Accord de traitement des données (DPA)

Dernière mise à jour : décembre 2025

Le présent Accord de traitement des données (« DPA ») fait partie intégrante du contrat de services principal et/ou des Conditions d’utilisation (l’« Accord ») entre :

  • Ampliro AB, reg. no. 559488-1517, Warfvinges väg 31, 112 51 Stockholm, Sweden, agissant en qualité de fournisseur de la plateforme Diplino disponible sur diplino.com (« Diplino », le « Service », le Sous-traitant), et
  • Le client identifié dans l’Accord (le Responsable du traitement).

Le présent DPA définit les conditions dans lesquelles Ampliro traite des Données à caractère personnel pour le compte du Responsable du traitement en lien avec la fourniture des services Diplino de gestion de certificats et de titres de compétences.

En cas de conflit entre le présent DPA et l’Accord concernant le traitement des Données à caractère personnel, le présent DPA prévaut dans la mesure de ce conflit.


1. Définitions

Aux fins du présent DPA, les termes suivants auront les significations énoncées ci-dessous. Les termes non définis dans le présent DPA auront la signification qui leur est donnée dans l’Accord ou en vertu des Lois applicables relatives à la protection des données.

  • « Lois applicables relatives à la protection des données » désigne l’ensemble des lois et réglementations relatives à la protection des données et à la vie privée applicables au traitement des Données à caractère personnel en vertu du présent DPA, y compris, le cas échéant, le Règlement général sur la protection des données de l’UE (règlement (UE) 2016/679 – « GDPR »), le GDPR britannique et toute législation nationale de mise en œuvre.

  • « Responsable du traitement » désigne l’entité qui détermine les finalités et les moyens du traitement des Données à caractère personnel.

  • « Sous-traitant » désigne l’entité qui traite des Données à caractère personnel pour le compte du Responsable du traitement.

  • « Données à caractère personnel » désigne toute information se rapportant à une personne physique identifiée ou identifiable (« Personne concernée »).

  • « Traitement », « Personne concernée », « Violation de données à caractère personnel », « Autorité de contrôle », « Sous-traitant ultérieur », « Pays tiers » et les autres termes commençant par une majuscule auront la signification qui leur est donnée dans le GDPR.

  • « Services » désigne les services Diplino de gestion de certificats et de titres de compétences fournis par Ampliro au Responsable du traitement en vertu de l’Accord.


2. Rôles des Parties

2.1 Responsable du traitement et Sous-traitant
Pour le Traitement des Données à caractère personnel décrit dans le présent DPA, le Responsable du traitement est le « responsable du traitement » et Ampliro est le « sous-traitant » au sens des Lois applicables relatives à la protection des données.

2.2 Activités en qualité de responsable du traitement indépendant
Le Responsable du traitement reconnaît qu’Ampliro peut traiter certaines Données à caractère personnel en tant que responsable du traitement indépendant pour ses propres finalités légitimes, telles que la facturation, le respect des obligations légales, la tenue de journaux de sécurité, la prévention de la fraude et les analyses du Service, comme décrit dans la Politique de confidentialité d’Ampliro/de Diplino. Un tel traitement est exclu du champ d’application du présent DPA et régi par les avis de confidentialité applicables.


3. Objet, nature, finalité et durée du Traitement

3.1 Objet
Ampliro traitera les Données à caractère personnel pour le compte du Responsable du traitement en lien avec la fourniture des Services Diplino, y compris la création, la gestion, le stockage et la vérification de certificats et titres de compétences numériques.

3.2 Nature et finalité du Traitement
Les activités de Traitement comprennent, dans la mesure nécessaire pour fournir et soutenir les Services :

  • Générer, délivrer et gérer des certificats et titres de compétences numériques ;
  • Stocker et gérer les informations relatives aux participants et destinataires ;
  • Fournir des fonctionnalités de vérification et de validation des certificats ;
  • Gérer les comptes utilisateurs et les rôles (par ex. administrateurs, instructeurs, émetteurs) ;
  • Envoyer des notifications par e-mail liées aux certificats et au Service (par ex. délivrance, mises à jour ou rappels) ;
  • Fournir l’assistance, la maintenance, le dépannage et la surveillance de sécurité ;
  • Assurer l’hébergement, la sauvegarde, la journalisation et les opérations techniques nécessaires à la fourniture du Service.

