Accord de traitement des données (DPA/AVV)
conformément à l’Art. 28 al. 3 GDPR
Basé sur le modèle fourni par l’Autorité bavaroise de protection des données (BayLDA). Adapté pour le service SaaS Tuurio ID.
Sous-traitant (Data Processor) : Tuurio GmbH, Muehlenstr. 8a, 14167 Berlin. Gérants : Marcus Jueptner, Daniel Kraus. HRB 180639, Amtsgericht Berlin-Charlottenburg. USt-IdNr. : DE305850010 (ci-après « Sous-traitant »).
1. Objet et durée
Fourniture de la solution SaaS « Tuurio ID » (id.tuurio.com) pour la gestion des identités et l’authentification, comprenant : l’authentification et l’autorisation OAuth 2.0/OIDC des utilisateurs finaux du responsable du traitement, le stockage et la gestion des identités des utilisateurs, la fourniture de points de terminaison de jetons (Authorize, Token, UserInfo, JWKS), la journalisation des événements d’authentification (journaux d’audit), la fourniture du module coffre-fort (stockage de données chiffrées) et la fourniture du tableau de bord d’administration pour la gestion des tenants.
Le service est fourni exclusivement au sein d’un État membre de l’Union européenne (Hébergement : Google Cloud Platform, Région Francfort/eu-west3, Allemagne). Tout transfert du service ou de parties de celui-ci vers un pays tiers nécessite le consentement préalable du responsable du traitement et ne peut avoir lieu que si les conditions des Art. 44 et suivants GDPR sont remplies.
L’accord est conclu pour une durée indéterminée et s’applique pendant toute la durée d’utilisation du service Tuurio ID par le responsable du traitement. Il prend fin automatiquement lors de la résiliation du contrat de service.
2. Type et finalité, catégories de données, personnes concernées
Finalité du traitement : Authentification, vérification d’identité et gestion des utilisateurs au sein de la plateforme Tuurio ID pour les applications du responsable du traitement.
Catégories de données
| Catégorie | Exemples | Conservation |
|---|---|---|
| Données de base | Nom, adresse e-mail, photo de profil, champs de profil personnalisés | Durée du contrat + 30 jours |
| Données d’authentification | Hash de mots de passe (Argon2id), seeds MFA, identifiants passkey | Durée du contrat |
| Données de session/jeton | Jetons d’accès, jetons de rafraîchissement, identifiants de session | Max. 30 jours (durée de vie du jeton) |
| Données de journalisation | Horodatages de connexion, adresses IP, chaînes user agent, événements d’authentification échoués | 90 jours |
| Données du coffre-fort | Données arbitraires chiffrées en AES-256 stockées par le responsable du traitement | Durée du contrat + 30 jours |
| Données OAuth | Client IDs, URIs de redirection, scopes, permissions, rôles | Durée du contrat |
Personnes concernées
- Utilisateurs finaux des applications du responsable du traitement (personnes physiques qui s’authentifient via Tuurio ID)
- Administrateurs et employés du responsable du traitement (qui gèrent les tenants et les configurations)
- Contacts techniques et utilisateurs API
3. Droits du responsable du traitement
Le responsable du traitement a le droit de donner des instructions concernant le traitement des données à tout moment, d’auditer la conformité du sous-traitant avec le présent accord (y compris des inspections sur site avec un préavis raisonnable) et de demander des informations sur les activités de traitement. Le sous-traitant doit informer immédiatement le responsable du traitement si une instruction, selon l’avis du sous-traitant, enfreint les réglementations en matière de protection des données.
4. Obligations du sous-traitant
Le sous-traitant traite les données personnelles uniquement sur la base d’instructions documentées du responsable du traitement, s’assure que toutes les personnes autorisées à traiter des données personnelles se sont engagées à la confidentialité, met en œuvre et maintient les mesures techniques et organisationnelles conformément à l’Art. 32 GDPR, assiste le responsable du traitement dans l’exécution des demandes des personnes concernées (Art. 12-22 GDPR), assiste dans les analyses d’impact relatives à la protection des données (Art. 35 GDPR) et les consultations préalables (Art. 36 GDPR) le cas échéant, et met à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer la conformité.
5. Obligations de notification
Le sous-traitant notifie le responsable du traitement sans délai injustifié (et en tout état de cause dans les 24 heures) de toute violation de données personnelles conformément à l’Art. 33 GDPR. La notification comprend la nature de la violation, les catégories de données concernées et le nombre approximatif de personnes affectées, les conséquences probables et les mesures prises ou proposées. Contact : security@tuurio.com.
6. Sous-traitants ultérieurs
La liste actuelle des sous-traitants ultérieurs est disponible sur /public/legal/sub-processors. Le responsable du traitement accepte les sous-traitants ultérieurs qui y sont listés. Les modifications sont notifiées au moins 30 jours à l’avance par e-mail. Le responsable du traitement peut s’opposer dans les 14 jours pour des raisons importantes liées à la protection des données.
7. Mesures techniques et organisationnelles
Le sous-traitant met en œuvre les mesures techniques et organisationnelles appropriées conformément à l’Art. 32 GDPR. Les détails sont décrits sur notre page sécurité. Les mesures clés comprennent : chiffrement AES-256 au repos, TLS 1.3 en transit, hachage de mots de passe Argon2id (dureté mémoire 64 Mo), isolation des tenants par séparation au niveau de la base de données (filtres Hibernate avec cadrage tenant_id), sauvegardes quotidiennes chiffrées automatisées (conservation 30 jours), signature JWT RS256 avec rotation des clés spécifique au tenant, journalisation complète des accès et pistes d’audit.
8. Obligations à la fin du contrat
Après la résiliation du contrat, le responsable du traitement peut exporter toutes les données dans les 30 jours via le tableau de bord dans un format courant et lisible par machine (JSON, CSV). Après la période d’exportation de 30 jours, toutes les données personnelles sont supprimées de manière irréversible dans les 30 jours supplémentaires, sauf si des obligations légales de conservation s’appliquent (par ex. documents fiscaux conformément aux GoBD : 10 ans). Le sous-traitant confirme la suppression par écrit sur demande.
Version 1.0, 9 mars 2026