Accord de traitement des données (DPA)
Le présent accord (« DPA ») encadre le traitement des données à caractère personnel effectué par [Raison sociale] (« le Sous-traitant ») pour le compte du client professionnel (« le Responsable de traitement ») dans le cadre du service Projet Entan, conformément à l’article 28 du RGPD. Il complète les Conditions Générales de Vente et prévaut sur elles en cas de contradiction relative aux données personnelles.
1. Rôles des parties
Le Client détermine les finalités et les moyens du traitement des données qu’il saisit ou importe dans le Service : il en est le Responsable de traitement. L’éditeur traite ces données uniquement pour fournir le Service, sur instruction documentée du Client : il agit en qualité de Sous-traitant.
2. Description du traitement
- Objet : fourniture d’une plateforme SaaS de pilotage de projets et de résolution de problèmes.
- Durée : durée du contrat d’abonnement.
- Nature et finalité : hébergement, stockage, affichage et mise à disposition collaborative des données du Client.
- Catégories de données : données d’identification et de contact des utilisateurs (email, nom affiché), appartenance et rôle dans l’équipe, et contenu saisi par le Client (projets, actions, membres, analyses AMDEC / RDP, coûts, etc.).
- Catégories de personnes concernées : collaborateurs, salariés et membres d’équipe du Client disposant d’un accès, et personnes mentionnées dans les contenus saisis.
- Données sensibles : le Service n’est pas destiné à héberger des catégories particulières de données (art. 9 RGPD).
3. Obligations du Sous-traitant
- Traiter les données uniquement sur instruction documentée du Responsable (le présent DPA et l’usage du Service valant instructions).
- Garantir la confidentialité : seules les personnes habilitées accèdent aux données, sous engagement de confidentialité.
- Mettre en œuvre les mesures de sécurité appropriées (art. 32) décrites dans la fiche de sécurité : isolation des données par projet (Row Level Security), chiffrement en transit et au repos, contrôle d’accès.
- Assister le Responsable pour répondre aux demandes d’exercice de droits des personnes concernées.
- Assister le Responsable pour la sécurité, les notifications de violation et, le cas échéant, les analyses d’impact (AIPD).
- Au terme du contrat, au choix du Responsable, supprimer ou restituer les données dans un délai de [30] jours, puis effacer les copies existantes, sauf obligation légale de conservation.
4. Sous-traitants ultérieurs
Le Responsable autorise le recours aux sous-traitants ultérieurs suivants, présentant des garanties suffisantes au titre du RGPD :
- Supabase — hébergement de la base de données et authentification — Union européenne (Irlande).
- Vercel Inc. — hébergement et diffusion de l’application — États-Unis (garanties : clauses contractuelles types).
- Stripe Payments Europe, Ltd. — traitement des paiements — UE / États-Unis (garanties : clauses contractuelles types).
Le Sous-traitant informe le Responsable de tout changement (ajout ou remplacement) de sous-traitant ultérieur, et lui laisse la possibilité de s’y opposer pour motif légitime.
5. Transferts hors Union européenne
Les données applicatives sont hébergées dans l’Union européenne (Irlande). Certains sous-traitants ultérieurs (Vercel, Stripe) peuvent traiter des données en dehors de l’UE ; ces transferts sont encadrés par les clauses contractuelles types de la Commission européenne ou un mécanisme équivalent.
6. Violation de données
En cas de violation de données à caractère personnel, le Sous-traitant en informe le Responsable sans délai injustifié et au plus tard sous [48] heures après en avoir pris connaissance, en fournissant les éléments utiles permettant au Responsable de respecter ses propres obligations de notification (CNIL / personnes concernées).
7. Audit
Le Sous-traitant met à disposition du Responsable les informations nécessaires pour démontrer le respect de l’article 28 (notamment la fiche de sécurité) et permet la réalisation d’audits raisonnables, sous réserve d’un préavis et de la confidentialité.
8. Durée et fin
Le présent DPA s’applique pendant toute la durée du traitement des données pour le compte du Responsable. Ses obligations de confidentialité et de restitution/suppression survivent à la fin du contrat.
Dernière mise à jour : 29 juin 2026. — [Modèle de contrat de sous-traitance à compléter et à faire valider par un professionnel du droit avant signature avec un client.]