Retour à l'accueil

Accord de sous-traitance des données personnelles (DPA)

Accord conforme à l'article 28 du Règlement (UE) 2016/679 (RGPD)

Préambule

Le présent Accord de sous-traitance des données personnelles (ci-après « le DPA ») est conclu entre :

  • Le Responsable de traitement : l'Utilisateur du service Notivo (ci-après « le Responsable de traitement »), personne physique ou morale ayant souscrit un abonnement au Service, agissant en qualité de responsable de traitement pour les données personnelles de ses propres clients saisies dans le Service ;
  • Le Sous-traitant : THILLAY--SOLAR Clément, personne physique, éditeur du service Notivo, domicilié 2 rue Marguerin, 75014 Paris, France, email : notivo@ctts.fr (ci-après « le Sous-traitant »).

Le présent DPA fait partie intégrante des Conditions Générales d'Utilisation du Service et est accepté par l'Utilisateur lors de son inscription. Il définit les obligations du Sous-traitant en matière de protection des données personnelles traitées pour le compte du Responsable de traitement.

Article 1 – Objet du traitement

Le Sous-traitant est autorisé à traiter, pour le compte du Responsable de traitement, les données personnelles nécessaires à la fourniture du service Notivo, à savoir : l'hébergement, le stockage, l'affichage, la gestion et l'export des données que le Responsable de traitement saisit dans le Service concernant ses propres clients.

Article 2 – Durée du traitement

Le traitement des données par le Sous-traitant est effectué pendant toute la durée de l'abonnement du Responsable de traitement au Service. À la résiliation de l'abonnement, le Sous-traitant applique les procédures de suppression ou de restitution des données définies à l'Article 10 du présent DPA.

Article 3 – Nature et finalité du traitement

Le traitement consiste en les opérations suivantes sur les données personnelles :

  • Collecte (saisie par le Responsable de traitement via l'interface du Service)
  • Enregistrement et stockage dans la base de données
  • Organisation et structuration
  • Consultation et affichage
  • Modification et mise à jour
  • Extraction et export
  • Suppression et destruction

La finalité du traitement est la fourniture du Service de gestion pour photographes professionnels (gestion clients, facturation, planning, communications).

Article 4 – Catégories de données traitées

Les catégories de données personnelles traitées par le Sous-traitant pour le compte du Responsable de traitement sont :

  • Données d'identification : nom, prénom
  • Coordonnées : adresse email, numéro de téléphone, adresse postale
  • Données de facturation : montants, descriptions de prestations, historique de paiements
  • Données d'organisation : dates de séances, notes, préférences

Le Responsable de traitement s'engage à ne pas saisir de données sensibles au sens de l'article 9 du RGPD (données de santé, opinions politiques, convictions religieuses, origine ethnique, données biométriques, etc.) sans base légale appropriée et sans en informer préalablement le Sous-traitant.

Article 5 – Catégories de personnes concernées

Les personnes concernées par le traitement sont les clients du Responsable de traitement (photographe professionnel), à savoir : les personnes physiques dont les données sont saisies dans le Service dans le cadre de l'activité professionnelle du Responsable de traitement.

Article 6 – Obligations du Sous-traitant

Le Sous-traitant s'engage à :

  • 6.1 Traiter les données personnelles uniquement sur instruction documentée du Responsable de traitement, y compris en ce qui concerne les transferts de données vers un pays tiers. L'utilisation du Service par le Responsable de traitement constitue ses instructions documentées ;
  • 6.2 Garantir que les personnes autorisées à traiter les données personnelles sont soumises à une obligation de confidentialité ;
  • 6.3 Prendre toutes les mesures de sécurité requises conformément à l'article 32 du RGPD (cf. Article 7 du présent DPA) ;
  • 6.4 Respecter les conditions de recours à un autre sous-traitant (cf. Article 11) ;
  • 6.5 Aider le Responsable de traitement à répondre aux demandes d'exercice de droits des personnes concernées (accès, rectification, effacement, portabilité, opposition, limitation) ;
  • 6.6 Aider le Responsable de traitement à garantir le respect de ses obligations en matière de sécurité, de notification de violations, d'analyse d'impact et de consultation préalable de l'autorité de contrôle ;
  • 6.7 Au choix du Responsable de traitement, supprimer ou restituer toutes les données personnelles au terme de la prestation (cf. Article 10) ;
  • 6.8 Mettre à la disposition du Responsable de traitement toutes les informations nécessaires pour démontrer le respect des obligations et permettre la réalisation d'audits (cf. Article 12).

Article 7 – Mesures de sécurité

Le Sous-traitant met en œuvre les mesures techniques et organisationnelles suivantes conformément à l'article 32 du RGPD :

  • Chiffrement des données en transit (TLS 1.2+) et au repos (AES-256)
  • Isolation des données par utilisateur via Row Level Security (RLS) sur PostgreSQL
  • Authentification sécurisée (Supabase Auth, mots de passe hachés bcrypt)
  • Sauvegardes automatiques quotidiennes de la base de données
  • Journalisation des accès et actions critiques
  • Principe du moindre privilège pour l'accès aux systèmes de production
  • Hébergement sur des infrastructures certifiées (SOC 2, ISO 27001 pour les sous-traitants)

Article 8 – Notification de violation de données

8.1 Le Sous-traitant notifie le Responsable de traitement de toute violation de données personnelles dans un délai maximum de quarante-huit (48) heures après en avoir pris connaissance, par email à l'adresse associée au compte du Responsable de traitement.

