YelloowPlan

Légal · B2B

Data Processing Agreement (DPA)

Accord de sous-traitance des données conforme RGPD Art. 28 · V1

Préambule

Le présent Data Processing Agreement (« DPA ») complète les CGU de YelloowPlan. Il s'applique de plein droit dès qu'un Client (« Responsable de traitement ») utilise le Service pour traiter des données personnelles de tiers (employés, clients finaux, etc.).

1. Rôle des parties

  • Client : Responsable de traitement au sens du RGPD pour les données saisies dans son Tenant.
  • SAS Yelloow (Éditeur) : Sous-traitant au sens du RGPD, agissant uniquement sur instruction documentée du Client.

2. Objet et durée

Le Sous-traitant traite les données du Client pour fournir le Service. Le traitement dure tant que le Client conserve un Tenant actif + 30 jours de période de réversibilité après résiliation.

3. Nature et finalités du traitement

  • Hébergement des données saisies par le Client.
  • Mise à disposition des fonctionnalités du Service.
  • Envoi des emails transactionnels demandés par le Client.
  • Sauvegardes automatiques quotidiennes.

4. Catégories de personnes concernées

  • Utilisateurs administrateurs (owner, admin, managers).
  • Employés / collaborateurs du Client (intervenants terrain).
  • Clients finaux du Client (donneurs d'ordre, bénéficiaires).
  • Tiers identifiés dans les rapports / formulaires.

5. Mesures techniques et organisationnelles

  • Isolation tenant 3 couches : middleware + scoped queries + Row-Level Security Postgres.
  • Chiffrement TLS 1.3 en transit, AES-256 au repos.
  • Authentification par magic link (sans mot de passe stocké).
  • Backups chiffrés quotidiens, retention 30 jours.
  • Audit logs append-only de toutes les actions sensibles.
  • Hébergement EU (Supabase eu-west-3, Vercel régions EU).

6. Notification de violation

En cas de violation de données, le Sous-traitant notifie le Client dans les 72 heuresouvrées suivant la prise de connaissance, par email à l'adresse du Owner du Tenant. La notification précise la nature, les volumes, les catégories impactées et les mesures correctives.

7. Sous-traitants ultérieurs

Le Client autorise le recours aux sous-traitants suivants :
  • Supabase Inc. — hébergement DB + auth (EU, Paris)
  • Vercel Inc. — hébergement web (EU prioritaire)
  • Stripe Payments Europe Ltd — gestion paiements (Irlande)
  • Resend Inc. — emails transactionnels (US, DPA signé avec SCCs)
Tout nouveau sous-traitant fera l'objet d'une notification 30 jours avant entrée en service.

8. Réversibilité et suppression

  • Export complet des données à tout moment via la page Paramètres (CSV/JSON).
  • Suppression à la demande (« droit à l'oubli ») dans les 30 jours.
  • Après résiliation : période de 30 jours pour exporter, puis suppression définitive.
  • Logs et backups : purgés après 90 jours max.

9. Audit

Le Client peut demander, une fois par an, un audit documentaire des mesures de sécurité (questionnaire CAIQ ou équivalent). Un audit sur site est possible pour les plans Enterprise.

10. Contact DPO

Pour toute question RGPD ou exercice de droits :dpo@yelloowplan.com

⚖️ Ce DPA est un modèle V1. Pour les contrats Enterprise, un DPA signé spécifique peut être négocié.