Accord de traitement des données (DPA)

Version 1.0 — Dernière mise à jour : avril 2026

Télécharger (PDF)

Data Processing Agreement conclu en application de l'article 28 du Règlement (UE) 2016/679 relatif à la protection des données à caractère personnel (RGPD).

1. Entre les soussignés

Taaazzz-prog, entreprise individuelle immatriculée au Registre national des entreprises sous le numéro SIRET 989 609 722 00016, dont le siège social est situé à Evette-Salbert (90350), France, représentée par Bruno Guns en qualité d'exploitant, joignable à l'adresse ,

Ci-après dénommée « le Sous-traitant » ou « l'Éditeur »,

D'une part,

Et

[Dénomination sociale du Client], [forme juridique] au capital de [montant] euros, immatriculée au RCS de [ville] sous le numéro [SIREN], dont le siège social est situé [adresse complète], représentée par [nom, prénom, qualité], dûment habilité(e) aux fins des présentes,

Ci-après dénommée « le Client » ou « le Responsable de traitement »,

D'autre part,

Ci-après dénommées ensemble « les Parties » et individuellement « la Partie ».

2. Préambule

L'Éditeur exploite la solution logicielle MissioFlow, un service en mode SaaS multi-tenant destiné à la gestion d'interventions terrain, accessible à l'adresse missioflow.fr et sous-domaines associés.

Dans le cadre de l'utilisation de MissioFlow, le Client est amené à enregistrer et à faire traiter par l'Éditeur des données à caractère personnel relatives à ses salariés, techniciens, prestataires, clients finaux et tout tiers concerné par son activité.

Le Client détermine seul les finalités et les moyens du traitement de ces données. À ce titre, il agit en qualité de responsable de traitement au sens de l'article 4.7 du RGPD. L'Éditeur, qui traite ces données uniquement pour le compte et selon les instructions du Client, agit en qualité de sous-traitant au sens de l'article 4.8 du RGPD.

Conformément à l'article 28.3 du RGPD, les Parties conviennent de formaliser par le présent accord les obligations réciproques applicables au traitement des données à caractère personnel.

Le présent Accord complète et prévaut, en cas de contradiction sur les dispositions relatives à la protection des données personnelles, sur le contrat de souscription au service MissioFlow et ses conditions générales d'utilisation et de vente.

3. Définitions

Les termes employés avec une majuscule dans le présent Accord sont définis soit ci-dessous, soit par référence directe aux définitions de l'article 4 du RGPD :

  • « Données à caractère personnel » ou « Données » : toute information relative à une personne physique identifiée ou identifiable, au sens de l'article 4.1 du RGPD.
  • « Traitement » : toute opération portant sur des Données, au sens de l'article 4.2 du RGPD.
  • « Personnes concernées » : les personnes physiques identifiées ou identifiables dont les Données sont traitées via le Service.
  • « Service » ou « MissioFlow » : la solution logicielle en mode SaaS fournie par l'Éditeur et décrite à l'Annexe 1.
  • « Sous-traitant ultérieur » : tout tiers auquel l'Éditeur fait appel pour exécuter tout ou partie des opérations de traitement pour le compte du Client.
  • « Violation de données » : une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de Données ou l'accès non autorisé à de telles Données, au sens de l'article 4.12 du RGPD.
  • « CNIL » : la Commission nationale de l'informatique et des libertés, autorité de contrôle française.
  • « RGPD » : le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016.

4. Objet de l'Accord

Le présent Accord a pour objet de définir les conditions dans lesquelles l'Éditeur s'engage à effectuer, pour le compte du Client, les opérations de traitement de Données nécessaires à la fourniture du Service MissioFlow.

La description détaillée du traitement (nature, finalité, catégories de Données et de Personnes concernées, durée) figure en Annexe 1 du présent Accord.

Les mesures techniques et organisationnelles mises en œuvre par l'Éditeur pour assurer la sécurité des Données figurent en Annexe 2.

La liste des Sous-traitants ultérieurs autorisés à la date de conclusion figure en Annexe 3.

5. Durée

Le présent Accord entre en vigueur à la date de souscription par le Client au Service et reste en vigueur pendant toute la durée de ladite souscription, y compris ses éventuels renouvellements.

Les obligations relatives à la confidentialité, à la restitution ou à la suppression des Données ainsi qu'à la responsabilité survivent à la cessation de l'Accord pendant la durée nécessaire à leur exécution.

