PDFMonkey est-il conforme au RGPD ?

PDFMonkey applique les principes du RGPD : les données sont traitées exclusivement dans l’UE (région AWS Paris), chiffrées en transit et au repos, jamais partagées avec des tiers, et supprimées lorsqu’elles ne sont plus nécessaires. PDFMonkey agit en tant que sous-traitant (Processor) pour votre compte.

PDFMonkey fournit-il un accord de traitement des données (DPA) ?

Oui. PDFMonkey fournit un DPA standard et un accord de sous-traitance des données (DsPA), tous deux disponibles en téléchargement. Si votre organisation nécessite un accord personnalisé, vous pouvez contacter PDFMonkey pour organiser une revue et une signature.

Où sont hébergées les données de PDFMonkey ?

Toute l’infrastructure de PDFMonkey est hébergée sur Amazon Web Services (AWS) dans la région UE (Paris). Cela inclut les serveurs applicatifs, la base de données et le stockage S3. Les données sont traitées exclusivement au sein de l’EEE.

Quels sous-traitants PDFMonkey utilise-t-il ?

PDFMonkey utilise un nombre limité de sous-traitants : AWS (hébergement et stockage), Heroku (hébergement), SendGrid (e-mail), Dropbox (stockage des factures), Svix et Zapier (intégrations), Rollbar et Sentry (journalisation des erreurs), et Cloudflare (DNS). La liste complète est détaillée dans le DPA.

Conformité RGPD de PDFMonkey et accord de traitement des données (DPA)

PDFMonkey aligne ses pratiques de traitement des données sur les exigences du RGPD. Cette page couvre la posture de conformité de l’entreprise, les accords juridiques disponibles et les engagements clés en matière de confidentialité intégrés à la plateforme.

Posture de conformité

PDFMonkey ne détient pas de certification de conformité formelle (telle que SOC 2 ou ISO 27001). En tant que petite entreprise spécialisée, poursuivre ces certifications n’est pas envisageable actuellement. En revanche, PDFMonkey met en place des mesures de sécurité concrètes qui protègent vos données à chaque étape : chiffrement en transit et au repos, hébergement exclusivement européen, contrôles d’accès stricts et rétention des données configurable.

L’absence de certification ne signifie pas l’absence de sécurité

L’absence d’un badge de certification ne reflète pas l’absence de pratiques de sécurité. Les mesures techniques et organisationnelles de PDFMonkey sont documentées dans la page Mesures de sécurité et formalisées dans le DPA ci-dessous.

Rôles RGPD

Lorsque vous utilisez PDFMonkey, les rôles RGPD sont définis comme suit :

Rôle	Partie	Responsabilité
Responsable de traitement	Vous (l’Utilisateur)	Vous déterminez quelles données personnelles sont envoyées à PDFMonkey et dans quel but.
Sous-traitant	PDFMonkey	PDFMonkey traite vos données exclusivement pour générer les Documents que vous demandez, selon vos instructions.

PDFMonkey traite vos données uniquement aux fins de la fourniture du service. Elles ne sont jamais analysées, partagées avec des partenaires, vendues ou utilisées à d’autres fins.

Si vous êtes vous-même sous-traitant agissant pour le compte d’un responsable de traitement (par exemple, en générant des documents pour vos propres clients), PDFMonkey fournit un accord de sous-traitance des données (DsPA) distinct qui formalise la chaîne Responsable de traitement-Sous-traitant-Sous-traitant ultérieur.

Accord de traitement des données (DPA)

PDFMonkey fournit deux accords standard couvrant les obligations de traitement des données au titre du RGPD :

Document	Cas d’utilisation	Lien
Accord de traitement des données (DPA)	Vous êtes le responsable de traitement ; PDFMonkey est votre sous-traitant	Télécharger le DPA (PDF)
Accord de sous-traitance des données (DsPA)	Vous êtes sous-traitant ; PDFMonkey est sous-traitant ultérieur agissant pour le compte de votre responsable de traitement	Télécharger le DsPA (PDF)

Les deux accords sont datés du 1er mars 2023 et couvrent :

Les définitions alignées sur la terminologie du RGPD
Les obligations de traitement des données et les instructions
Les mesures de sécurité et la confidentialité
Les droits d’audit (une fois par an, préavis de 30 jours)
Les procédures de notification de violation de données
Les garanties relatives aux transferts internationaux de données
La liste des sous-traitants approuvés
La suppression des données à la fin du contrat

Besoin d’un accord personnalisé ?

Si votre organisation a besoin que PDFMonkey examine et signe un accord de confidentialité des données personnalisé, contactez-nous. Les demandes relatives au DPA peuvent également être envoyées directement à tinymonkey@pdfmonkey.io.

Engagements clés au titre du RGPD

Les engagements suivants sont formalisés dans le DPA et reflétés dans l’implémentation technique de PDFMonkey :

Hébergement exclusivement européen

Toute l’infrastructure fonctionne sur AWS dans la région UE (Paris). Vos données ne quittent pas l’EEE sauf si un sous-traitant l’exige ; dans ce cas, le transfert est protégé par des garanties conformes au RGPD (décisions d’adéquation ou clauses contractuelles types). Consultez Mesures de sécurité : hébergement européen pour plus de détails.

