Objet#
Le présent accord de traitement de données (ci-après « DPA ») a pour objet de définir les conditions dans lesquelles l'Éditeur, agissant en qualité de sous-traitant au sens de l'article 4.8 du RGPD, traite des données à caractère personnel pour le compte du Client, agissant en qualité de responsable de traitement au sens de l'article 4.7 du RGPD.
Il s'applique automatiquement à tout client ayant souscrit à un abonnement payant (plans Starter, Pro, Business ou Entreprise) et complète, sans s'y substituer, les Conditions Générales de Vente.
Définitions#
Les termes « données à caractère personnel », « traitement », « responsable du traitement », « sous-traitant », « personne concernée » et « violation de données » ont le sens qui leur est donné par l'article 4 du RGPD.
Dans le présent DPA, on entend par :
- Client : le client professionnel ayant souscrit au Service ;
- Éditeur : Bordoly, fournisseur du Service ;
- Service : la plateforme SaaS « Bordoly » ;
- Données du Client : les données à caractère personnel confiées à l'Éditeur dans le cadre du Service.
Description du traitement (Annexe A)#
Conformément à l'article 28.3 du RGPD, le traitement effectué par l'Éditeur pour le compte du Client est précisé comme suit :
| Nature et finalité | Hébergement, traitement et restitution des données nécessaires à la traçabilité des déchets et à la gestion des opérations de collecte (création de bordereaux, planification de tournées, signature électronique de fin de prestation, archivage). |
|---|---|
| Durée du traitement | Pendant toute la durée de l'abonnement du Client, prolongée le cas échéant des durées d'archivage légal (5 ans pour les BSD et 10 ans pour les pièces comptables). |
| Catégories de personnes | Salariés et sous-traitants du Client (administrateurs, opérateurs, techniciens, chauffeurs) ; correspondants de transporteurs et d'exutoires ; toute personne nommée dans un BSD. |
| Catégories de données | Données d'identification (nom, prénom, email professionnel, fonction) ; données d'authentification (session, hash de PIN mobile) ; données de connexion et journaux d'accès ; contenu opérationnel (BSD, sites, sessions, photos, signatures, notes). |
| Données sensibles | Aucune donnée sensible au sens de l'article 9 du RGPD n'est collectée. |
| Lieu du traitement principal | France (datacenters OVHcloud Gravelines + Roubaix). Sous-traitants ultérieurs listés en Annexe B. |
Obligations du sous-traitant#
Conformément à l'article 28.3 du RGPD, l'Éditeur s'engage à :
- ne traiter les Données du Client que sur instruction documentée du Client, y compris en ce qui concerne les transferts vers un pays tiers, sauf obligation légale contraire ;
- veiller à ce que les personnes autorisées à traiter les Données du Client s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ;
- prendre toutes les mesures requises en vertu de l'article 32 du RGPD (sécurité du traitement) ;
- ne pas faire appel à un autre sous-traitant sans autorisation préalable du Client (cf. section « Sous-traitants ultérieurs ») ;
- assister le Client, par des mesures techniques et organisationnelles appropriées, dans la mesure du possible, pour répondre aux demandes d'exercice des droits des personnes concernées ;
- aider le Client à garantir le respect des obligations prévues aux articles 32 à 36 du RGPD (sécurité, notification de violation, analyse d'impact, consultation préalable) ;
- au choix du Client, supprimer ou renvoyer toutes les Données du Client à la fin de la prestation, sauf droit ou obligation légale imposant la conservation ;
- mettre à la disposition du Client toutes les informations nécessaires pour démontrer le respect des obligations du présent article et permettre la réalisation d'audits, dans les conditions de la section « Audit ».
Instructions documentées du responsable#
Les présentes CGV, le DPA et la documentation publique du Service constituent les instructions générales et permanentes du Client pour le traitement des Données. Toute instruction particulière doit faire l'objet d'un écrit (email à [email protected] suffit).
