DPA

Accord de traitement des données.

Annexe relative à l'article 28 du RGPD : les conditions dans lesquelles Normy traite, en tant que sous-traitant, les données personnelles pour le compte de ses clients.

Entre les parties

Le présent accord est conclu entre, d'une part, le Client — toute personne physique ou morale ayant souscrit un abonnement au service Normy, identifiée par les informations renseignées lors de l'inscription (ci-après « le Responsable de traitement ») ;

et, d'autre part, Normy, SASU au capital de 500 €, immatriculée au RCS de Toulouse sous le numéro SIREN 106 252 448, dont le siège social est situé 8 place Roger Salengro, 31000 Toulouse, représentée par Monsieur Jérémy Gauthier, Président (ci-après « le Sous-traitant »).

Le présent Accord de Traitement des Données (« DPA ») complète les Conditions Générales d'Utilisation et de Vente du service Normy (« le Contrat principal »). Il définit les conditions dans lesquelles le Sous-traitant effectue, pour le compte du Responsable de traitement, les opérations de traitement de données à caractère personnel décrites ci-après.

Les Parties s'engagent à respecter le Règlement (UE) 2016/679 du 27 avril 2016 (« RGPD ») et la loi n° 78-17 du 6 janvier 1978 modifiée. Le présent DPA est établi conformément à l'article 28 du RGPD et s'inspire des clauses contractuelles types adoptées par la Commission européenne dans sa Décision d'exécution (UE) 2021/915 du 4 juin 2021.

Article 1 — Objet

Le présent DPA a pour objet de définir les conditions dans lesquelles le Sous-traitant s'engage à effectuer, pour le compte du Responsable de traitement, les opérations de traitement de données à caractère personnel nécessaires à la fourniture du service Normy.

Article 2 — Nature et finalité du traitement

Le Sous-traitant traite les données à caractère personnel pour le compte du Responsable de traitement aux fins suivantes :

Hébergement et stockage sécurisé des données du registre unique du personnel (articles L.1221-13 et D.1221-23 du Code du travail) ;
Suivi des visites médicales et gestion des accidents du travail (articles R.4624-10 à R.4624-28 du Code du travail et D.441-1 à D.441-4 du Code de la sécurité sociale) ;
Suivi des formations obligatoires et de leurs recyclages ;
Élaboration et mise à jour du Document Unique d'Évaluation des Risques Professionnels (DUERP) ;
Suivi de la traçabilité alimentaire (fournisseurs, livraisons, allergènes, origines, températures) ;
Suivi du plan de nettoyage et des process d'hygiène ;
Suivi des contrôles périodiques, documents réglementaires, prestataires et affichages obligatoires ;
Génération d'alertes d'échéances et de rapports de conformité ;
Compilation automatique du Plan de Maîtrise Sanitaire (PMS).

Données traitées et personnes concernées

Les catégories de données à caractère personnel traitées sont :

Données des salariés — identification (nom, prénom, date et lieu de naissance, sexe, nationalité), numéro de sécurité sociale, données contractuelles (emploi, qualification, classification HCR, type de contrat, dates d'entrée et de sortie), données relatives aux travailleurs étrangers (type et numéro de titre de séjour, autorisation de travail), données de santé au travail (type et dates de visite, avis d'aptitude, déclarations d'accidents du travail, circonstances, durée d'arrêt) et données de formation (formations suivies, dates, recyclages).
Données des fournisseurs — raisons sociales, coordonnées professionnelles, numéros de registre UE.
Personnes concernées — les salariés, stagiaires, intérimaires et extras du Responsable de traitement, ainsi que ses fournisseurs et prestataires (personnes morales et contacts professionnels).

Données sensibles (article 9 du RGPD)

Le traitement implique des données de santé au sens de l'article 9 du RGPD (visites médicales, accidents du travail). Ce traitement est autorisé au titre de l'article 9.2.b du RGPD, en ce qu'il est nécessaire à l'exécution des obligations du Responsable de traitement en matière de droit du travail et de protection sociale.

Une Analyse d'Impact relative à la Protection des Données (AIPD) sera réalisée par le Sous-traitant conformément à l'article 35 du RGPD.

Article 3 — Durée

Le présent DPA prend effet à la date de souscription du Responsable de traitement au service Normy et demeure en vigueur pendant toute la durée du Contrat principal. Les obligations relatives à la confidentialité et au sort des données survivent à la résiliation du Contrat principal.

