste.co/tr/legal-center/data-processing-agreement
1. Parties et Définitions
1.1. Parties
RESPONSABLE DU TRAITEMENT :
[Nom de l'entreprise]
Adresse : [Adresse de l'entreprise]
Numéro fiscal : [Numéro fiscal]
Personne autorisée : [Nom]
E-mail : [Adresse e-mail]
(ci-après dénommé "Responsable du traitement" ou "Client")
SOUS-TRAITANT :
Evaste (au sein de Group Taiga)
Adresse : Levent, Istanbul, Turquie
Personne autorisée : [Nom de la personne autorisée]
E-mail : dpa@evaste.co
(ci-après dénommé "Sous-traitant" ou "Evaste")
1.2. Définitions
"Législation applicable sur la protection des données" : KVKK n° 6698, RGPD de l'UE, directive ePrivacy et toute législation nationale d'application connexe.
"Données personnelles" : Toute information relative à une personne physique identifiée ou identifiable.
"Traitement" : Toute opération effectuée sur des données personnelles, telle que la collecte, l'enregistrement, l'organisation, le stockage, la modification, le transfert, la suppression.
"Responsable du traitement" : La personne physique ou morale qui détermine les finalités et les moyens du traitement des données personnelles.
"Sous-traitant" : La personne physique ou morale qui traite des données personnelles pour le compte du responsable du traitement.
"Sous-traitant ultérieur" : Tiers mandaté par le sous-traitant pour effectuer une partie des activités de traitement.
"Violation de données" : Destruction, perte, modification, divulgation non autorisée ou accès aux données personnelles de manière accidentelle ou illicite.
"Autorité de contrôle" : Autorité de protection des données (KVKK) et/ou autorité de protection des données de l'État membre de l'UE concerné.
"Clauses contractuelles types (CCT)" : Clauses contractuelles types approuvées par la Commission européenne pour les transferts internationaux de données.
2. Objet du Contrat
2.1. Champ d'application
Le présent Accord de traitement des données ("DPA") fait partie intégrante du contrat de services principal ("Contrat principal") conclu entre le Responsable du traitement et le Sous-traitant et régit les droits et obligations des parties concernant le traitement des données personnelles.
2.2. Objectif
L'objectif de ce DPA est de :
- Satisfaire aux exigences de l'article 28 du RGPD et du KVKK
- Assurer le traitement sécurisé et légal des données personnelles
- Définir clairement les responsabilités des parties
- Protéger les droits des personnes concernées
2.3. Priorité
En cas de conflit entre le Contrat principal et ce DPA, les dispositions de ce DPA prévaudront en ce qui concerne la protection des données personnelles.
3. Nature et Finalité du Traitement
3.1. Finalité du traitement
Le Sous-traitant traitera les données personnelles pour le compte du Responsable du traitement uniquement aux fins suivantes :
- Fourniture de services de gestion du consentement aux cookies
- Collecte, stockage et rapport des enregistrements de consentement
- Services d'analyse et de catégorisation des cookies
- Services de création de politique de confidentialité et de textes d'information
- Services de reporting de conformité
- Fourniture de support client
- Autres services dans le cadre du Contrat principal
3.2. Durée du traitement
Le traitement se poursuivra pendant la durée du Contrat principal et conformément aux conditions définies dans ce DPA.
3.3. Nature du traitement
Les activités de traitement comprennent :
- Collecte
- Enregistrement
- Organisation
- Structuration
- Stockage
- Adaptation
- Modification
- Récupération
- Consultation
- Utilisation
- Divulgation par transmission
- Diffusion
- Mise à disposition
- Alignement
- Combinaison
- Restriction
- Suppression
- Destruction
4. Catégories de Données Personnelles et de Personnes Concernées
4.1. Catégories de données personnelles traitées
| Catégorie | Description |
|---|---|
| Données d'identification | Adresse IP, ID de cookie, ID d'appareil |
| Données de consentement | Préférences de consentement, horodatage du consentement |
| Données techniques | Type de navigateur, système d'exploitation |
| Données comportementales | Visites de pages, interactions |
| Données géographiques | Pays, région (basé sur l'IP, approximatif) |
4.2. Catégories particulières de données personnelles
Les catégories particulières de données personnelles (KVKK Art. 6, RGPD Art. 9) ne sont pas traitées dans le cadre de ce DPA. Le Responsable du traitement s'engage à ne pas collecter ces données via les services Evaste.
4.3. Catégories de personnes concernées
Les données personnelles traitées concernent :
- Visiteurs du site web du Responsable du traitement
- Utilisateurs de l'application mobile du Responsable du traitement
- Clients et clients potentiels du Responsable du traitement
4.4. Volume de traitement
Le volume estimé des enregistrements traités varie selon le plan d'abonnement spécifié dans le Contrat principal.
5. Obligations du Sous-traitant
Le Sous-traitant assume les obligations suivantes :
5.1. Respect des instructions
- Traiter les données personnelles uniquement conformément aux instructions écrites du Responsable du traitement.
- Informer immédiatement le Responsable du traitement si une instruction viole la législation applicable sur la protection des données.
- Le Contrat principal et ce DPA constituent des instructions écrites valides.
