← Retour

Contrat de traitement des données (DPA)

Article 28 du RGPD — Éditeur sous-traitant du Client

1. Objet & rôles des parties

Le présent contrat de traitement des données (« DPA ») encadre le traitement des données à caractère personnel réalisé par ENTREPRISE SCODELLER, exerçant sous le nom commercial KADENCEO (« le Sous-traitant »), pour le compte du Client (« le Responsable de traitement ») dans le cadre de l'utilisation du Service, conformément à l'article 28 du Règlement (UE) 2016/679 (« RGPD »). Il complète les Conditions Générales de Vente et prévaut en cas de contradiction sur les questions de protection des données.

Le Client (l'entreprise du BTP) est responsable de traitement des données de ses salariés. KADENCEO agit en sous-traitant : il ne traite ces données que sur instruction documentée du Client, aux seules fins de fourniture du Service.
2. Description du traitement (annexe 1)
ÉlémentDétail
Nature & finalitéPointage numérique, agrégation des heures et indemnités, suivi de chantiers, export paie — pour le compte du Client.
DuréeDurée de l'abonnement, puis suppression selon l'article 9 (sous réserve des durées légales de conservation).
Catégories de personnesSalariés et collaborateurs du Client (« compagnons »), utilisateurs administrateurs.
Catégories de donnéesIdentité (prénom, nom, poste), heures pointées, chantiers, paniers/indemnités, adresses e-mail des comptes, journaux d'accès (horodatage, IP).
Données sensiblesAucune donnée sensible au sens de l'art. 9 RGPD n'est requise par le Service.
3. Obligations du Sous-traitant
4. Sous-traitants ultérieurs

Le Client autorise le recours aux sous-traitants ultérieurs listés ci-dessous. Le Sous-traitant leur impose des obligations équivalentes aux présentes et informe le Client de tout changement envisagé, laissant la possibilité d'émettre des objections motivées.

Sous-traitantRôleLocalisation des données
Railway Corp.Hébergement de l'applicationUnion européenne — région EU-West (Amsterdam)
MongoDB AtlasBase de donnéesRégion UE (Europe)
Stripe, Inc.Paiement & facturationUE / USA (clauses contractuelles types)
ResendEnvoi d'e-mails transactionnelsUSA (clauses contractuelles types)
5. Sécurité (article 32 RGPD)
6. Violation de données

Le Sous-traitant notifie au Responsable toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance, avec les éléments utiles permettant au Responsable de satisfaire, le cas échéant, à ses obligations de notification (art. 33 et 34 RGPD).

7. Transferts hors UE

Les données du Service sont hébergées dans l'Union européenne. Lorsqu'un sous-traitant ultérieur implique un transfert hors UE (ex. Stripe, Resend), celui-ci est encadré par des clauses contractuelles types de la Commission européenne ou un mécanisme équivalent.

8. Droits des personnes & assistance

Le Sous-traitant met à disposition du Responsable les fonctions permettant de répondre aux demandes des personnes concernées (accès, rectification, effacement, portabilité — notamment via l'export de données) et l'assiste raisonnablement pour les demandes qu'il ne peut traiter seul.

9. Sort des données en fin de contrat

Au terme de la prestation, le Sous-traitant restitue les Données Client (export) puis les supprime de ses systèmes dans un délai de trente (30) jours, sauf obligation légale de conservation (par ex. cinq ans pour les éléments de paie). Les sauvegardes sont purgées selon leur cycle de rotation.

10. Audit

Le Sous-traitant met à disposition du Responsable les informations nécessaires pour démontrer le respect de l'article 28 du RGPD et permet la réalisation d'audits, dans des conditions raisonnables (préavis, confidentialité, périodicité), par le Responsable ou un tiers mandaté.

Version du 8 juillet 2026.