Papermark est conforme au RGPD pour l'ensemble de ses flux de travail de salle de données virtuelle, de partage de documents et d'analyse. Nous agissons en tant que sous-traitant de données (au sens du RGPD) pour les clients traitant des données de résidents de l'UE, proposons un Accord de Traitement des Données (DPA) signé, maintenons une liste publique de sous-traitants ultérieurs et prenons en charge la résidence des données dans l'UE pour les déploiements qui l'exigent. Pour la posture complète en matière de sécurité et de conformité (chiffrement, régions d'hébergement, certifications), consultez la page sécurité de Papermark.
Ce guide détaille précisément comment nous répondons à chaque exigence du RGPD et ce que cela signifie pour les clients qui gèrent des flux de travail réglementés par l'UE sur Papermark.
Le Règlement Général sur la Protection des Données (RGPD) est une loi européenne exhaustive sur la protection des données qui régit la manière dont les organisations collectent, traitent, stockent et protègent les données personnelles des résidents de l'UE. Il s'applique à toute organisation traitant des données de résidents de l'UE, quel que soit l'emplacement de l'organisation. Le non-respect peut entraîner des amendes pouvant atteindre 4 % du chiffre d'affaires mondial ou 20 millions d'euros, selon le montant le plus élevé.
Le RGPD repose sur sept principes : traitement licite, limitation des finalités, minimisation des données, exactitude, limitation de la conservation, intégrité et confidentialité, et responsabilité. Pour une VDR traitant des documents commerciaux confidentiels contenant des données personnelles d'employés, d'investisseurs ou de contreparties, la conformité au RGPD n'est pas facultative.
Les salles de données virtuelles traitent régulièrement des données personnelles dans le cadre de workflows de fusions-acquisitions, de levées de fonds et d'audits : dossiers des employés lors de l'audit RH, coordonnées des investisseurs, signataires de contrats clients, données personnelles des investisseurs LP. Quatre raisons rendent la conformité RGPD essentielle pour la sélection d'une VDR.
Portée mondiale. Le RGPD s'applique à toute organisation traitant des données de résidents de l'UE, quel que soit l'emplacement de l'organisation elle-même. Une entreprise américaine levant des fonds auprès de LP européens doit utiliser une VDR conforme au RGPD.
Exposition juridique. Les amendes pour non-conformité sont proportionnelles au chiffre d'affaires mondial : jusqu'à 4 % ou 20 millions d'euros, selon le montant le plus élevé. L'utilisation d'une VDR non conforme crée une responsabilité pour le client, pas seulement pour le fournisseur.
Audit des fournisseurs. Les clients de l'UE exigent de plus en plus une documentation RGPD (DPA, liste des sous-traitants, résidence des données) dans le cadre de l'intégration des fournisseurs. Une VDR non conforme au RGPD échoue à cette vérification.
Confiance des personnes concernées. Les régulateurs et les tribunaux de l'UE examinent de plus en plus attentivement les transferts transfrontaliers, en particulier vers les fournisseurs de cloud américains après l'arrêt Schrems II. Une VDR disposant d'une position RGPD documentée réduit ce risque.
Papermark agit en tant que sous-traitant pour les clients qui sont les responsables du traitement des informations qu'ils téléchargent. Nous traitons les données personnelles selon les instructions du client, telles que définies dans notre accord de traitement des données (DPA).
Papermark traite les données personnelles sur la base de quatre fondements juridiques, selon le cas :
Les personnes concernées (les personnes dont les données sont traitées) peuvent exercer les droits suivants via leur compte ou par une demande formelle :
Les contrôles techniques de Papermark soutenant la conformité au RGPD :
Trois éléments constituent la documentation RGPD au niveau contractuel que les acheteurs européens demandent généralement lors de l'évaluation des fournisseurs.
Un CTD est le contrat juridique entre un responsable du traitement (client) et un sous-traitant (Papermark) qui définit les conditions de traitement, les droits des personnes concernées, les obligations de sécurité et les procédures de notification de violation conformément à l'article 28 du RGPD. Papermark fournit un CTD standard disponible pour consultation et signature, et accepte les modifications spécifiques au client pour les contrats entreprise.
