Protection des données
Contrat de sous-traitance des données personnelles (DPA)
Dernière mise à jour : 21 avril 2026
Ce contrat est conclu en application de l'article 28 du RGPD entre FYNEO GROUP (sous-traitant) et les Membres du réseau FYNEO Patrimoine (responsables de traitement).
Article 1 — Objet
Le présent Contrat de sous-traitance (ci-après le « DPA ») a pour objet de définir les conditions dans lesquelles FYNEO GROUP (ci-après le « Sous-traitant ») traite les données à caractère personnel pour le compte du Membre du réseau FYNEO Patrimoine (ci-après le « Responsable de traitement »), dans le cadre de l'utilisation de la Plateforme hub.fyneo.org.
Le présent DPA est conclu en application de l'article 28 du Règlement (UE) 2016/679 du 27 avril 2016 (RGPD).
Article 2 — Définitions
Les termes « données à caractère personnel », « traitement », « responsable du traitement », « sous-traitant », « personne concernée », « violation de données à caractère personnel » ont le sens qui leur est donné par le RGPD.
Article 3 — Rôle des parties
3.1. Le Membre — Responsable de traitement
Le Membre CGP est le responsable de traitement des données personnelles de ses clients finaux. Il détermine les finalités et les moyens du traitement dans le cadre de son activité de conseil en gestion de patrimoine.
3.2. FYNEO — Sous-traitant
FYNEO GROUP agit en qualité de sous-traitant technique. FYNEO traite les données personnelles des clients finaux uniquement sur instruction documentée du Responsable de traitement et aux seules fins de fourniture des services de la Plateforme.
Article 4 — Description des traitements
| Élément | Description |
|---|---|
| Nature du traitement | Hébergement, stockage, affichage, traitement automatisé (workflows, analyses IA), archivage |
| Finalité | Fourniture des services SaaS de la Plateforme hub.fyneo.org au Membre |
| Catégories de personnes concernées | Clients finaux du Membre CGP (particuliers, entreprises) |
| Catégories de données | Identité (nom, prénom), coordonnées, situation patrimoniale et financière, objectifs d'investissement, profil de risque, documents contractuels, historique des échanges |
| Durée du traitement | Durée de l'adhésion du Membre au réseau FYNEO Patrimoine + durée de conservation légale |
Article 5 — Obligations du Sous-traitant (FYNEO)
FYNEO GROUP s'engage à :
5.1. Traitement sur instruction uniquement
Traiter les données à caractère personnel uniquement sur instruction documentée du Responsable de traitement, y compris en ce qui concerne les transferts de données vers un pays tiers, sauf obligation légale contraire.
5.2. Confidentialité
Veiller à ce que les personnes autorisées à traiter les données s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.
5.3. Mesures de sécurité (Article 32 RGPD)
Mettre en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, incluant notamment :
- le chiffrement des données en transit (TLS/HTTPS) et au repos (chiffrement disque) ;
- des contrôles d'accès stricts (authentification, gestion des rôles, sessions sécurisées) ;
- la pseudonymisation et/ou l'anonymisation des données transmises aux systèmes IA externes ;
- des sauvegardes régulières (sauvegarde PostgreSQL quotidienne, rétention 7 jours) ;
- des tests et évaluations réguliers de l'efficacité des mesures de sécurité ;
- la journalisation des accès et des opérations sensibles (traces d'audit).
5.4. Sous-traitance ultérieure
Ne pas recruter de sous-traitant ultérieur sans l'autorisation écrite préalable, générale ou spécifique, du Responsable de traitement.
Catégories de sous-traitants ultérieurs autorisés :
| Catégorie | Fonction | Localisation |
|---|---|---|
| Hébergeur VPS et base de données | Hébergement de la Plateforme et des données métier | Union européenne |
| Réseau de diffusion de contenu (CDN) | Diffusion des contenus et stockage de fichiers | CDN global, nœuds en Union européenne |
| Prestataire d'envoi d'emails transactionnels | Acheminement des emails de notification et de vérification | Union européenne |
| Prestataire de mesure d'audience | Analyse anonymisée de la fréquentation | Union européenne |
| Prestataire de formulaires en ligne | Collecte des candidatures et demandes | Union européenne |
| Fournisseur d'intelligence artificielle | Assistance à l'analyse et à l'extraction documentaire (données anonymisées uniquement) | Union européenne et/ou États-Unis (voir § 7) |
| Solution de signature électronique (auto-hébergée) | Signature de conventions et mandats | Union européenne |
5.5. Assistance au Responsable de traitement
Aider le Responsable de traitement à s'acquitter de son obligation de donner suite aux demandes d'exercice des droits des personnes concernées (accès, rectification, effacement, portabilité, opposition, limitation).