5.2. Confidentialité
- S'assurer que le personnel ayant accès aux données personnelles est soumiş à une obligation de confidentialité.
- S'assurer que le personnel n'accède qu'aux données nécessaires à l'exécution de ses tâches.
5.3. Mesures de sécurité
- Mettre en œuvre les mesures de sécurité techniques et organisationnelles appropriées conformément à l'article 32 du RGPD.
- Évaluer régulièrement l'adéquation des mesures de sécurité.
- Les mesures de sécurité sont détaillées à l'Annexe A.
5.4. Utilisation de sous-traitants ultérieurs
- Ne pas utiliser de sous-traitant ultérieur sans l'autorisation écrite préalable du Responsable du traitement.
- Conclure des contrats écrits avec les sous-traitants ultérieurs contenant des obligations équivalentes en matière de protection des données.
5.5. Demandes des personnes concernées
- Aider le Responsable du traitement à répondre aux demandes des personnes concernées.
- Transmettre au Responsable du traitement les demandes reçues directement.
5.6. Notification de violation de données
- Informer le Responsable du traitement sans délai (dans les 24 heures) en cas de violation de données.
- Fournir toutes les informations et documents relatifs à la violation.
5.7. Support d'audit
- Répondre aux demandes d'audit raisonnables du Responsable du traitement ou de son représentant autorisé.
- Coopérer aux enquêtes de l'autorité de contrôle.
5.8. Fin du contrat
- À la fin du contrat, restituer ou détruire les données personnelles conformément aux instructions du Responsable du traitement.
- Les obligations légales de conservation sont réservées.
6. Obligations du Responsable du Traitement
Le Responsable du traitement assume les obligations suivantes :
6.1. Légalité
- Il déclare et garantit disposer d'une base juridique valide pour la collecte et l'utilisation des données personnelles.
- Il déclare avoir dûment informé les personnes concernées et/ou obtenu les consentements nécessaires.
6.2. Légalité des instructions
- Il garantit que les instructions données au Sous-traitant sont conformes à la législation applicable sur la protection des données.
- Il est de la responsabilité du Responsable du traitement de s'assurer que les services de gestion du consentement aux cookies d'Evaste répondent aux exigences légales.
6.3. Information
- Fournir aux utilisateurs finaux des aviş de confidentialité appropriés concernant le traitement des données via les services Evaste.
- Divulguer Evaste ou les sous-traitants ultérieurs concernés dans la politique de cookies.
6.4. Exactitude des données
- S'assurer que les données personnelles fournies à Evaste sont exactes et à jour.
- Mettre à jour les données si nécessaire.
7. Utilisation de Sous-traitants Ultérieurs
7.1. Autorisation générale
Le Responsable du traitement donne son accord préalable à l'utilisation des sous-traitants ultérieurs listés à l'Annexe B (autorisation écrite générale).
7.2. Notification de nouveau sous-traitant ultérieur
- Evaste notifiera le Responsable du traitement par écrit au moins 30 (trente) jours avant d'ajouter un nouveau sous-traitant ultérieur.
- La notification sera envoyée à l'adresse e-mail enregistrée du Responsable du traitement.
- La liste actuelle des sous-traitants ultérieurs est publiée sur https://evaste.co/legal-center/sub-processors.
7.3. Droit d'opposition
- Le Responsable du traitement peut s'opposer à un nouveau sous-traitant ultérieur avec des motifs raisonnables dans les 15 (quinze) jours.
- En cas d'opposition, les parties négocieront de bonne foi.
- Si aucune solution n'est trouvée, le Responsable du traitement peut résilier le contrat.
7.4. Contrats avec les sous-traitants ultérieurs
- Evaste conclura des contrats écrits avec les sous-traitants ultérieurs contenant des obligations équivalentes à ce DPA.
- Evaste reste responsable envers le Responsable du traitement des actes des sous-traitants ultérieurs.
8. Transfert International de Données
8.1. Transfert hors de l'EEE
En cas de transfert de données personnelles en dehors de l'Espace économique européen (EEE) :
(a) Décision d'adéquation
Le transfert vers des pays bénéficiant d'une décision d'adéquation de la Commission européenne est autorisé.
(b) Clauses contractuelles types (CCT)
Les CCT adoptées par la Commission européenne le 4 juin 2021 seront appliquées (jointes en Annexe C).
(c) Mesures supplémentaires
Les mesures techniques et organisationnelles supplémentaires requises conformément à l'arrêt Schrems II seront prises.
8.2. Analyse d'impact du transfert
- Evaste a effectué des analyses d'impact du transfert (TIA) pour les transferts vers les États-Uniş ou d'autres pays tiers.
- Les résultats de la TIA peuvent être partagés avec le Responsable du traitement sur demande.