8.2 Cette notification comprend au minimum :

  • La nature de la violation de données personnelles ;
  • Les catégories et le nombre approximatif de personnes concernées ;
  • Les catégories et le nombre approximatif d'enregistrements de données concernés ;
  • Les conséquences probables de la violation ;
  • Les mesures prises ou envisagées pour remédier à la violation.

8.3 Le Sous-traitant aide le Responsable de traitement à respecter ses obligations de notification auprès de l'autorité de contrôle (CNIL) et des personnes concernées.

Article 9 – Assistance RGPD

Le Sous-traitant assiste le Responsable de traitement dans les cas suivants :

  • Demandes d'exercice de droits : le Sous-traitant fournit au Responsable de traitement les outils ou informations nécessaires pour répondre aux demandes d'accès, de rectification, d'effacement, de portabilité, d'opposition ou de limitation émanant des personnes concernées ;
  • Analyse d'impact (DPIA) : le Sous-traitant fournit les informations nécessaires à la réalisation d'une analyse d'impact relative à la protection des données si celle-ci est requise ;
  • Consultation préalable : le Sous-traitant assiste le Responsable de traitement dans le cadre d'une consultation préalable de la CNIL si nécessaire.

Article 10 – Sort des données en fin de contrat

10.1 Restitution. À la résiliation de l'abonnement, le Responsable de traitement dispose d'un délai de trente (30) jours pour demander la restitution de ses données dans un format structuré, couramment utilisé et lisible par machine (CSV ou JSON).

10.2 Suppression. À l'expiration du délai de trente (30) jours, le Sous-traitant procède à la suppression définitive et irréversible de toutes les données personnelles traitées pour le compte du Responsable de traitement, y compris toutes les copies existantes, sauf obligation légale de conservation.

10.3 Attestation. Sur demande du Responsable de traitement, le Sous-traitant fournit une attestation de suppression des données.

Article 11 – Sous-traitance ultérieure

11.1 Autorisation générale. Le Responsable de traitement autorise de manière générale le Sous-traitant à faire appel à d'autres sous-traitants ultérieurs pour la réalisation d'activités de traitement spécifiques. Les sous-traitants ultérieurs actuels sont :

Sous-traitantActivitéLocalisation
Supabase Inc.Hébergement base de données, authentificationÉtats-Unis
Vercel Inc.Hébergement application webÉtats-Unis
Hostinger International LtdEmails transactionnelsUnion Européenne (Lituanie)

11.2 Information. Le Sous-traitant informe le Responsable de traitement de tout changement prévu concernant l'ajout ou le remplacement d'un sous-traitant ultérieur, offrant ainsi au Responsable de traitement la possibilité d'émettre des objections. En cas d'objection justifiée restée sans solution dans un délai de trente (30) jours, le Responsable de traitement peut résilier son abonnement.

11.3 Obligations. Le Sous-traitant s'assure que chaque sous-traitant ultérieur est lié par des obligations de protection des données au moins équivalentes à celles du présent DPA. Le Sous-traitant demeure pleinement responsable envers le Responsable de traitement de l'exécution des obligations du sous-traitant ultérieur.

Article 12 – Audits

12.1 Le Sous-traitant met à disposition du Responsable de traitement toutes les informations nécessaires pour démontrer le respect de ses obligations au titre du présent DPA et de l'article 28 du RGPD.

12.2 Le Sous-traitant autorise et contribue à la réalisation d'audits, y compris d'inspections, conduits par le Responsable de traitement ou un auditeur mandaté par celui-ci, sous réserve d'un préavis raisonnable de trente (30) jours minimum et dans le respect de la confidentialité.

12.3 Le Sous-traitant informe immédiatement le Responsable de traitement si une instruction constitue, selon lui, une violation du RGPD ou d'autres dispositions relatives à la protection des données.

Article 13 – Transferts internationaux

Les transferts de données personnelles vers des pays situés en dehors de l'Espace Économique Européen (EEE) sont encadrés par les mécanismes suivants :

  • EU-US Data Privacy Framework : les sous-traitants ultérieurs américains (Supabase, Vercel) sont certifiés au titre du cadre de protection des données UE-États-Unis ;
  • Clauses contractuelles types (CCT) : des clauses contractuelles types approuvées par la Commission européenne (Décision d'exécution 2021/914) sont intégrées dans les contrats avec les sous-traitants ultérieurs.

Le Sous-traitant ne transfère pas de données personnelles vers un pays tiers ou une organisation internationale sans autorisation préalable du Responsable de traitement, sauf obligation légale.

Article 14 – Responsabilité

14.1 Le Sous-traitant est responsable des dommages causés par un traitement qui ne respecte pas les obligations imposées par le RGPD spécifiquement aux sous-traitants ou qui va au-delà des instructions licites du Responsable de traitement.

14.2 Le Responsable de traitement reste responsable du respect de la licéité du traitement, de l'information des personnes concernées et de la réponse aux demandes d'exercice de droits.

14.3 La responsabilité du Sous-traitant au titre du présent DPA est soumise aux limitations prévues dans les Conditions Générales d'Utilisation du Service.

Article 15 – Dispositions finales

15.1 Loi applicable. Le présent DPA est régi par le droit français et le Règlement (UE) 2016/679 (RGPD).

15.2 Juridiction. Tout litige relatif au présent DPA sera soumis à la compétence des tribunaux de Paris (France).

15.3 Hiérarchie. En cas de contradiction entre le présent DPA et les CGU, les dispositions du présent DPA prévalent en matière de protection des données personnelles.

15.4 Contact. Pour toute question relative au présent DPA : notivo@ctts.fr

Dernière mise à jour : 20 février 2026