Sous-traitant Art. 28 RGPD.

1. Objet du Data Processing Agreement

Le présent DPA encadre les modalités de traitement des données à caractère personnel par NEUROLYSS, agissant en qualité de sous-traitant au sens de l'Art. 28 RGPD, pour le compte du client agissant en qualité de responsable de traitement.

2. Définitions

« Responsable » désigne le client. « Sous-traitant » désigne Neurolyss. « Données » désigne les informations traitées dans le cadre du service (cf. politique de confidentialité).

3. Sous-traitance

Neurolyss recourt aux sous-traitants suivants :

• Hébergement : Amazon Web Services EMEA (Francfort · Paris). Certifications ISO 27001, SOC 2 Type II.
• E-mail transactionnel : fournisseur UE certifié.
• Stripe Payments Europe Ltd : partenaire d'acquisition, traitement PCI.

Toute modification du périmètre de sous-traitance est notifiée 30 jours avant entrée en vigueur.

4. Mesures techniques et organisationnelles

Neurolyss met en œuvre :

• Chiffrement TLS 1.3 en transit, AES-256 au repos.
• SSO + MFA obligatoire pour tout accès interne.
• Audit log signé HMAC SHA-256, conservé 12 mois.
• Sauvegardes chiffrées toutes les 6 h, multi-AZ.
• Revue trimestrielle des droits d'accès.
• Tests d'intrusion annuels par tiers indépendant.

5. Transferts hors UE

Aucun transfert de données hors Union européenne. L'ensemble des serveurs Neurolyss est situé dans des régions UE (Francfort, Paris).

6. Notification de violation

En cas de violation de données, Neurolyss notifie le responsable de traitement sans délai et au plus tard 48 heures après en avoir pris connaissance, avec toutes les informations requises par l'Art. 33 RGPD.

7. Audits

Le responsable peut auditer la conformité de Neurolyss au présent DPA une fois par an, sur préavis de 30 jours. Les rapports d'audit indépendants (SOC 2, ISO 27001) sont communiqués sur demande sous NDA.

VERSION DPA · 2026.04 · CONTACT : contact@neurolyss.com