8.3. Transfert depuiş la Turquie
Conformément à l'article 9 du KVKK pour le transfert à l'étranger, la méthode appropriée parmi les suivantes sera appliquée :
- Transfert vers des pays disposant d'une protection adéquate
- Transfert avec un contrat garantissant une protection adéquate
- Transfert avec consentement explicite
9. Mesures de Sécurité
9.1. Mesures techniques
Evaste met en œuvre les mesures de sécurité techniques suivantes :
(a) Chiffrement
- En transit : TLS 1.3
- Au repos : AES-256
(b) Contrôle d'accès
- Contrôle d'accès basé sur les rôles (RBAC)
- Authentification multi-facteurs (MFA)
- Principe du moindre privilège
(c) Sécurité réseau
- Pare-feu d'application web (WAF)
- Systèmes IDS/IPS
- Protection DDoS
(d) Sécurité applicative
- Protection OWASP Top 10
- Analyses de sécurité régulières
- Tests de pénétration
9.2. Mesures organisationnelles
- Accords de confidentialité (tout le personnel)
- Formations de sensibilisation à la sécurité
- Procédures d'autorisation d'accès
- Plans de réponse aux incidents
9.3. Évaluation des mesures de sécurité
- Les mesures de sécurité sont revues annuellement.
- Mise à jour selon l'évaluation des risques.
- Vérification par des audits indépendants.
10. Droits d'Audit
10.1. Portée de l'audit
Le Responsable du traitement a le droit d'effectuer des audits pour vérifier la conformité aux obligations de ce DPA.
10.2. Notification d'audit
- Les demandes d'audit doivent être notifiées par écrit au moins 30 (trente) jours à l'avance.
- La portée et la durée de l'audit doivent être déterminées à l'avance.
- Les audits doivent avoir lieu pendant les heures normales de bureau.
10.3. Méthodes d'audit
(a) Audit sur site
- Par le Responsable du traitement ou son représentant autorisé
- Par un auditeur indépendant
- Les coûts raisonnables sont à la charge du Responsable du traitement
(b) Audit à distance
- Examen des rapports de sécurité et des certificats
- Sessions de questions-réponses
- Partage de documentation
10.4. Rapports d'audit disponibles
Evaste peut fournir les rapports d'audit suivants sur demande :
- Rapport SOC 2 Type II
- Certificat ISO 27001
- Rapport résumé des tests de pénétration
10.5. Confidentialité
Les informations obtenues au cours du processus d'audit seront traitées de manière confidentielle et utilisées uniquement à des fins d'évaluation de la conformité.
11. Demandes des Personnes Concernées
11.1. Transmission des demandes
- Les demandes des personnes concernées reçues directement par Evaste seront transmises au Responsable du traitement sans vérification d'identité.
- Evaste informera immédiatement le Responsable du traitement.
11.2. Obligation de support
Evaste aidera le Responsable du traitement à répondre aux demandes concernant les droits suivants :
- Droit d'accès
- Droit de rectification
- Droit à l'effacement ("droit à l'oubli")
- Droit à la limitation du traitement
- Droit à la portabilité des données
- Droit d'opposition
11.3. Délaiş de réponse
Evaste fournira le support technique nécessaire pour répondre aux demandes des personnes concernées dans les 10 (dix) jours ouvrables.
11.4. Capacités techniques
La plateforme Evaste offre les fonctionnalités en libre-service suivantes :
- Export des enregistrements de consentement
- Suppression des données de visiteurs spécifiques
- Rapports d'accès aux données
12. Notification de Violation de Données
12.1. Définition
Dans le cadre de ce DPA, "Violation de données" signifie la destruction, la perte, la modification, la divulgation non autorisée ou l'accès aux données personnelles traitées par Evaste de manière accidentelle ou illicite.
12.2. Délai de notification
- Evaste informera le Responsable du traitement dans les 24 (vingt-quatre) heures suivant la prise de connaissance de la violation de données.
- Notification à : dpa@evaste.co et à l'adresse e-mail enregistrée du Responsable du traitement.
12.3. Contenu de la notification
La notification initiale comprendra les informations suivantes :
- Nature de la violation
- Catégories de données concernées
- Nombre estimé d'enregistrements concernés
- Premières constatations et mesures immédiates prises
- Point de contact
12.4. Rapport détaillé
Dans les 72 heures suivant la notification initiale, un rapport détaillé sera fourni contenant :
- Chronologie de la violation
- Analyse des causes profondes
- Évaluation des conséquences possibles
- Mesures correctives prises et prévues
- Liste complète des données concernées (si possible)
12.5. Coopération
Evaste :
- Coopérera pleinement avec le Responsable du traitement dans l'enquête sur la violation.
- Fournira les informations nécessaires pour la notification aux autorités de contrôle.
- Apportera un soutien pour la notification aux personnes concernées.
13. Durée et Résiliation du Contrat
13.1. Durée
Ce DPA est valable pendant toute la durée du Contrat principal.
13.2. Résiliation
- Ce DPA prend fin automatiquement à la résiliation du Contrat principal.
- En cas de violation grave, chaque partie peut résilier avec un préaviş écrit de 30 jours.
