Se connecterEssayer gratuitement
Artisan solo
Pour l'artisan seul qui veut tout automatiser
PME du bâtiment
Jusqu'à 50 salariés, pilotage complet
Multi-entreprises
Réseau d'artisans, sous-traitance
Plombier chauffagiste
Installations, dépannage, SAV
Électricien
Tableaux, domotique, photovoltaïque
Peintre
Intérieur, ravalement, décoration
Maçon
Gros œuvre, extension, surélévation
Carreleur
Faïence, pierre, grands formats
Voir toutes les solutions
Hub complet par taille et par métier
Accueil/Accord de Traitement des Données (DPA)

Accord de Traitement des Données (DPA)

Accord de traitement des données personnelles conforme au RGPD

Data Processing Agreement (DPA)

Accord de Traitement des Données Personnelles

Le présent Accord de Traitement des Données (ci-après « DPA ») fait partie intégrante des Conditions Générales d'Utilisation de la plateforme Gère ton Chantier et s'applique au traitement des données personnelles effectué dans le cadre de la fourniture de nos services.

1. Définitions

Aux fins du présent DPA :

  • « Données Personnelles » : toute information se rapportant à une personne physique identifiée ou identifiable (« Personne Concernée »)
  • « Responsable de Traitement » : le Client (l'entreprise partenaire utilisant la plateforme)
  • « Sous-traitant » : LES DEVELOPPEURS BRETONS
  • « Traitement » : toute opération ou ensemble d'opérations effectuées sur des données personnelles
  • « RGPD » : Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016
  • « Violation de Données » : toute violation de la sécurité entraînant la destruction, la perte, l'altération, la divulgation non autorisée de données personnelles

2. Objet et durée

2.1 Objet

Le présent DPA régit les conditions dans lesquelles le Sous-traitant s'engage à traiter les Données Personnelles pour le compte du Responsable de Traitement dans le cadre de la fourniture des services Gère ton Chantier.

2.2 Durée

Le présent DPA entre en vigueur à la date d'activation du compte et reste en vigueur pendant toute la durée du contrat, ainsi que pendant la période nécessaire pour la suppression des données conformément à l'article 10.

3. Nature et finalité du traitement

3.1 Nature du traitement

Le Sous-traitant est autorisé à effectuer les opérations de traitement suivantes :

  • Collecte
  • Enregistrement
  • Organisation
  • Structuration
  • Conservation
  • Adaptation ou modification
  • Extraction
  • Consultation
  • Utilisation
  • Communication par transmission
  • Diffusion ou toute autre forme de mise à disposition
  • Rapprochement ou interconnexion
  • Limitation
  • Effacement ou destruction

3.2 Finalité du traitement

Le traitement des Données Personnelles a pour finalité :

  • La fourniture des services de la plateforme Gère ton Chantier
  • La gestion de la relation client
  • La création et la gestion de devis et factures
  • La gestion de projets et chantiers
  • L'assistance par intelligence artificielle
  • Le support technique
  • L'amélioration de la plateforme

3.3 Catégories de Données Personnelles

Les catégories de données traitées comprennent :

  • Données d'identification (nom, prénom, email, téléphone)
  • Données d'entreprise (raison sociale, SIRET, adresse)
  • Données de clients finaux du Responsable de Traitement
  • Données de connexion et d'utilisation
  • Données techniques (adresse IP, navigateur)
  • Données de géolocalisation (avec consentement)
  • Scans 3D et plans de bâtiments
  • Communications professionnelles

3.4 Personnes Concernées

Les personnes concernées par le traitement sont :

  • Les utilisateurs de la plateforme (employés du Responsable de Traitement)
  • Les clients finaux du Responsable de Traitement
  • Les contacts professionnels du Responsable de Traitement

4. Obligations du Sous-traitant

Le Sous-traitant s'engage à :

4.1 Traitement licite

  • Traiter les Données Personnelles uniquement sur instruction documentée du Responsable de Traitement
  • Ne pas traiter les données à d'autres fins que celles prévues au présent DPA
  • Informer immédiatement le Responsable de Traitement si une instruction apparaît contraire au RGPD

