Le présent contrat de traitement des données (« DPA ») encadre le traitement des données à caractère personnel réalisé par ENTREPRISE SCODELLER, exerçant sous le nom commercial KADENCEO (« le Sous-traitant »), pour le compte du Client (« le Responsable de traitement ») dans le cadre de l'utilisation du Service, conformément à l'article 28 du Règlement (UE) 2016/679 (« RGPD »). Il complète les Conditions Générales de Vente et prévaut en cas de contradiction sur les questions de protection des données.
| Élément | Détail |
|---|---|
| Nature & finalité | Pointage numérique, agrégation des heures et indemnités, suivi de chantiers, export paie — pour le compte du Client. |
| Durée | Durée de l'abonnement, puis suppression selon l'article 9 (sous réserve des durées légales de conservation). |
| Catégories de personnes | Salariés et collaborateurs du Client (« compagnons »), utilisateurs administrateurs. |
| Catégories de données | Identité (prénom, nom, poste), heures pointées, chantiers, paniers/indemnités, adresses e-mail des comptes, journaux d'accès (horodatage, IP). |
| Données sensibles | Aucune donnée sensible au sens de l'art. 9 RGPD n'est requise par le Service. |
- Traiter les données uniquement sur instruction documentée du Responsable (les présentes et l'usage du Service valant instructions), et l'alerter si une instruction lui paraît contraire au RGPD.
- Garantir la confidentialité : seules les personnes habilitées et tenues à la confidentialité accèdent aux données.
- Mettre en œuvre des mesures techniques et organisationnelles appropriées (article 6).
- Assister le Responsable pour répondre aux demandes d'exercice des droits des personnes et pour ses obligations de sécurité, de notification de violation et d'analyse d'impact.
- Ne pas transférer les données hors de l'Union européenne sans garanties appropriées (article 7).
Le Client autorise le recours aux sous-traitants ultérieurs listés ci-dessous. Le Sous-traitant leur impose des obligations équivalentes aux présentes et informe le Client de tout changement envisagé, laissant la possibilité d'émettre des objections motivées.
| Sous-traitant | Rôle | Localisation des données |
|---|---|---|
| Railway Corp. | Hébergement de l'application | Union européenne — région EU-West (Amsterdam) |
| MongoDB Atlas | Base de données | Région UE (Europe) |
| Stripe, Inc. | Paiement & facturation | UE / USA (clauses contractuelles types) |
| Resend | Envoi d'e-mails transactionnels | USA (clauses contractuelles types) |
- Chiffrement en transit (TLS), mots de passe hachés (bcrypt), secrets sensibles chiffrés au repos.
- Contrôle d'accès, double authentification disponible, limitation anti-brute-force.
- Journal d'audit horodaté, en-têtes HTTP durcis, isolation des données entre clients (multi-tenant).
- Purge automatique des données au terme des durées de conservation.
Le Sous-traitant notifie au Responsable toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance, avec les éléments utiles permettant au Responsable de satisfaire, le cas échéant, à ses obligations de notification (art. 33 et 34 RGPD).
Les données du Service sont hébergées dans l'Union européenne. Lorsqu'un sous-traitant ultérieur implique un transfert hors UE (ex. Stripe, Resend), celui-ci est encadré par des clauses contractuelles types de la Commission européenne ou un mécanisme équivalent.
Le Sous-traitant met à disposition du Responsable les fonctions permettant de répondre aux demandes des personnes concernées (accès, rectification, effacement, portabilité — notamment via l'export de données) et l'assiste raisonnablement pour les demandes qu'il ne peut traiter seul.
Au terme de la prestation, le Sous-traitant restitue les Données Client (export) puis les supprime de ses systèmes dans un délai de trente (30) jours, sauf obligation légale de conservation (par ex. cinq ans pour les éléments de paie). Les sauvegardes sont purgées selon leur cycle de rotation.
Le Sous-traitant met à disposition du Responsable les informations nécessaires pour démontrer le respect de l'article 28 du RGPD et permet la réalisation d'audits, dans des conditions raisonnables (préavis, confidentialité, périodicité), par le Responsable ou un tiers mandaté.