13.3. Obligations persistantes
Après la résiliation, les obligations suivantes subsistent :
- Obligations de confidentialité (indéfiniment)
- Obligations de destruction/restitution des données (dans les 90 jours)
- Obligations légales de conservation (pendant la durée concernée)
14. Destruction des Données en Fin de Contrat
14.1. Options de restitution/destruction des données
À la fin du contrat, selon les instructions du Responsable du traitement :
(a) Restitution des données
- Transfert de données dans un format courant (CSV, JSON)
- Méthodes de transfert sécurisées
- Achèvement dans les 30 jours
(b) Destruction des données
- Méthodes de suppression sécurisées
- Conformes aux normes NIST
- Fourniture d'un certificat de destruction
14.2. Exceptions de conservation
Les données peuvent être conservées jusqu'à la fin de la période légale dans les cas suivants :
- Exigences de la législation fiscale
- Procédures judiciaires actives
- Demandes de l'autorité de contrôle
14.3. Certificat de destruction
Une foiş la destruction des données terminée, Evaste fournira un certificat écrit indiquant les données détruites et les méthodes utilisées.
15. Responsabilité et Indemnisation
15.1. Répartition de la responsabilité
- Chaque partie est responsable des dommages résultant de la violation de ses propres obligations.
- Le Sous-traitant n'est responsable que dans la mesure où il n'a pas agi conformément aux instructions données ou a violé les obligations directement imposées au Sous-traitant par le RGPD.
15.2. Indemnisation
- Les parties s'indemniseront mutuellement des amendes administratives et des réclamations des personnes concernées résultant de violations de la législation applicable sur la protection des données.
- Les demandes d'indemnisation sont déterminées en fonction de la gravité de la faute.
15.3. Limitation de responsabilité
Les limitations de responsabilité du Contrat principal s'appliquent également à ce DPA ; cependant :
- Ne s'applique pas en cas de dol ou de faute lourde.
- Ne s'applique pas dans les cas limités par la réglementation.
16. Confidentialité
16.1. Obligation de confidentialité
- Les parties garderont confidentielles toutes les informations obtenues dans le cadre de ce DPA.
- Les informations confidentielles ne seront utilisées qu'à des fins contractuelles.
16.2. Exceptions
L'obligation de confidentialité ne s'applique pas dans les cas suivants :
- Informations du domaine public
- Informations divulguées en raison d'une obligation légale
- Informations partagées avec autorisation écrite préalable
16.3. Durée
Les obligations de confidentialité s'appliquent pendant la durée du contrat et indéfiniment après.
17. Dispositions Générales
17.1. Droit applicable
Ce DPA est régi par les loiş de la République de Turquie. Pour les activités de traitement relevant du RGPD, la législation de l'UE sur la protection des données s'applique également.
17.2. Juridiction compétente
Les tribunaux et offices d'exécution d'Istanbul sont compétents pour les litiges.
17.3. Modifications
- Les modifications de ce DPA doivent être faites par écrit.
- Les mises à jour nécessaires en raison de changements de réglementation seront appliquées immédiatement.
17.4. Divisibilité
L'invalidité d'une disposition n'affecte pas la validité des autres dispositions.
17.5. Non-renonciation
Le fait de ne pas exercer un droit ne constitue pas une renonciation à ce droit.
17.6. Intégralité de l'accord
Ce DPA et ses annexes constituent l'intégralité de l'accord concernant le traitement des données personnelles.
18. Annexes
Les annexes faisant partie intégrante de ce DPA :
Annexe A : Mesures de sécurité techniques et organisationnelles
Annexe B : Liste des sous-traitants ultérieurs approuvés
Annexe C : Clauses contractuelles types de l'UE (CCT)
ANNEXE A : MESURES DE SÉCURITÉ
MESURES TECHNIQUES :
1. Chiffrement
- TLS 1.3 (transit)
- AES-256 (stockage)
- bcrypt/Argon2 (hachage des mots de passe)
2. Contrôle d'accès
- RBAC
- MFA obligatoire
- Gestion des sessions
3. Sécurité réseau
- WAF
- IDS/IPS
- Protection DDoS
4. Sauvegarde
- Sauvegarde quotidienne
- Sauvegardes chiffrées
- Distribution géographique
MESURES ORGANISATIONNELLES :
1. Personnel
- Accords de confidentialité
- Formations à la sécurité
- Vérification des antécédents
2. Procédures
- Plan de réponse aux incidents
- Gestion des changements
- Autorisation d'accès
3. Audit
- Test de pénétration annuel
- SOC 2 Type II
- Conformité ISO 27001
ANNEXE B : SOUS-TRAITANTS ULTÉRIEURS
Voir le fichier ALT_ISVERENLER_LISTESI.txt.
ANNEXE C : CLAUSES CONTRACTUELLES TYPES
Les clauses contractuelles types conformément à la décision d'exécution (UE) 2021/914 de la Commission européenne du 4 juin 2021 sont incluses dans ce DPA.
Texte complet des CCT : https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj
Module sélectionné : Module 2 (Responsable du traitement → Sous-traitant)
Le présent Accord de traitement des données est entré en vigueur le 12 janvier 2026.
© 2026 Evaste (Group Taiga). Tous droits réservés.
Informations de Contact
Evaste (Group Taiga)
Adresse : Levent, Istanbul, Turquie
Demandes DPA : dpa@evaste.co
Délégué à la protection des données : dpo@evaste.co
Général : info@evaste.co
Web : https://evaste.co
Accord de Traitement des Données (DPA)
Aviş de Traduction
⚠️ AVIS IMPORTANT : Ce document a été traduit du turc. En cas de divergence entre cette traduction et la version originale turque, la version turque prévaudra.