6. Obligations du Client (Responsable de traitement)

Le Client s'engage à :

  • Disposer d'une base légale valable au sens de l'article 6 du RGPD pour chaque traitement réalisé via le Service et, le cas échéant, des conditions spécifiques de l'article 9 pour les données sensibles.
  • Documenter par écrit les instructions adressées à l'Éditeur concernant le traitement des Données, l'utilisation du Service à ses paramètres par défaut valant instruction initiale.
  • Informer les Personnes concernées de l'existence des traitements dans le respect des articles 12 à 14 du RGPD.
  • Recueillir les consentements éventuellement nécessaires.
  • Tenir le registre des traitements prévu par l'article 30.1 du RGPD.
  • Procéder, lorsque c'est requis, à une analyse d'impact relative à la protection des données (article 35).
  • Ne confier à l'Éditeur que des Données strictement nécessaires à la réalisation des finalités décrites en Annexe 1.
  • Veiller à l'habilitation et au respect de la confidentialité par ses propres utilisateurs du Service.

7. Obligations de l'Éditeur (Sous-traitant)

7.1 Traitement sur instruction documentée

L'Éditeur s'engage à ne traiter les Données que sur instruction documentée du Client, y compris en ce qui concerne les transferts hors de l'Union européenne, sauf obligation contraire prévue par le droit de l'Union ou d'un État membre. Dans ce dernier cas, l'Éditeur informe le Client de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d'intérêt public.

L'utilisation des fonctionnalités standard du Service et la configuration effectuée par le Client via l'interface d'administration valent instruction écrite du Client.

Si l'Éditeur considère qu'une instruction du Client constitue une violation du RGPD ou d'autres dispositions du droit de l'Union ou des États membres relatives à la protection des données, il en informe immédiatement le Client.

7.2 Confidentialité

L'Éditeur garantit que les personnes autorisées à traiter les Données s'engagent à en respecter la confidentialité ou sont soumises à une obligation légale appropriée de confidentialité. Cet engagement est formalisé dans les contrats de travail ou les contrats de prestation des intervenants.

7.3 Sécurité des traitements

L'Éditeur met en œuvre les mesures techniques et organisationnelles appropriées prévues à l'article 32 du RGPD afin de garantir un niveau de sécurité adapté au risque. Ces mesures sont détaillées en Annexe 2 et peuvent être ajustées dans le temps, le niveau global de sécurité ne pouvant toutefois être diminué sans accord du Client.

7.4 Assistance au Responsable de traitement

Compte tenu de la nature du Traitement, l'Éditeur aide le Client, par des mesures techniques et organisationnelles appropriées, dans toute la mesure du possible :

  • à répondre aux demandes d'exercice des droits des Personnes concernées (accès, rectification, effacement, limitation, portabilité, opposition) prévues aux articles 15 à 22 du RGPD,
  • à respecter les obligations de sécurité, de notification des Violations de données, d'analyse d'impact relative à la protection des données et de consultation préalable prévues aux articles 32 à 36 du RGPD,
  • à se conformer à toute demande légitime de l'autorité de contrôle.

Le Service permet au Client d'extraire, rectifier ou supprimer lui-même les Données concernées via son interface d'administration. En cas d'impossibilité technique, l'Éditeur traite la demande écrite du Client dans un délai raisonnable n'excédant pas dix (10) jours ouvrés.

Lorsque l'assistance requise dépasse la mise à disposition standard du Service et nécessite un effort déraisonnable de la part de l'Éditeur, celle-ci pourra faire l'objet d'une facturation sur la base du temps effectivement passé, après accord préalable du Client.

8. Violations de données

L'Éditeur notifie au Client toute Violation de données le concernant dans les meilleurs délais et, dans la mesure du possible, dans un délai maximal de soixante-douze (72) heures après en avoir pris connaissance.

La notification comporte au minimum :

  • la description de la nature de la Violation, y compris, si possible, les catégories et le nombre approximatif de Personnes concernées et d'enregistrements concernés,
  • les coordonnées du point de contact auprès duquel des informations complémentaires peuvent être obtenues,
  • la description des conséquences probables de la Violation,
  • la description des mesures prises ou proposées pour remédier à la Violation et en atténuer les effets.

Si ces informations ne peuvent être fournies en une seule fois, elles peuvent l'être de manière échelonnée sans retard indu.

Il appartient au Client, en sa qualité de responsable de traitement, de procéder le cas échéant à la notification à la CNIL et à la communication aux Personnes concernées prévues aux articles 33 et 34 du RGPD.

