KeepTrack
ConnexionDemander une démo →
Menu
Connexion
Informations légales

Accord de Traitement
des Données (DPA)

Conformément à l'article 28 du RGPD (UE) 2016/679 — encadrant la relation entre KeepTrack en tant que sous-traitant et ses clients en tant que responsables de traitement.

Dernière mise à jour :Avril 2026
Version :1.1

Identification des parties

Le Sous-traitant

KeepTrack (SASU en cours d'immatriculation)
Représentée par : Alexandre AUBRY-DUMAND
SIREN : [en cours d'immatriculation]
Contact : contact@keeptrack.fr
Ci-après « KeepTrack »

Le Responsable de traitement

L'entreprise cliente souscrivant à l'offre KeepTrack, dont les coordonnées figurent dans le bon de commande ou le formulaire d'inscription.
Ci-après « le Client »

Le présent DPA fait partie intégrante des Conditions Générales de Vente de KeepTrack. Son acceptation est horodatée lors de la souscription (case à cocher obligatoire avant paiement). En cas de contradiction, les dispositions du DPA prévalent sur les CGV pour tout ce qui concerne la protection des données personnelles.

Article 1 — Objet et durée du traitement

KeepTrack est mandatée par le Client pour traiter des données à caractère personnel dans le cadre de la fourniture du service de gestion des ressources humaines KeepTrack (ci-après « le Service »).

Nature du traitement

  • Hébergement et stockage sécurisé des données RH sur infrastructure européenne
  • Traitement automatisé pour le calcul des compteurs d'absences, congés et RTT
  • Génération et archivage de documents RH (bulletins de paie, notes de frais, plannings)
  • Envoi de notifications transactionnelles par email aux utilisateurs concernés
  • Fourniture d'accès sécurisé aux cabinets comptables mandatés par le Client
  • Limitation du débit des requêtes (rate limiting) à des fins de sécurité applicative

Finalité

Permettre au Client de gérer les ressources humaines de son entreprise dans le respect du droit du travail français. KeepTrack ne traite les données qu'aux fins strictement nécessaires à l'exécution du Service et sur instruction documentée du Client.

Durée

Le présent DPA s'applique pendant toute la durée du contrat de service. À l'expiration ou résiliation, KeepTrack s'engage à restituer ou supprimer les données dans un délai de 30 jours selon le choix du Client (voir Article 8).

Article 2 — Catégories de données et personnes concernées

Catégorie de donnéesExemplesPersonnes concernéesSensibilité
Données d'identificationNom, prénom, email, numéro de sécurité socialeSalariésStandard
Données de paieSalaire, primes, cotisations, variables de paieSalariésSensible
Données de présenceAbsences, congés, RTT, heures travailléesSalariésStandard
Données financièresNotes de frais, montants, justificatifsSalariésSensible
Données de santéArrêts maladie (dates uniquement — aucun diagnostic)SalariésTrès sensible (art. 9 RGPD)
Données techniquesAdresse IP (rate limiting), logs de connexionTous utilisateursStandard
Données d'accès cabinetEmail et identifiant du collaborateur cabinetTiers mandatésStandard
Données de santé (art. 9 RGPD) : KeepTrack ne stocke que les dates de début et fin des arrêts de travail, jamais le diagnostic médical. Le Client s'engage à ne pas saisir de données médicales dans les champs libres de l'application.
Données IP (rate limiting) : les adresses IP collectées par le mécanisme de limitation de débit (Upstash Redis) sont utilisées exclusivement à des fins de sécurité applicative. Leur durée de rétention est limitée à la fenêtre de rate limiting configurée. Elles ne sont ni croisées avec d'autres données ni utilisées à des fins d'analyse ou de profilage.

Article 3 — Obligations de KeepTrack en tant que sous-traitant

3.1 Instruction documentée

KeepTrack ne traite les données que sur instruction documentée du Client. La configuration du Service par le Client constitue une instruction au sens du RGPD. Si KeepTrack estime qu'une instruction viole le RGPD, elle en informera immédiatement le Client.

