Accord de sous-traitance des données (art. 28 RGPD)
La version française est fournie à titre purement informatif. Le texte allemand fait foi.
Dernière mise à jour : 5 mai 2026. Le présent accord de sous-traitance des données (« DPA ») concrétise les obligations découlant de l'art. 28 RGPD. Il est conclu entre le client professionnel (« responsable du traitement ») et Studio Apps Sp. z o.o. (« sous-traitant ») lors de la conclusion du contrat portant sur l'hébergement d'un site web de réservation ou des prestations comparables, dès lors que des données personnelles de tiers y sont traitées.
§ 1 Objet et durée
(1) L'objet du DPA est le traitement des données personnelles que le responsable du traitement confie au sous-traitant dans le cadre des prestations d'hébergement convenues — en particulier les demandes de réservation reçues via le formulaire du site web du client.
(2) Le DPA court pour la durée du contrat principal. Il prend fin automatiquement avec la cessation des prestations d'hébergement.
§ 2 Nature et finalité du traitement
Mise à disposition et exploitation du site web de réservation, réception et conservation des demandes de réservation, envoi d'e-mails de confirmation et de notification au responsable du traitement et aux utilisateurs finaux, surveillance de la sécurité (protection contre le spam/les bots).
§ 3 Catégories de données et personnes concernées
Catégories de données personnelles : nom et prénom, adresse e-mail, numéro de téléphone (s'il est indiqué), date/période de la réservation souhaitée, nombre de personnes, message, métadonnées techniques (adresse IP, user-agent, horodatage).
Catégories de personnes concernées : utilisateurs finaux (hôtes/personnes intéressées) du site web de réservation du responsable du traitement.
§ 4 Obligations du sous-traitant
(1) Traitement exclusivement sur instruction documentée du responsable du traitement.
(2) Confidentialité : les personnes participant au traitement sont tenues à la confidentialité, sauf si elles sont déjà soumises à une obligation légale de secret appropriée.
(3) Mesures techniques et organisationnelles appropriées (MTO) conformément à l'art. 32 RGPD — voir l'annexe 1.
(4) Assistance au responsable du traitement dans l'exercice des droits des personnes concernées (art. 12-22 RGPD) ainsi que dans les analyses d'impact relatives à la protection des données (art. 35 et s. RGPD).
(5) Notification sans retard injustifié des violations de données personnelles au responsable du traitement, au plus tard dans les 48 heures suivant leur connaissance (afin que le responsable du traitement puisse respecter le délai de 72 heures de l'art. 33 RGPD).
(6) Au choix du responsable du traitement, suppression ou restitution de toutes les données personnelles à l'issue de la fourniture des prestations de traitement, sauf obligation de conservation plus longue.
(7) Mise à disposition de toutes les informations nécessaires pour démontrer le respect des obligations prévues à l'art. 28 RGPD.
§ 5 Sous-traitants ultérieurs
(1) Le responsable du traitement consent au recours aux sous-traitants ultérieurs mentionnés à l'annexe 2 ci-dessous (autorisation générale conformément à l'art. 28 par. 2 phrase 1 RGPD).
(2) En cas de changements envisagés concernant l'ajout ou le remplacement de sous-traitants ultérieurs, le responsable du traitement en est informé au préalable avec un préavis d'au moins 30 jours (par e-mail à l'adresse indiquée dans le contrat principal). Le responsable du traitement peut s'opposer au changement pour des motifs légitimes dans les 14 jours suivant la réception de la communication. En cas d'opposition légitime, les parties sont en droit de résilier le contrat moyennant un préavis raisonnable.
(3) Le sous-traitant conclut avec chaque sous-traitant ultérieur un accord offrant le même niveau de protection des données que le présent DPA.
§ 6 Transferts internationaux
Les transferts vers des pays tiers (en particulier les États-Unis) s'effectuent exclusivement sur la base des clauses contractuelles types de l'UE conformément à la décision d'exécution 2021/914 (module 3 — de sous-traitant à sous-traitant ultérieur) et de mesures techniques et organisationnelles complémentaires, ainsi que — le cas échéant — de la décision d'adéquation 2023/1795 (EU-US Data Privacy Framework).