Vous pouvez trouver le document original turc à : https://evaste.co/tr/legal-center/data-processing-agreement
1. Parties et Définitions
1.1. Parties
RESPONSABLE DU TRAITEMENT :
[Nom de l'entreprise]
Adresse : [Adresse de l'entreprise]
Numéro fiscal : [Numéro fiscal]
Personne autorisée : [Nom]
E-mail : [Adresse e-mail]
(ci-après dénommé "Responsable du traitement" ou "Client")
SOUS-TRAITANT :
Evaste (au sein de Group Taiga)
Adresse : Levent, Istanbul, Turquie
Personne autorisée : [Nom de la personne autorisée]
E-mail : dpa@evaste.co
(ci-après dénommé "Sous-traitant" ou "Evaste")
1.2. Définitions
"Législation applicable sur la protection des données" : KVKK n° 6698, RGPD de l'UE, directive ePrivacy et toute législation nationale d'application connexe.
"Données personnelles" : Toute information relative à une personne physique identifiée ou identifiable.
"Traitement" : Toute opération effectuée sur des données personnelles, telle que la collecte, l'enregistrement, l'organisation, le stockage, la modification, le transfert, la suppression.
"Responsable du traitement" : La personne physique ou morale qui détermine les finalités et les moyens du traitement des données personnelles.
"Sous-traitant" : La personne physique ou morale qui traite des données personnelles pour le compte du responsable du traitement.
"Sous-traitant ultérieur" : Tiers mandaté par le sous-traitant pour effectuer une partie des activités de traitement.
"Violation de données" : Destruction, perte, modification, divulgation non autorisée ou accès aux données personnelles de manière accidentelle ou illicite.
"Autorité de contrôle" : Autorité de protection des données (KVKK) et/ou autorité de protection des données de l'État membre de l'UE concerné.
"Clauses contractuelles types (CCT)" : Clauses contractuelles types approuvées par la Commission européenne pour les transferts internationaux de données.
2. Objet du Contrat
2.1. Champ d'application
Le présent Accord de traitement des données ("DPA") fait partie intégrante du contrat de services principal ("Contrat principal") conclu entre le Responsable du traitement et le Sous-traitant et régit les droits et obligations des parties concernant le traitement des données personnelles.
2.2. Objectif
L'objectif de ce DPA est de :
- Satisfaire aux exigences de l'article 28 du RGPD et du KVKK
- Assurer le traitement sécurisé et légal des données personnelles
- Définir clairement les responsabilités des parties
- Protéger les droits des personnes concernées
2.3. Priorité
En cas de conflit entre le Contrat principal et ce DPA, les dispositions de ce DPA prévaudront en ce qui concerne la protection des données personnelles.
3. Nature et Finalité du Traitement
3.1. Finalité du traitement
Le Sous-traitant traitera les données personnelles pour le compte du Responsable du traitement uniquement aux fins suivantes :
- Fourniture de services de gestion du consentement aux cookies
- Collecte, stockage et rapport des enregistrements de consentement
- Services d'analyse et de catégorisation des cookies
- Services de création de politique de confidentialité et de textes d'information
- Services de reporting de conformité
- Fourniture de support client
- Autres services dans le cadre du Contrat principal
3.2. Durée du traitement
Le traitement se poursuivra pendant la durée du Contrat principal et conformément aux conditions définies dans ce DPA.
3.3. Nature du traitement
Les activités de traitement comprennent :
- Collecte
- Enregistrement
- Organisation
- Structuration
- Stockage
- Adaptation
- Modification
- Récupération
- Consultation
- Utilisation
- Divulgation par transmission
- Diffusion
- Mise à disposition
- Alignement
- Combinaison
- Restriction
- Suppression
- Destruction
4. Catégories de Données Personnelles et de Personnes Concernées
4.1. Catégories de données personnelles traitées
| Catégorie | Description |
|---|---|
| Données d'identification | Adresse IP, ID de cookie, ID d'appareil |
| Données de consentement | Préférences de consentement, horodatage du consentement |
| Données techniques | Type de navigateur, système d'exploitation |
| Données comportementales | Visites de pages, interactions |
| Données géographiques | Pays, région (basé sur l'IP, approximatif) |
4.2. Catégories particulières de données personnelles
Les catégories particulières de données personnelles (KVKK Art. 6, RGPD Art. 9) ne sont pas traitées dans le cadre de ce DPA. Le Responsable du traitement s'engage à ne pas collecter ces données via les services Evaste.
4.3. Catégories de personnes concernées
Les données personnelles traitées concernent :
- Visiteurs du site web du Responsable du traitement
- Utilisateurs de l'application mobile du Responsable du traitement
- Clients et clients potentiels du Responsable du traitement
4.4. Volume de traitement
Le volume estimé des enregistrements traités varie selon le plan d'abonnement spécifié dans le Contrat principal.
5. Obligations du Sous-traitant
Le Sous-traitant assume les obligations suivantes :
5.1. Respect des instructions
- Traiter les données personnelles uniquement conformément aux instructions écrites du Responsable du traitement.
