Légal · Article 28 RGPD
Accord de traitement des données (DPA)
Version du 4 juillet 2026
Le présent Accord de traitement des données (« DPA ») est conclu en application de l'article 28 du Règlement (UE) 2016/679 (« RGPD ») entre le client du service Flovano (ci-après « le Client », responsable de traitement) et Ecobeez Consulting, SAS — SIRET 515 181 691 00061, 4 bis rue du Bel Air, 95560 Montsoult (ci-après « le Prestataire », sous-traitant). Il fait partie intégrante du contrat de service constitué des CGV et des CGU, et s'applique dès lors que le Client confie au Prestataire des données personnelles via la plateforme Flovano.
Article 1 — Objet, nature et finalité du traitement
Le Prestataire traite, pour le compte et sur instruction du Client, les données personnelles nécessaires à la fourniture du service Flovano : hébergement, stockage, consultation, structuration, numérisation de documents (OCR), calculs (coûts, avantages en nature), exports et sauvegardes. Le traitement a pour seule finalité la gestion de la flotte de véhicules du Client (référentiel du parc, réservation, traçabilité, conformité, pilotage des coûts et préparation de la paie).
| Élément | Description |
|---|---|
| Catégories de données | Identité et coordonnées professionnelles des conducteurs ; permis de conduire ; immatriculations et affectations de véhicules ; procès-verbaux, infractions et désignations de conducteur ; éléments d'avantage en nature destinés à la paie ; documents associés (cartes grises, permis, avis de contravention) |
| Personnes concernées | Salariés et collaborateurs du Client (conducteurs, gestionnaires), le cas échéant tiers apparaissant dans les documents (ex. avis de contravention) |
| Opérations | Collecte (import, saisie, téléversement), hébergement, consultation, structuration, numérisation OCR, calcul, export, sauvegarde, suppression |
Article 2 — Durée
Le présent DPA s'applique pendant toute la durée du contrat de service (essai compris) et jusqu'à la suppression effective des données dans les conditions de l'article 10.
Article 3 — Instructions documentées
Le Prestataire ne traite les données que sur instruction documentée du Client. Les présentes, les CGV/CGU et l'utilisation des fonctionnalités de la plateforme par le Client constituent ces instructions. Si le Prestataire estime qu'une instruction viole le RGPD ou une autre disposition applicable, il en informe immédiatement le Client. Si le droit de l'Union ou d'un État membre impose un traitement, le Prestataire en informe le Client avant le traitement, sauf interdiction légale.
Article 4 — Confidentialité
Le Prestataire garantit que les personnes autorisées à traiter les données sont soumises à une obligation de confidentialité (contractuelle ou légale) et ne traitent les données que pour les besoins du service.
Article 5 — Sécurité (article 32 RGPD)
Le Prestataire met en œuvre les mesures techniques et organisationnelles appropriées, notamment :
- Hébergement en France (OVH, Roubaix) sur serveur privé dédié
- Chiffrement des échanges en transit (TLS)
- Chiffrement au repos des secrets et éléments sensibles de configuration
- Isolation logique des données par client (espace de travail dédié)
- Contrôle d'accès par authentification et gestion des rôles
- Journalisation des accès et des événements de sécurité
- Sauvegardes régulières et procédure de restauration
- Limitation des accès aux seules personnes habilitées
Article 6 — Sous-traitants ultérieurs
Le Client autorise de manière générale le recours aux sous-traitants ultérieurs listés ci-dessous. Le Prestataire informe le Client de tout ajout ou remplacement envisagé au moins 30 jours à l'avance (email ou notification), le Client pouvant émettre des objections motivées ; à défaut d'accord, le Client peut résilier le service dans les conditions des CGV. Le Prestataire impose à ses sous-traitants ultérieurs des obligations équivalentes à celles du présent DPA et demeure pleinement responsable envers le Client de leur exécution.
| Sous-traitant ultérieur | Finalité | Localisation / garanties |
|---|---|---|
| OVH SAS | Hébergement de la plateforme et des données | France — pas de transfert hors UE |
| Brevo | Envoi des emails transactionnels (invitations, alertes) | Union européenne (France) |
| Anthropic (API Claude) | Numérisation OCR des documents téléversés (cartes grises, permis de conduire, avis de contravention) | États-Unis — clauses contractuelles types ; rétention 30 jours maximum puis suppression ; pas d'utilisation pour l'entraînement de modèles |
| Stripe | Traitement des paiements (à l'activation de l'abonnement payant) | États-Unis — clauses contractuelles types |
Calendly et Google Analytics, utilisés sur le site vitrine uniquement (prospects), ne traitent pas de données confiées par le Client au sens du présent DPA ; ils sont décrits dans la Politique de confidentialité.
Article 7 — Assistance au Client
Compte tenu de la nature du traitement, le Prestataire assiste le Client, par des mesures techniques et organisationnelles appropriées :
- pour répondre aux demandes d'exercice des droits des personnes concernées (accès, rectification, effacement, limitation, portabilité, opposition) — le Prestataire transmet sans délai au Client toute demande reçue directement, sans y répondre lui-même sauf instruction contraire ;
- pour le respect des obligations des articles 32 à 36 du RGPD (sécurité, notification des violations, analyses d'impact — AIPD — et consultations préalables), en fournissant les informations dont il dispose.
Article 8 — Notification des violations de données
Le Prestataire notifie au Client toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance, et au plus tard 72 heures, à l'adresse de contact de l'administrateur de l'espace de travail. La notification décrit, dans la mesure des informations disponibles, la nature de la violation, les catégories et le nombre approximatif de personnes et d'enregistrements concernés, les conséquences probables et les mesures prises ou proposées. Il appartient au Client, responsable de traitement, de notifier le cas échéant l'autorité de contrôle (CNIL) et les personnes concernées.
Article 9 — Registre et documentation
Le Prestataire tient un registre des activités de traitement effectuées pour le compte de ses clients (article 30.2 RGPD) et met à la disposition du Client les informations nécessaires pour démontrer le respect du présent DPA.
Article 10 — Sort des données en fin de contrat
Pendant toute la durée du contrat, le Client peut exporter ses données dans un format standard réutilisable. Au terme du contrat (résiliation ou expiration), au choix du Client : restitution des données via export, et/ou suppression. À défaut d'instruction contraire, le Prestataire supprime l'ensemble des données du Client au plus tard 60 jours après la fin du contrat (copies de sauvegarde comprises, à l'issue de leur cycle de rotation), sauf obligation légale de conservation. La suppression est confirmée par écrit sur demande.
Article 11 — Audit
Le Prestataire met à la disposition du Client la documentation nécessaire pour démontrer le respect de ses obligations (politiques, description des mesures de sécurité, liste des sous-traitants ultérieurs) et répond aux questionnaires de conformité raisonnables. Le Client peut en outre faire réaliser, au maximum une fois par an, un audit — y compris une inspection — par lui-même ou un auditeur indépendant non concurrent du Prestataire, moyennant un préavis écrit de 30 jours, pendant les heures ouvrées, à ses frais, sans perturber le service et sous engagement de confidentialité.
Article 12 — Transferts hors Union européenne
Les données sont hébergées et traitées en France. Les transferts vers des sous-traitants ultérieurs établis hors UE (article 6) sont encadrés par les clauses contractuelles types de la Commission européenne (art. 46.2.c RGPD) et, le cas échéant, des mesures supplémentaires.
Article 13 — Droit applicable
Le présent DPA est soumis au droit français et suit le régime de règlement des litiges des CGV. En cas de contradiction entre le présent DPA et les CGV/CGU sur les questions de protection des données, le DPA prévaut.