§ 7 Droits d'audit
(1) Le sous-traitant démontre régulièrement le respect du présent DPA au moyen de certifications à jour (p. ex. ISO 27001 des sous-traitants ultérieurs) et de descriptions écrites des MTO. Celles-ci sont mises à la disposition du responsable du traitement sur demande.
(2) Les contrôles sur place sont admis après notification préalable avec un préavis raisonnable (au moins 30 jours) et pendant les heures ouvrables habituelles. Ils ne doivent pas perturber de manière disproportionnée l'activité courante de l'entreprise. Pour chaque contrôle, le sous-traitant facture au responsable du traitement un forfait de frais ; sont exclus les contrôles motivés par des indices concrets de violations de données.
§ 8 Responsabilité
Les dispositions relatives à la responsabilité du contrat principal s'appliquent (§ 15 CGV). Dans les rapports externes, les parties répondent envers les personnes concernées conformément à l'art. 82 RGPD.
§ 9 Dispositions finales
(1) En cas de contradictions entre le présent DPA et le contrat principal, les dispositions du présent DPA prévalent en matière de protection des données.
(2) Si certaines dispositions du présent DPA s'avéraient inefficaces, la validité des autres dispositions n'en serait pas affectée.
Annexe 1 — Mesures techniques et organisationnelles (MTO)
- Confidentialité (art. 32 par. 1 point b RGPD) : contrôle d'accès au niveau de la base de données via Row-Level-Security (Supabase RLS). Authentification avec mots de passe robustes et authentification multifacteur lorsqu'elle est disponible. Droits d'accès selon le principe du besoin d'en connaître (need-to-know). Journaux d'audit pour les actions administratives.
- Intégrité (art. 32 par. 1 point b RGPD) : TLS 1.2+ sur tous les points de terminaison publics ; connexions chiffrées à la base de données (TLS) ; sommes de contrôle lors de la restauration des sauvegardes.
- Disponibilité (art. 32 par. 1 point b RGPD) : sauvegardes automatiques quotidiennes avec conservation de 7 jours (Point-in-Time-Recovery). Hébergement chez des fournisseurs à haute disponibilité documentée (Vercel, Supabase). Objectif de disponibilité : 99,5 % par an.
- Résilience : CDN en périphérie (Cloudflare) pour la protection contre les attaques DDoS ; limitation de débit sur les points de terminaison de l'API ; pare-feu applicatif web.
- Chiffrement : données au repos dans la base de données — chiffrées (chiffrement de stockage Supabase). Données en transit — TLS.
- Pseudonymisation : dans la mesure du possible, utilisation d'UUID au lieu d'identifiants parlants ; stockage séparé des identités administratives.
- Procédure de vérification régulière (art. 32 par. 1 point d RGPD) : revues de sécurité trimestrielles ; mise à jour annuelle des MTO ; mises à jour de sécurité automatiques des dépendances.
- Séparation : séparation logique des clients (multi-tenant) dans la base de données ; environnements distincts pour la production et le développement.
Annexe 2 — Sous-traitants ultérieurs autorisés
| Sous-traitant ultérieur | Siège / localisation des données | Finalité | Instrument de transfert |
|---|---|---|---|
| Vercel Inc. | États-Unis / périphérie UE | Hébergement, edge computing | CCT de l'UE + DPF |
| Supabase Inc. | UE (Francfort) | Base de données, authentification, stockage | CCT de l'UE pour la maison mère américaine |
| Resend Inc. | États-Unis | E-mails transactionnels | CCT de l'UE + DPF |
| Cloudflare Inc. | États-Unis / périphérie UE | DNS, CDN, protection DDoS | CCT de l'UE |
Studio Apps tient à jour les DPA des sous-traitants ultérieurs, consultables sur demande.