Si l'Éditeur estime qu'une instruction du Client constitue une violation du RGPD ou d'autres dispositions du droit de l'Union ou du droit national applicable, il en informe immédiatement le Client.
Confidentialité#
L'Éditeur garantit que toute personne placée sous son autorité, ayant accès aux Données du Client, est :
- soumise à un engagement contractuel de confidentialité ou à une obligation légale équivalente ;
- habilitée selon le principe du moindre privilège (RBAC), avec une revue périodique des accès ;
- formée aux bonnes pratiques de protection des données.
Mesures de sécurité (Annexe C)#
L'Éditeur met en œuvre les mesures techniques et organisationnelles suivantes pour assurer la sécurité du traitement (article 32 RGPD) :
- chiffrement des communications client ↔ serveur en TLS 1.2 minimum ;
- chiffrement de la base de données et des sauvegardes au repos ;
- cookies de session avec attributs
HttpOnly,Secure(en production),SameSite=Lax; - cloisonnement multi-tenant strict (isolation par SIRET) ;
- politique d'accès minimale (RBAC) et journalisation immuable des actions sensibles (audit log) ;
- protection contre les attaques courantes (CSRF via cookie state OAuth, rate-limiting sur les surfaces sensibles, validation Zod sur tous les inputs, scrubbing automatique des logs côté observabilité) ;
- sauvegardes chiffrées quotidiennes avec test de restauration périodique ;
- plan de continuité d'activité et procédure d'escalade des incidents ;
- tests de pénétration périodiques et revues de sécurité.
La liste détaillée des mesures peut être communiquée sur demande aux Clients Entreprise dans le cadre d'une revue de sécurité (questionnaire sécurité, rapport de pentest synthétique).
Sous-traitants ultérieurs (Annexe B)#
Conformément à l'article 28.2 du RGPD, le Client autorise par avance l'Éditeur à recourir aux sous-traitants ultérieurs listés ci-dessous. Cette autorisation est accordée sous réserve que l'Éditeur impose à chaque sous-traitant ultérieur, par contrat, les mêmes obligations de protection des données que celles fixées dans le présent DPA.
| Sous-traitant | Finalité | Localisation | Garantie applicable |
|---|---|---|---|
| OVH SAS | Hébergement infrastructure (compute, base de données PostgreSQL, stockage objet) | France (Gravelines, Roubaix) | Hébergement intégral en UE — aucune CCT requise. |
| Stripe Payments Europe Ltd | Paiement, facturation, gestion des abonnements | Irlande (siège UE) (hors UE) | Clauses Contractuelles Types UE (Module 2 Responsable→Sous-traitant) entre Stripe Payments Europe Ltd et Stripe Inc. |
| Resend Inc. | Envoi d'emails transactionnels (codes PIN, invitations, factures) | États-Unis (Delaware) (hors UE) | Clauses Contractuelles Types UE (Module 2). Données limitées à l'adresse email du destinataire et au contenu transactionnel strictement nécessaire. |
| Functional Software Inc. (Sentry) | Suivi des erreurs applicatives et performance (observabilité) | États-Unis (Californie) (hors UE) | Clauses Contractuelles Types UE + scrubbing automatique des données sensibles (tokens, mots de passe, PII) via filtres serveur. Conservation : 90 jours. |
| Ministère de la Transition Écologique — TrackDéchets | Échange de bordereaux de suivi de déchets (BSD) avec la plateforme nationale TrackDéchets, conformément à l'article R. 541-45 du Code de l'environnement | France | Échange de données réglementaire opéré dans le cadre d'une obligation légale (article 6.1.c RGPD). |
En cas de changement prévu concernant l'ajout ou le remplacement d'un sous-traitant ultérieur, l'Éditeur en informe le Client par email au moins trente (30) jours avant la mise en œuvre. Le Client dispose d'un droit d'opposition motivé à exercer dans les quinze (15) jours suivant la notification. En cas d'opposition légitime, les parties s'efforceront de trouver une solution alternative ; à défaut, le Client pourra résilier le contrat sans pénalité.
