Accord de traitement de données — DPA

Article 1 — Parties

Le Responsable de traitement (ci-après « le Client » ou « le BDE ») :
Dénomination : [Nom complet du BDE]
Forme juridique : [association loi 1901, etc.]
Siège : [adresse]
SIRET / RNA : [numéro]
Représenté par : [nom, prénom, fonction]
Contact RGPD : [email]

Le Sous-traitant (ci-après « BDEASY ») :
Thibaud LESCROART, entrepreneur individuel (micro-entreprise)
Exerçant sous le nom commercial Studio'IQ, éditeur de la solution BDEASY
Adresse : Rue Dubourdieu, 33800 Bordeaux, France
SIRET : 992 830 141 00030 — Code APE : 6201Z
Régime TVA : franchise en base (art. 293 B du CGI)
Contact protection des données : contact@bdeasy.fr

Ci-après désignés ensemble « les Parties » ou individuellement « la Partie ».

Article 2 — Objet et qualification

Dans le cadre de l'exécution du contrat principal liant les Parties (devis et CGV BDEASY), BDEASY met à disposition du BDE une application mobile et un panneau d'administration permettant la gestion d'une communauté étudiante. Ce service implique le traitement de données à caractère personnel pour le compte du Client.

Qualification juridique :

• Le Client (BDE) agit en qualité de responsable de traitement au sens de l'article 4.7 du RGPD : il détermine les finalités et les moyens du traitement des données de ses membres.
• BDEASY agit en qualité de sous-traitant au sens de l'article 4.8 du RGPD : il traite les données à caractère personnel pour le compte du Client, conformément à ses instructions documentées.

Article 3 — Description du traitement

3.1 Nature et finalité du traitement

Hébergement, stockage, traitement et restitution des données personnelles des membres du Client (étudiants, modérateurs, administrateurs) dans le cadre de l'utilisation de l'application mobile BDEASY déployée pour le compte du Client : gestion des comptes utilisateurs, vérification de l'appartenance à l'établissement, publication de contenus communautaires, gestion d'événements et de billetterie, vente de produits dérivés (merchandising), envoi de notifications, modération éditoriale.

3.2 Catégories de données traitées

• Identité : nom, prénom, adresse e-mail, promotion d'inscription, numéro étudiant
• Photo de profil (facultative, à la seule initiative de l'utilisateur)
• Historique des commandes : produits et places achetés via la boutique et la billetterie
• Contenus utilisateur : publications, commentaires, mentions « j'aime »
• Identifiants techniques : jetons d'appareils pour notifications push, journaux de connexion

Données non traitées : aucune donnée relevant des catégories particulières de l'article 9 RGPD (origine ethnique, opinions politiques, religieuses, syndicales, données de santé, vie sexuelle, données biométriques ou génétiques). Aucune donnée de géolocalisation. Aucune donnée bancaire stockée par BDEASY (les paiements in-app transitent directement par SumUp ; les paiements de l'abonnement BDE → BDEASY transitent directement par Stripe).

3.3 Catégories de personnes concernées

• Étudiants et anciens membres adhérant à l'association du Client
• Membres du bureau du Client et modérateurs désignés
• Personnes invitées ponctuelles (intervenants, partenaires)

3.4 Durée du traitement

Le traitement est effectué pour toute la durée du contrat principal liant les Parties. À l'expiration ou à la résiliation du contrat, les modalités décrites à l'article 11 du présent DPA s'appliquent.

Article 4 — Obligations de BDEASY (sous-traitant)

Conformément à l'article 28.3 du RGPD, BDEASY s'engage à :

4.1 Traitement sur instructions documentées

Ne traiter les données personnelles que sur instruction documentée du Client, telle qu'elle résulte du contrat principal, du présent DPA et de toute instruction écrite ultérieure. Si BDEASY estime qu'une instruction constitue une violation du RGPD ou d'une autre disposition légale, il en informe immédiatement le Client.

4.2 Confidentialité

Garantir que toute personne autorisée à traiter les données personnelles est soumise à une obligation de confidentialité appropriée (contractuelle ou légale).

