Accord de sous-traitance (RGPD)
Annexe aux Conditions Générales de Vente et d'Utilisation — Version 1.0 — 5 juillet 2026
Le présent accord (« l'Accord ») encadre le traitement des données personnelles réalisé par l'Éditeur pour le compte du Client, conformément à l'article 28 du RGPD. Il complète les CGV/CGU.
1. Rôles des parties
- Le Client est responsable de traitement des données personnelles qu'il saisit dans le Service concernant des tiers (ex. emprunteurs de matériel).
- L'Éditeur (Johann Blanck – Simplement Connecté) agit en qualité de sous-traitant, uniquement sur instruction documentée du Client.
2. Objet et durée
L'Éditeur traite les données pour la seule finalité de fournir le Service Parcéo (hébergement, stockage, mise à disposition des fonctionnalités de gestion de matériel). Le traitement dure le temps de l'abonnement, sauf obligation légale.
3. Nature et finalité du traitement
Collecte, enregistrement, stockage, consultation, structuration et suppression des données saisies par le Client, aux fins de suivi de matériel, de prêts, de retours et de réservations.
4. Catégories de données et de personnes concernées
- Catégories de données : identité des personnes désignées comme emprunteurs (ex. nom, prénom), ainsi que toute donnée saisie librement par le Client dans les champs du Service.
- Personnes concernées : salariés, collaborateurs, prestataires ou tiers du Client, emprunteurs de matériel.
Le Client s'engage à ne saisir aucune donnée sensible (au sens de l'art. 9 du RGPD) et à limiter les données à ce qui est nécessaire.
5. Obligations de l'Éditeur (sous-traitant)
L'Éditeur s'engage à :
- Traiter les données uniquement sur instruction du Client, y compris pour les transferts hors UE (voir art. 8) ;
- Garantir la confidentialité des données et veiller à ce que les personnes autorisées à les traiter s'y engagent ;
- Mettre en œuvre des mesures de sécurité appropriées (art. 32 RGPD) : chiffrement des échanges (HTTPS), hachage des mots de passe, isolation des données par organisation, contrôle d'accès par rôle ;
- Assister le Client pour répondre aux demandes d'exercice des droits des personnes concernées, dans la mesure du possible ;
- Aider le Client à assurer le respect de ses obligations (sécurité, notification de violation, analyses d'impact) ;
- Notifier au Client toute violation de données personnelles dans les meilleurs délais après en avoir pris connaissance ;
- À la fin des prestations, au choix du Client, restituer ou supprimer les données, ainsi que les copies existantes, sauf obligation légale de conservation ;
- Mettre à disposition les informations nécessaires pour démontrer le respect de ses obligations et permettre des audits raisonnables.
6. Obligations du Client (responsable de traitement)
Le Client s'engage à :
- Fournir des instructions licites et documentées ;
- S'assurer qu'il dispose d'une base légale pour le traitement des données qu'il saisit et avoir informé les personnes concernées ;
- Veiller au respect de ses obligations RGPD (information, droits, registre le cas échéant).
7. Sous-traitants ultérieurs
Le Client autorise l'Éditeur à recourir aux sous-traitants ultérieurs suivants pour la fourniture du Service :
| Sous-traitant | Rôle | Localisation |
|---|---|---|
| Netlify, Inc. | Hébergement et stockage | États-Unis |
| Stripe (Payments Europe Ltd. / Stripe, Inc.) | Paiement et abonnements | Irlande / États-Unis |
| Brevo (Sendinblue SAS) | Emails transactionnels | France / UE |
L'Éditeur informe le Client de tout changement (ajout ou remplacement) de sous-traitant ultérieur, permettant au Client de formuler des objections légitimes. Ces sous-traitants sont tenus par des obligations équivalentes à celles du présent Accord.
8. Transferts hors Union européenne
Les transferts vers les États-Unis (Netlify, Stripe) sont encadrés par des clauses contractuelles types (décision 2021/914) et/ou le Data Privacy Framework UE–États-Unis, garantissant un niveau de protection approprié.
9. Violation de données
En cas de violation, l'Éditeur communique au Client toute information utile (nature de la violation, catégories et volume approximatif de données et de personnes concernées, conséquences probables, mesures prises) afin de lui permettre, s'il y a lieu, de notifier la CNIL dans les 72 heures.
10. Sort des données en fin de contrat
À la résiliation, les données du Client sont conservées tant que son compte existe, afin de permettre une reprise. Le Client peut à tout moment exporter ses données ou en demander la suppression. À défaut, elles sont supprimées après une inactivité prolongée (12 mois), sauf obligation légale de conservation.
11. Contact
Point de contact pour toute question relative à la protection des données : contact@simplementconnecte.fr.