Assistance aux droits des personnes#
L'Éditeur met à disposition du Client les fonctionnalités techniques nécessaires pour répondre aux demandes des personnes concernées (export des données dans un format structuré, suppression d'un compte, rectification). Les demandes adressées directement à l'Éditeur sont transmises au Client dans un délai de cinq (5) jours ouvrés, à charge pour ce dernier d'y donner suite en sa qualité de responsable du traitement.
Notification des violations de données#
Conformément à l'article 33 du RGPD, l'Éditeur s'engage à notifier au Client toute violation de données affectant les Données du Client dans les 72 heures suivant la connaissance qu'il en a, par email à l'adresse renseignée dans le compte de facturation.
La notification comprend, dans la mesure du possible :
- la nature de la violation, les catégories et le nombre approximatif de personnes et d'enregistrements concernés ;
- les conséquences probables ;
- les mesures prises ou prévues pour remédier à la violation et atténuer les conséquences ;
- le nom et les coordonnées du DPO ou du point de contact pour information complémentaire.
La notification au Client n'emporte pas reconnaissance par l'Éditeur d'une faute ou d'une responsabilité quelconque.
Transferts hors UE#
Le traitement principal s'effectue sur le territoire de l'Union européenne (France). Les transferts vers des pays tiers, lorsqu'ils sont nécessaires à la fourniture du Service par certains sous-traitants ultérieurs, sont encadrés par :
- les Clauses Contractuelles Types de la Commission européenne (décision (UE) 2021/914 du 4 juin 2021) ;
- lorsque pertinent, l'adhésion du sous-traitant ultérieur au EU-U.S. Data Privacy Framework (décision d'adéquation du 10 juillet 2023) ;
- des mesures techniques supplémentaires (chiffrement en transit, pseudonymisation des identifiants, scrubbing automatique des données sensibles).
Une copie des CCT applicables peut être communiquée au Client sur simple demande à [email protected].
Audit et registres#
L'Éditeur met à disposition du Client toutes les informations raisonnablement nécessaires pour démontrer le respect des obligations prévues à l'article 28 du RGPD, sous forme :
- de la présente politique et de ses annexes (registre des sous-traitants, mesures de sécurité) ;
- de la documentation technique publique du Service ;
- de réponses au questionnaire sécurité du Client (Clients Entreprise) ;
- de rapports de tests de pénétration synthétiques sur demande motivée et sous accord de confidentialité.
Pour les Clients Entreprise, des audits sur site ou à distance peuvent être organisés une fois par année civile, sous réserve d'un préavis de trente (30) jours, aux frais du Client et dans des conditions n'entravant pas l'exécution normale du Service. Les conclusions de l'audit sont confidentielles. Tout audit doit respecter la confidentialité des autres clients de l'Éditeur.
Fin du contrat#
À la fin de la prestation, le Client peut, dans un délai de quatre-vingt-dix (90) jours, demander :
- la restitution de l'ensemble des Données du Client dans un format structuré, couramment utilisé et lisible par machine ;
- la suppression définitive des Données du Client et de leurs copies, sauf obligation légale de conservation.
Au-delà de ce délai, et sauf demande contraire écrite, l'Éditeur procède à la suppression définitive des Données du Client. Sont exclues de la suppression :
- les pièces comptables (durée de conservation 10 ans, art. L. 123-22 Code com.) ;
- les BSD et données de traçabilité (durée 5 ans, art. R. 541-45 Code env.) ;
- les éléments nécessaires à la défense juridictionnelle de l'Éditeur ou du Client en cas de litige en cours.
Une attestation de suppression peut être délivrée au Client sur simple demande.
Annexes#
Le présent DPA comporte trois annexes intégrées au corps du document :
- Annexe A : description du traitement (section « Description du traitement ») ;
- Annexe B : liste des sous-traitants ultérieurs (section « Sous-traitants ultérieurs ») ;
- Annexe C : mesures techniques et organisationnelles (section « Sécurité »).
Toute question relative au présent DPA peut être adressée au délégué à la protection des données : [email protected].