Accord de Traitement des Données (DPA)

Le présent Accord de Traitement des Données (ci-après « DPA » ou « Accord ») complète le contrat de services existant entre HOSTON SRL (en qualité de Sous-traitant) et le Client (en qualité de Responsable du traitement) et est conclu en vertu de l<b>Art. 28 du Règlement (UE) 2016/679 (RGPD)</b>.

L'Accord s'applique lorsque le Client stocke ou traite sur l'infrastructure HostON des données à caractère personnel appartenant à des tiers (ex : visiteurs du site, clients d'une boutique en ligne, membres d'un portail, etc.).

En utilisant les services HostON et en acceptant les Conditions Générales, le Client accepte également les termes du présent DPA. Si vous êtes un client professionnel et souhaitez une version signée de cet accord, veuillez nous contacter à info@hoston.ro.

• Responsable du traitement — le Client qui détermine les finalités et les moyens du traitement des données personnelles de tiers
• Sous-traitant — HOSTON SRL, qui traite des données personnelles pour le compte du Responsable du traitement
• Données à caractère personnel — toute information relative à une personne physique identifiée ou identifiable, stockée sur l'infrastructure HostON
• Personne concernée — l'utilisateur final du Client (visiteur du site, client e-commerce, etc.) dont les données sont stockées sur les serveurs HostON
• Incident de sécurité — toute violation de la sécurité entraînant la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès non autorisé à des données personnelles

• Nature du traitement : stockage, traitement, transmission et sauvegarde de données à caractère personnel sur l'infrastructure HostON (serveurs, VPS, hébergement)
• Finalité du traitement : exclusivement la fourniture de services d'hébergement conformément au contrat — HostON ne traite pas les données à ses propres fins
• Types de données : toutes les données à caractère personnel que le Client stocke sur les serveurs HostON (ex : noms, e-mails, adresses, données de paiement, données comportementales, etc.)
• Catégories de personnes concernées : les visiteurs, clients, utilisateurs ou employés du Client
• Durée : pendant la durée du contrat de services, plus la période de conservation post-contrat spécifiée dans le présent accord

Le Client, en tant que Responsable du traitement, garantit que :

• Le traitement des données sur l'infrastructure HostON a une base légale valide conformément au RGPD (Art. 6 et/ou Art. 9)
• Il a informé les personnes concernées du traitement des données, y compris de l'utilisation de services d'hébergement comme sous-traitants
• Il a mis en œuvre des mesures techniques et organisationnelles adéquates au niveau de l'application (mots de passe forts, authentification 2FA, chiffrement au niveau de l'application, etc.)
• Il notifiera HostON de toute instruction de traitement spécifique qui va au-delà des obligations d'hébergement standard
• Il est responsable du contenu stocké sur les serveurs HostON et de la légalité des traitements qu'il effectue

HOSTON SRL, en tant que Sous-traitant, s'engage à :

• Traiter les données exclusivement conformément aux instructions du Client, sans les utiliser à ses propres fins ou à des fins tierces
• Garantir la confidentialité — tout le personnel autorisé à accéder aux données est contractuellement tenu à la confidentialité
• Mettre en œuvre des mesures de sécurité adéquates : isolation des comptes (CageFS), chiffrement en transit (TLS/SSL), pare-feu, sauvegarde automatique, protection DDoS via Cloudflare, surveillance continue
• Aider le Client à remplir ses obligations envers les personnes concernées (droit d'accès, rectification, effacement, portabilité) dans la mesure du possible grâce aux capacités techniques
• Ne pas transférer les données sans le consentement du Client, sauf dans les cas prévus par la loi
• Notifier le Client sans délai injustifié (dans les 72 heures) de tout incident de sécurité affectant les données stockées sur l'infrastructure HostON
• Supprimer ou restituer les données à la demande du Client ou à la fin du contrat, selon le choix du Client
• Mettre à disposition des informations pour démontrer la conformité et permettre des audits raisonnables

Le Client autorise de manière générale HostON à recourir à des sous-traitants ultérieurs pour la fourniture des services. Les sous-traitants actuels sont :

• Centre de données roumain — cohabitation de serveurs (stockage physique des données)
• Cloudflare Inc. — protection DDoS et CDN (traitement des adresses IP)
• Brevo (Sendinblue) — notifications e-mail opérationnelles (adresse e-mail du client)

HostON notifiera le Client au moins 14 jours à l'avance de l'ajout ou du remplacement d'un sous-traitant. Le Client a le droit de s'y opposer, auquel cas il peut résilier le contrat sans pénalité.

HostON impose aux sous-traitants des obligations de protection des données équivalentes par des contrats dédiés.

HostON met en œuvre et maintient des mesures techniques et organisationnelles adéquates pour protéger les données, notamment :

• Chiffrement en transit (TLS 1.2/1.3) et pour les sauvegardes
• Isolation complète des comptes via CloudLinux CageFS
• Pare-feu réseau et applicatif (ModSecurity WAF)
• Sauvegarde automatique quotidienne avec rétention 7 jours (JetBackup)
• Surveillance 24h/24 et alertage automatique des anomalies
• Accès restreint du personnel selon le principe du besoin d'en connaître
• Analyse antivirus et anti-malware via Imunify360

En cas d'incident de sécurité affectant les données du Client, HostON :

1. Notifiera le Client sans délai injustifié et dans un délai maximum de 72 heures après prise de connaissance
2. Fournira toutes les informations disponibles : la nature de l'incident, les catégories de données affectées, le nombre estimé de personnes concernées, les conséquences probables, les mesures prises ou proposées
3. Coopérera pleinement avec le Client pour la gestion de l'incident et la notification de l'ANSPDCP

La notification est envoyée à l'adresse e-mail associée au compte client dans le système HostON.

Les données stockées sur les serveurs HostON sont situées en Roumanie (UE). Les transferts effectués par les sous-traitants (Cloudflare, Brevo) vers des pays tiers sont réalisés dans le respect des mécanismes de transfert prévus par le RGPD (Décisions d'adéquation, Clauses Contractuelles Types — CCT). Détails dans la Politique de Confidentialité.

HostON fournira sur demande la documentation nécessaire pour démontrer la conformité avec l'Art. 28 RGPD.

Les audits physiques ou techniques dans les locaux/infrastructures de HostON sont possibles avec un préavis minimum de 30 jours, une fois par an, aux frais du Client, et ne doivent pas perturber les opérations des autres clients. HostON peut refuser les audits excessifs ou déraisonnables.

À la fin du contrat de services (par expiration, résiliation ou demande expresse) :

• Le Client dispose de 14 jours calendaires à partir de la suspension pour télécharger les données depuis le panneau de contrôle (cPanel/DirectAdmin)
• Après cette période, les données seront définitivement supprimées des serveurs HostON
• Sur demande explicite, HostON peut fournir une confirmation écrite de la suppression des données
• Les sauvegardes système sont conservées au maximum 30 jours après la suppression du compte, puis définitivement détruites

Le présent DPA est valable pour toute la durée du contrat de services HostON et est automatiquement résilié avec lui. HostON peut modifier le présent DPA avec un préavis de 30 jours par e-mail. La poursuite de l'utilisation des services après cette période constitue une acceptation des modifications. Si les modifications ne sont pas acceptables, le Client peut résilier le contrat sans pénalité dans le délai de préavis.

Pour les demandes liées à cet accord, pour des demandes de DPA signé ou pour exercer des droits en vertu de l'Art. 28 RGPD, contactez-nous à info@hoston.ro avec l'objet « DPA / Accord RGPD ».