KeepTrack
ConnexionDemander une démo →
Menu
Connexion
Informations légales

Accord de Traitement
des Données (DPA)

Conformément à l'article 28 du RGPD (UE) 2016/679 — encadrant la relation entre KeepTrack en tant que sous-traitant et ses clients en tant que responsables de traitement.

Dernière mise à jour :Juin 2026
Version :1.2

Identification des parties

Le présent DPA fait partie intégrante des Conditions Générales de Vente de KeepTrack. Son acceptation est horodatée lors de la souscription (case à cocher obligatoire avant paiement). En cas de contradiction, les dispositions du DPA prévalent sur les CGV pour tout ce qui concerne la protection des données personnelles.

Article 1 — Objet et durée du traitement

KeepTrack est mandatée par le Client pour traiter des données à caractère personnel dans le cadre de la fourniture du service de gestion des ressources humaines KeepTrack (ci-après « le Service »).

Nature du traitement

  • Hébergement et stockage sécurisé des données RH sur infrastructure européenne
  • Traitement automatisé pour le calcul des compteurs d'absences, congés et RTT
  • Génération et archivage de documents RH (bulletins de paie, notes de frais, plannings)
  • Envoi de notifications transactionnelles par email aux utilisateurs concernés
  • Fourniture d'accès sécurisé aux cabinets comptables mandatés par le Client
  • Limitation du débit des requêtes (rate limiting) à des fins de sécurité applicative
  • Accès technique de l'éditeur à des fins d'intégration et de support, avec accord préalable du Client (voir Art. 3.8)

Finalité

Permettre au Client de gérer les ressources humaines de son entreprise dans le respect du droit du travail français. KeepTrack ne traite les données qu'aux fins strictement nécessaires à l'exécution du Service et sur instruction documentée du Client.

Durée

Le présent DPA s'applique pendant toute la durée du contrat de service. À l'expiration ou résiliation, KeepTrack s'engage à restituer ou supprimer les données dans un délai de 30 jours selon le choix du Client (voir Article 8).

Périmètre du module coffre-fort :le module de stockage de documents (« coffre-fort ») mis à disposition par le Service est un espace de stockage applicatif. Il ne constitue pas un service de coffre-fort numérique à valeur probante au sens de la norme NF Z42-020, ni un dispositif de conservation du bulletin de paie dématérialisé au sens de l'article L3243-2 du Code du travail. Le Client demeure seul responsable de la conformité du mode de conservation des documents qu'il y dépose à ses obligations légales.

Article 2 — Catégories de données et personnes concernées

Données de santé (art. 9 RGPD) :KeepTrack ne stocke que les dates de début et fin des arrêts de travail, jamais le diagnostic médical. Le Client s'engage à ne pas saisir de données médicales dans les champs libres de l'application.
Données IP (rate limiting) :les adresses IP collectées par le mécanisme de limitation de débit (Upstash Redis) sont utilisées exclusivement à des fins de sécurité applicative. Leur durée de rétention est limitée à la fenêtre de rate limiting configurée. Elles ne sont ni croisées avec d'autres données ni utilisées à des fins d'analyse ou de profilage.

Article 3 — Obligations de KeepTrack en tant que sous-traitant

3.1 Instruction documentée

KeepTrack ne traite les données que sur instruction documentée du Client. La configuration du Service par le Client constitue une instruction au sens du RGPD. Si KeepTrack estime qu'une instruction viole le RGPD, elle en informera immédiatement le Client.

3.2 Confidentialité

KeepTrack garantit que les personnes autorisées à traiter les données sont soumises à une obligation de confidentialité. L'accès aux données de production est strictement limité selon le principe du moindre privilège.