3.3 Durée du Traitement
Le Traitement commencera à la Date d’entrée en vigueur de l’Accord et se poursuivra aussi longtemps qu’Ampliro fournit les Services au Responsable du traitement et pendant toute période de conservation requise ou autorisée en vertu de l’Accord ou des Lois applicables relatives à la protection des données. À la résiliation ou à l’expiration de l’Accord, le Traitement cessera et les Données à caractère personnel seront supprimées ou restituées conformément à la Section 12 du présent DPA.


4. Catégories de Personnes concernées et types de Données à caractère personnel

4.1 Catégories de Personnes concernées
Les Données à caractère personnel traitées par Ampliro pour le compte du Responsable du traitement peuvent concerner les catégories suivantes de Personnes concernées :

  • Destinataires de certificats (par ex. participants à des cours, apprenants, employés, contractants) dont les certificats sont délivrés par le Responsable du traitement via Diplino ;
  • Utilisateurs de l’organisation Diplino du Responsable du traitement (par ex. administrateurs, instructeurs, émetteurs) ;
  • Autres personnes dont les informations peuvent figurer sur des certificats ou dans des métadonnées, tel que déterminé par le Responsable du traitement.

4.2 Types de Données à caractère personnel
Les Données à caractère personnel traitées peuvent inclure, sans s’y limiter :

  • Données d’identification et coordonnées :
    • Nom, adresse e-mail (facultative selon la configuration du Responsable du traitement) ;
  • Informations professionnelles :
    • Nom de l’entreprise/de l’organisation, département, intitulé de poste ou rôle ;
  • Données relatives aux certificats et titres de compétences :
    • Détails du certificat (par ex. nom du cours, statut d’achèvement, date de délivrance, date d’expiration, identifiants uniques de certificat) ;
    • Données de vérification et de validation (par ex. signatures cryptographiques, hachages, journaux de vérification) ;
  • Données de compte et d’utilisation :
    • Rôle de l’utilisateur au sein de l’organisation Diplino du Responsable du traitement (par ex. admin, instructeur) ;
    • ID utilisateurs, horodatages de connexion et journaux d’activité dans le Service ;
  • Données techniques et de sécurité :
    • Adresse IP, type de navigateur, localisation approximative (fondée sur l’IP), journaux de sécurité et journaux d’audit relatifs aux accès et aux modifications.

Le Responsable du traitement s’engage à ne pas soumettre intentionnellement de catégories particulières de Données à caractère personnel (article 9 GDPR) ni de Données à caractère personnel relatives aux condamnations pénales et aux infractions (article 10 GDPR) dans le Service, sauf accord écrit explicite avec Ampliro et sous réserve de garanties supplémentaires.


5. Obligations du Sous-traitant

Ampliro, agissant en qualité de Sous-traitant, devra :

5.1 Instructions
Traiter les Données à caractère personnel uniquement sur instructions documentées du Responsable du traitement, y compris en ce qui concerne les transferts de Données à caractère personnel vers un Pays tiers, sauf si le droit de l’Union ou le droit d’un État membre, ou d’autres Lois applicables relatives à la protection des données, l’exige. Dans un tel cas, Ampliro informera le Responsable du traitement de cette exigence légale avant le Traitement, sauf si la loi interdit une telle information.

5.2 Confidentialité
Veiller à ce que les personnes autorisées à traiter les Données à caractère personnel se soient engagées à des obligations de confidentialité appropriées ou soient soumises à une obligation légale appropriée de confidentialité.

5.3 Sécurité du Traitement
Mettre en œuvre et maintenir des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, comme décrit plus en détail à la Section 8 et dans l’Annexe 1 – Mesures techniques et organisationnelles.

5.4 Assistance relative aux droits des Personnes concernées
Compte tenu de la nature du Traitement, aider le Responsable du traitement, par des mesures techniques et organisationnelles appropriées, dans la mesure du possible, à s’acquitter de son obligation de répondre aux demandes d’exercice des droits des Personnes concernées en vertu des Lois applicables relatives à la protection des données (voir Section 10).

5.5 Assistance à la conformité
Aider le Responsable du traitement à assurer le respect des obligations prévues aux articles 32 à 36 GDPR (ou aux dispositions équivalentes d’autres Lois applicables relatives à la protection des données), compte tenu de la nature du Traitement et des informations dont dispose Ampliro, y compris en matière de sécurité, d’analyses d’impact relatives à la protection des données et de consultations avec les autorités de contrôle.

5.6 Registres et informations
Mettre à la disposition du Responsable du traitement toutes les informations raisonnablement nécessaires pour démontrer le respect du présent DPA et des Lois applicables relatives à la protection des données, et permettre les audits et inspections, et y contribuer, comme décrit à la Section 11.