Instructions documentées et confidentialité

Le Sous-traitant traite les données uniquement pour les finalités décrites à l'article 2, conformément aux instructions documentées du Responsable de traitement. Ces instructions sont réputées données par l'utilisation du service (saisie, modification, suppression de données via l'interface). Si le Sous-traitant estime qu'une instruction constitue une violation du RGPD ou du droit applicable, il en informe immédiatement le Responsable de traitement.

Le Sous-traitant garantit la confidentialité des données traitées et veille à ce que les personnes autorisées à les traiter s'engagent à la respecter (ou y soient légalement tenues) et reçoivent la formation nécessaire en matière de protection des données.

Sécurité du traitement (article 32)

Le Sous-traitant met en œuvre les mesures techniques et organisationnelles suivantes :

Chiffrement en transit — toutes les communications entre le client et le service Normy sont chiffrées via HTTPS/TLS.
Chiffrement au repos, au niveau de chaque champ — les données les plus sensibles — numéro de sécurité sociale, numéro de titre de séjour et données de santé (visites médicales, accidents du travail) — sont chiffrées en base de données via l'algorithme AES-256-GCM.
Cloisonnement des données par établissement — chaque requête est filtrée par l'identifiant de l'établissement, garantissant que chaque client accède exclusivement à ses propres données (isolation par locataire).
Authentification — système d'authentification Supabase Auth, mots de passe hachés côté serveur (bcrypt).
Versioning inaltérable — pour les données réglementairement sensibles (registre du personnel, santé au travail), les entrées sont versionnées et ne peuvent être supprimées.
Contrôle d'accès — accès aux systèmes de production limité au Président de Normy.
Hébergement — données hébergées dans l'Union européenne (Supabase, région Paris — eu-west-3, France).

Sous-traitance ultérieure

Le Sous-traitant est autorisé de manière générale par le Responsable de traitement à faire appel aux sous-traitants ultérieurs listés en annexe. Il informe le Responsable de traitement de tout changement (ajout ou remplacement) par notification à l'adresse email du compte, au moins trente (30) jours avant sa mise en œuvre ; le Responsable de traitement dispose de ce délai pour émettre des objections motivées.

Le Sous-traitant s'assure que chaque sous-traitant ultérieur est lié par des obligations de protection des données au moins équivalentes à celles du présent DPA, et demeure pleinement responsable de leur exécution devant le Responsable de traitement.

Droits des personnes concernées

Le Sous-traitant aide le Responsable de traitement, dans la mesure du possible, à répondre aux demandes d'exercice des droits des personnes concernées (accès, rectification, effacement, opposition, limitation, portabilité).

Le service Normy permet au Responsable de traitement de consulter, modifier et exporter les données de ses salariés directement depuis l'interface. Pour toute demande ne pouvant être traitée via l'interface, le Responsable de traitement peut écrire à contact@normy.fr.

Notification des violations de données

Le Sous-traitant notifie au Responsable de traitement toute violation de données à caractère personnel dans un délai maximum de quarante-huit (48) heures après en avoir pris connaissance, par email à l'adresse renseignée dans le compte.

Cette notification contient :

la nature de la violation, y compris les catégories et le nombre approximatif de personnes concernées ;
le nom et les coordonnées du point de contact (contact@normy.fr) ;
les conséquences probables de la violation ;
les mesures prises ou proposées pour y remédier.

Aide à la conformité

Le Sous-traitant aide le Responsable de traitement :

pour la réalisation d'analyses d'impact relatives à la protection des données (AIPD), lorsque le traitement confié est concerné ;
pour la consultation préalable de l'autorité de contrôle (CNIL), le cas échéant.

Sort des données en fin de contrat

À l'expiration ou à la résiliation du Contrat principal, le Sous-traitant s'engage à :

permettre au Responsable de traitement d'exporter l'intégralité de ses données via les fonctions d'export du service (PDF, CSV) pendant une période de quatre-vingt-dix (90) jours suivant la fin du contrat ;
supprimer l'ensemble des données à caractère personnel dans un délai de quatre-vingt-dix (90) jours suivant la fin du contrat, sauf obligation légale de conservation contraire ;
justifier par écrit de la suppression effective des données sur demande du Responsable de traitement.

Les données soumises à des obligations légales de conservation (registre du personnel : 5 ans après la sortie du salarié ; traçabilité : 5 ans ; DUERP : 40 ans) sont conservées pour la durée légale applicable, puis supprimées.