- Informer immédiatement le Responsable du traitement si une instruction viole la législation applicable sur la protection des données.
- Le Contrat principal et ce DPA constituent des instructions écrites valides.
5.2. Confidentialité
- S'assurer que le personnel ayant accès aux données personnelles est soumiş à une obligation de confidentialité.
- S'assurer que le personnel n'accède qu'aux données nécessaires à l'exécution de ses tâches.
5.3. Mesures de sécurité
- Mettre en œuvre les mesures de sécurité techniques et organisationnelles appropriées conformément à l'article 32 du RGPD.
- Évaluer régulièrement l'adéquation des mesures de sécurité.
- Les mesures de sécurité sont détaillées à l'Annexe A.
5.4. Utilisation de sous-traitants ultérieurs
- Ne pas utiliser de sous-traitant ultérieur sans l'autorisation écrite préalable du Responsable du traitement.
- Conclure des contrats écrits avec les sous-traitants ultérieurs contenant des obligations équivalentes en matière de protection des données.
5.5. Demandes des personnes concernées
- Aider le Responsable du traitement à répondre aux demandes des personnes concernées.
- Transmettre au Responsable du traitement les demandes reçues directement.
5.6. Notification de violation de données
- Informer le Responsable du traitement sans délai (dans les 24 heures) en cas de violation de données.
- Fournir toutes les informations et documents relatifs à la violation.
5.7. Support d'audit
- Répondre aux demandes d'audit raisonnables du Responsable du traitement ou de son représentant autorisé.
- Coopérer aux enquêtes de l'autorité de contrôle.
5.8. Fin du contrat
- À la fin du contrat, restituer ou détruire les données personnelles conformément aux instructions du Responsable du traitement.
- Les obligations légales de conservation sont réservées.
6. Obligations du Responsable du Traitement
Le Responsable du traitement assume les obligations suivantes :
6.1. Légalité
- Il déclare et garantit disposer d'une base juridique valide pour la collecte et l'utilisation des données personnelles.
- Il déclare avoir dûment informé les personnes concernées et/ou obtenu les consentements nécessaires.
6.2. Légalité des instructions
- Il garantit que les instructions données au Sous-traitant sont conformes à la législation applicable sur la protection des données.
- Il est de la responsabilité du Responsable du traitement de s'assurer que les services de gestion du consentement aux cookies d'Evaste répondent aux exigences légales.
6.3. Information
- Fournir aux utilisateurs finaux des aviş de confidentialité appropriés concernant le traitement des données via les services Evaste.
- Divulguer Evaste ou les sous-traitants ultérieurs concernés dans la politique de cookies.
6.4. Exactitude des données
- S'assurer que les données personnelles fournies à Evaste sont exactes et à jour.
- Mettre à jour les données si nécessaire.
7. Utilisation de Sous-traitants Ultérieurs
7.1. Autorisation générale
Le Responsable du traitement donne son accord préalable à l'utilisation des sous-traitants ultérieurs listés à l'Annexe B (autorisation écrite générale).
7.2. Notification de nouveau sous-traitant ultérieur
- Evaste notifiera le Responsable du traitement par écrit au moins 30 (trente) jours avant d'ajouter un nouveau sous-traitant ultérieur.
- La notification sera envoyée à l'adresse e-mail enregistrée du Responsable du traitement.
- La liste actuelle des sous-traitants ultérieurs est publiée sur https://evaste.co/legal-center/sub-processors.
7.3. Droit d'opposition
- Le Responsable du traitement peut s'opposer à un nouveau sous-traitant ultérieur avec des motifs raisonnables dans les 15 (quinze) jours.
- En cas d'opposition, les parties négocieront de bonne foi.
- Si aucune solution n'est trouvée, le Responsable du traitement peut résilier le contrat.
7.4. Contrats avec les sous-traitants ultérieurs
- Evaste conclura des contrats écrits avec les sous-traitants ultérieurs contenant des obligations équivalentes à ce DPA.
- Evaste reste responsable envers le Responsable du traitement des actes des sous-traitants ultérieurs.
8. Transfert International de Données
8.1. Transfert hors de l'EEE
En cas de transfert de données personnelles en dehors de l'Espace économique européen (EEE) :
(a) Décision d'adéquation
Le transfert vers des pays bénéficiant d'une décision d'adéquation de la Commission européenne est autorisé.
(b) Clauses contractuelles types (CCT)
Les CCT adoptées par la Commission européenne le 4 juin 2021 seront appliquées (jointes en Annexe C).
(c) Mesures supplémentaires
Les mesures techniques et organisationnelles supplémentaires requises conformément à l'arrêt Schrems II seront prises.
8.2. Analyse d'impact du transfert
- Evaste a effectué des analyses d'impact du transfert (TIA) pour les transferts vers les États-Uniş ou d'autres pays tiers.
- Les résultats de la TIA peuvent être partagés avec le Responsable du traitement sur demande.