5.7 Suppression et restitution des données
À la résiliation ou à l’expiration des Services, supprimer ou restituer toutes les Données à caractère personnel traitées pour le compte du Responsable du traitement conformément à la Section 12, sauf si la conservation est requise par les Lois applicables relatives à la protection des données.


6. Obligations du Responsable du traitement

Le Responsable du traitement devra :

  • Veiller à disposer d’une base juridique valable pour le Traitement des Données à caractère personnel et pour le recours à Ampliro en tant que Sous-traitant conformément aux Lois applicables relatives à la protection des données ;
  • Veiller à ce que tous les avis d’information nécessaires relatifs à la confidentialité aient été fournis aux Personnes concernées et, lorsque requis, que les consentements aient été obtenus ;
  • Ne pas donner pour instruction à Ampliro de traiter des Données à caractère personnel d’une manière qui violerait les Lois applicables relatives à la protection des données ;
  • Être responsable de l’exactitude, de la qualité et de la licéité des Données à caractère personnel fournies à Ampliro, ainsi que de la manière dont le Responsable du traitement choisit d’utiliser les Services.

7. Sous-traitants ultérieurs

7.1 Sous-traitants ultérieurs autorisés
Le Responsable du traitement accorde à Ampliro une autorisation générale de faire appel à des Sous-traitants ultérieurs pour le Traitement des Données à caractère personnel pour le compte du Responsable du traitement, sous réserve qu’Ampliro :

  • Veille à ce que chaque Sous-traitant ultérieur soit lié par des obligations écrites en matière de protection des données au moins aussi protectrices que celles énoncées dans le présent DPA ; et
  • Reste pleinement responsable envers le Responsable du traitement de l’exécution des obligations du Sous-traitant ultérieur.

7.2 Sous-traitants ultérieurs actuels
La liste actuelle des Sous-traitants ultérieurs utilisés en lien avec les Services est disponible à l’adresse suivante :

Cette liste peut être mise à jour de temps à autre.

7.3 Modifications des Sous-traitants ultérieurs
Ampliro notifiera toute modification envisagée des Sous-traitants ultérieurs (par exemple en mettant à jour la Liste des sous-traitants ultérieurs et/ou via le Service ou par e-mail). Le Responsable du traitement peut s’opposer à ces modifications pour des motifs raisonnables liés à la protection des données. Si le Responsable du traitement s’y oppose raisonnablement et que les parties ne parviennent pas à une solution mutuellement acceptable, le Responsable du traitement peut résilier les Services concernés conformément à l’Accord.


8. Transferts internationaux de données

8.1 Transferts
Dans la mesure où Ampliro ou ses Sous-traitants ultérieurs transfèrent des Données à caractère personnel depuis l’EEE, le Royaume-Uni ou la Suisse vers un Pays tiers, ce transfert sera effectué conformément aux Lois applicables relatives à la protection des données, y compris, le cas échéant :

  • L’utilisation des clauses contractuelles types de la Commission européenne (SCCs) pour le transfert de Données à caractère personnel vers des Pays tiers ; et/ou
  • Tout mécanisme de transfert équivalent ou de remplacement reconnu par les Lois applicables relatives à la protection des données (par ex. l’addendum britannique relatif au transfert international de données).

8.2 Garanties complémentaires
Ampliro fournira au Responsable du traitement, sur demande écrite, des informations sur les mécanismes de transfert en place pour les scénarios de transfert pertinents et, lorsque nécessaire, conclura des accords et garanties supplémentaires appropriés.


9. Mesures de sécurité

Ampliro mettra en œuvre et maintiendra des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, compte tenu de la nature, de la portée, du contexte et des finalités du Traitement, ainsi que des risques dont le degré de probabilité et de gravité varie pour les droits et libertés des Personnes concernées. Ces mesures comprennent, sans s’y limiter, celles décrites dans l’Annexe 1 – Mesures techniques et organisationnelles, et peuvent inclure :

  • Le chiffrement des données au repos et en transit (par ex. TLS 1.3 pour les données en transit) ;
  • L’utilisation de signatures cryptographiques robustes (par ex. Ed25519) pour l’intégrité et la vérification des certificats ;
  • Des contrôles d’accès, l’authentification et les principes du moindre privilège pour le personnel et les composants du système ;
  • La surveillance régulière de la sécurité, la journalisation et l’audit des accès aux Données à caractère personnel ;
  • Des pratiques sécurisées de développement et de déploiement logiciels.