3.3 Sécurité des traitements (art. 32 RGPD)

  • Chiffrement des données en transit (TLS 1.2+, HSTS 2 ans) et au repos (AES-256)
  • Row Level Security (RLS) PostgreSQL sur 40+ tables — isolation stricte par entreprise
  • Authentification par JWT + Magic Link — aucune connexion anonyme possible
  • Rate limiting applicatif via Upstash Redis (EU) — protection contre les attaques par force brute
  • Headers HTTP de sécurité (X-Frame-Options, X-Content-Type-Options, CSP)
  • SPF, DKIM et DMARC configurés sur keeptrack.fr — protection anti-phishing
  • Infrastructure 100 % européenne — aucun transfert de données hors UE
  • Monitoring de disponibilité (UptimeRobot) — ping HTTP sans accès aux données applicatives

3.4 Sous-traitants ultérieurs

Le Client autorise KeepTrack à faire appel aux sous-traitants listés à l'Article 5. KeepTrack notifiera le Client de tout changement avec un préavis de 30 jours. Le Client pourra s'y opposer par écrit dans ce délai.

3.5 Assistance au Client

  • Réponse aux demandes d'exercice de droits des personnes concernées (accès, rectification, effacement, portabilité)
  • Notification des violations de données dans les meilleurs délais et au plus tard sous 72 heures
  • Assistance à la réalisation d'Analyses d'Impact (AIPD) si requis par la nature du traitement
  • Mise à disposition de la documentation de conformité sur demande écrite

3.6 Notification des violations de données

En cas de violation avérée ou suspectée de données personnelles, KeepTrack s'engage à notifier le Client dans les meilleurs délais et au plus tard dans un délai de 72 heures suivant la prise de connaissance de l'incident. Le Client demeure seul responsable de la notification à la CNIL dans le délai légal de 72 heures prévu à l'article 33 du RGPD.

3.7 Audits et contrôles

KeepTrack met à disposition toute information nécessaire pour démontrer le respect de ses obligations au titre du présent DPA. Des audits peuvent être réalisés sur préavis écrit d'au moins 30 jours, aux frais du Client, sans perturber le fonctionnement du Service.

3.8 Accès technique de l'éditeur à des fins d'intégration et de support

Dans le cadre du canal de vente assisté (SLG), KeepTrack peut accéder à l'espace KeepTrack du Client en qualité d'administrateur délégué, exclusivement aux fins suivantes : configuration initiale et intégration des données (import des salariés, paramétrage), support technique avancé nécessitant un accès à l'environnement client, ou correction d'anomalies ne pouvant être reproduites hors contexte.

Conditions impératives de l'accès technique :
Consentement préalable : le Client a consenti à cet accès soit par acceptation du présent DPA lors de la souscription, soit par accord exprès communiqué par email à contact@keeptrack.fr.
Traçabilité intégrale :chaque session d'accès est horodatée et enregistrée dans un journal d'audit interne (date, heure, durée, nature de l'action réalisée).
Limitation dans le temps :l'accès est restreint à la durée strictement nécessaire à l'opération concernée.
Révocabilité : le Client peut retirer cette autorisation à tout moment par email à contact@keeptrack.fr et obtenir, sur demande, le journal des accès effectués sur son espace dans un délai de 5 jours ouvrés.

Article 4 — Obligations du Client en tant que responsable de traitement

  • Disposer d'une base légale valide pour chaque traitement effectué via KeepTrack
  • Informer les salariés de l'utilisation de KeepTrack — notice d'information ou clause dans le contrat de travail
  • Ne saisir dans l'application que les données strictement nécessaires à la gestion RH
  • Gérer les droits d'accès des utilisateurs et les révoquer immédiatement en cas de départ
  • Notifier KeepTrack sans délai de toute demande d'exercice de droits reçue directement d'un salarié
  • Ne pas configurer KeepTrack pour des finalités autres que la gestion RH de son entreprise
  • S'assurer que les cabinets comptables auxquels un accès Payroll Connect est accordé respectent leurs obligations de confidentialité
  • Choisir sous sa seule responsabilité les documents déposés dans le module coffre-fort et s'assurer que leur mode de conservation respecte les obligations légales applicables, notamment en cas de dématérialisation des bulletins de paie (le module coffre-fort n'étant pas un dispositif de conservation à valeur probante)
Accès cabinet (Payroll Connect) :l'accès accordé à un cabinet comptable via le module Payroll Connect est effectué sous la seule responsabilité du Client. Il appartient au Client de s'assurer que cet accès est couvert par un accord de confidentialité ou une clause appropriée dans son contrat d'expertise comptable.