8.3. Transfert depuiş la Turquie
Conformément à l'article 9 du KVKK pour le transfert à l'étranger, la méthode appropriée parmi les suivantes sera appliquée :
- Transfert vers des pays disposant d'une protection adéquate
- Transfert avec un contrat garantissant une protection adéquate
- Transfert avec consentement explicite
9. Mesures de Sécurité
9.1. Mesures techniques
Evaste met en œuvre les mesures de sécurité techniques suivantes :
(a) Chiffrement
- En transit : TLS 1.3
- Au repos : AES-256
(b) Contrôle d'accès
- Contrôle d'accès basé sur les rôles (RBAC)
- Authentification multi-facteurs (MFA)
- Principe du moindre privilège
(c) Sécurité réseau
- Pare-feu d'application web (WAF)
- Systèmes IDS/IPS
- Protection DDoS
(d) Sécurité applicative
- Protection OWASP Top 10
- Analyses de sécurité régulières
- Tests de pénétration
9.2. Mesures organisationnelles
- Accords de confidentialité (tout le personnel)
- Formations de sensibilisation à la sécurité
- Procédures d'autorisation d'accès
- Plans de réponse aux incidents
9.3. Évaluation des mesures de sécurité
- Les mesures de sécurité sont revues annuellement.
- Mise à jour selon l'évaluation des risques.
- Vérification par des audits indépendants.
10. Droits d'Audit
10.1. Portée de l'audit
Le Responsable du traitement a le droit d'effectuer des audits pour vérifier la conformité aux obligations de ce DPA.
10.2. Notification d'audit
- Les demandes d'audit doivent être notifiées par écrit au moins 30 (trente) jours à l'avance.
- La portée et la durée de l'audit doivent être déterminées à l'avance.
- Les audits doivent avoir lieu pendant les heures normales de bureau.
10.3. Méthodes d'audit
(a) Audit sur site
- Par le Responsable du traitement ou son représentant autorisé
- Par un auditeur indépendant
- Les coûts raisonnables sont à la charge du Responsable du traitement
(b) Audit à distance
- Examen des rapports de sécurité et des certificats
- Sessions de questions-réponses
- Partage de documentation
10.4. Rapports d'audit disponibles
Evaste peut fournir les rapports d'audit suivants sur demande :
- Rapport SOC 2 Type II
- Certificat ISO 27001
- Rapport résumé des tests de pénétration
10.5. Confidentialité
Les informations obtenues au cours du processus d'audit seront traitées de manière confidentielle et utilisées uniquement à des fins d'évaluation de la conformité.
11. Demandes des Personnes Concernées
11.1. Transmission des demandes
- Les demandes des personnes concernées reçues directement par Evaste seront transmises au Responsable du traitement sans vérification d'identité.
- Evaste informera immédiatement le Responsable du traitement.
11.2. Obligation de support
Evaste aidera le Responsable du traitement à répondre aux demandes concernant les droits suivants :
- Droit d'accès
- Droit de rectification
- Droit à l'effacement ("droit à l'oubli")
- Droit à la limitation du traitement
- Droit à la portabilité des données
- Droit d'opposition
11.3. Délaiş de réponse
Evaste fournira le support technique nécessaire pour répondre aux demandes des personnes concernées dans les 10 (dix) jours ouvrables.
11.4. Capacités techniques
La plateforme Evaste offre les fonctionnalités en libre-service suivantes :
- Export des enregistrements de consentement
- Suppression des données de visiteurs spécifiques
- Rapports d'accès aux données
12. Notification de Violation de Données
12.1. Définition
Dans le cadre de ce DPA, "Violation de données" signifie la destruction, la perte, la modification, la divulgation non autorisée ou l'accès aux données personnelles traitées par Evaste de manière accidentelle ou illicite.
12.2. Délai de notification
- Evaste informera le Responsable du traitement dans les 24 (vingt-quatre) heures suivant la prise de connaissance de la violation de données.
- Notification à : dpa@evaste.co et à l'adresse e-mail enregistrée du Responsable du traitement.
12.3. Contenu de la notification
La notification initiale comprendra les informations suivantes :
- Nature de la violation
- Catégories de données concernées
- Nombre estimé d'enregistrements concernés
- Premières constatations et mesures immédiates prises
- Point de contact
12.4. Rapport détaillé
Dans les 72 heures suivant la notification initiale, un rapport détaillé sera fourni contenant :
- Chronologie de la violation
- Analyse des causes profondes
- Évaluation des conséquences possibles
- Mesures correctives prises et prévues
- Liste complète des données concernées (si possible)
12.5. Coopération
Evaste :
- Coopérera pleinement avec le Responsable du traitement dans l'enquête sur la violation.
- Fournira les informations nécessaires pour la notification aux autorités de contrôle.
- Apportera un soutien pour la notification aux personnes concernées.
13. Durée et Résiliation du Contrat
13.1. Durée
Ce DPA est valable pendant toute la durée du Contrat principal.
13.2. Résiliation
- Ce DPA prend fin automatiquement à la résiliation du Contrat principal.
- En cas de violation grave, chaque partie peut résilier avec un préaviş écrit de 30 jours.