Papermark maintient une liste publique de sous-traitants identifiant chaque tiers qui traite les données clients dans le cadre de la prestation de services (fournisseurs d'infrastructure, livraison d'e-mails, analytique). Pour chaque sous-traitant, la liste documente le service fourni, les données traitées et la juridiction d'exploitation. Les clients sont informés à l'avance de tout changement significatif de sous-traitant.
Pour les clients exigeant que les données restent au sein de l'UE (restrictions de transfert transfrontalier post-Schrems II, secteurs réglementés, exigences de souveraineté des données), Papermark propose :
| Article RGPD | Exigence | Mise en œuvre par Papermark |
|---|---|---|
| Art. 5 | Principes de traitement | Base légale documentée, finalité spécifiée, collecte de données minimisée |
| Art. 6 | Base légale | Contrat, intérêt légitime, consentement, obligation légale selon le cas |
| Art. 12-14 | Transparence et information | Politique de confidentialité, avis sur les cookies, registres au niveau du compte |
| Art. 15-22 | Droits des personnes concernées | Contrôles intégrés au produit et processus de demande formelle |
| Art. 25 | Protection des données dès la conception | Confidentialité examinée dans le cadre du développement produit |
| Art. 28 | Obligations du sous-traitant | DPA signé, activités de traitement documentées |
| Art. 30 | Registre des activités de traitement | ROPA interne maintenu |
| Art. 32 | Sécurité du traitement | AES-256, TLS 1.3, MFA, journal d'audit, SOC 2 Type II |
| Art. 33-34 | Notification de violation | Notification sous 72 heures, réponse aux incidents documentée |
| Art. 35 | AIPD | Réalisée pour les activités de traitement à haut risque |
| Art. 44-50 | Transferts transfrontaliers | Options de résidence UE, CCT pour les transferts internationaux |
Pour les clients basés dans l'UE. Papermark répond aux exigences locales en matière de protection des données, soutient vos obligations de conformité et fournit la documentation DPA et sous-traitants dont votre équipe juridique a besoin pour les évaluations fournisseurs.
Pour les clients internationaux traitant des données européennes. La conformité RGPD de Papermark vous permet de gérer des opérations de fusions-acquisitions, de levées de fonds et d'audits impliquant des résidents de l'UE sans créer de risque de conformité supplémentaire.
Pour les processus d'audit. Les professionnels juridiques et financiers peuvent mener des audits transfrontaliers en sachant que la plateforme répond aux exigences du RGPD en matière de traitement des données personnelles.
Pour les activités de levée de fonds. Les startups levant des fonds auprès de LPs européens peuvent démontrer leur conformité au RGPD par leur choix de VDR, ce qui devient de plus en plus une exigence d'approvisionnement pour les LPs institutionnels européens.
Les analyses de documents page par page fournissent aux responsables du traitement la piste d'audit requise par l'Article 30 :
Pour la liste complète des certifications, régions d'hébergement, normes de chiffrement, ainsi que la DPA publique et la liste des sous-traitants, consultez la page sécurité de Papermark.
| Fonctionnalité | Papermark |
|---|---|
| Conforme au RGPD | ✔️ |
| DPA disponible | ✔️ |
| Liste publique des sous-traitants | ✔️ |
| Résidence des données dans l'UE | ✔️ (entreprise, auto-hébergé) |
| SOC 2 Type II | ✔️ |
| ISO 27001 | Via déploiement auto-hébergé |
| HIPAA | Via auto-hébergé + BAA (entreprise) |
| Chiffrement au repos | AES-256 |
| Chiffrement en transit | TLS 1.3 |
| Authentification multi-facteurs | ✔️ |
| Journalisation des audits | Ajout seul, exportable |
| Notification de violation sous 72h | ✔️ |
| Option auto-hébergée | ✔️ (open-source AGPL) |
La conformité SOC 2 Type II de Papermark expliquée : les cinq critères des services de confiance, le périmètre d'audit et ce que cela signifie pour les fusions-acquisitions, la levée de fonds et les flux de travail VDR réglementés.
Tarification des salles de données virtuelles en 2026 expliquée. Comparez les modèles par page, par utilisateur, par stockage et forfaitaires chez Papermark, Datasite, iDeals, Intralinks et plus de 30 fournisseurs.
Rapport complet 2026 sur les salles de données virtuelles : marché de 4,1 milliards de dollars, workflows IA, 12 transactions majeures, tendances sectorielles, changement de modèle tarifaire et prévisions 2027.
