Accord de traitement des données (DPA)
Version 1.0 · Dernière mise à jour : 13 juillet 2026
Le présent accord de traitement des données à caractère personnel (« DPA ») est une annexe aux conditions générales du service FixVault, conforme à l'article 28 du RGPD. Il encadre la sous-traitance : l'Éditeur (le « Sous-traitant ») traite des données pour le compte du Client (le « Responsable de traitement »).
Sous-traitant : François Dubroca, entrepreneur individuel exploitant sous le nom commercial « FixVault », 86 Cours de la République, 33470 Gujan-Mestras — SIREN 819 474 982, RCS de Bordeaux. Contact : support@fixvault.fr.
1. Objet et rôles
Le présent accord définit les conditions dans lesquelles le Sous-traitant traite, pour le compte du Responsable de traitement, les données à caractère personnel nécessaires à la fourniture du Service FixVault. Le Sous-traitant agit sur les instructions documentées du Responsable.
2. Périmètre du traitement
- Nature et finalités : hébergement et exploitation d'un logiciel de gestion d'atelier (CRM, tickets de réparation, devis et factures, caisse, inventaire, banque, communication, IA d'assistance), pour la seule fourniture du Service.
- Durée : celle du contrat, augmentée des délais légaux de conservation et de réversibilité.
- Personnes concernées : clients finaux du Client, prospects, utilisateurs du compte, contacts fournisseurs.
- Catégories de données : identité et coordonnées, appareils et identifiants techniques (IMEI, numéro de série), historique de réparation, données de facturation et de paiement, échanges et communications. Aucune donnée sensible (art. 9 RGPD) n'est traitée à titre principal.
3. Obligations du Sous-traitant (art. 28.3)
Le Sous-traitant s'engage à :
- Instructions documentées : ne traiter les données que sur instruction documentée du Responsable (le présent accord, les CGU et l'usage du Service valant instructions), sauf obligation légale, auquel cas il en informe le Responsable.
- Confidentialité : garantir que les personnes autorisées à traiter les données s'y engagent ou sont soumises à une obligation légale de confidentialité.
- Sécurité (art. 32) : mettre en œuvre les mesures techniques et organisationnelles décrites en Annexe 1.
- Sous-traitance ultérieure : ne recourir à un sous-traitant ultérieur que dans les conditions de l'article 5, en lui imposant les mêmes obligations.
- Droits des personnes : aider le Responsable, par des mesures techniques appropriées, à répondre aux demandes d'exercice des droits (accès, rectification, effacement, opposition, limitation, portabilité).
- Assistance : aider le Responsable à assurer la sécurité, la notification des violations, les analyses d'impact (AIPD) et les consultations préalables (art. 32 à 36).
- Sort des données : au choix du Responsable, supprimer ou restituer toutes les données à la fin de la prestation et détruire les copies existantes, sauf obligation légale de conservation.
- Audit et information : mettre à disposition du Responsable les informations nécessaires pour démontrer le respect de l'article 28 et permettre des audits raisonnables.
4. Obligations du Responsable de traitement
Le Responsable garantit disposer d'une base légale pour les traitements confiés, fournir des instructions licites, informer les personnes concernées, et documenter tout manquement porté à sa connaissance.
5. Sous-traitants ultérieurs
Le Responsable autorise le recours aux sous-traitants ultérieurs listés en Annexe 2. Le Sous-traitant tient cette liste à jour, informe le Responsable de tout ajout ou remplacement en laissant un délai d'objection raisonnable, répercute les obligations du présent accord et demeure responsable de leur exécution.
6. Transferts hors Union européenne
Certains sous-traitants ultérieurs (fournisseurs d'IA, de paiement) peuvent traiter des données hors UE. Ces transferts sont encadrés par une décision d'adéquation, la certification EU-US Data Privacy Framework, ou à défaut par les Clauses Contractuelles Types (CCT / SCC 2021) assorties d'une analyse d'impact des transferts. Des mesures de minimisation sont appliquées (nettoyage des invites transmises à l'IA, exclusion des adresses postales).
7. Notification de violation de données
Le Sous-traitant notifie au Responsable toute violation de données à caractère personnel dans les meilleurs délais et au plus tard 48 heures après en avoir pris connaissance, en précisant la nature, les catégories et volumes concernés, les conséquences probables et les mesures prises. Le Responsable conserve la charge de la notification à la CNIL (72 heures) et, le cas échéant, aux personnes concernées.
8. Registre
Le Sous-traitant tient le registre des catégories de traitements effectués pour le compte du Responsable (art. 30.2 RGPD).
Annexe 1 — Mesures de sécurité (art. 32)
- Chiffrement des données en transit (TLS) et des secrets au repos ;
- Isolation multi-tenant stricte (cloisonnement des comptes par identifiant de tenant) ;
- Contrôle d'accès basé sur les rôles (RBAC), authentification à deux facteurs (2FA), verrouillage de compte, politique de mots de passe ;
- Journalisation et traçabilité des actions sensibles (journal d'audit) ;
- Sauvegardes régulières (quotidiennes, rétention 7 jours en local et 30 jours déportée) et procédure de restauration ;
- Réversibilité (exports FEC, CSV, PDF, API) ;
- Sécurisation de l'infrastructure (pare-feu, proxy anti-DDoS, mises à jour), principe de moindre privilège.
Annexe 2 — Sous-traitants ultérieurs
| Sous-traitant | Rôle | Localisation | Encadrement |
|---|---|---|---|
| Hostinger | Hébergement serveur | UE (Lituanie) | — |
| Vercel Inc. | Hébergement site vitrine | USA | DPF / CCT |
| Cloudflare | Proxy / CDN / anti-DDoS | UE / USA | DPF / CCT |
| Stripe | Paiement / abonnements | UE / USA | DPF / CCT |
| Resend | Email transactionnel | USA | DPF / CCT |
| Anthropic (Claude) | IA d'assistance | USA | DPF / CCT + DPA art. 28 |
| OpenAI | IA (repli) | USA | DPF / CCT |
| Google (Gemini) | IA (repli) | USA | DPF / CCT |
| Mistral | IA (option) | UE | — |
| SendGrid | Ingestion des factures par email | USA | DPF / CCT |
