Aller au contenu

Accord de traitement des données (DPA) — Template

Entre : - Responsable de traitement : [Nom du centre équestre client], représenté par [nom du gérant] - Sous-traitant : BS CONCEPT, EI (SIRET 512269804), éditeur de CavalManager, représenté par son gérant

Objet : Cet accord régit le traitement de données personnelles par CavalManager pour le compte du Client, conformément à l'article 28 du RGPD.

1. Définitions

Les termes "données personnelles", "traitement", "responsable de traitement", "sous-traitant" ont la même signification que dans le RGPD (UE) 2016/679.

2. Objet et nature du traitement

CavalManager traite des données personnelles pour permettre au Client de : - Gérer ses cavaliers (inscriptions, suivi pédagogique, contrôle galops/vaccinations) - Organiser des concours équestres (inscriptions, résultats, classements) - Organiser des stages (inscriptions, encaissements, communication) - Communiquer avec ses cavaliers (emails transactionnels)

3. Catégories de personnes concernées et de données

  • Personnes : cavaliers (souvent mineurs), parents/tuteurs légaux, propriétaires de chevaux, instructeurs/employés du Client
  • Données : nom, prénom, date de naissance, email, téléphone, adresse postale, n° licence FFE, n° galop, certificat médical (présence/expiration), allergies signalées, n° SIRE des chevaux

4. Durée du traitement

Pour toute la durée du contrat d'abonnement à CavalManager, prolongée de 30 jours pour permettre l'export par le Client en cas de résiliation, puis suppression complète au-delà.

5. Obligations de BS CONCEPT en tant que sous-traitant

BS CONCEPT s'engage à : - a. Ne traiter les données que sur instructions documentées du Client (l'utilisation du logiciel valant instruction) - b. Garantir la confidentialité (NDA signé par toute personne accédant aux données) - c. Mettre en œuvre les mesures techniques et organisationnelles définies à l'annexe 1 - d. Ne pas faire appel à un sous-traitant ultérieur sans autorisation préalable (cf. liste actuelle dans sous-traitants.md) - e. Aider le Client à répondre aux demandes d'exercice des droits des personnes (droit d'accès, rectification, effacement, portabilité, opposition) - f. Aider le Client à notifier les violations de données à la CNIL (sous 72h) et aux personnes concernées - g. Supprimer ou restituer les données à la fin du contrat (au choix du Client) - h. Mettre à disposition les informations nécessaires à un audit, fournir et faciliter les audits par le Client ou un tiers mandaté

6. Localisation des données

Toutes les données sont hébergées en France métropolitaine (Proxmox auto-hébergé en Normandie). Aucun transfert hors UE pour les données principales. Les sous-traitants ultérieurs avec transfert hors UE éventuel sont listés dans sous-traitants.md avec garanties contractuelles types.

7. Sécurité (annexe 1 — mesures techniques)

  • Chiffrement TLS 1.2+ pour toutes les communications
  • Mots de passe hachés argon2id (jamais en clair)
  • Authentification à deux facteurs (2FA TOTP) disponible
  • Isolation par tenant : 1 base de données PostgreSQL par client, aucun accès croisé
  • Backups chiffrés AES-256 (Restic), retention 30 jours, mirror 2nd site
  • Test mensuel de restauration automatique (le 1er du mois à 3h)
  • Audit log de toute action sensible (création/modification/suppression d'une entité)
  • Monitoring 24/7 (Uptime Kuma + GlitchTip + Loki/Grafana)
  • Mises à jour de sécurité hebdomadaires (npm audit + Dependabot)

8. Sous-traitants ultérieurs autorisés

Cf. document sous-traitants.md. Toute modification fera l'objet d'un préavis de 30 jours par email + entrée dans le changelog.

9. Notification de violation

En cas de violation de données, BS CONCEPT notifie le Client sans délai indu et au plus tard sous 48h après en avoir pris connaissance.

10. Audit

Le Client peut demander un audit annuel par écrit. BS CONCEPT répondra sous 30 jours avec un rapport d'audit standardisé ou en organisant une visite (frais à la charge du Client).

11. Fin du contrat

À la fin du contrat, le Client peut au choix : - Exporter ses données dans un format CSV/JSON standard - Demander la suppression complète (effective sous 30 jours) - Demander la conservation pour 90 jours avant suppression (en cas de litige par exemple)

Date : ____
Pour le Client : ____
Pour BS CONCEPT : _______