Accord de traitement des données (DPA)
Le présent Accord de traitement des données (ci-après « DPA ») est conclu conformément à l'article 28 du Règlement (UE) 2016/679 (RGPD) entre :
- Le Client, en qualité de Responsable de traitement, qui détermine les finalités et moyens de traitement des données personnelles relatives à ses propres utilisateurs (ses clients, employés, animaux, etc.)
- MiaSys SAS, en qualité de Sous-traitant, qui traite ces données pour le compte du Client dans le cadre du service fourni
Article 1 — Objet
Le présent DPA définit les conditions dans lesquelles MiaSys, en qualité de sous-traitant, traite les données personnelles confiées par le Client pour lui fournir le service.
Article 2 — Description du traitement
| Aspect | Détail |
|---|---|
| Nature des opérations | Hébergement, stockage, indexation, accès, sauvegarde, restauration, affichage, modification, suppression |
| Finalité | Fourniture du service MiaSys (gestion multi-sectorielle) |
| Catégories de données | Identité, contact, réservations, facturation, usage, communications |
| Catégories de personnes | Clients du Client, employés, animaux le cas échéant |
| Durée | Durée du contrat + obligations légales de conservation |
Article 3 — Obligations du sous-traitant (MiaSys)
MiaSys s'engage à :
- Traiter les données uniquement sur instruction documentée du Client
- Garantir la confidentialité des données (engagement de confidentialité des employés et sous-traitants)
- Mettre en œuvre des mesures techniques et organisationnelles appropriées (art. 32 RGPD) :
- Chiffrement en transit (HTTPS/TLS 1.2+)
- Chiffrement des mots de passe (bcrypt)
- Contrôle d'accès strict (RBAC)
- Sauvegardes quotidiennes
- Journaux d'audit
- Tests de récupération d'activité
- Ne pas faire appel à un autre sous-traitant sans autorisation écrite préalable
- Aider le Client à répondre aux demandes d'exercice des droits des personnes concernées
- Notifier au Client toute violation de données dans les 24 heures suivant sa connaissance
- Supprimer ou restituer toutes les données à la fin du contrat selon le choix du Client
- Mettre à disposition du Client les informations nécessaires pour démontrer le respect des obligations
Article 4 — Obligations du responsable (Client)
Le Client s'engage à :
- Fournir des instructions documentées (CGV, CGU, paramétrage)
- Respecter les principes du RGPD pour la collecte et le traitement initial
- Informer ses propres utilisateurs de l'utilisation de MiaSys et du présent DPA
- Recueillir les consentements nécessaires auprès de ses utilisateurs
- Ne pas transmettre à MiaSys de données sans base légale
- Définir les durées de conservation et superviser leur respect
Article 5 — Liste des sous-traitants ultérieurs
MiaSys fait appel aux sous-traitants ultérieurs suivants, que le Client autorise expressément :
| Sous-traitant | Finalité | Localisation |
|---|---|---|
| o2switch SAS | Hébergement du service | France (Clermont-Ferrand) |
| Fournisseur email | Envoi d'emails transactionnels | France / UE |
Toute modification de cette liste sera notifiée au Client avec un préavis de 30 jours. Le Client peut s'opposer au changement ; à défaut d'accord, il pourra résilier son abonnement sans frais.
Article 6 — Transferts hors UE
Aucun transfert de données hors Union Européenne n'est effectué. Toutes les données sont hébergées en France.
Article 7 — Sécurité des données
MiaSys met en œuvre, compte tenu de l'état de l'art, des coûts de mise en œuvre et de la nature du traitement, des mesures de sécurité :
- Pseudonymisation et chiffrement le cas échéant
- Moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes
- Moyens permettant de rétablir la disponibilité des données en cas d'incident
- Procédure de test et d'évaluation régulière de l'efficacité des mesures
Article 8 — Violation de données
En cas de violation de données à caractère personnel, MiaSys notifie le Client dans les 24 heures suivant sa connaissance, en fournissant :
- La nature de la violation
- Les catégories et nombre approximatif de personnes concernées
- Les catégories et nombre approximatif d'enregistrements
- Les conséquences probables
- Les mesures prises ou proposées
Article 9 — Audit
Le Client peut, à ses frais et avec un préavis de 30 jours, faire réaliser un audit des mesures de sécurité mises en œuvre par MiaSys, par un auditeur indépendant soumis à engagement de confidentialité. L'audit ne doit pas perturber le fonctionnement du service.
Article 10 — Fin du traitement
À la fin de la prestation :
- Le Client peut exporter l'intégralité de ses données au format JSON via son compte
- À défaut de restitution, les données sont supprimées dans un délai de 30 jours
- Les données soumises à obligation légale de conservation (factures : 10 ans) sont conservées jusqu'à l'expiration du délai
Article 11 — Droit applicable
Le présent DPA est soumis au droit français et complète les CGV sans s'y substituer.