Locaris
Essai gratuit
Article 28 RGPD

Data Processing Agreement (DPA)

Accord de sous-traitance liant BS CONCEPT (sous-traitant) au Client (responsable du traitement) au sens de l'article 28 du Règlement (UE) 2016/679 (RGPD).

Version 1.0 · Entrée en vigueur :

← Retour mentions légales

1. Préambule

Dans le cadre de l'utilisation de la plateforme Locaris (ci-après « le Service »), le Client confie à BS CONCEPT le traitement de données à caractère personnel concernant les utilisateurs finaux et les ressources métier (matériel, réservations, contrats, etc.).

Le présent accord (DPA) précise les conditions dans lesquelles BS CONCEPT, en qualité de sous-traitant au sens de l'article 4(8) du RGPD, traite les données à caractère personnel pour le compte du Client, responsable du traitement.

2. Définitions

RGPD :
Règlement (UE) 2016/679.
Données :
toutes les données à caractère personnel traitées par le Service.
Personnes concernées :
utilisateurs finaux du Service (clients du Client, gestionnaires, administrateurs).
Violation :
tout incident de sécurité aboutissant à un accès non autorisé, à une perte, à une altération ou à une divulgation des Données.

3. Objet, durée et nature du traitement

Objet

Fournir le Service Locaris (gestion de matériel, réservations, contrats, facturation).

Durée

Durée de l'abonnement du Client + 30 jours (période de récupération) + 90 jours (purge sauvegardes).

Nature du traitement

Hébergement, stockage, structuration, mise à disposition, sauvegarde, envoi de notifications.

Finalité

Exécution du contrat de prestation de service entre BS CONCEPT et le Client.

4. Catégories de données et de personnes concernées

Personnes concernées :

  • Clients / membres / adhérents du Client utilisant le Service
  • Gestionnaires et administrateurs désignés par le Client
  • Le cas échéant : conducteurs (location de véhicules)

Catégories de données :

  • Identification : nom, prénom, email, téléphone
  • Adresse postale (livraison / facturation)
  • Données contractuelles : réservations, montants, signatures électroniques
  • Données de permis de conduire (recto/verso) — uniquement pour location véhicules
  • Logs techniques : IP, user-agent, horodatage des connexions

Aucune donnée sensible (santé, opinion, religion, biométrie d'identification) n'est traitée par le Service.

5. Obligations de BS CONCEPT (sous-traitant)

BS CONCEPT s'engage à :

  1. Traiter les Données uniquement sur instructions documentées du Client (le contrat de prestation valant instruction générale).
  2. Veiller à ce que les personnes autorisées à traiter les Données soient soumises à une obligation de confidentialité contractuelle.
  3. Mettre en œuvre les mesures techniques et organisationnelles décrites à l'Annexe 2 (Mesures de sécurité).
  4. Respecter les conditions de recours à des sous-traitants ultérieurs (cf. § 6).
  5. Aider le Client à remplir ses obligations vis-à-vis des personnes concernées (droits d'accès, rectification, suppression, etc.).
  6. Aider le Client à respecter les obligations des articles 32 à 36 du RGPD (sécurité, notification de violations, analyses d'impact).
  7. À l'issue de la prestation, supprimer ou restituer les Données selon le choix du Client (§ 8).
  8. Mettre à disposition du Client toutes les informations nécessaires pour démontrer le respect des obligations RGPD et permettre la réalisation d'audits.

6. Sous-traitants ultérieurs

Le Client autorise BS CONCEPT à recourir aux sous-traitants ultérieurs suivants pour l'exécution du Service :

Sous-traitant Pays Finalité
Contabo GmbH🇩🇪 AllemagneHébergement VPS, stockage, sauvegardes
Stripe Payments Europe, Ltd.🇮🇪 IrlandeEncaissement des abonnements
SumUp Payments Limited🇮🇪 IrlandePaiements optionnels des clients tenants
Plausible Insights OÜ🇪🇪 EstonieAnalytics anonymisée (sans cookie ni IP)
Let's Encrypt (ISRG)🇺🇸 États-UnisÉmission de certificats SSL (décision d'adéquation EU-US DPF)

Toute modification de cette liste sera notifiée au Client par email 30 jours avant son entrée en vigueur. Le Client peut s'y opposer pour motif légitime, auquel cas BS CONCEPT pourra résilier le contrat sans pénalité.

7. Notification de violation de Données

BS CONCEPT notifie au Client toute violation de Données dans les meilleurs délais et au plus tard sous 48 heures après en avoir pris connaissance. La notification comprend :

  • la nature de la violation (catégories et nombre approximatif de personnes / enregistrements concernés) ;
  • les conséquences probables et mesures prises pour y remédier ;
  • le point de contact (dpo@locaris.fr) pour informations complémentaires.

8. Sort des données en fin de contrat

À la fin de la prestation (résiliation ou non-renouvellement) :

  • Le Client dispose de 30 jours en lecture seule pour exporter ses Données (au format CSV/JSON via une API ou un export complet via le support).
  • Au-delà de 30 jours, les Données sont supprimées de la base de production.
  • Au-delà de 90 jours, les Données sont purgées des sauvegardes.
  • Une attestation de suppression peut être délivrée sur demande à dpo@locaris.fr.

9. Transferts hors Union européenne

Aucun transfert de Données en dehors de l'Union européenne n'est effectué, à l'exception des sous-traitants ultérieurs listés au § 6 bénéficiant d'une décision d'adéquation de la Commission européenne (Let's Encrypt via EU-US Data Privacy Framework).

10. Audit & inspection

Le Client a la faculté de réaliser un audit du respect des obligations RGPD par BS CONCEPT, à raison d'une fois par an, sur rendez-vous et après préavis raisonnable. BS CONCEPT pourra fournir, en lieu et place d'un audit sur site, ses rapports de certification (ISO 27001 du sous-traitant Contabo, attestation SOC 2 de Stripe, etc.) et son registre des activités de traitement.

11. Responsabilité

Chaque partie est responsable du respect des obligations qui lui incombent en vertu du RGPD. La responsabilité de BS CONCEPT est limitée dans les conditions définies aux CGV (cf. section 9 des mentions légales).

Annexe 2 — Mesures de sécurité (TOM)

Chiffrement

  • • TLS 1.2+ (HSTS preload)
  • • Sauvegardes chiffrées AES-256
  • • Mots de passe hashés bcrypt 12 rounds

Contrôle d'accès

  • • RBAC : 4 rôles
  • • Multi-tenant isolation
  • • Lockout après 5 tentatives
  • • Rotation tokens

Sécurité applicative

  • • Helmet + CSP stricte
  • • Rate limiting granulaire
  • • Validation Zod
  • • Audit log

CI/CD sécurité

  • • Dependabot
  • • CodeQL
  • • npm audit
  • • Gitleaks
  • • Hadolint

Hébergement

  • • Contabo ISO 27001
  • • Firewall UFW
  • • fail2ban
  • • Docker non-root

Continuité

  • • Backups quotidiens
  • • Rétention 30 j
  • • Réplication externe
  • • RTO < 4 h