Data Processing Agreement.
Accord de traitement des donnees — Derniere mise a jour : mars 2026
Le present DPA fait partie integrante des Conditions Generales de Vente.
Il s'applique des lors que le Client (responsable de traitement) utilise l'API Kyonis pour traiter des donnees personnelles.
1. Objet
Le present accord definit les conditions dans lesquelles Kyonis SAS (ci-apres le Sous-traitant) traite des donnees personnelles pour le compte du Client (ci-apres le Responsable de traitement), dans le cadre de l'utilisation de l'API KYC/AML Kyonis, conformement a l'article 28 du RGPD.
2. Types de donnees traitees
| Categorie | Donnees concernees |
|---|---|
| Identite | Noms et prenoms des personnes verifiees |
| Etat civil | Dates de naissance |
| Documents | Numeros de documents d'identite (passeport, carte d'identite, permis de conduire) |
| Nationalite | Pays de nationalite |
Personnes concernees : Les clients finaux, beneficiaires effectifs et toute personne soumise a une verification KYC/AML par le Responsable de traitement.
3. Finalites du traitement
- Screening sanctions : verification contre les listes de sanctions internationales (UE, ONU, OFAC, UK HMT).
- Verification KYC : validation de l'identite des personnes conformement aux obligations de vigilance.
- Due diligence : analyse approfondie dans le cadre de la lutte contre le blanchiment d'argent et le financement du terrorisme.
4. Duree de conservation
| Type de donnees | Duree | Justification |
|---|---|---|
| Donnees KYC traitees | 3 ans | Obligation reglementaire LCB-FT |
| Donnees d'audit et traces | 7 ans | Obligation comptable et legale |
A l'expiration des durees de conservation, les donnees sont supprimees de maniere irreversible ou anonymisees.
5. Sous-traitants ulterieurs
Le Sous-traitant fait appel aux sous-traitants ulterieurs suivants, approuves par le Responsable de traitement :
| Sous-traitant | Finalite | Localisation |
|---|---|---|
| Scaleway SAS | Hebergement de l'infrastructure et des donnees | Paris, France |
| Resend | Envoi d'emails transactionnels (notifications) | Conforme RGPD |
| Stripe | Traitement des paiements | Union europeenne |
Tout changement de sous-traitant ulterieur sera notifie au Responsable de traitement avec un preavis de 30 jours. Le Responsable de traitement dispose d'un droit d'opposition.
6. Mesures de securite
Kyonis met en oeuvre les mesures techniques et organisationnelles suivantes :
- Chiffrement en transit : TLS 1.3 sur l'ensemble des communications.
- Chiffrement au repos : AES-256 pour toutes les donnees stockees.
- Audit trail immutable : journalisation de l'ensemble des acces et operations sur les donnees.
- Acces restreint : principe du moindre privilege, authentification multi-facteurs pour les acces administratifs.
- Isolation des donnees : separation logique stricte entre les environnements clients.
- Tests de securite : audits de securite reguliers et tests de penetration.
7. Droits des personnes concernees
Kyonis assiste le Responsable de traitement dans le respect de ses obligations relatives aux droits des personnes concernees :
- Droit d'acces — via les endpoints API RGPD dedies.
- Droit de rectification — mise a jour des donnees via l'API.
- Droit a l'effacement — suppression des donnees via l'endpoint
DELETE /v1/gdpr/subjects/{id}.
Kyonis s'engage a repondre a toute demande du Responsable de traitement dans un delai de 10 jours ouvrables.
8. Notification de violation de donnees
En cas de violation de donnees personnelles, Kyonis s'engage a notifier le Responsable de traitement dans un delai de 72 heures apres en avoir pris connaissance, conformement a l'article 33 du RGPD.
La notification comprendra :
- La nature de la violation (categories et nombre approximatif de personnes concernees).
- Les consequences probables de la violation.
- Les mesures prises ou proposees pour remedier a la violation.
- Le point de contact du DPO : dpo@kyonis.com
9. Transferts hors Union europeenne
Aucun transfert de donnees personnelles hors de l'Union europeenne n'est effectue.
L'ensemble de l'infrastructure est hebergee en France (Scaleway, Paris). Stripe opere exclusivement au sein de l'UE. Resend est conforme au RGPD. Les clauses contractuelles types ne sont donc pas applicables, l'integralite du traitement etant effectuee en France et dans l'Union europeenne.
10. Audit
Le Responsable de traitement dispose d'un droit d'audit, exercable une fois par an avec un preavis de 30 jours. Kyonis s'engage a fournir toute information necessaire pour demontrer le respect de ses obligations au titre du present DPA et de l'article 28 du RGPD.
11. Duree et resiliation
Le present DPA est en vigueur pendant toute la duree du contrat principal (CGV). En cas de resiliation, Kyonis s'engage a supprimer ou restituer l'ensemble des donnees personnelles traitees dans un delai de 30 jours, sauf obligation legale de conservation.