Accord de traitement des donnees (DPA)

Preambule

Le present Accord de traitement des donnees (ci-apres "DPA") est conclu entre :

• Le Responsable du traitement : l'utilisateur professionnel inscrit sur la plateforme Vekra (ci-apres "le Client")
• Le Sous-traitant : Vekra, editeur de la plateforme SaaS de gestion pour professionnels du detailing automobile (ci-apres "Vekra")

Ce DPA fait partie integrante des Conditions Generales d'Utilisation de Vekra et s'applique a tout traitement de donnees personnelles effectue par Vekra pour le compte du Client dans le cadre de la fourniture du service.

1. Objet et champ d'application

Le present accord definit les obligations de Vekra en tant que sous-traitant lorsqu'elle traite des donnees personnelles pour le compte du Client dans le cadre de la fourniture du service SaaS Vekra.

1.1 Nature du traitement

Vekra traite des donnees personnelles pour fournir les fonctionnalites suivantes au Client :

• Gestion de la base de donnees clients (noms, coordonnees, vehicules)
• Creation et envoi de devis et factures
• Gestion des rendez-vous et du calendrier
• Traitement des paiements via Stripe Connect
• Envoi d'e-mails transactionnels (confirmations, rappels, demandes d'avis)
• Page de reservation publique
• Generation de documents PDF (devis, factures)

1.2 Categories de personnes concernees

• Clients finaux du professionnel (personnes physiques)
• Contacts professionnels renseignes dans le carnet client

1.3 Categories de donnees traitees

• Donnees d'identification : nom, prenom, adresse e-mail, telephone
• Donnees d'adresse : adresse postale
• Donnees de vehicule : marque, modele, immatriculation
• Donnees financieres : montants des devis/factures, historique de paiements
• Donnees de rendez-vous : dates, heures, prestations
• Donnees d'avis : notes et commentaires

2. Obligations de Vekra en tant que sous-traitant

Conformement a l'article 28 du RGPD, Vekra s'engage a :

• Traiter les donnees personnelles uniquement sur instruction documentee du Client, y compris en ce qui concerne les transferts vers un pays tiers
• Garantir que les personnes autorisees a traiter les donnees sont soumises a une obligation de confidentialite
• Mettre en oeuvre les mesures techniques et organisationnelles appropriees pour assurer un niveau de securite adapte au risque (Art. 32 du RGPD)
• Ne pas faire appel a un autre sous-traitant sans l'autorisation prealable ecrite, generale ou specifique, du Client
• Assister le Client dans le respect de ses obligations vis-a-vis des demandes d'exercice des droits des personnes concernees
• Aider le Client a garantir le respect des obligations prevues aux articles 32 a 36 du RGPD
• Supprimer ou restituer toutes les donnees personnelles au choix du Client au terme de la prestation de services
• Mettre a la disposition du Client toutes les informations necessaires pour demontrer le respect des obligations et permettre la realisation d'audits

3. Sous-traitants ulterieurs

Le Client autorise Vekra a faire appel aux sous-traitants ulterieurs suivants. Vekra s'engage a informer le Client de tout ajout ou remplacement de sous-traitant.

4. Mesures de securite

Vekra met en oeuvre les mesures techniques et organisationnelles suivantes (Art. 32 du RGPD) :

4.1 Chiffrement

• Chiffrement en transit : TLS 1.2+ pour toutes les communications
• Chiffrement au repos : AES-256 pour la base de donnees (via Supabase/AWS)
• Chiffrement applicatif : AES-256-GCM pour les secrets sensibles (tokens OAuth Google Calendar)
• Hachage des mots de passe : bcrypt (via Supabase Auth)

4.2 Controle d'acces

• Isolation des donnees par tenant : chaque utilisateur n'accede qu'a ses propres donnees
• Authentification securisee via Supabase Auth (tokens JWT)
• Acces aux systemes de production restreint au personnel autorise
• Principe du moindre privilege pour l'acces aux ressources