4.2 Confidentialité

  • Garantir que les personnes autorisées à traiter les données s'engagent à respecter la confidentialité
  • Mettre en place des formations régulières sur la protection des données
  • Limiter l'accès aux données aux seules personnes ayant besoin d'en connaître

4.3 Sécurité

Mettre en œuvre les mesures techniques et organisationnelles appropriées, notamment :

  • Chiffrement des données en transit (SSL/TLS)
  • Chiffrement des données au repos
  • Authentification forte et contrôle d'accès
  • Sauvegardes régulières et chiffrées
  • Journalisation des accès
  • Tests de sécurité réguliers
  • Plan de continuité d'activité
  • Plan de reprise après sinistre

4.4 Sous-traitance ultérieure

Le Responsable de Traitement autorise le Sous-traitant à recourir aux sous-traitants ultérieurs suivants :

Sous-traitantServiceLocalisationGaranties
Vercel Inc.HébergementUSAClauses contractuelles types UE
Neon Inc.Base de donnéesUSAClauses contractuelles types UE
Stripe Inc.PaiementsUSAPrivacy Shield / DPA
Cloudflare Inc.Stockage fichiersUSA/UEClauses contractuelles types UE
Resend Inc.EmailsUSADPA
OpenAIIA (anonymisé)USADPA, données anonymisées
AnthropicIA (anonymisé)USADPA, données anonymisées

Le Sous-traitant s'engage à :

  • Informer le Responsable de Traitement de tout changement de sous-traitant ultérieur
  • Imposer aux sous-traitants ultérieurs les mêmes obligations de protection des données
  • Rester pleinement responsable vis-à-vis du Responsable de Traitement

5. Droits des Personnes Concernées

5.1 Assistance

Le Sous-traitant assiste le Responsable de Traitement pour répondre aux demandes d'exercice des droits des personnes concernées :

  • Droit d'accès
  • Droit de rectification
  • Droit à l'effacement
  • Droit à la limitation du traitement
  • Droit à la portabilité
  • Droit d'opposition

5.2 Délai de réponse

Le Sous-traitant s'engage à fournir toute information nécessaire dans un délai de 7 jours ouvrés suivant la demande du Responsable de Traitement.

5.3 Outils

Le Sous-traitant met à disposition des outils permettant au Responsable de Traitement de :

  • Exporter les données (format JSON, CSV)
  • Rectifier les données
  • Supprimer les données
  • Limiter le traitement

6. Notification de Violation de Données

6.1 Notification au Responsable de Traitement

En cas de violation de données, le Sous-traitant s'engage à notifier le Responsable de Traitement dans un délai maximum de 24 heures après en avoir pris connaissance.

6.2 Contenu de la notification

La notification comprendra au minimum :

  • La nature de la violation
  • Les catégories et le nombre approximatif de personnes concernées
  • Les catégories et le nombre approximatif d'enregistrements concernés
  • Les conséquences probables de la violation
  • Les mesures prises ou proposées pour remédier à la violation
  • Le point de contact pour obtenir plus d'informations

6.3 Documentation

Le Sous-traitant documente toute violation de données, y compris :

  • Les faits
  • Les effets
  • Les mesures correctives prises

7. Analyse d'Impact et Consultation

7.1 Analyse d'Impact sur la Protection des Données (AIPD)

Le Sous-traitant assiste le Responsable de Traitement dans la réalisation d'analyses d'impact sur la protection des données si nécessaire.

7.2 Consultation préalable

Le Sous-traitant assiste le Responsable de Traitement dans le cadre d'une consultation préalable de l'autorité de contrôle si requise.

7.3 Documentation fournie

Le Sous-traitant fournit sur demande :

  • Documentation sur les mesures de sécurité
  • Résultats d'audits de sécurité
  • Certifications (ISO 27001, SOC 2, etc.)

