TxLens Pro

Data Processing Agreement (DPA)

Version v1.0-draft — 2026-04-23 — Art. 28 RGPD

Version draft. Revue DPO / avocat spécialisé RGPD en cours.

1. Parties

Responsable du traitement : le cabinet Utilisateur du Service. Sous-traitant : S2M Consulting SAS, SIREN 819 859 273, 10 rue des Rambervilliers, 75012 Paris.

2. Nature et objet du traitement

Hébergement et exploitation du Service TxLens Pro : stockage des comptes, dossiers, logs d'audit, facturation.

3. Données traitées

  • Comptes : email, horodatage, IP, user-agent.
  • Métadonnées dossier : nom interne, adresses on-chain saisies, notes.
  • Facturation : identifiants Stripe, factures, montants.
  • Logs d'audit.

Le Sous-traitant ne collecte ni ne stocke la correspondance client-avocat. L'Utilisateur est seul responsable de ne saisir aucune information protégée par le secret professionnel (art. 66-5 loi n°71-1130).

4. Personnes concernées

Avocats et collaborateurs du cabinet ; le cas échéant, tiers identifiés par adresse wallet publique saisie en dossier.

5. Finalités

Fourniture du Service, sécurisation, facturation, support, obligations légales.

6. Durée de conservation

  • Données métier : durée de l'abonnement + grâce 30 jours, puis purge automatique. Paramétrable jusqu'à 2 ans.
  • Logs d'audit : 365 jours.
  • Facturation : 10 ans (obligation comptable).

7. Localisation et transferts

Hébergement France (Paris 75012). Sous-traitants UE uniquement. Aucun transfert hors UE.

8. Mesures de sécurité (art. 32 RGPD)

  • TLS 1.3 in-transit, LUKS + AES-256-GCM champ-level at-rest.
  • Auth passwordless magic-link, TTL 15 min, rate-limit email + IP.
  • Logs audit horodatés, accès restreint administrateur éditeur.
  • Sauvegardes chiffrées quotidiennes, rétention 30 jours.

9. Sous-traitants ultérieurs

Sous-traitant Rôle Localisation
Stripe Payments Europe, LtdPaiementDublin, IE
Sendinblue SAS (Brevo)Email transactionnelParis, FR
Hostinger InternationalEnregistrement de domainesUE

Notification préalable 30 jours en cas d'ajout / retrait. Droit d'opposition motivé du Responsable.

10. Notification d'incident

Notification au Responsable sous 72 heures à compter de la découverte effective d'une violation.

11. Droits des personnes

Accès, rectification, effacement, limitation, opposition, portabilité. Export JSON self-service. Demandes transmises au Responsable sous 5 jours ouvrés.

12. Audit

1 audit / an sur préavis de 30 jours. Questionnaires standards (CAIQ) acceptés.

13. Fin de la prestation

Sur option du Responsable sous 30 jours : restitution JSON complet puis destruction, ou destruction directe. Attestation de destruction délivrée sur demande.

14. Droit applicable

Droit français. Tribunaux de Paris.