# Data Processing Agreement (DPA)

## 1. Objet du contrat
Ce Data Processing Agreement encadre les traitements de données personnelles réalisés par Nest2Prod (le "Sous-traitant") pour le compte du Client (le "Responsable de traitement") dans le cadre de la fourniture de la plateforme de suivi de production.

## 2. Nature et finalité des traitements
Les traitements portent sur les données nécessaires à la configuration, l’exploitation et la maintenance de la solution Nest2Prod. Ils incluent notamment la gestion des utilisateurs, la supervision des ordres de production, les notifications opérationnelles, l’assistance et l’amélioration continue du service.

## 3. Obligations du sous-traitant
- Traiter les données uniquement sur instruction documentée du Responsable de traitement.
- Garantir la confidentialité des données et former les personnes autorisées à y accéder.
- Mettre en œuvre des mesures de sécurité techniques et organisationnelles appropriées.
- Assister le Responsable de traitement dans le respect de ses obligations en matière de droits des personnes et de notifications.
- Informer le Responsable de traitement de toute violation de données personnelles dans les meilleurs délais.
- Mettre à disposition toutes les informations nécessaires pour démontrer la conformité et permettre les audits raisonnables.

## 4. Liste des sous-traitants
- **OVHcloud** – Hébergement des infrastructures et bases de données (France).
- **Mailgun** – Envoi d’e-mails transactionnels (Union européenne/États-Unis avec clauses contractuelles types).
- **Sentry** – Supervision applicative et gestion des incidents (Union européenne/États-Unis avec clauses contractuelles types).
- Tout autre sous-traitant devra faire l’objet d’une information préalable et d’un engagement de conformité équivalent.

## 5. Durée de conservation
Les données sont conservées pendant la durée du contrat et archivées pendant cinq (5) ans après la fin de la relation contractuelle, sauf obligation légale ou réglementaire contraire ou demande de suppression valide du Responsable de traitement.

## 6. Loi applicable et juridiction compétente
Le présent DPA est régi par le droit français. Tout litige relatif à son interprétation ou à son exécution relève de la compétence exclusive des tribunaux de Nantes, sous réserve des dispositions d’ordre public applicables.