Limitation de finalité

PDFMonkey traite vos données exclusivement pour générer les Documents que vous demandez. Elles ne sont jamais analysées par PDFMonkey ou un service externe, jamais partagées avec des tiers et jamais utilisées à des fins de profilage ou d’analyse.

Minimisation des données et rétention

Vous contrôlez la durée de stockage de vos données. Chaque Template dispose d’un TTL (Time To Live) configurable qui supprime automatiquement les Documents après l’expiration de la période de rétention. Vous pouvez également supprimer des Documents manuellement à tout moment. Consultez Stockage des données et rétention pour une vue complète de ce qui est stocké et quand les données sont supprimées.

Notification de violation de données

Si PDFMonkey prend connaissance d’une violation de données personnelles affectant vos données, il vous en informe sans délai. La notification inclut la nature et l’étendue de la violation, un point de contact, les conséquences probables et les mesures correctives prises ou proposées.

Suppression des données à la fin du contrat

Lorsque vous supprimez votre compte, PDFMonkey cesse tout traitement et détruit définitivement toutes vos données, y compris les Templates, Documents, fichiers générés et données dynamiques.

Sous-traitants approuvés

PDFMonkey utilise un nombre limité de sous-traitants. Le DPA exige que PDFMonkey vous informe par écrit avant d’ajouter ou de remplacer un sous-traitant, en vous laissant le temps de vous opposer.

Sous-traitant	Finalité
Amazon Web Services	Hébergement et stockage
Heroku	Hébergement
SendGrid	Envoi d’e-mails
Dropbox	Stockage des factures
Svix	Livraison de webhooks
Zapier	Plateforme d’intégration
Rollbar	Journalisation des erreurs
Sentry	Journalisation des erreurs
Cloudflare	Services DNS et réseau

Pour les coordonnées complètes et les liens de conformité de chaque sous-traitant, consultez la section 5 du DPA ou du DsPA.

Questions fréquentes

PDFMonkey possède-t-il une certification SOC 2 ou ISO 27001 ?

Non. PDFMonkey est une petite entreprise et ne détient pas actuellement de certification de conformité formelle. La page Mesures de sécurité décrit les mesures techniques et organisationnelles en place.

Puis-je auditer PDFMonkey ?

Oui. Le DPA vous accorde le droit d’auditer les pratiques de traitement des données de PDFMonkey une fois par an, pendant les heures ouvrables, avec un préavis écrit d’au moins 30 jours. Les frais d’audit sont à votre charge, sauf si l’audit révèle un manquement de la part de PDFMonkey.

Que deviennent mes données si j’annule mon abonnement ?

Lorsque vous supprimez votre compte, PDFMonkey supprime définitivement tous vos Workspaces, Templates, Documents et fichiers générés. Consultez Suppression de compte pour le processus complet.

Mes données sont-elles transférées hors de l’UE ?

PDFMonkey s’engage à traiter les données au sein de l’EEE. Si un sous-traitant nécessite un transfert hors de l’EEE, des garanties conformes au RGPD (décisions d’adéquation ou clauses contractuelles types) sont en place.

Pages associées

Mesures de sécurité : chiffrement, contrôles d’accès et isolation des données
Stockage des données et rétention : quelles données PDFMonkey stocke et pendant combien de temps
Rétention et suppression automatique : configuration du TTL et limites par forfait
Suppression de compte : ce qui se passe lorsque vous supprimez votre compte
Support : comment contacter l’équipe PDFMonkey

Questions fréquentes

PDFMonkey est-il conforme au RGPD ?: PDFMonkey applique les principes du RGPD : les données sont traitées exclusivement dans l’UE (région AWS Paris), chiffrées en transit et au repos, jamais partagées avec des tiers, et supprimées lorsqu’elles ne sont plus nécessaires. PDFMonkey agit en tant que sous-traitant (Processor) pour votre compte.
PDFMonkey fournit-il un accord de traitement des données (DPA) ?: Oui. PDFMonkey fournit un DPA standard et un accord de sous-traitance des données (DsPA), tous deux disponibles en téléchargement. Si votre organisation nécessite un accord personnalisé, vous pouvez contacter PDFMonkey pour organiser une revue et une signature.
Où sont hébergées les données de PDFMonkey ?: Toute l’infrastructure de PDFMonkey est hébergée sur Amazon Web Services (AWS) dans la région UE (Paris). Cela inclut les serveurs applicatifs, la base de données et le stockage S3. Les données sont traitées exclusivement au sein de l’EEE.
Quels sous-traitants PDFMonkey utilise-t-il ?: PDFMonkey utilise un nombre limité de sous-traitants : AWS (hébergement et stockage), Heroku (hébergement), SendGrid (e-mail), Dropbox (stockage des factures), Svix et Zapier (intégrations), Rollbar et Sentry (journalisation des erreurs), et Cloudflare (DNS). La liste complète est détaillée dans le DPA.