9. Recours à des Sous-traitants ultérieurs

Le Client autorise expressément l'Éditeur à recourir aux Sous-traitants ultérieurs listés en Annexe 3 du présent Accord pour les opérations de traitement qui y sont indiquées.

Dans le cas où l'Éditeur entend faire appel à un nouveau Sous-traitant ultérieur ou remplacer un Sous-traitant ultérieur existant, il en informe le Client par écrit (courriel à l'adresse de contact communiquée par le Client et mise à jour de l'Annexe 3 publiée à l'adresse missioflow.fr/sous-traitants) au moins trente (30) jours avant la modification envisagée.

Le Client dispose d'un délai de quinze (15) jours à compter de la notification pour formuler des objections motivées et légitimes. En cas d'objection du Client, les Parties s'efforcent de trouver une solution amiable. À défaut, le Client peut résilier le Service, sans pénalité, pour les traitements concernés, par courrier recommandé avec accusé de réception, dans un délai de trente (30) jours suivant la réponse motivée de l'Éditeur.

L'Éditeur impose contractuellement à tout Sous-traitant ultérieur les mêmes obligations en matière de protection des Données que celles qui lui incombent au titre du présent Accord. L'Éditeur demeure pleinement responsable, à l'égard du Client, de l'exécution par le Sous-traitant ultérieur de ses obligations.

10. Transferts hors Union européenne

Les Données sont hébergées et traitées au sein de l'Union européenne, sur l'infrastructure d'OVHcloud située en France (datacenters de Gravelines et/ou Roubaix).

Aucun transfert de Données en dehors de l'Union européenne ou de l'Espace économique européen n'est effectué par l'Éditeur, sauf mention contraire dans la liste des Sous-traitants ultérieurs (Annexe 3). Lorsqu'un Sous-traitant ultérieur est susceptible d'accéder à des Données depuis un pays tiers, un mécanisme de transfert conforme au chapitre V du RGPD est mis en place (décision d'adéquation, clauses contractuelles types de la Commission européenne, ou règles d'entreprise contraignantes).

11. Registre des traitements

Conformément à l'article 30.2 du RGPD, l'Éditeur tient un registre écrit des catégories d'activités de traitement effectuées pour le compte du Client. Ce registre est tenu à disposition de la CNIL et, sur demande motivée, du Client.

12. Droit d'audit et démonstration de la conformité

L'Éditeur met à la disposition du Client toutes les informations nécessaires pour démontrer le respect des obligations prévues à l'article 28 du RGPD, notamment par la communication de la présente documentation, de l'Annexe 2 relative aux mesures de sécurité et, sur demande, des rapports d'audit ou certifications dont il pourrait disposer.

Le Client peut réaliser, à ses frais, des audits de conformité, y compris des inspections, directement ou par l'intermédiaire d'un auditeur tiers indépendant mandaté par ses soins et non concurrent de l'Éditeur, sous réserve des conditions suivantes :

  • préavis écrit d'au moins trente (30) jours,
  • limitation à un (1) audit par an, sauf incident de sécurité avéré ou demande motivée d'une autorité de contrôle,
  • signature préalable d'un accord de confidentialité,
  • réalisation pendant les heures ouvrables sans perturbation significative de l'exploitation,
  • périmètre limité aux Données et aux traitements relatifs au Client.

Les frais générés par la mobilisation des équipes de l'Éditeur au-delà d'une journée cumulée sont refacturés au Client au tarif journalier en vigueur.

13. Sort des Données en fin de contrat

Au terme du présent Accord, pour quelque cause que ce soit, le Client choisit, dans un délai de trente (30) jours à compter de la cessation, entre :

  • la restitution de l'intégralité des Données sous un format structuré, couramment utilisé et lisible par machine (export JSON, CSV ou équivalent mis à disposition via le Service),
  • la suppression définitive des Données.

À défaut de choix exprimé par le Client dans ce délai, l'Éditeur procède à la suppression des Données.

L'Éditeur supprime les copies existantes au plus tard quatre-vingt-dix (90) jours après la restitution ou la demande de suppression, à l'exclusion des sauvegardes faisant l'objet d'une rotation automatique dont la destruction complète interviendra au terme du cycle de rétention (trente-cinq (35) jours maximum), et des Données devant être conservées en vertu d'une obligation légale, auquel cas l'Éditeur en informe le Client et garantit leur confidentialité jusqu'à suppression.

