CCapiwise

Accord de traitement des données.

Annexe au contrat de service · Dernière mise à jour : 5 mai 2026.

Version provisoire (Module 14 V1). Ce document contient un placeholder standard pour les besoins de la beta privée. Une version finale validée par un conseil juridique sera publiée avant la mise en production. Pour toute question, écrivez à legal@capiwise.com.

1. Objet

Le présent Accord de traitement des données (« DPA ») encadre les traitements de données à caractère personnel effectués par Capiwise SAS (« le Sous-traitant ») pour le compte de l’organisation cliente (« le Responsable de traitement ») dans le cadre de l’utilisation de la plateforme Capiwise. Il constitue une annexe au contrat de service principal et s’applique de plein droit dès la création d’un compte.

2. Description du traitement

  • Nature : hébergement et traitement de données salariales et financières relatives aux plans d’actionnariat (BSPCE, AGA, SO, BSA, RSU).
  • Catégories de personnes : collaborateurs administrateurs, bénéficiaires de plans, dirigeants et membres du conseil.
  • Catégories de données : identité, coordonnées, données salariales, données fiscales (chiffrées via Supabase Vault), coordonnées bancaires (chiffrées).
  • Durée : durée du contrat principal + 10 ans (conservation légale).

3. Obligations du Sous-traitant

Capiwise s’engage à :

  • Ne traiter les données que sur instruction documentée du Responsable de traitement.
  • Garantir la confidentialité des personnes habilitées à traiter les données (clauses internes + RBAC granulaire).
  • Mettre en œuvre des mesures de sécurité conformes à l’article 32 du RGPD : chiffrement au repos et en transit, isolation par tenant (RLS), audit trail tamper-evident.
  • N’avoir recours qu’aux sous-traitants ultérieurs listés à l’article 4 de la Politique de confidentialité, et notifier le Responsable de tout changement avec un préavis de 30 jours.
  • Aider le Responsable à répondre aux demandes d’exercice de droits des personnes concernées et à respecter les obligations des articles 32 à 36 du RGPD.
  • Notifier au Responsable toute violation de données dans les 72 heures.

4. Localisation des données

Les données sont stockées dans des centres de données situés dans l’Espace Économique Européen (Supabase, région eu-west-1 Irlande). Les sous-traitants ultérieurs situés hors EEE (Vercel, Resend) sont liés par des Clauses Contractuelles Types (SCC) et des accords de transfert de données conformes à la jurisprudence Schrems II.

5. Audit et conformité

Le Responsable peut demander une fois par an, sous préavis de 30 jours, un audit de conformité à ce DPA. Capiwise fournit également sur demande les rapports de tests d’intrusion et de conformité ISO 27001 dès que ces certifications seront obtenues.

6. Effacement et restitution

En fin de contrat, le Responsable peut demander l’effacement ou la restitution intégrale des données dans un délai de 30 jours, hors obligations de conservation légale (registres d’actionnariat IFRS 2.46).

7. Contact

Délégué à la protection des données : legal@capiwise.com.

© 2026 Capiwise · plateforme française d’actionnariat salarié