5.6. Notification des violations
Notifier le Responsable de traitement dans les meilleurs délais (et au plus tard 48 heures) après en avoir pris connaissance, de toute violation de données à caractère personnel.
5.7. Suppression ou restitution
Au terme de la prestation de services (résiliation de l'adhésion), supprimer toutes les données à caractère personnel ou les renvoyer au Responsable de traitement, selon le choix de ce dernier, et détruire les copies existantes, sauf obligation légale de conservation.
Le Membre dispose d'un délai de 30 jours après la résiliation pour demander l'export de ses données. Passé ce délai, les données seront supprimées de manière sécurisée.
Article 6 — Obligations du Responsable de traitement (Membre)
Le Membre s'engage à :
- fournir à FYNEO des instructions documentées et licites ;
- s'assurer de la licéité des traitements effectués pour son compte (bases légales, information des personnes concernées, recueil du consentement si nécessaire) ;
- informer ses clients finaux de l'existence du sous-traitant technique (FYNEO) dans sa propre politique de confidentialité ;
- notifier FYNEO de toute demande d'exercice de droits émanant d'une personne concernée dont les données sont hébergées sur la Plateforme ;
- respecter ses propres obligations déontologiques et réglementaires en matière de conservation des données (obligations CIF, archivage 5 ans minimum des pièces du dossier client).
Article 7 — Transferts hors UE/EEE
Les données personnelles sont hébergées et traitées principalement au sein de l'Union européenne (Pays-Bas, Allemagne, France, Belgique).
En cas de recours à des sous-traitants ultérieurs situés hors de l'UE/EEE (notamment Anthropic — États-Unis, Cloudflare — infrastructure globale) :
- seules des données anonymisées ou pseudonymisées sont transmises aux services IA hors UE ;
- les transferts sont encadrés par les clauses contractuelles types (CCT) approuvées par la Commission européenne, ou par la décision d'adéquation applicable le cas échéant (EU-US Data Privacy Framework) ;
- FYNEO s'engage à mettre en œuvre des mesures supplémentaires si nécessaire (chiffrement, anonymisation préalable).
Article 8 — Traitement par les systèmes d'intelligence artificielle
8.1. Anonymisation préalable obligatoire
Aucune donnée à caractère personnel n'est transmise aux systèmes IA externes (Claude API — Anthropic, Mistral AI) sans anonymisation préalable.
- supprime, masque ou remplace toute donnée permettant l'identification directe ou indirecte des personnes concernées ;
- est appliqué avant toute transmission aux API IA ;
- fait l'objet d'une réinjection contrôlée des données après génération des résultats, uniquement dans l'environnement sécurisé de la Plateforme.
8.2. Pas d'entraînement sur les données
FYNEO s'assure contractuellement que les fournisseurs IA n'utilisent pas les données transmises (même anonymisées) pour entraîner, améliorer ou affiner leurs modèles.
8.3. Traces d'audit
Toutes les interactions avec les systèmes IA sont journalisées (traces d'audit horodatées) à des fins de contrôle de conformité et d'auditabilité.
Article 9 — Audit
Le Responsable de traitement (ou un auditeur mandaté) peut vérifier le respect des obligations du présent DPA. FYNEO met à disposition les informations nécessaires et contribue aux audits dans des conditions raisonnables (préavis de 30 jours, horaires ouvrables, confidentialité des résultats).
Article 10 — Durée
Le présent DPA entre en vigueur à la date de création du compte Membre et reste en vigueur pendant toute la durée de l'adhésion au réseau FYNEO Patrimoine, augmentée de la durée de conservation légale des données.
Article 11 — Droit applicable
Le présent DPA est régi par le droit français. Tout litige est soumis aux juridictions compétentes conformément aux CGV.