Sur demande écrite, l'Éditeur fournit au Client une attestation de suppression.

14. Responsabilité

Chaque Partie supporte la charge financière des réparations, amendes et indemnités résultant du non-respect de ses propres obligations au titre du RGPD et du présent Accord.

Conformément aux articles 82.4 et 82.5 du RGPD, lorsque plusieurs acteurs sont impliqués dans un même traitement, la contribution de chaque Partie à la réparation du dommage s'effectue à proportion de la part de responsabilité incombant à chacune.

Sauf en cas de faute lourde, de dol ou de manquement à une obligation essentielle, la responsabilité de l'Éditeur au titre du présent Accord est limitée, toutes causes confondues et par année contractuelle, au montant total hors taxes effectivement versé par le Client au titre du Service au cours des douze (12) mois précédant le fait générateur.

Cette limitation ne s'applique pas aux sanctions que la CNIL ou toute autre autorité compétente prononcerait directement à l'encontre de l'une des Parties pour manquement à ses propres obligations.

15. Dispositions diverses

15.1 Modifications

Le présent Accord peut être modifié par l'Éditeur pour tenir compte de l'évolution de la réglementation, des décisions ou recommandations de la CNIL, ou de l'évolution du Service. Le Client est informé par courriel et par publication sur missioflow.fr au moins trente (30) jours avant l'entrée en vigueur des modifications. En cas de refus motivé du Client, les Parties s'efforcent de trouver une solution amiable, à défaut de quoi le Client peut résilier le Service sans pénalité.

15.2 Nullité partielle

Si une stipulation du présent Accord était déclarée nulle ou inapplicable, elle serait réputée non écrite sans affecter la validité des autres stipulations.

15.3 Droit applicable et juridiction

Le présent Accord est régi par le droit français. Tout différend relatif à sa validité, son interprétation ou son exécution relève, à défaut d'accord amiable, de la compétence exclusive des tribunaux du ressort du siège social de l'Éditeur, sous réserve des règles impératives de compétence.

16. Signatures

Fait en deux exemplaires originaux, à distance, par signature électronique ou par apposition de la mention « Lu et approuvé » suivie de la signature manuscrite.

Pour l'Éditeur

Taaazzz-prog
Bruno Guns, exploitant

Date : ____________________

Signature :

Pour le Client

[Dénomination sociale]
[Nom, prénom, qualité]

Date : ____________________

Signature :

Annexe 1 — Description du traitement

Nature du traitement

Hébergement, stockage, consultation, modification, extraction, transmission, sauvegarde et suppression de Données dans le cadre de l'utilisation de la plateforme MissioFlow pour la gestion d'interventions terrain (missions, planification, rapports, signatures clients, photos, géolocalisation optionnelle).

Finalités du traitement

  • Gestion des interventions terrain et affectation aux techniciens.
  • Planification, suivi et reporting des missions.
  • Production et archivage des rapports d'intervention et bons de passage.
  • Communication entre l'entreprise utilisatrice, ses techniciens et ses clients finaux.
  • Administration du compte du Client et facturation du Service.

Catégories de Personnes concernées

  • Utilisateurs du Client : administrateurs, gestionnaires, techniciens, commerciaux.
  • Clients finaux du Client et leurs représentants (contacts, décisionnaires).
  • Prestataires et sous-traitants du Client, lorsqu'ils sont enregistrés dans la plateforme.

Catégories de Données traitées

  • Données d'identification : nom, prénom, fonction, identifiant de connexion.
  • Coordonnées professionnelles : adresse postale, adresse e-mail, numéro de téléphone.
  • Données de connexion et d'usage : journaux, adresses IP, horodatages, actions réalisées.
  • Données relatives aux interventions : libellé, description, statut, pièces jointes, photos.
  • Données de signature électronique simple : tracé graphique, horodatage, contexte.
  • Données de géolocalisation : uniquement lorsque la fonctionnalité est activée par le Client, pour le suivi d'intervention en temps réel.

Données sensibles

Le Service n'est pas conçu pour traiter des catégories particulières de Données au sens de l'article 9 du RGPD (données de santé, données biométriques, opinions, etc.) ni des données relatives à des condamnations pénales (article 10). Le Client s'engage à ne pas enregistrer de telles Données dans le Service.

Durée de conservation

Les Données sont conservées pendant toute la durée d'activité du compte du Client. À la cessation du contrat, elles sont traitées conformément à l'article 13 du présent Accord.

Les sauvegardes font l'objet d'une rotation automatique sur une durée maximale de trente-cinq (35) jours.