4.3 Mesures de sécurité (art. 32 RGPD)

Mettre en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, notamment :

• Chiffrement des données en transit (TLS 1.3) et au repos (AES-256, fourni nativement par Supabase et Cloudflare R2)
• Isolation multi-tenant par Row Level Security (RLS) au niveau PostgreSQL et par préfixe de bucket dédié au niveau Cloudflare R2 : aucun accès croisé entre tenants n'est techniquement possible
• Authentification forte : mots de passe hachés (bcrypt), jetons JWT signés à durée limitée
• Gestion des secrets dans le coffre Supabase Edge Functions (jamais en clair dans le code source)
• Journalisation des accès administratifs et surveillance des anomalies
• Mises à jour de sécurité critiques appliquées sous 7 jours après publication
• Sauvegardes automatiques quotidiennes (point-in-time recovery Supabase, conservation 7 jours minimum)

4.4 Recours à des sous-traitants ultérieurs (art. 28.4)

Le Client autorise BDEASY à recourir aux sous-traitants ultérieurs listés à l'Annexe 1 du présent DPA pour réaliser tout ou partie des activités de traitement, sous réserve du respect des conditions de l'article 28.4 du RGPD.

BDEASY s'engage à imposer à chaque sous-traitant ultérieur, par contrat écrit, des obligations de protection des données équivalentes à celles prévues au présent DPA.

Toute modification de la liste des sous-traitants ultérieurs (ajout, retrait, remplacement) fait l'objet d'une information préalable du Client par écrit, avec un préavis raisonnable. Le Client peut s'opposer à cette modification dans un délai de 15 jours pour des motifs légitimes liés à la protection des données. À défaut d'opposition motivée dans ce délai, la modification est réputée acceptée.

4.5 Assistance aux droits des personnes

Aider le Client, dans la mesure du possible, à répondre aux demandes d'exercice des droits des personnes concernées (accès, rectification, effacement, limitation, opposition, portabilité — art. 15 à 22 RGPD). Les demandes reçues directement par BDEASY de la part d'une personne concernée sont transmises sans délai au Client, qui demeure seul responsable de leur traitement.

4.6 Assistance aux obligations du Client (art. 32 à 36)

Aider le Client à respecter ses propres obligations en matière de sécurité du traitement, de notification des violations de données, d'analyse d'impact relative à la protection des données (AIPD/DPIA) et de consultation préalable de l'autorité de contrôle, en lui fournissant toutes les informations nécessaires et raisonnablement disponibles.

4.7 Mise à disposition d'informations

Mettre à la disposition du Client toutes les informations nécessaires pour démontrer le respect des obligations prévues à l'article 28 du RGPD et permettre la réalisation d'audits dans les conditions définies à l'article 9 du présent DPA.

Article 5 — Obligations du Client (responsable de traitement)

Le Client s'engage à :

• Documenter par écrit toute instruction de traitement adressée à BDEASY
• Veiller, préalablement et pendant toute la durée du traitement, au respect par BDEASY des obligations prévues par le RGPD
• S'assurer que la collecte des données auprès des personnes concernées est licite et a fait l'objet d'une information conforme à l'art. 13 RGPD
• Recueillir, le cas échéant, le consentement des personnes concernées (notamment pour les notifications push et les mineurs)
• Superviser le traitement, y compris en réalisant les audits prévus à l'article 9
• Désigner un point de contact unique pour les questions relatives à la protection des données

Article 6 — Transferts hors Union européenne

L'essentiel des données est traité dans l'Union européenne :

• Supabase Inc. — base de données, authentification, stockage natif — Paris (AWS eu-west-3) — Union européenne
• Cloudflare Inc. — stockage d'objets R2 — juridiction Union européenne (.eu.r2.cloudflarestorage.com)
• SumUp EU Payments UAB — paiements in-app (boutique, billetterie) — Vilnius, Lituanie, Union européenne
• Stripe Payments Europe Ltd — paiement de l'abonnement BDE → BDEASY uniquement — Dublin, Irlande, Union européenne

Certains sous-traitants ultérieurs sont situés hors Union européenne (notamment OneSignal Inc. — États-Unis). Tout transfert de données vers ces sous-traitants est encadré par les Clauses Contractuelles Types (CCT) adoptées par la Commission européenne dans sa décision d'exécution (UE) 2021/914 du 4 juin 2021, conformément à l'article 46 du RGPD.

Article 7 — Notification d'une violation de données

En cas de violation de données à caractère personnel au sens de l'article 4.12 du RGPD, BDEASY s'engage à :

• Notifier le Client sans délai raisonnable et au plus tard sous 48 heures après en avoir pris connaissance, par écrit à l'adresse de contact RGPD du Client
• Fournir toutes les informations utiles permettant au Client de respecter son obligation de notification à la CNIL dans les 72 heures (art. 33.1 RGPD) :
  • Nature de la violation et catégories / nombre approximatif de personnes et d'enregistrements concernés
  • Conséquences probables de la violation
  • Mesures prises ou envisagées pour remédier à la violation et atténuer ses effets
  • Coordonnées du point de contact (BDEASY) pour obtenir plus d'informations
• Mettre en œuvre, à ses frais, l'ensemble des mesures techniques nécessaires pour mettre fin à l'incident et en prévenir la récurrence
• Communiquer au Client un rapport d'incident détaillé dans un délai raisonnable après résolution

La notification aux personnes concernées (art. 34 RGPD) incombe au Client, responsable de traitement.