Ampliro peut mettre à jour ses mesures techniques et organisationnelles de temps à autre, sous réserve que ces mises à jour ne réduisent pas substantiellement le niveau global de protection.


10. Notification des violations de données

En cas de Violation de données à caractère personnel affectant des Données à caractère personnel traitées pour le compte du Responsable du traitement, Ampliro devra :

  • Notifier le Responsable du traitement dans les meilleurs délais après avoir pris connaissance de la Violation de données à caractère personnel et, si possible, au plus tard dans un délai de 72 heures ; et
  • Fournir les informations raisonnablement disponibles à Ampliro concernant :
    • La nature de la Violation de données à caractère personnel ;
    • Les catégories et le nombre approximatif de Personnes concernées et d’enregistrements de Données à caractère personnel concernés ;
    • Les conséquences probables de la Violation de données à caractère personnel ;
    • Les mesures prises ou proposées pour remédier à la Violation de données à caractère personnel et atténuer ses éventuels effets négatifs.

Ampliro coopérera avec le Responsable du traitement et prendra des mesures raisonnables pour aider le Responsable du traitement à respecter toute obligation de notification aux autorités de contrôle ou aux Personnes concernées en vertu des Lois applicables relatives à la protection des données.


11. Droits des Personnes concernées

Compte tenu de la nature du Traitement, Ampliro aidera le Responsable du traitement, par des mesures techniques et organisationnelles appropriées et dans la mesure du possible, à s’acquitter de son obligation de répondre aux demandes d’exercice des droits des Personnes concernées, y compris :

  • Droit d’accès (article 15 GDPR) ;
  • Droit de rectification (article 16 GDPR) ;
  • Droit à l’effacement (article 17 GDPR) ;
  • Droit à la limitation du traitement (article 18 GDPR) ;
  • Droit à la portabilité des données (article 20 GDPR) ;
  • Droit d’opposition (article 21 GDPR).

Si une Personne concernée contacte directement Ampliro avec une demande relative à des Données à caractère personnel traitées en vertu du présent DPA, Ampliro informera, dans la mesure permise par la loi, la Personne concernée que la demande doit être adressée au Responsable du traitement concerné et transmettra rapidement cette demande au Responsable du traitement.


12. Droits d’audit et d’inspection

12.1 Documentation et informations
Ampliro mettra à la disposition du Responsable du traitement les informations raisonnablement nécessaires pour démontrer le respect de ses obligations en vertu du présent DPA et des Lois applicables relatives à la protection des données, ce qui peut inclure :

  • Une documentation décrivant les mesures techniques et organisationnelles pertinentes ;
  • Une documentation de sécurité standard et/ou des attestations de tiers (si disponibles).

12.2 Audits
Lorsque cette documentation n’est pas suffisante pour démontrer la conformité, le Responsable du traitement peut, à ses propres frais et sous réserve d’un préavis raisonnable (au moins 30 jours), réaliser ou faire réaliser un audit, y compris des inspections, des installations, systèmes et documents pertinents d’Ampliro, limité à ce qui est nécessaire pour vérifier la conformité d’Ampliro au présent DPA. Tout audit devra :

  • Être réalisé pendant les heures normales d’ouverture ;
  • Ne pas interférer de manière déraisonnable avec les activités d’Ampliro ;
  • Être soumis à des obligations de confidentialité appropriées ;
  • Être limité à une fois tous les 12 mois, sauf si les Lois applicables relatives à la protection des données exigent des audits plus fréquents à la suite d’une Violation de données à caractère personnel ou en vertu d’exigences spécifiques d’une autorité de contrôle.

13. Suppression et restitution des Données à caractère personnel

13.1 À la résiliation
À la résiliation ou à l’expiration de l’Accord, ou sur demande écrite du Responsable du traitement, Ampliro devra :

  • Supprimer ou anonymiser les Données à caractère personnel traitées pour le compte du Responsable du traitement ; ou
  • Restituer les Données à caractère personnel au Responsable du traitement dans un format électronique couramment utilisé, si cela est demandé et techniquement possible,

sauf si Ampliro est tenue par les Lois applicables relatives à la protection des données de conserver tout ou partie des Données à caractère personnel pendant une période plus longue (par exemple à des fins juridiques, fiscales ou comptables).

13.2 Sauvegardes et journaux
Les Données à caractère personnel stockées dans des sauvegardes ou des journaux archivés seront protégées de manière sécurisée et, lorsque cela est possible, écrasées ou supprimées conformément aux cycles standard de sauvegarde et de conservation d’Ampliro.