Documentation et audit

Le Sous-traitant met à la disposition du Responsable de traitement la documentation nécessaire pour démontrer le respect de ses obligations au titre du présent DPA.

Il autorise et contribue aux audits, y compris des inspections, réalisés par le Responsable de traitement ou un auditeur qu'il mandate, sous réserve d'un préavis raisonnable de quinze (15) jours ouvrés et du respect des obligations de confidentialité.

Article 5 — Obligations du Responsable de traitement

Le Responsable de traitement s'engage à :

s'assurer de la licéité des traitements qu'il confie au Sous-traitant, notamment en informant ses salariés du traitement de leurs données via Normy ;
fournir au Sous-traitant des données exactes et à jour ;
documenter par écrit toute instruction particulière concernant le traitement ;
veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le RGPD.

Article 6 — Transferts de données hors UE

Les données à caractère personnel sont hébergées et traitées au sein de l'Union européenne (Supabase, région Paris — eu-west-3, France).

Certains sous-traitants ultérieurs sont établis hors de l'Union européenne. Les transferts vers ces sous-traitants sont encadrés par les Clauses Contractuelles Types adoptées par la Commission européenne conformément à l'article 46.2.c du RGPD. Le détail figure en annexe.

Article 7 — Référent protection des données

Le Sous-traitant n'a pas désigné de Délégué à la Protection des Données (DPO) au sens de l'article 37 du RGPD, cette désignation n'étant pas obligatoire au regard de la nature et de l'échelle des traitements.

Le point de contact pour toute question relative à la protection des données est Jérémy Gauthier — contact@normy.fr — 09 72 15 41 46.

Article 8 — Droit applicable et juridiction

Le présent DPA est régi par le droit français. Tout litige relatif à son interprétation ou à son exécution sera soumis aux tribunaux compétents de Toulouse.

Annexe 1 — Sous-traitants ultérieurs

Le Sous-traitant fait appel aux sous-traitants ultérieurs suivants pour l'exécution du service Normy :

Supabase Inc. — hébergement de la base de données PostgreSQL et authentification — Union européenne (Paris, eu-west-3, France). Données hébergées dans l'UE.
Vercel Inc. — hébergement de l'application web et CDN — Union européenne. Données servies depuis l'UE.
Stripe Inc. — gestion des paiements et de la facturation — États-Unis. Encadré par les Clauses Contractuelles Types et le DPA de Stripe ; certifié PCI-DSS Level 1.
Resend Inc. — envoi des emails transactionnels (alertes, récapitulatifs) — États-Unis. Encadré par les Clauses Contractuelles Types.

Cette liste est susceptible d'évoluer. Toute modification est notifiée conformément aux dispositions du présent DPA relatives à la sous-traitance ultérieure.

Annexe 2 — Mesures de sécurité techniques

Chiffrement en transit — HTTPS/TLS sur toutes les communications.
Chiffrement au repos (champ par champ) — AES-256-GCM sur les données sensibles : NSS, n° de titre de séjour, données de santé (visites, accidents).
Cloisonnement par établissement — filtrage par identifiant d'établissement sur chaque requête — chaque client accède uniquement à ses données (isolation par locataire).
Authentification — Supabase Auth, mots de passe hachés (bcrypt), sessions sécurisées.
Versioning — entrées réglementaires (registre, santé) versionnées et non supprimables.
Paiement — aucune donnée de carte bancaire stockée par Normy — traitement délégué à Stripe (PCI-DSS Level 1).

Annexe 2 — Mesures organisationnelles

Accès restreint — accès aux systèmes de production limité au Président de Normy.
Confidentialité — personnel soumis à une obligation de confidentialité.
Registre des traitements — registre tenu à jour conformément à l'article 30 du RGPD.
AIPD — analyse d'impact relative au traitement des données de santé — en cours de réalisation (art. 35).
Gestion des incidents — procédure de notification sous 48 h en cas de violation de données.

Acceptation

Le présent DPA est automatiquement accepté par le Responsable de traitement lors de la souscription au service Normy. Il est consultable à tout moment depuis le pied de page du site.

Document établi conformément à l'article 28 du Règlement (UE) 2016/679 et à la Décision d'exécution (UE) 2021/915 de la Commission européenne du 4 juin 2021. Normy — SASU au capital de 500 € — SIREN 106 252 448 — RCS Toulouse.

Dernière mise à jour : 17 juin 2026.