8. Audit et Contrôle

8.1 Droit d'audit

Le Responsable de Traitement a le droit de réaliser des audits pour vérifier la conformité du Sous-traitant au RGPD et au présent DPA.

8.2 Modalités

  • Préavis de 30 jours
  • Fréquence maximale : 1 fois par an (sauf incident de sécurité)
  • À distance ou sur site (avec accord préalable)
  • Aux frais du Responsable de Traitement

8.3 Audits tiers

Le Sous-traitant peut fournir des rapports d'audit réalisés par des organismes indépendants en lieu et place d'un audit direct.

8.4 Coopération

Le Sous-traitant s'engage à :

  • Fournir toutes les informations nécessaires
  • Permettre la réalisation d'audits
  • Contribuer aux audits menés par le Responsable de Traitement ou un auditeur mandaté

9. Transferts de Données hors UE

9.1 Localisation des données

Les données sont principalement stockées dans l'Union Européenne. Certains sous-traitants peuvent traiter des données hors UE.

9.2 Garanties appropriées

Pour tout transfert hors UE, le Sous-traitant s'engage à mettre en place l'une des garanties suivantes :

  • Clauses contractuelles types de la Commission européenne
  • Décision d'adéquation
  • Règles d'entreprise contraignantes
  • Code de conduite approuvé
  • Mécanisme de certification approuvé

9.3 Information

Le Sous-traitant informe le Responsable de Traitement de tout nouveau transfert de données hors UE.

10. Suppression et Restitution des Données

10.1 À la fin du contrat

À la fin de la fourniture des services, le Sous-traitant s'engage à, au choix du Responsable de Traitement :

  • Restituer toutes les Données Personnelles au format structuré (JSON, CSV)
  • Supprimer toutes les Données Personnelles

10.2 Délai

La restitution ou la suppression est effectuée dans un délai de 30 jours suivant la fin du contrat.

10.3 Conservation légale

Le Sous-traitant peut conserver les données si la loi l'exige, uniquement dans la mesure et pour la durée requise.

10.4 Certification de suppression

Le Sous-traitant fournit une attestation écrite confirmant la suppression complète des données.

11. Responsabilité et Indemnisation

11.1 Responsabilité du Sous-traitant

Le Sous-traitant est responsable des dommages causés par le traitement uniquement s'il :

  • N'a pas respecté les obligations du RGPD
  • A agi en dehors des instructions licites du Responsable de Traitement
  • A agi contrairement aux instructions du Responsable de Traitement

11.2 Limitation de responsabilité

La responsabilité totale du Sous-traitant au titre du présent DPA est limitée au montant de l'abonnement annuel, sauf en cas de faute lourde ou intentionnelle.

11.3 Assurance

Le Sous-traitant maintient une assurance responsabilité civile professionnelle couvrant les risques liés au traitement des données.

12. Registre des Activités de Traitement

Le Sous-traitant tient un registre écrit de toutes les catégories d'activités de traitement effectuées pour le compte du Responsable de Traitement, comprenant :

  • Le nom et les coordonnées du Responsable de Traitement et du Sous-traitant
  • Les catégories de traitements effectués
  • Les transferts de données vers des pays tiers
  • Une description générale des mesures de sécurité

Ce registre est mis à disposition de l'autorité de contrôle sur demande.

13. Contact et Autorité de Contrôle

13.1 Point de contact

Pour toute question relative au présent DPA :

Délégué à la Protection des Données Email : dpo@geretonchantier.com Adresse : LES DEVELOPPEURS BRETONS, 11 RUE DE LA CONVENTION, 35230 NOYAL-CHATILLON-SUR-SEICHE

13.2 Autorité de contrôle

L'autorité de contrôle compétente est la Commission Nationale de l'Informatique et des Libertés (CNIL) :

CNIL 3 Place de Fontenoy TSA 80715 75334 PARIS CEDEX 07 www.cnil.fr

14. Modification du DPA

Le présent DPA peut être modifié pour :

  • Se conformer aux évolutions législatives et réglementaires
  • Refléter les changements dans les pratiques de traitement
  • Améliorer la protection des données

Toute modification substantielle sera notifiée au Responsable de Traitement avec un préavis de 60 jours.