13.3 Données agrégées et anonymisées
Aucune disposition du présent DPA n’empêche Ampliro de conserver ou d’utiliser des données anonymisées ou agrégées qui ne peuvent pas être utilisées pour identifier une personne, conformément aux Lois applicables relatives à la protection des données.


14. Divers

14.1 Limitation de responsabilité
Toute limitation de responsabilité convenue entre les parties dans l’Accord s’applique également au présent DPA, dans la mesure permise par les Lois applicables relatives à la protection des données.

14.2 Divisibilité
Si une disposition du présent DPA est jugée invalide ou inopposable, les dispositions restantes demeureront pleinement en vigueur et de plein effet.

14.3 Droit applicable et juridiction
Le présent DPA sera régi et interprété conformément au droit applicable et à la juridiction indiqués dans l’Accord, sauf disposition contraire requise par les Lois applicables relatives à la protection des données.


15. Contact

Pour toute demande liée à la protection des données et à la confidentialité concernant le présent DPA ou le traitement des Données à caractère personnel par Ampliro en lien avec Diplino, le Responsable du traitement peut contacter :

  • E-mail : privacy@diplino.com
  • Adresse postale :
    Ampliro AB
    Attn: Privacy / Diplino
    Warfvinges väg 31
    112 51 Stockholm
    Sweden

Annexe 1 – Mesures techniques et organisationnelles

Sans préjudice de l’obligation d’Ampliro de mettre en œuvre des mesures appropriées en vertu de l’article 32 GDPR et d’autres Lois applicables relatives à la protection des données, les mesures suivantes illustrent les garanties essentielles mises en œuvre en lien avec le Service Diplino :

  1. Chiffrement et cryptographie

    • Chiffrement des données en transit au moyen de protocoles conformes aux standards du secteur (par ex. TLS 1.3 ou équivalent).
    • Chiffrement des données au repos dans les bases de données et systèmes de stockage sous-jacents.
    • Utilisation de signatures cryptographiques robustes (par ex. Ed25519) pour la signature et la vérification des certificats, garantissant l’intégrité et l’authenticité.
  2. Contrôle d’accès et gestion des identités

    • Contrôle d’accès fondé sur les rôles (RBAC) dans le Service afin de restreindre l’accès aux Données à caractère personnel selon les rôles des utilisateurs (par ex. admin, instructeur).
    • Mécanismes d’authentification forte pour l’accès administratif.
    • Principe du moindre privilège appliqué au personnel interne et aux systèmes accédant aux Données à caractère personnel.
  3. Sécurité du réseau et de l’infrastructure

    • Utilisation d’une infrastructure cloud sécurisée et d’une segmentation du réseau lorsque cela est approprié.
    • Pare-feu, groupes de sécurité et contrôles réseau similaires pour protéger les systèmes de production.
    • Application régulière des correctifs et mises à jour de sécurité.
  4. Journalisation, surveillance et audit

    • Journalisation d’audit des activités des utilisateurs et des accès relatifs aux certificats et aux Données à caractère personnel.
    • Journalisation centralisée et surveillance des événements d’infrastructure pour la détection d’anomalies et la réponse aux incidents.
    • Conservation des journaux d’audit conformément aux besoins de sécurité et de conformité.
  5. Développement et gestion des changements

    • Pratiques sécurisées de développement logiciel, y compris revue de code, contrôle de version et tests.
    • Processus de déploiement contrôlés avec accès restreint aux environnements de production.
    • Séparation des environnements de développement, de préproduction et de production.
  6. Mesures organisationnelles et formation

    • Obligations de confidentialité pour les employés et contractants ayant accès aux Données à caractère personnel.
    • Formation et sensibilisation du personnel aux pratiques de protection des données et de sécurité de l’information.
    • Politiques internes relatives à la protection des données, à la conservation et à la réponse aux incidents.
  7. Continuité d’activité et sauvegarde

    • Sauvegardes régulières des données et procédures de restauration testées afin d’assurer la disponibilité et l’intégrité du Service.
    • Plans de continuité d’activité et de reprise après sinistre pour les systèmes critiques.
  8. Gestion des risques et revues

    • Évaluations périodiques des risques de sécurité et des risques liés à la vie privée relatifs au Service.
    • Revue et amélioration des contrôles de sécurité à la lumière des nouveaux risques, des pratiques du secteur et des exigences légales.

Ampliro peut mettre à jour ou affiner ces mesures au fil du temps, sous réserve que ces modifications n’entraînent pas une réduction substantielle du niveau global de sécurité.