13.3. Obligations persistantes
Après la résiliation, les obligations suivantes subsistent :
- Obligations de confidentialité (indéfiniment)
- Obligations de destruction/restitution des données (dans les 90 jours)
- Obligations légales de conservation (pendant la durée concernée)
14. Destruction des Données en Fin de Contrat
14.1. Options de restitution/destruction des données
À la fin du contrat, selon les instructions du Responsable du traitement :
(a) Restitution des données
- Transfert de données dans un format courant (CSV, JSON)
- Méthodes de transfert sécurisées
- Achèvement dans les 30 jours
(b) Destruction des données
- Méthodes de suppression sécurisées
- Conformes aux normes NIST
- Fourniture d'un certificat de destruction
14.2. Exceptions de conservation
Les données peuvent être conservées jusqu'à la fin de la période légale dans les cas suivants :
- Exigences de la législation fiscale
- Procédures judiciaires actives
- Demandes de l'autorité de contrôle
14.3. Certificat de destruction
Une foiş la destruction des données terminée, Evaste fournira un certificat écrit indiquant les données détruites et les méthodes utilisées.
15. Responsabilité et Indemnisation
15.1. Répartition de la responsabilité
- Chaque partie est responsable des dommages résultant de la violation de ses propres obligations.
- Le Sous-traitant n'est responsable que dans la mesure où il n'a pas agi conformément aux instructions données ou a violé les obligations directement imposées au Sous-traitant par le RGPD.
15.2. Indemnisation
- Les parties s'indemniseront mutuellement des amendes administratives et des réclamations des personnes concernées résultant de violations de la législation applicable sur la protection des données.
- Les demandes d'indemnisation sont déterminées en fonction de la gravité de la faute.
15.3. Limitation de responsabilité
Les limitations de responsabilité du Contrat principal s'appliquent également à ce DPA ; cependant :
- Ne s'applique pas en cas de dol ou de faute lourde.
- Ne s'applique pas dans les cas limités par la réglementation.
16. Confidentialité
16.1. Obligation de confidentialité
- Les parties garderont confidentielles toutes les informations obtenues dans le cadre de ce DPA.
- Les informations confidentielles ne seront utilisées qu'à des fins contractuelles.
16.2. Exceptions
L'obligation de confidentialité ne s'applique pas dans les cas suivants :
- Informations du domaine public
- Informations divulguées en raison d'une obligation légale
- Informations partagées avec autorisation écrite préalable
16.3. Durée
Les obligations de confidentialité s'appliquent pendant la durée du contrat et indéfiniment après.
17. Dispositions Générales
17.1. Droit applicable
Ce DPA est régi par les loiş de la République de Turquie. Pour les activités de traitement relevant du RGPD, la législation de l'UE sur la protection des données s'applique également.
17.2. Juridiction compétente
Les tribunaux et offices d'exécution d'Istanbul sont compétents pour les litiges.
17.3. Modifications
- Les modifications de ce DPA doivent être faites par écrit.
- Les mises à jour nécessaires en raison de changements de réglementation seront appliquées immédiatement.
17.4. Divisibilité
L'invalidité d'une disposition n'affecte pas la validité des autres dispositions.
17.5. Non-renonciation
Le fait de ne pas exercer un droit ne constitue pas une renonciation à ce droit.
17.6. Intégralité de l'accord
Ce DPA et ses annexes constituent l'intégralité de l'accord concernant le traitement des données personnelles.
18. Annexes
Les annexes faisant partie intégrante de ce DPA :
Annexe A : Mesures de sécurité techniques et organisationnelles
Annexe B : Liste des sous-traitants ultérieurs approuvés
Annexe C : Clauses contractuelles types de l'UE (CCT)
ANNEXE A : MESURES DE SÉCURITÉ
MESURES TECHNIQUES :
1. Chiffrement
- TLS 1.3 (transit)
- AES-256 (stockage)
- bcrypt/Argon2 (hachage des mots de passe)
2. Contrôle d'accès
- RBAC
- MFA obligatoire
- Gestion des sessions
3. Sécurité réseau
- WAF
- IDS/IPS
- Protection DDoS
4. Sauvegarde
- Sauvegarde quotidienne
- Sauvegardes chiffrées
- Distribution géographique
MESURES ORGANISATIONNELLES :
1. Personnel
- Accords de confidentialité
- Formations à la sécurité
- Vérification des antécédents
2. Procédures
- Plan de réponse aux incidents
- Gestion des changements
- Autorisation d'accès
3. Audit
- Test de pénétration annuel
- SOC 2 Type II
- Conformité ISO 27001
ANNEXE B : SOUS-TRAITANTS ULTÉRIEURS
Voir le fichier ALT_ISVERENLER_LISTESI.txt.
ANNEXE C : CLAUSES CONTRACTUELLES TYPES
Les clauses contractuelles types conformément à la décision d'exécution (UE) 2021/914 de la Commission européenne du 4 juin 2021 sont incluses dans ce DPA.
Texte complet des CCT : https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj
Module sélectionné : Module 2 (Responsable du traitement → Sous-traitant)
Le présent Accord de traitement des données est entré en vigueur le 12 janvier 2026.
© 2026 Evaste (Group Taiga). Tous droits réservés.
Informations de Contact
Evaste (Group Taiga)
Adresse : Levent, Istanbul, Turquie
Demandes DPA : dpa@evaste.co
Délégué à la protection des données : dpo@evaste.co
Général : info@evaste.co
Web : https://evaste.co