Accord de sous-traitance (DPA).

Ce document encadre la sous-traitance, au sens de l'article 28 du RGPD, des données à caractère personnel que les Conseillers en Investissements Financiers (CIF) et Conseillers en Gestion de Patrimoine (CGP) confient à anø dans le cadre de l'utilisation du logiciel de gestion patrimoniale.

Le CIF est responsable du traitement des données de ses clients. anø agit comme sous-traitant au sens de l'article 4.8 du RGPD, uniquement sur instruction documentée du CIF et dans la limite des finalités décrites par le contrat.

Cette page présente publiquement les clauses du DPA. La signature effective intervient côté administration du compte CIF (clickwrap horodaté) et donne lieu à une preuve cryptographique stable.

Le template v1 comporte huit articles reprenant toutes les clauses obligatoires de l'article 28.3 du RGPD, ainsi que trois annexes matérialisant la chaîne de sous-traitance et les mesures techniques.

Articles.

• Art. 1 — Objet, définitions, documents contractuels.
• Art. 2 — Nature, finalités, catégories de données et de personnes concernées.
• Art. 3 — Obligations du sous-traitant (confidentialité, sécurité, sous-traitants ultérieurs, assistance exercice des droits, notification de violation, audit, fin du contrat).
• Art. 4 — Obligations du responsable du traitement.
• Art. 5 — Transferts hors Union européenne (clauses contractuelles types).
• Art. 6 — Responsabilité et assurance.
• Art. 7 — Durée, modification, résiliation.
• Art. 8 — Droit applicable et juridiction compétente.

Annexes.

• Annexe A — sous-traitants ultérieurs autorisés : Hostinger, Brevo, Stripe, Anthropic (clauses SCC pour ce dernier).
• Annexe B — mesures techniques et organisationnelles (art. 32 RGPD) : AES-256-GCM, HMAC-SHA256, RLS multi-tenant, audit trail append-only, sauvegardes chiffrées, scrubber PII, isolation des environnements.
• Annexe C — personnes autorisées à traiter les données côté anø et côté CIF.

La signature du DPA est clickwrap côté administration du compte CIF. Après la création du compte, une page dédiée présente le PDF intégré, une case à cocher non pré-cochée, et un bouton « Accepter ». L'acceptation entraîne l'insertion d'une ligne dans le registre des signatures (table dpa_signatures) contenant l'horodatage, l'email du signataire, l'adresse IP, le user-agent, le hash SHA-256 du document et le numéro de version.

Pour les CIF souhaitant une signature avec traçabilité renforcée (DocuSign ou Yousign), un mode alternatif est prévu. Le choix de la méthode est enregistré dans le même registre (champ signature_method).

Le PDF v1 est généré une seule fois, avec des métadonnées et un horodatage fixes. Son hash SHA-256 est donc stable dans le temps. Il est stocké dans le champ document_hash du registre des signatures et permet de prouver, à tout moment, que le document signé est exactement celui servi à cette URL.

Toute évolution du contenu donne lieu à un nouveau fichier (par exemple dpa-ano-cif-v2.pdf) et à une nouvelle signature opt-in : la version antérieure reste liée aux signatures antérieures, aucune modification rétroactive n'est possible.

Le template DPA v1 est disponible ci-dessous au format PDF. Il est immuable : les révisions futures sont publiées sous un nouveau numéro de version.

Télécharger le DPA anø ↔ CIF — version 1 (PDF)

Version v1 — publiée le 20 avril 2026. Hash SHA-256 : d62e8f4324971f6e7e5131d6f57af75a3f7d229abdfa324754981d562c98349d.

Pour toute question sur le contenu du DPA, l'ajout d'un sous-traitant ultérieur, ou une demande d'audit : privacy@anoplatform.io.

Voir aussi la page Confidentialité pour la politique de traitement des données du site vitrine et du formulaire beta.