Accord de traitement des données (DPA)
Le présent accord de traitement des données (« DPA ») encadre le traitement des données à caractère personnel effectué par ImmoAccess SAS (« le Sous-traitant ») pour le compte du client professionnel souscripteur du service ImmoAccess (« le Responsable de traitement »). Il complète les conditions générales de venteet s'impose dès la souscription du service. En cas de contradiction sur le traitement des données, le présent DPA prévaut.
1. Définitions
Les termes « données à caractère personnel », « traitement », « responsable de traitement », « sous-traitant », « personne concernée » et « violation de données » ont le sens que leur donne le Règlement (UE) 2016/679 (« RGPD »).
2. Objet et rôle des parties
Dans le cadre du service ImmoAccess, le Responsable de traitement détermine les finalités et les moyens du traitement. Le Sous-traitant traite les données uniquement pour le compte et sur instruction documentéedu Responsable de traitement, telle qu'exprimée par l'utilisation normale du service et par le présent DPA. Le Sous-traitant informe sans délai le Responsable de traitement s'il estime qu'une instruction constitue une violation du RGPD.
3. Durée
Le présent DPA s'applique pendant toute la durée de l'abonnement au service et jusqu'à la restitution ou la suppression complète des données conformément à l'article 9 ci-dessous.
4. Obligations du Sous-traitant
Le Sous-traitant s'engage à :
- ne traiter les données que sur instruction documentée du Responsable de traitement ;
- ne jamais revendre, céder, louer ni communiquerles données à des tiers à des fins commerciales, et ne pas les exploiter pour son propre compte — y compris à des fins de prospection, de publicité, de profilage ou d'entraînement de modèles d'intelligence artificielle ;
- veiller à ce que les personnes autorisées à traiter les données soient soumises à une obligation de confidentialité et limiter ces accès au strict nécessaire, tout accès étant tracé ;
- mettre en œuvre les mesures techniques et organisationnelles décrites en Annexe 2 ;
- respecter les conditions de recours à un sous-traitant ultérieur prévues à l'article 5 ;
- aider le Responsable de traitement à répondre aux demandes d'exercice des droits des personnes concernées (accès, rectification, effacement, limitation, portabilité, opposition) ;
- aider le Responsable de traitement à garantir la sécurité du traitement, à notifier les violations de données et, le cas échéant, à réaliser une analyse d'impact (AIPD) ;
- mettre à disposition du Responsable de traitement toutes les informations nécessaires pour démontrer le respect des obligations de l'article 28 du RGPD.
5. Sous-traitants ultérieurs
Le Responsable de traitement autorise le Sous-traitant à recourir aux sous-traitants ultérieurs listés en Annexe 3. Le Sous-traitant impose à ces derniers, par contrat, des obligations de protection des données équivalentes à celles du présent DPA. En cas d'ajout ou de remplacement d'un sous-traitant ultérieur, le Sous-traitant en informe le Responsable de traitement, qui peut s'y opposer pour un motif légitime.
6. Transferts hors Union européenne
Les données sont hébergées et traitées au sein de l'Union européenne. Lorsqu'un sous-traitant ultérieur est établi hors UE (cf. Annexe 3), le transfert est encadré par les clauses contractuelles types de la Commission européenne ou un autre mécanisme conforme au chapitre V du RGPD.
7. Sécurité
Le Sous-traitant met en œuvre les mesures de sécurité détaillées en Annexe 2, adaptées au risque, conformément à l'article 32 du RGPD.
8. Violation de données
Le Sous-traitant notifie au Responsable de traitement toute violation de données à caractère personnel le concernant dans les meilleurs délais après en avoir pris connaissance, et lui fournit les informations utiles pour lui permettre, le cas échéant, de notifier l'autorité de contrôle (CNIL) et les personnes concernées.
9. Sort des données en fin de contrat
Au terme de la prestation, le Sous-traitant, au choix du Responsable de traitement, lui restitue l'ensemble des données ou les supprime, et détruit les copies existantes, sauf obligation légale de conservation (notamment preuve des bons de visite et obligations comptables, dont les durées figurent dans la politique de confidentialité).
10. Audit
Le Sous-traitant met à disposition du Responsable de traitement les informations nécessaires pour démontrer le respect du présent DPA et permet la réalisation d'audits, dans des conditions raisonnables (préavis, confidentialité, périmètre proportionné), le cas échéant par un tiers indépendant mandaté par le Responsable de traitement.
Annexe 1 — Description du traitement
| Nature et finalité | Génération, envoi, signature électronique et archivage de bons de visite immobiliers ; déblocage conditionnel de l'adresse ; suivi commercial et support. |
|---|---|
| Catégories de personnes | Prospects (destinataires des bons), agents et collaborateurs du Responsable de traitement. |
| Catégories de données | Identité, coordonnées (téléphone, email), copie de pièce d'identité, adresses des biens, données de signature (horodatage, OTP, IP), données techniques de connexion. |
| Durée de conservation | Selon les durées indiquées dans la politique de confidentialité(notamment : bons 5 ans puis anonymisation, copies de pièces d'identité 2 ans). |
Annexe 2 — Mesures techniques et organisationnelles de sécurité
- Chiffrement des adresses des biens en base au standard AES-256-GCM, avant stockage.
- Déblocage de l'adresse conditionné à la validation de l'identité du prospect (OTP).
- Hachage des codes de vérification (OTP) et des mots de passe (bcrypt).
- Chiffrement des communications en transit (HTTPS / TLS 1.2 minimum).
- Limitation et traçabilité des accès internes ; accès au strict nécessaire pour le support.
- Supervision technique configurée sans donnée personnelle (aucune adresse, coordonnée ou pièce d'identité transmise à l'outil de supervision).
- Suppression automatisée des données arrivées à échéance (tâches planifiées de purge RGPD).
Annexe 3 — Sous-traitants ultérieurs autorisés
| Sous-traitant | Rôle | Localisation |
|---|---|---|
| Vercel Inc. | Hébergement de l'application et de la base CDN | États-Unis (clauses contractuelles types UE) |
| Neon Inc. | Base de données PostgreSQL | Union européenne (région eu-west-2) |
| Brevo (Sendinblue SAS) | Envoi des SMS (OTP, liens bon, confirmations) et emails transactionnels | France (UE) |
| Stripe Payments Europe Ltd. | Traitement des paiements par carte bancaire | Irlande (UE) |
| Sentry (Functional Software Inc.) | Supervision technique et capture des erreurs (sans données personnelles) | États-Unis (clauses contractuelles types UE) |
| Better Stack | Supervision de la disponibilité du site | Tchéquie (UE) |
| FreeTSA | Horodatage cryptographique RFC 3161 des PDF de preuve | Autriche (UE) |
Contact
Pour toute question relative au présent accord ou à l'exercice des droits : contact@immoaccess.fr.