Accord de sous-traitance des données

1. Parties et champ d'application

Le présent accord de sous-traitance des données ("DPA") est conclu entre le client utilisant Bungaflow ("Responsable du traitement") et Redor AS, numéro d'organisation [en cours d'enregistrement], exploitant la plateforme Bungaflow ("Sous-traitant").

Le présent DPA régit le traitement des données à caractère personnel par le Sous-traitant pour le compte du Responsable du traitement conformément au Règlement général sur la protection des données (RGPD), en particulier l'article 28. Le DPA fait partie intégrante du contrat de service entre les parties et complète la politique de confidentialité et les conditions d'utilisation.

2. Définitions

• Données à caractère personnel : Toute information se rapportant à une personne physique identifiée ou identifiable.
• Traitement : Toute opération effectuée sur des données à caractère personnel, y compris la collecte, le stockage, la modification, la consultation, la divulgation ou la suppression.
• Responsable du traitement :La partie qui détermine les finalités et les moyens du traitement des données à caractère personnel (le client — propriétaire d'unité ou administrateur d'organisation).
• Sous-traitant : La partie qui traite les données à caractère personnel pour le compte du Responsable du traitement (Redor AS / Bungaflow).
• Sous-traitant ultérieur : Un tiers engagé par le Sous-traitant pour effectuer des activités de traitement spécifiques.
• Personne concernée :La personne physique dont les données à caractère personnel font l'objet d'un traitement.
• Autorité de contrôle :L'autorité publique indépendante chargée de surveiller l'application de la législation en matière de protection des données (en France : la CNIL).

3. Objet et durée

Le Sous-traitant traite les données à caractère personnel pour le compte du Responsable du traitement aux fins de la fourniture de la plateforme Bungaflow, y compris, mais sans s'y limiter : la gestion des réservations, le partage des dépenses, la gestion des tâches, la messagerie, le journal de maintenance, le stockage de documents, le portail invités, l'assistant IA et les fonctionnalités associées.

Le traitement dure aussi longtemps que le Responsable du traitement maintient un compte actif sur la plateforme Bungaflow. En cas de résiliation ou de suppression du compte, le traitement cesse et les données sont supprimées conformément à l'article 12 du présent accord.

4. Types de données à caractère personnel traitées

Le Sous-traitant traite les catégories suivantes de données à caractère personnel pour le compte du Responsable du traitement :

• Noms et adresses e-mail des membres de l'unité
• Données de réservation (dates, types, associations de membres)
• Données de dépenses (montants, descriptions, images de reçus)
• Messages et entrées du livre d'or
• Journaux de maintenance
• Attributions de tâches
• Données du portail invités (noms des invités, informations d'enregistrement)
• Mots de passe WiFi (chiffrés avec AES-256-GCM)
• Conversations de chat IA
• Abonnements aux notifications push
• Journaux d'activité

5. Catégories de personnes concernées

Le traitement concerne les catégories suivantes de personnes concernées :

• Membres de l'unité (administrateurs et membres lite)
• Invités (via le portail invités)
• Membres d'organisation

6. Obligations du Sous-traitant

Le Sous-traitant s'engage à :

• Traiter les données à caractère personnel uniquement sur la base d'instructions documentées du Responsable du traitement, sauf si le droit de l'Union ou d'un État membre l'exige.
• Veiller à ce que les personnes autorisées à traiter les données à caractère personnel se soient engagées à respecter la confidentialité ou soient soumises à une obligation légale de confidentialité appropriée.
• Mettre en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, y compris :
  • Chiffrement TLS pour toutes les données en transit
  • Chiffrement AES-256-GCM pour les champs sensibles (par ex. mots de passe WiFi)
  • En-têtes HSTS et Content Security Policy
  • Contrôle d'accès basé sur les rôles (rôles Admin / Lite)
  • Pipeline CI/CD automatisé avec analyse de sécurité
  • Sécurité au niveau de la base de données avec sécurité au niveau des lignes et politiques de suppression en cascade
• Aider le Responsable du traitement à répondre aux demandes des personnes concernées, y compris le droit d'accès, de rectification, d'effacement, de portabilité des données et de limitation du traitement.
• Aider le Responsable du traitement à assurer le respect des articles 32 à 36 du RGPD (sécurité, notification de violation, analyses d'impact sur la protection des données).
• Au choix du Responsable du traitement, supprimer ou restituer toutes les données à caractère personnel à l'issue de la prestation de services, et supprimer les copies existantes sauf si le droit de l'Union ou d'un État membre exige leur conservation. La suppression du compte supprime toutes les données d'unité via une suppression en cascade.
• Mettre à la disposition du Responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues à l'article 28 du RGPD.

7. Sous-traitants ultérieurs

Le Responsable du traitement donne son autorisation générale au Sous-traitant pour faire appel aux sous-traitants ultérieurs suivants :

Le Sous-traitant informe le Responsable du traitement de tout changement prévu concernant l'ajout ou le remplacement de sous-traitants ultérieurs, en donnant au Responsable du traitement la possibilité de s'opposer à ces changements dans un délai de 14 jours à compter de la notification.

8. Transferts internationaux de données

Certains sous-traitants ultérieurs (Resend, OpenAI, réseau edge de Vercel) peuvent traiter des données à caractère personnel en dehors de l'UE/EEE. Ces transferts sont encadrés par le cadre de protection des données UE-États-Unis et/ou les clauses contractuelles types (CCT) adoptées par la Commission européenne, conformément au chapitre V du RGPD.

9. Notification de violation de données

Le Sous-traitant notifie le Responsable du traitement dans les meilleurs délais, et en tout état de cause dans les 48 heures, après avoir pris connaissance d'une violation de données à caractère personnel, conformément à l'article 33 du RGPD. La notification comprend la nature de la violation, les catégories et le nombre approximatif de personnes concernées, les conséquences probables et les mesures prises ou proposées pour y remédier.

10. Droits d'audit

Le Responsable du traitement a le droit d'auditer, ou de faire auditer par un tiers indépendant, la conformité du Sous-traitant au présent DPA et à la législation applicable en matière de protection des données. Le Sous-traitant met à disposition toutes les informations nécessaires pour démontrer la conformité et coopère lors de ces audits.

11. Responsabilité

Chaque partie est responsable des dommages causés par un traitement enfreignant le RGPD conformément à l'article 82. La responsabilité totale cumulée du Sous-traitant au titre du présent DPA est limitée au montant total des frais payés par le Responsable du traitement au Sous-traitant au cours des 12 mois précédant l'événement donnant lieu à la réclamation.

12. Durée et résiliation

Le présent DPA entre en vigueur lorsque le Responsable du traitement crée un compte sur la plateforme Bungaflow et reste en vigueur aussi longtemps que le Sous-traitant traite des données à caractère personnel pour le compte du Responsable du traitement. En cas de résiliation ou de suppression du compte du Responsable du traitement, toutes les données à caractère personnel sont supprimées dans un délai de 30 jours. La suppression est effectuée via une suppression en cascade, qui supprime toutes les données d'unité associées (réservations, dépenses, membres, messages, tâches, documents, etc.).

13. Contact

Pour toute question relative au présent accord de sous-traitance des données ou au traitement des données à caractère personnel, contactez-nous à privacy@bungaflow.com.