4.3 Securite applicative

• En-tetes de securite HTTP : Content-Security-Policy, HSTS, X-Frame-Options, X-Content-Type-Options
• Protection CSRF via tokens de session
• Validation des entrees cote serveur (schemas Zod)
• Limitation de debit (rate limiting) pour la protection contre les abus

4.4 Continuite et disponibilite

• Hebergement sur infrastructure Vercel (haute disponibilite, CDN mondial)
• Base de donnees Supabase avec sauvegardes automatiques quotidiennes
• Monitoring des erreurs en temps reel via Sentry

5. Notification de violation de donnees

Conformement a l'article 33 du RGPD, en cas de violation de donnees personnelles, Vekra s'engage a :

• Notifier le Client dans un delai de 72 heures apres en avoir pris connaissance
• Fournir les informations suivantes :
  • La nature de la violation (categories et nombre approximatif de personnes et d'enregistrements concernes)
  • Le nom et les coordonnees du point de contact
  • Les consequences probables de la violation
  • Les mesures prises ou proposees pour remedier a la violation, y compris pour en attenuer les eventuels effets negatifs
• Documenter toute violation de donnees personnelles, ses effets et les mesures correctives prises
• Cooperer avec le Client pour la notification a l'autorite de controle (CNIL) et, le cas echeant, aux personnes concernees

6. Droit d'audit

Le Client dispose d'un droit d'audit pour verifier le respect par Vekra de ses obligations au titre du present DPA. Ce droit s'exerce dans les conditions suivantes :

• Le Client doit notifier sa demande d'audit par ecrit avec un preavis de 30 jours
• L'audit est realise pendant les heures ouvrables et ne doit pas perturber de maniere disproportionnee les activites de Vekra
• Le Client supporte les couts de l'audit, sauf si celui-ci revele un manquement de Vekra
• Vekra peut proposer un rapport d'audit independant (SOC 2, ISO 27001 ou equivalent) en lieu et place d'un audit sur site
• Le Client s'engage a la confidentialite concernant les informations obtenues lors de l'audit

7. Restitution et suppression des donnees

A la fin de la relation contractuelle (resiliation de l'abonnement ou suppression du compte) :

• Export des donnees : le Client peut exporter ses donnees avant la suppression de son compte via les fonctionnalites de la plateforme
• Suppression automatique : toutes les donnees du Client et de ses clients finaux sont supprimees de maniere definitive dans un delai de 30 jours suivant la suppression du compte
• Exceptions : les donnees dont la conservation est imposee par la loi (obligations comptables et fiscales) sont conservees pendant la duree legale requise (10 ans pour les donnees de facturation), puis supprimees
• Sous-traitants ulterieurs : Vekra s'assure que les sous-traitants suppriment egalement les donnees dans les delais prevus

8. Transferts internationaux de donnees

Lorsque des donnees personnelles sont transferees hors de l'Espace Economique Europeen (EEE), Vekra s'assure que des garanties appropriees sont en place :

• Clauses contractuelles types (CCT) approuvees par la Commission europeenne (Art. 46.2.c du RGPD) avec chaque sous-traitant concerne
• Mesures supplementaires conformement aux recommandations du CEPD (Comite Europeen de la Protection des Donnees), incluant le chiffrement des donnees en transit et au repos

9. Duree et resiliation

Le present DPA entre en vigueur a la date de creation du compte sur Vekra et reste en vigueur aussi longtemps que Vekra traite des donnees personnelles pour le compte du Client.

Les obligations de confidentialite et les dispositions relatives a la restitution et a la suppression des donnees survivent a la resiliation du present accord.

10. Droit applicable et juridiction

Le present DPA est regi par le droit francais. Tout litige relatif a son interpretation ou a son execution sera soumis aux tribunaux competents de Paris, France.

11. Contact

Pour toute question relative au present DPA ou au traitement de vos donnees personnelles :