Article 8 — Confidentialité

Toutes les informations échangées entre les Parties dans le cadre du présent DPA sont strictement confidentielles. Cette obligation perdure cinq (5) ans après la fin du traitement, sauf obligations légales contraires.

BDEASY garantit que ses préposés et sous-traitants ultérieurs sont soumis à une obligation de confidentialité équivalente.

Article 9 — Audit et inspection

Le Client peut, à ses frais et sous réserve d'un préavis raisonnable d'au moins trente (30) jours, faire procéder à des audits visant à vérifier le respect par BDEASY de ses obligations au titre du présent DPA, soit par un audit documentaire (questionnaire détaillé, fourniture de rapports d'audit existants, certifications), soit par un audit sur site limité à une (1) fois par an, sauf incident grave avéré.

BDEASY peut s'opposer à un audit qui mettrait en péril la confidentialité des données d'autres clients, en proposant une modalité alternative équivalente. Les auditeurs sont liés par un accord de confidentialité préalable.

Article 10 — Responsabilité et indemnisation

Chaque Partie est responsable des dommages causés par le traitement résultant d'un manquement aux obligations du RGPD spécifiquement applicables aux sous-traitants ou en cas de non-respect des instructions licites du responsable de traitement (art. 82 RGPD).

La responsabilité de BDEASY au titre du présent DPA s'inscrit dans le plafond global et les exclusions de responsabilité stipulés à l'article 11 des CGV BDEASY (limitation au montant des sommes versées sur les 12 mois précédant le fait générateur ; exclusion des dommages indirects, immatériels, perte de chiffre d'affaires, perte de données, perte d'image).

Article 11 — Fin du traitement

À l'expiration ou à la résiliation, pour quelque cause que ce soit, du contrat principal liant les Parties :

• BDEASY met à disposition du Client, au choix de ce dernier, un export complet de l'ensemble des données traitées (au format CSV ou JSON), accessible pendant 30 jours via le panneau d'administration
• BDEASY procède ensuite à la suppression définitive de l'ensemble des données du Client de ses systèmes (bases de données et stockage d'objets) dans un délai maximum de 60 jours à compter de la fin du contrat, à l'exception des données soumises à une obligation légale de conservation (données de facturation : 10 ans, art. L123-22 du Code de commerce ; journaux de connexion à finalité de sécurité : 1 an maximum, art. L34-1 du CPCE)
• BDEASY adresse au Client un certificat de suppression écrit attestant de l'effectivité de la purge

En cas de cessation d'activité de BDEASY : un préavis minimum de six (6) mois est appliqué au Client (cf. CGV article 5.4). Pendant ce préavis, le présent DPA reste pleinement en vigueur, le service reste opérationnel et l'export complet des données reste accessible. La suppression effective des données intervient à l'issue de ce préavis selon les modalités ci-dessus.

Article 12 — Durée et résiliation du DPA

Le présent DPA prend effet à la date de signature par les deux Parties ou à la date de signature du devis principal — selon la plus tardive — et demeure en vigueur tant que BDEASY traite des données pour le compte du Client. Il prend fin automatiquement à l'expiration du contrat principal et après l'achèvement des opérations prévues à l'article 11.

Article 13 — Droit applicable et juridiction compétente

Le présent DPA est régi par le droit français et le RGPD. Tout litige relatif à son interprétation ou à son exécution relève, à défaut de résolution amiable préalable, de la compétence exclusive des tribunaux du ressort de Bordeaux.

Article 14 — Modification du DPA

Toute modification du présent DPA fait l'objet d'un avenant écrit signé par les deux Parties. En cas d'évolution réglementaire (modification du RGPD, décisions de la CJUE, lignes directrices contraignantes du Comité européen de la protection des données ou de la CNIL), les Parties s'engagent à se rencontrer de bonne foi pour adapter le DPA.

Annexe 1 — Liste des sous-traitants ultérieurs autorisés

Annexe 2 — Mesures techniques et organisationnelles de sécurité

Pour le détail des mesures techniques et organisationnelles mises en œuvre, se référer à l'article 4.3 du présent DPA et au Dossier Sécurité & RGPD BDEASY remis au Client, qui constitue une annexe substantielle au présent DPA.

Signature

Le présent DPA est établi en deux (2) exemplaires originaux, un pour chaque Partie, et est signé électroniquement ou en version manuscrite.