Accord de sous-traitance (DPA)
Dernière mise à jour : 12 juillet 2026
1. Objet et cadre
Le présent accord (« DPA ») encadre le traitement, par OptiSécurité (« le Sous-traitant »), des données à caractère personnel pour le compte du client professionnel utilisateur du Service (« le Responsable de traitement »), conformément à l'article 28 du Règlement (UE) 2016/679 (« RGPD »). Il fait partie intégrante du contrat conclu entre les parties (CGU/CGV).
Il concerne exclusivement les données que le Responsable saisit ou collecte via le Service (par exemple les données de ses clients finaux). Les données du compte du Responsable lui-même relèvent de la politique de confidentialité, pour laquelle OptiSécurité est responsable.
2. Description du traitement
| Élément | Détail |
|---|---|
| Nature et finalité | Hébergement et traitement des données nécessaires à la fourniture du back-office et de la page de réservation en ligne (gestion des courses, planning, CRM, facturation, notifications). |
| Durée | La durée de l'abonnement au Service, sous réserve des obligations de fin de contrat (article 7). |
| Catégories de personnes concernées | Clients finaux et prospects du Responsable (passagers), et le cas échéant ses chauffeurs et collaborateurs. |
| Catégories de données | Identité (nom, prénom), coordonnées (e-mail, téléphone), adresses de trajet et géolocalisation associée, données de course (date, distance, durée, prix), données de facturation. Aucune donnée sensible n'est requise par le Service. |
Le Responsable s'engage à ne pas introduire dans le Service de catégories particulières de données (article 9 RGPD) ni de données relatives à des infractions, sauf accord écrit préalable et encadrement spécifique.
3. Instructions
Le Sous-traitant ne traite les données que sur instruction documentée du Responsable. L'utilisation du Service, sa configuration et le présent DPA constituent les instructions initiales. Le Sous-traitant informe le Responsable s'il estime qu'une instruction constitue une violation du RGPD.
4. Obligations du Sous-traitant
- Confidentialité : veiller à ce que les personnes autorisées à traiter les données s'y engagent ou soient soumises à une obligation légale de confidentialité.
- Sécurité (article 32) : mettre en œuvre des mesures techniques et organisationnelles appropriées — cloisonnement strict des données par client, hachage des mots de passe, chiffrement des échanges (HTTPS), contrôle des accès, limitation des tentatives de connexion, journalisation.
- Assistance : aider le Responsable, dans la mesure du possible, à répondre aux demandes d'exercice des droits des personnes, et à respecter ses obligations de sécurité, de notification de violation et d'analyse d'impact (articles 32 à 36).
- Violation de données : notifier au Responsable toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance, avec les informations utiles.
- Registre : tenir un registre des catégories de traitements effectués pour le compte du Responsable.
5. Sous-traitants ultérieurs
Le Responsable autorise le Sous-traitant à recourir aux sous-traitants ultérieurs suivants, soumis aux mêmes obligations de protection des données :
| Sous-traitant | Finalité | Localisation |
|---|---|---|
| OVH | Hébergement des données | Union européenne |
| Stripe | Paiement des abonnements | UE / hors UE (garanties appropriées) |
| [À COMPLÉTER : prestataire e-mail (SMTP)] | Envoi des e-mails transactionnels | [À COMPLÉTER : localisation] |
Le Sous-traitant informe le Responsable de tout changement prévu concernant l'ajout ou le remplacement d'un sous-traitant ultérieur, laissant au Responsable la possibilité de s'y opposer.
6. Transferts hors Union européenne
Tout transfert de données hors de l'Union européenne est encadré par des garanties appropriées au sens du chapitre V du RGPD (notamment les clauses contractuelles types). [À COMPLÉTER : préciser les transferts et garanties applicables]
7. Sort des données en fin de contrat
Au terme de la prestation, le Sous-traitant, au choix du Responsable, restitue les données (export) puis les supprime, dans un délai de [À COMPLÉTER : délai — ex. 30 jours] suivant la fin du contrat, sauf obligation légale de conservation.
8. Audit
Le Sous-traitant met à la disposition du Responsable les informations nécessaires pour démontrer le respect des obligations du présent article et permet la réalisation d'audits, dans des conditions raisonnables convenues entre les parties et préservant la sécurité des autres clients.
9. Responsabilité et durée
Le présent DPA prend effet avec le contrat principal et s'applique pendant toute la durée du traitement. La responsabilité de chaque partie s'apprécie conformément à l'article 82 du RGPD et aux stipulations du contrat principal.
10. Contact
Pour toute question relative au présent DPA ou à la protection des données : [À COMPLÉTER : email de contact / DPO].