15. Droit applicable et juridiction

Le présent DPA est régi par le droit français. Tout litige relatif au présent DPA relève de la compétence exclusive des tribunaux français.

16. Hiérarchie des documents

En cas de contradiction entre les présentes et d'autres documents contractuels, l'ordre de priorité est le suivant :

  1. Le présent DPA
  2. Les Conditions Générales d'Utilisation
  3. La Politique de Confidentialité

Annexe A - Mesures de Sécurité Techniques et Organisationnelles

Mesures Techniques

1. Contrôle d'accès physique

  • Centres de données certifiés ISO 27001, SOC 2
  • Accès physique restreint et surveillé
  • Systèmes de surveillance vidéo 24/7

2. Contrôle d'accès logique

  • Authentification multi-facteurs (MFA) disponible
  • Politique de mots de passe forts
  • Gestion des rôles et permissions (RBAC)
  • Révocation immédiate des accès en cas de départ
  • Session timeout automatique

3. Chiffrement

  • Chiffrement en transit : TLS 1.3
  • Chiffrement au repos : AES-256
  • Chiffrement des sauvegardes
  • Gestion sécurisée des clés de chiffrement

4. Contrôle de l'intégrité

  • Checksums et signatures numériques
  • Journalisation des modifications
  • Versioning des données critiques
  • Protection contre les modifications non autorisées

5. Disponibilité

  • Architecture redondante multi-zones
  • Sauvegardes automatiques quotidiennes
  • Rétention des sauvegardes : 30 jours
  • RPO (Recovery Point Objective) : 24h
  • RTO (Recovery Time Objective) : 4h
  • Tests de restauration trimestriels

6. Journalisation

  • Logs d'accès conservés 12 mois
  • Logs d'administration conservés 12 mois
  • Monitoring en temps réel
  • Alertes automatiques sur événements de sécurité

7. Réseau

  • Firewall applicatif (WAF)
  • Protection DDoS
  • Segmentation réseau
  • VPN pour accès administrateur
  • IDS/IPS (Intrusion Detection/Prevention System)

Mesures Organisationnelles

1. Gestion de la sécurité

  • Responsable de la sécurité des SI désigné
  • Politique de sécurité documentée
  • Revue annuelle de la sécurité
  • Analyse de risques régulière

2. Gestion des ressources humaines

  • Clauses de confidentialité dans les contrats
  • Formation RGPD pour tous les employés
  • Formation sécurité annuelle obligatoire
  • Vérification des antécédents (selon législation)

3. Gestion des incidents

  • Procédure de gestion des incidents documentée
  • Équipe de réponse aux incidents
  • Tests réguliers du plan de réponse
  • Communication selon protocole établi

4. Gestion de la continuité

  • Plan de continuité d'activité (PCA)
  • Plan de reprise d'activité (PRA)
  • Tests annuels des plans
  • Sites de secours opérationnels

5. Gestion des tiers

  • Due diligence sur les sous-traitants
  • Contrats incluant clauses de sécurité
  • Audits réguliers des sous-traitants critiques
  • Suivi de la conformité

6. Développement sécurisé

  • Code reviews systématiques
  • Tests de sécurité automatisés
  • Scan de vulnérabilités réguliers
  • Patch management
  • Cycle de développement sécurisé (SDLC)

7. Conformité et audits

  • Audits de sécurité annuels
  • Tests d'intrusion annuels
  • Certifications maintenues
  • Conformité RGPD vérifiée

Version 1.0 - Dernière mise à jour : 1er janvier 2025

Signatures :

Ce DPA est automatiquement accepté lors de l'activation de votre compte sur la plateforme Gère ton Chantier et fait partie intégrante de nos Conditions Générales d'Utilisation.

← Retour à l'accueil