Accord de traitement des données (DPA)
Le présent accord encadre le traitement de données personnelles réalisé par PageOneBoost (sous-traitant) pour le compte de ses clients (responsables de traitement), conformément à l'article 28 du RGPD. Une version signable est fournie sur simple demande à contact@pageoneboost.com.
Dernière mise à jour : 1er juillet 2026
1. Objet, durée, nature et finalité
Le traitement porte sur les données strictement nécessaires à la fourniture des prestations souscrites (référencement, création et hébergement de sites, reporting, relation client). Il dure le temps du contrat de service ; les catégories de données traitées sont : identité et coordonnées professionnelles, données de facturation, contenus fournis pour le site, statistiques de fréquentation.
2. Obligations du sous-traitant
PageOneBoost ne traite les données que sur instruction documentée du client ; garantit la confidentialité des personnes autorisées ; met en œuvre les mesures techniques et organisationnelles décrites au centre de confiance (chiffrement en transit et au repos, double authentification, contrôle d'accès par rôle, journalisation, sauvegardes 3-2-1 testées) ; assiste le client pour l'exercice des droits des personnes et les analyses d'impact éventuelles.
3. Sous-traitance ultérieure
La liste des sous-traitants ultérieurs est publiée au centre de confiance (/trust). Toute modification fait l'objet d'un préavis de 30 jours permettant au client de s'y opposer pour motif légitime. Chaque sous-traitant ultérieur est lié par des obligations équivalentes au présent accord.
4. Transferts hors Union européenne
Lorsqu'un sous-traitant ultérieur traite des données hors UE, le transfert est encadré par les clauses contractuelles types de la Commission européenne (décision 2021/914) et, le cas échéant, par des mesures supplémentaires.
5. Violation de données
PageOneBoost notifie le client sans délai injustifié après avoir pris connaissance d'une violation de données personnelles, avec les informations utiles à la notification à l'autorité de contrôle (art. 33 RGPD). Une procédure interne d'incident documentée est maintenue et testée.
6. Sort des données
Au terme des prestations, PageOneBoost restitue les données au client dans un format ouvert puis les supprime de ses systèmes (sauvegardes comprises à l'expiration de leur cycle de rétention), sauf obligation légale de conservation (notamment comptable : 10 ans).
7. Audit
PageOneBoost tient à disposition la documentation nécessaire à la démonstration de ses obligations et permet des audits raisonnables (une fois par an, préavis de 30 jours, aux frais du client, sans accès aux données d'autres clients).