Accord de traitement des données (DPA)

Dernière mise à jour : 22 juin 2025

1. Parties contractantes

1.1 Responsable de traitement (Client)

Le Conseiller en Gestion de Patrimoine (CGP) utilisant les services Winch.

1.2 Sous-traitant (Winch)

Winch SAS Siège social : Paris, France Capital social : XXX euros SIRET : XXX XXX XXX XXXXX Email : [email protected]

2. Objet et durée

2.1 Objet

Le présent accord définit les conditions dans lesquelles Winch traite les données personnelles des clients finaux pour le compte des CGP, conformément au RGPD.

2.2 Durée

Cet accord prend effet à la signature du contrat de services et perdure pendant toute la durée de la relation contractuelle.

3. Nature et finalité du traitement

3.1 Nature du traitement

• Collecte et stockage des données clients
• Gestion des comptes rémunérés
• Orchestration des flux financiers
• Reporting et analyses

3.2 Finalités

• Principale : Fourniture des services d’infrastructure financière
• Secondaire : Respect des obligations réglementaires (KYC/AML)

3.3 Catégories de données traitées

• Données d’identification : nom, prénom, date de naissance, nationalité
• Données de contact : adresse, email, téléphone
• Données financières : revenus, patrimoine, profil de risque, historique transactionnel
• Données KYC/AML : pièces d’identité, justificatifs, origine des fonds

3.4 Catégories de personnes concernées

• Clients finaux des CGP résidant dans l’Union européenne
• Représentants légaux et bénéficiaires effectifs des personnes morales

4. Obligations du sous-traitant (Winch)

4.1 Traitement conforme

Winch s’engage à :

• Traiter les données uniquement sur instruction documentée du CGP
• Garantir la confidentialité des personnes habilitées au traitement
• Mettre en œuvre les mesures de sécurité appropriées
• Ne pas transférer les données hors UE sans garanties appropriées

4.2 Assistance au responsable de traitement

Winch assiste le CGP pour :

• Répondre aux demandes d’exercice de droits des personnes concernées
• Réaliser les analyses d’impact sur la protection des données (AIPD)
• Notifier les violations de données dans les 72 heures
• Fournir les informations nécessaires aux audits

4.3 Mesures de sécurité techniques

• Chiffrement : Données chiffrées en transit (TLS 1.3) et au repos (AES-256)
• Authentification : Authentification multi-facteurs obligatoire
• Contrôle d’accès : Principe du moindre privilège
• Surveillance : Monitoring 24/7 et détection d’intrusion

4.4 Mesures de sécurité organisationnelles

• Formation : Personnel formé à la protection des données
• Accès : Accès limité aux seules personnes habilitées
• Procédures : Procédures documentées de gestion des incidents
• Audits : Audits de sécurité réguliers

5. Sous-traitance ultérieure

5.1 Sous-traitants autorisés

Winch peut faire appel aux sous-traitants suivants :

Sous-traitant	Service	Localisation	Garanties
Memo Bank	Établissement de crédit	France	Agrément BCE/ACPR n°17515
Duna	Services financiers	UE	Réglementation européenne
Fly.io	Hébergement infrastructure	Datacenters UE	Clauses contractuelles types
PostHog	Analytics (Cloud EU)	Francfort, Allemagne	Instance européenne RGPD

5.2 Nouvelles sous-traitances

Pour tout nouveau sous-traitant, Winch :

• Informe le CGP avec un préavis de 30 jours
• Permet au CGP de s’opposer pour des motifs légitimes
• Impose les mêmes obligations de protection des données

6. Transferts internationaux

6.1 Principe

Les données sont traitées exclusivement au sein de l’Union européenne.