3.2 Confidentialité

KeepTrack garantit que les personnes autorisées à traiter les données sont soumises à une obligation de confidentialité. L'accès aux données de production est strictement limité selon le principe du moindre privilège.

3.3 Sécurité des traitements (art. 32 RGPD)

  • Chiffrement des données en transit (TLS 1.2+, HSTS 2 ans) et au repos (AES-256)
  • Row Level Security (RLS) PostgreSQL sur 40+ tables — isolation stricte par entreprise
  • Authentification par JWT + Magic Link — aucune connexion anonyme possible
  • Rate limiting applicatif via Upstash Redis (EU) — protection contre les attaques par force brute
  • Headers HTTP de sécurité (X-Frame-Options, X-Content-Type-Options, CSP)
  • SPF, DKIM et DMARC configurés sur keeptrack.fr — protection anti-phishing
  • Infrastructure 100 % européenne — aucun transfert de données hors UE
  • Monitoring de disponibilité (UptimeRobot) — ping HTTP sans accès aux données applicatives

3.4 Sous-traitants ultérieurs

Le Client autorise KeepTrack à faire appel aux sous-traitants listés à l'Article 5. KeepTrack notifiera le Client de tout changement avec un préavis de 30 jours. Le Client pourra s'y opposer par écrit dans ce délai.

3.5 Assistance au Client

  • Réponse aux demandes d'exercice de droits des personnes concernées (accès, rectification, effacement, portabilité)
  • Notification des violations de données dans les meilleurs délais et au plus tard sous 72 heures
  • Assistance à la réalisation d'Analyses d'Impact (AIPD) si requis par la nature du traitement
  • Mise à disposition de la documentation de conformité sur demande écrite

3.6 Notification des violations de données

En cas de violation avérée ou suspectée de données personnelles, KeepTrack s'engage à notifier le Client dans les meilleurs délais et au plus tard dans un délai de 72 heures suivant la prise de connaissance de l'incident. Le Client demeure seul responsable de la notification à la CNIL dans le délai légal de 72 heures prévu à l'article 33 du RGPD.

3.7 Audits et contrôles

KeepTrack met à disposition toute information nécessaire pour démontrer le respect de ses obligations au titre du présent DPA. Des audits peuvent être réalisés sur préavis écrit d'au moins 30 jours, aux frais du Client, sans perturber le fonctionnement du Service.

Article 4 — Obligations du Client en tant que responsable de traitement

  • Disposer d'une base légale valide pour chaque traitement effectué via KeepTrack
  • Informer les salariés de l'utilisation de KeepTrack — notice d'information ou clause dans le contrat de travail
  • Ne saisir dans l'application que les données strictement nécessaires à la gestion RH
  • Gérer les droits d'accès des utilisateurs et les révoquer immédiatement en cas de départ
  • Notifier KeepTrack sans délai de toute demande d'exercice de droits reçue directement d'un salarié
  • Ne pas configurer KeepTrack pour des finalités autres que la gestion RH de son entreprise
  • S'assurer que les cabinets comptables auxquels un accès Payroll Connect est accordé respectent leurs obligations de confidentialité
Accès cabinet (Payroll Connect) : l'accès accordé à un cabinet comptable via le module Payroll Connect est effectué sous la seule responsabilité du Client. Il appartient au Client de s'assurer que cet accès est couvert par un accord de confidentialité ou une clause appropriée dans son contrat d'expertise comptable.

