Accord de traitement des données à caractère personnel au sens de l'article 28 du RGPD, conclu entre l'Éditeur et le Client professionnel lors de la souscription.
Le présent Accord (l'« Accord » ou « DPA ») encadre le traitement des données à caractère personnel effectué par l'Éditeur pour le compte du Client dans le cadre de l'utilisation d'Allo Repair Gestion. Il complète et fait partie intégrante des conditions générales de vente et des conditions d'utilisation acceptées lors de la souscription. En cas de contradiction sur la protection des données personnelles, le présent Accord prévaut.
Sous-traitant (l'Éditeur) : Allo Repair Phone, SARL, SIRET 833 914 351 00055, 10 Rue Georges Clémenceau, 85600 Montaigu-Vendée, éditeur d'Allo Repair Gestion. Contact protection des données : contact@allorepairphone.fr.
Responsable de traitement (le Client) : le professionnel qui souscrit à Allo Repair Gestion et l'utilise pour gérer son activité. Il demeure responsable de traitement des données de ses propres clients et fournisseurs. Ses coordonnées sont celles renseignées lors de la souscription.
L'Éditeur traite des données personnelles pour le seul compte du Client, exclusivement pour fournir le service : facturation, stock, réparations, ventes, rachats, relation client et obligations comptables et fiscales associées. L'Accord s'applique pendant toute la durée d'utilisation du service. À l'expiration, l'Éditeur procède conformément à l'article 9.
Au nom et pour le compte du Client, l'Éditeur réalise les opérations de collecte, enregistrement, organisation, conservation, consultation, modification, extraction et effacement nécessaires au service. Catégories traitées :
L'Éditeur s'engage à : traiter les données uniquement sur instruction documentée du Client ; garantir la confidentialité et n'autoriser l'accès qu'aux personnes habilitées et tenues à la confidentialité ; mettre en œuvre les mesures de sécurité décrites à l'article 7 ; respecter les conditions de recours aux sous-traitants ultérieurs (article 5) ; aider le Client à répondre aux demandes d'exercice de droits (article 6) ; notifier au Client toute violation de données dans les meilleurs délais et au plus tard sous 48 heures, afin de lui permettre de respecter son propre délai de 72 heures vis-à-vis de la CNIL ; aider le Client à réaliser, le cas échéant, les analyses d'impact (AIPD) ; mettre à disposition les informations nécessaires pour démontrer le respect de l'article 28 du RGPD.
Le Client autorise l'Éditeur à recourir aux sous-traitants ultérieurs suivants. L'Éditeur informe le Client de tout changement envisagé, le Client pouvant émettre des objections motivées.
Services tiers connectés par le Client. Lorsque le Client connecte ses propres comptes de services tiers, ceux-ci agissent sous la responsabilité du Client et selon les conditions propres à chaque fournisseur. Ils ne sont pas des sous-traitants de l'Éditeur ; ce dernier transmet uniquement, sur instruction du Client, les données nécessaires à leur fonctionnement. Sont notamment concernés : Pennylane (facturation électronique, compte propre du Client) ainsi que les éco-organismes Ecologic et Ecosystem (Fonds Réparation QualiRépar).
Dans la mesure du possible, l'Éditeur aide le Client à donner suite aux demandes d'exercice des droits : accès, rectification, effacement, opposition, limitation et portabilité. Lorsqu'une personne adresse directement une demande à l'Éditeur, celui-ci la transmet au Client sans délai.
L'Éditeur met en œuvre des mesures techniques et organisationnelles appropriées : cloisonnement des données entre clients du service (isolation multi-locataire au niveau base de données) ; contrôle d'accès par authentification individuelle ; stockage des photos de pièces d'identité dans un répertoire protégé non public ; chaînage inaltérable et horodaté des écritures comptables (scellement par empreinte cryptographique) ; journalisation des opérations sensibles ; chiffrement des communications (HTTPS/TLS).
Les données sont hébergées au sein de l'Union européenne. Tout transfert vers un pays tiers ne peut intervenir que si des garanties appropriées existent (clauses contractuelles types de la Commission européenne ou décision d'adéquation). Certains sous-traitants ultérieurs (ex. Stripe) peuvent impliquer des traitements hors UE encadrés par de telles clauses.
Au terme de la prestation, selon le choix du Client, l'Éditeur restitue les données dans un format réutilisable. Les données opérationnelles restent récupérables pendant 30 jours après la résiliation, puis sont supprimées des systèmes et copies de l'Éditeur. Demeurent réservées les obligations légales de conservation incombant au Client (notamment les pièces comptables et le livre de police, conservées 10 ans), pour lesquelles les durées figurent dans la politique de conservation.
L'Éditeur met à disposition du Client les informations nécessaires pour démontrer le respect de ses obligations et permet la réalisation d'audits, dans des conditions raisonnables et après préavis, dans le respect de la confidentialité des autres clients du service.
Chaque partie répond des dommages causés par un traitement non conforme au RGPD, dans les conditions de l'article 82 du Règlement. Le présent Accord est soumis au droit français. Tout litige relève des juridictions compétentes du ressort du siège de l'Éditeur, à défaut d'accord amiable.
L'acceptation du présent Accord est recueillie lors de la souscription, conjointement avec celle des CGV, des CGU et de la politique de confidentialité. Cette acceptation vaut conclusion de l'Accord entre l'Éditeur et le Client.
Allo Repair Gestion