Les journaux techniques de sécurité et d'accès sont conservés pendant une durée de douze (12) mois à des fins de traçabilité et de sécurité.

Annexe 2 — Mesures techniques et organisationnelles

L'Éditeur met en œuvre les mesures suivantes, conformément à l'article 32 du RGPD :

Mesures organisationnelles

  • Politique interne de sécurité et de protection des Données.
  • Clause de confidentialité dans les contrats des intervenants ayant accès aux Données.
  • Sensibilisation et maintien à niveau des compétences en sécurité et RGPD.
  • Principe de privacy by design et by default appliqué au développement du Service.
  • Procédure interne de gestion des Violations de données.
  • Tenue du registre de sous-traitance prévu à l'article 30.2 du RGPD.

Contrôle d'accès

  • Authentification des utilisateurs par identifiant et mot de passe, avec politique de complexité et verrouillage après échecs répétés.
  • Hachage des mots de passe avec algorithme à facteur de coût adapté (bcrypt ou équivalent).
  • Cloisonnement multi-tenant strict : chaque enregistrement de Données est associé à un identifiant de Client (tenant_id) et les requêtes sont systématiquement filtrées par cet identifiant.
  • Tests d'isolation multi-tenant automatisés intégrés à la chaîne d'intégration continue.
  • Gestion granulaire des rôles et permissions côté Client.
  • Journalisation des accès et des actions sensibles.

Chiffrement

  • Chiffrement des communications de bout en bout par TLS 1.2 minimum, avec certificats publics et renouvellement automatique.
  • Chiffrement des sauvegardes stockées hors du serveur de production.
  • Rotation régulière des clés et jetons d'API.

Hébergement et infrastructure

  • Hébergement sur infrastructure OVHcloud, datacenters situés en France, certifiés ISO 27001, ISO 27701, HDS et SecNumCloud (selon le datacenter).
  • Isolation des environnements de développement, de préproduction et de production.
  • Pare-feu, filtrage réseau et restrictions d'accès aux services d'administration.

Disponibilité et résilience

  • Sauvegardes automatiques quotidiennes avec rétention de trente-cinq (35) jours.
  • Supervision continue (métriques système, alertes automatisées).
  • Plan de reprise d'activité documenté, avec objectifs de temps de reprise (RTO) et de perte maximale de données (RPO) adaptés au Service.

Sécurité du développement

  • Analyse statique du code via SonarQube, avec portes de qualité bloquant la mise en production en cas de vulnérabilité critique détectée.
  • Tests unitaires et d'intégration automatisés à chaque livraison.
  • Revue de code et intégration continue via GitLab auto-hébergé.
  • Mise à jour régulière des dépendances et traitement des vulnérabilités publiées (CVE).

Traçabilité

  • Journalisation des connexions, modifications de configuration et accès aux Données sensibles.
  • Conservation des journaux pendant douze (12) mois.
  • Corrélation des événements de sécurité et alerting sur comportements anormaux.

Annexe 3 — Liste des Sous-traitants ultérieurs

La liste à jour des Sous-traitants ultérieurs est publiée et maintenue par l'Éditeur à l'adresse :
https://missioflow.fr/sous-traitants

À la date d'entrée en vigueur du présent Accord, les Sous-traitants ultérieurs autorisés sont les suivants :

Prestataire Service fourni Données concernées Localisation
OVH SAS Hébergement des serveurs, stockage objet, sauvegardes Ensemble des Données du Service France (Gravelines, Roubaix)
Stripe Payments Europe Ltd Traitement des paiements et facturation Données de facturation et de paiement du Client (pas des clients finaux) Irlande, transfert UE/USA encadré par clauses contractuelles types

Note : cette liste est mise à jour avant toute nouvelle signature en fonction des services réellement utilisés (ex. fournisseur d'envoi d'e-mails transactionnels, service de supervision, etc.). Tout ajout ou remplacement fait l'objet d'une notification préalable au Client conformément à l'article 9.

Annexe 4 — Points de contact

Pour l'Éditeur

  • Taaazzz-prog
  • Bruno Guns, exploitant et référent protection des données
  • Adresse : 34 rue du Verbote, 90350 Evette-Salbert, France
  • Courriel :
  • Site : taaazzz-prog.fr

Pour le Client

  • Dénomination : ___________________________
  • Contact opérationnel : ___________________________
  • Délégué à la protection des données (DPO), le cas échéant : ___________________________