Article 5 — Sous-traitants ultérieurs et transferts hors UE

KeepTrack s'engage à ne pas transférer les données personnelles en dehors de l'Espace Économique Européen (EEE). L'intégralité de l'infrastructure est hébergée en Union européenne :

ServiceRôleLocalisationGaranties
SupabaseBase de données, Auth, Stockage fichiersEU-West-1 — IrlandeDPA signé · SOC 2 Type II · AES-256
VercelFrontend, Routes API Next.jsCDG1 — Paris, FranceDPA signé · HTTPS forcé
ResendEmails transactionnelsEU-West-1 — IrlandeDPA signé · TLS obligatoire
StripePaiements et gestion des abonnementsDublin, IrlandeDPA signé · PCI-DSS Level 1
SentryMonitoring des erreurs applicativesde.sentry.io — EUDPA signé · Région EU activée
UpstashRate limiting (Redis) — sécurité APIEU-West-1 — IrlandeDPA signé · TTL court · données IP uniquement
UptimeRobot : effectue uniquement des requêtes HTTP de type ping vers keeptrack.fr. Il n'accède à aucune donnée applicative ou personnelle et n'est pas considéré comme un sous-traitant au sens de l'article 28 du RGPD.

Article 6 — Droits des personnes concernées

Le Client, en sa qualité de responsable de traitement, est l'interlocuteur direct des salariés pour l'exercice de leurs droits (accès, rectification, effacement, limitation, portabilité, opposition) conformément aux articles 15 à 21 du RGPD. Le Client s'engage à répondre à ces demandes dans un délai d'un mois, prorogeable de deux mois en cas de complexité.

Toute demande adressée directement à KeepTrack par un salarié sera redirigée sans délai vers le Client responsable de traitement.

Article 7 — Portabilité et réversibilité des données

  • Export disponible en formats structurés (CSV, JSON) depuis l'interface KeepTrack à tout moment
  • Délai de mise à disposition d'un export complet sur demande écrite : 15 jours ouvrés
  • En cas de résiliation : export disponible pendant 30 jours après la fin de contrat, puis suppression définitive

Article 8 — Sort des données en fin de contrat

À l'expiration ou résiliation effective du contrat, le Client bénéficie d'une période de 30 jours en accès lecture seule durant laquelle il peut exporter l'intégralité de ses données via les fonctionnalités d'export intégrées à l'application (formats CSV, JSON, Excel selon les modules).

Durant cette période, KeepTrack adresse au Client un email de rappel indiquant la date limite d'export et la procédure à suivre.

À l'issue de ce délai de 30 jours, l'accès au Service est définitivement bloqué. KeepTrack procède ensuite à la suppression sécurisée de l'ensemble des données du Client dans un délai maximum de 30 jours supplémentaires.

  • Export autonome disponible à tout moment depuis l'interface (CSV, JSON, Excel) pendant toute la durée de l'abonnement et durant les 30 jours post-résiliation
  • Email de rappel envoyé par KeepTrack à la résiliation effective indiquant la date limite d'export
  • Blocage définitif de l'accès à l'issue des 30 jours
  • Suppression sécurisée des données dans les 30 jours suivant le blocage
  • Attestation de suppression disponible sur demande écrite à contact@keeptrack.fr (délai : 15 jours ouvrés)
Exception légale : données de paie conservées 5 ans (art. L3243-4 Code du travail) ; données comptables et de facturation 10 ans (art. L123-22 Code de commerce) — sous forme archivée et strictement isolée du Service actif.

Article 9 — Responsabilité

En cas de manquement de KeepTrack à ses obligations au titre du présent DPA, sa responsabilité est engagée dans les conditions et limites prévues aux CGV. KeepTrack ne saurait être tenue responsable des manquements du Client à ses propres obligations de responsable de traitement.

Article 10 — Mise à jour du DPA

Toute modification substantielle sera notifiée au Client par email avec un préavis de 30 jours. En l'absence d'opposition écrite dans ce délai, la modification est réputée acceptée. La version en vigueur est toujours accessible à l'adresse keeptrack.fr/legal/dpa.

Acceptation

Le présent DPA entre en vigueur à la date d'acceptation des Conditions Générales de Vente par le Client, matérialisée par le cochage obligatoire d'une case dédiée lors de la souscription, avant tout paiement. L'acceptation est horodatée et archivée.

Pour KeepTrack (Sous-traitant)
Alexandre AUBRY-DUMAND
Date : Avril 2026
Pour le Client (Responsable de traitement)
[Représentant légal du Client]
Date : À la date d'acceptation des CGV