Article 5 — Sous-traitants ultérieurs et transferts hors UE

KeepTrack s'engage à ne pas transférer les données personnelles en dehors de l'Espace Économique Européen (EEE). L'intégralité de l'infrastructure est hébergée en Union européenne :

Statut des accords de sous-traitance :les accords de traitement des données avec chacun de ces prestataires sont régis par leurs Conditions de Traitement des Données (DPA) publiées sur leurs sites respectifs, acceptées électroniquement lors de l'ouverture des comptes KeepTrack. Ces documents constituent les accords de sous-traitance au sens de l'article 28 du RGPD. Les liens vers les DPAs en vigueur sont disponibles sur demande à contact@keeptrack.fr.
UptimeRobot :effectue uniquement des requêtes HTTP de type ping vers keeptrack.fr. Il n'accède à aucune donnée applicative ou personnelle et n'est pas considéré comme un sous-traitant au sens de l'article 28 du RGPD.

Article 6 — Droits des personnes concernées

Le Client, en sa qualité de responsable de traitement, est l'interlocuteur direct des salariés pour l'exercice de leurs droits (accès, rectification, effacement, limitation, portabilité, opposition) conformément aux articles 15 à 21 du RGPD. Le Client s'engage à répondre à ces demandes dans un délai d'un mois, prorogeable de deux mois en cas de complexité.

Toute demande adressée directement à KeepTrack par un salarié sera redirigée sans délai vers le Client responsable de traitement.

Article 7 — Portabilité et réversibilité des données

  • Export disponible en formats structurés (CSV, JSON, Excel) depuis l'interface KeepTrack à tout moment
  • Délai de mise à disposition d'un export complet sur demande écrite : 15 jours ouvrés
  • En cas de résiliation : export disponible pendant 30 jours après la fin de contrat, puis suppression définitive

Article 8 — Sort des données en fin de contrat

À l'expiration ou résiliation effective du contrat, le Client bénéficie d'une période de 30 jours en accès lecture seule durant laquelle il peut exporter l'intégralité de ses données via les fonctionnalités d'export intégrées à l'application (formats CSV, JSON, Excel selon les modules).

Durant cette période, KeepTrack adresse au Client un email de rappel indiquant la date limite d'export et la procédure à suivre.

À l'issue de ce délai de 30 jours, l'accès au Service est définitivement bloqué. KeepTrack procède ensuite à la suppression sécurisée de l'ensemble des données du Client dans un délai maximum de 30 jours supplémentaires.

  • Export autonome disponible à tout moment depuis l'interface pendant toute la durée de l'abonnement et durant les 30 jours post-résiliation
  • Email de rappel envoyé par KeepTrack à la résiliation effective indiquant la date limite d'export
  • Blocage définitif de l'accès à l'issue des 30 jours
  • Suppression sécurisée des données dans les 30 jours suivant le blocage
  • Attestation de suppression disponible sur demande écrite à contact@keeptrack.fr (délai : 15 jours ouvrés)
Exception légale : données de paie conservées 5 ans (art. L3243-4 Code du travail) ; données comptables et de facturation 10 ans (art. L123-22 Code de commerce) — sous forme archivée et strictement isolée du Service actif.

Article 9 — Responsabilité

En cas de manquement de KeepTrack à ses obligations au titre du présent DPA, sa responsabilité est engagée dans les conditions et limites prévues aux CGV. KeepTrack ne saurait être tenue responsable des manquements du Client à ses propres obligations de responsable de traitement.

Article 10 — Mise à jour du DPA

Toute modification substantielle sera notifiée au Client par email avec un préavis de 30 jours. En l'absence d'opposition écrite dans ce délai, la modification est réputée acceptée. La version en vigueur est toujours accessible à l'adresse keeptrack.fr/legal/dpa.

Acceptation

Le présent DPA entre en vigueur à la date d'acceptation des Conditions Générales de Vente par le Client, matérialisée par le cochage obligatoire d'une case dédiée lors de la souscription, avant tout paiement. L'acceptation est horodatée et archivée.