6.2 Exception - Fly.io

Pour Fly.io (société US avec datacenters européens) :

• Garanties : Clauses contractuelles types de la Commission européenne
• Mesures supplémentaires : Chiffrement renforcé, contrôles d’accès stricts
• Localisation : Données stockées uniquement sur les serveurs européens

7. Droits des personnes concernées

7.1 Procédures d’assistance

Winch met en place des procédures pour assister le CGP dans :

• Droit d’accès : Export des données dans un délai de 72h
• Droit de rectification : Correction via interface ou API
• Droit à l’effacement : Suppression définitive sous 30 jours
• Droit à la portabilité : Export au format JSON/CSV
• Droit d’opposition : Blocage du traitement
• Droit à la limitation : Marquage des données

7.2 Délais de réponse

• Demandes urgentes : 24 heures
• Demandes standard : 72 heures
• Demandes complexes : 7 jours ouvrés

8. Violation de données personnelles

8.1 Notification

En cas de violation, Winch :

• Notifie le CGP dans les 24 heures
• Fournit toutes les informations disponibles
• Assiste dans la notification aux autorités si requise
• Met en œuvre les mesures correctives

8.2 Documentation

Winch documente toute violation avec :

• Nature et circonstances de la violation
• Catégories et nombre de personnes concernées
• Conséquences probables
• Mesures prises ou envisagées

9. Contrôles et audits

9.1 Droit d’audit

Le CGP peut :

• Demander des rapports de conformité annuels
• Réaliser des audits sur site avec préavis de 30 jours
• Faire appel à un auditeur tiers certifié
• Accéder aux journaux d’activité

9.2 Certifications

Winch maintient les certifications suivantes :

• ISO 27001 : Système de management de la sécurité
• SOC 2 Type II : Contrôles de sécurité et disponibilité
• Conformité RGPD : Audit annuel par un DPO externe

10. Restitution et effacement des données

10.1 Fin de contrat

À la fin du contrat, Winch :

• Restitue toutes les données au format demandé
• Supprime définitivement toutes les copies
• Fournit une attestation de destruction
• Respecte un délai maximum de 90 jours

10.2 Conservation légale

Exception pour les données devant être conservées pour :

• Obligations comptables (10 ans)
• Obligations KYC/AML (5 ans)
• Contentieux en cours

11. Responsabilité et assurance

11.1 Responsabilité

Winch souscrit une assurance responsabilité civile professionnelle couvrant :

• Violations de données : jusqu’à 10 millions d’euros
• Responsabilité civile : jusqu’à 5 millions d’euros
• Cyber-risques : jusqu’à 2 millions d’euros

11.2 Limitation

La responsabilité de Winch est limitée aux dommages directs et prévisibles, dans la limite des montants assurés.

12. Formation et sensibilisation

12.1 Personnel Winch

• Formation RGPD obligatoire pour tout le personnel
• Mise à jour annuelle des connaissances
• Signature d’engagements de confidentialité
• Tests réguliers de sensibilisation

12.2 Support CGP

Winch propose :

• Sessions de formation RGPD pour les CGP
• Documentation de conformité
• Support technique pour la mise en conformité
• Veille réglementaire

13. Gouvernance des données

13.1 Comité de gouvernance

Un comité de gouvernance se réunit trimestriellement pour :

• Examiner la conformité RGPD
• Valider les évolutions techniques
• Analyser les incidents de sécurité
• Planifier les audits

13.2 Reporting

Winch fournit au CGP :

• Rapport trimestriel de conformité
• Statistiques de traitement des demandes
• Bilan annuel de sécurité
• Alertes en temps réel sur les incidents

14. Évolution de l’accord

14.1 Modifications

Cet accord peut être modifié pour :

• Évolutions réglementaires
• Changements techniques
• Amélioration de la protection

14.2 Notification

Toute modification est notifiée avec un préavis de 60 jours et nécessite l’accord des deux parties.

15. Droit applicable et juridiction

15.1 Droit applicable

Cet accord est régi par le droit français et le RGPD.

15.2 Résolution des litiges

• Médiation : Tentative de médiation préalable
• Juridiction : Tribunaux de Paris en cas d’échec de la médiation

16. Contacts

16.1 Délégué à la protection des données (DPO)

• Email : [email protected]
• Téléphone : +33 (0)X XX XX XX XX

16.2 Responsable sécurité

• Email : [email protected]
• Urgences 24/7 : +33 (0)X XX XX XX XX

---

Cet accord de traitement des données est conforme au RGPD (articles 28 et suivants) et aux recommandations de la CNIL. Il fait partie intégrante du contrat de services Winch.