Accord de Sous-traitance de données personnelles (DPA)

1. Parties

Sous-traitant : CZSYN SAS, Société par Actions Simplifiée, SIREN 933 357 071, dont le siège social est sis 23 Chemin Vicinal des Bessons, 13014 Marseille, France, représentée par son Président Chakib Zeraia, éditeur du logiciel SaaS Padelovia.

Responsable de traitement : le Client, c'est-a-dire la personne morale exploitant un centre ou club de padel ayant souscrit au logiciel Padelovia (ci-après le "Client").

2. Objet et qualification

Le present accord (ci-après "DPA" pour Data Processing Agreement) a pour objet de definir les conditions dans lesquelles CZSYN SAS, en sa qualité de sous-traitant au sens de l'article 28 du RGPD, traité les données a caractère personnel pour le compte du Client, responsable de traitement vis-a-vis de ses joueurs, coachs, collaborateurs et partenaires.

Ce DPA constitue une annexe contractuelle aux Conditions Generales de Vente du logiciel Padelovia. Il est repute accepte par le Client lors de la souscription au Service.

En cas de contradiction entre le present DPA et tout autre document contractuel, les stipulations du DPA prevalent pour ce qui concerné la protection des données a caractère personnel.

3. Description du traitement

Nature des opérations : collecte, enregistrement, organisation, structuration, conservation, consultation, modification, extraction, communication, transmission, effacement et destruction des données a caractère personnel, ainsi que toute opération technique nécessaire au fonctionnement du Service.

Finalite principale : permettre au Client la gestion opérationnelle de son centre de padel (planning des courts, réservations, cours, tournois, fiche joueurs et coachs, encaissements via Stripe Connect, communication par notifications push et emails).

Finalites accessoires : support technique, sécurité (logs, détection de fraude), facturation de l'abonnement du Client, statistiques agregees et anonymisées pour l'amelioration du Service.

4. Catégories de données et personnes concernées

Catégories de personnes concernées :

• Joueurs licencies ou occasionnels du centre du Client
• Coachs et professeurs de padel exercant au sein du centre
• Gérants, administrateurs et collaborateurs du Client
• Le cas echeant, partenaires commerciaux du Client

Catégories de données traitées :

• Données d'identification : nom, prenom, date de naissance, adresse email, numéro de téléphone, photo de profil
• Données professionnelles : qualification, numéro de licence FFT (fédération francaise de tennis)
• Données de jeu : niveau FFT, classement, historique des réservations, matchs joues, cours suivis, participations a tournois, performances
• Données de paiement : historique des transactions (les coordonnees bancaires sont traitées exclusivement par Stripe et ne transitent ni ne sont stockees chez CZSYN SAS)
• Données techniques : adresse IP, identifiants d'appareil, jetons de notification push, journaux de connexion
• Données du centre : raison sociale, SIRET, adresse postale, RIB (transmis a Stripe pour Stripe Connect)

Aucune donnée de catégorie particulière au sens de l'article 9 du RGPD (données de sante, opinions politiques, religieuses, etc.) n'est traitée dans le cadre du Service. Le Client s'engage a ne pas en introduire dans le Service.

5. Durée du traitement

Le traitement est effectué pendant toute la durée du contrat liant le Client a CZSYN SAS (abonnement au Service Padelovia), augmentee de la période de conservation post-resiliation prévue a l'article 14.

6. Obligations du sous-traitant (CZSYN SAS)

CZSYN SAS s'engage a :

• Traiter les données uniquement sur instruction documentee du Client (les instructions du Client decoulant de la configuration et de l'usage qu'il fait du Service)
• Garantir la confidentialite des données traitées, notamment en s'assurant que les personnes autorisees a les traiter sont tenues a une obligation de confidentialite
• Mettre en œuvre les mesures techniques et organisationnelles decrites a l'article 10
• Aider le Client a répondre aux demandés d'exercice de droits des personnes concernées
• Notifier au Client toute violation de données dans les conditions de l'article 11
• Mettre a disposition les informations nécessaires pour demontrer le respect des obligations decoulant de l'article 28 du RGPD
• A la fin du contrat, supprimer ou restituer les données au Client selon ses instructions (article 14)
• Tenir un registre des catégories d'activités de traitement effectuées pour le compte du Client
• Informer immédiatement le Client si une instruction reçue lui parait constituer une violation du RGPD ou de toute autre disposition relative a la protection des données

7. Obligations du Client (responsable de traitement)

Le Client s'engage a :

• Documenter par écrit toute instruction concernant le traitement des données par CZSYN SAS, complementaire aux fonctionnalités standard du Service
• Veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le RGPD de son cote (information des personnes concernées, recueil et conservation des consentements, établissement et maintien d'un registre des traitements, réalisation d'analyses d'impact si requises)
• Designer un point de contact unique pour toute question relative aux traitements
• S'assurer qu'il dispose d'une base légale appropriee pour le traitement de chaque donnée qu'il importe dans le Service
• Repondre, en sa qualité de responsable de traitement, aux demandés des personnes concernées
• Ne pas introduire dans le Service de données sensibles au sens de l'article 9 du RGPD

8. Sous-traitants ulterieurs

Le Client autorise expressement CZSYN SAS a recourir aux sous-traitants ulterieurs suivants pour l'execution du Service :

CZSYN SAS informera le Client par email ou via le Service de tout changement envisage concernant l'ajout ou le remplacement d'un sous-traitant ulterieur, au moins trente (30) jours avant que ce changement ne devienne effectif. Le Client dispose alors d'un droit d'opposition motive. En cas d'opposition legitime ne permettant pas la poursuite du Service dans des conditions raisonnables, chaque partie pourra resilier le contrat sans indemnité.

CZSYN SAS se porte fort du respect par ses sous-traitants ulterieurs d'obligations contractuelles equivalentes a celles du present DPA.

9. Localisation des données

Les données personnelles traitées dans le cadre du Service sont hébergées au sein de l'Union européenne (serveurs applicatifs en Allemagne, base de données principale en région UE).

Certains sous-traitants ulterieurs (Cloudflare, Expo, Apple, Google) peuvent traiter des données techniques (adresses IP, jetons de notification) hors UE. Ces transferts sont encadres par les clauses contractuelles types adoptees par la Commission européenne et, le cas echeant, par les mesures supplementaires requises par la jurisprudence Schrems II.

10. Mesures techniques et organisationnelles de sécurité

CZSYN SAS met en œuvre les mesures suivantes :

• Chiffrement des communications en transit (TLS 1.2 minimum)
• Hachage des mots de passe au moyen de l'algorithme bcrypt avec sel unique
• Authentification par jetons JWT a courte durée de vie (15 minutes) avec mécanisme de refresh sécurisé
• Gestion des roles et des autorisations (RBAC) limitant strictement l'accès aux données selon le profil utilisateur (gérant, coach, joueur)
• Accès aux serveurs de production restreint a un nombre limité de collaborateurs habilites, par authentification a clé
• Journalisation des accès et des actions administratives, conservation des logs pendant douze (12) mois
• Sauvegardes quotidiennes automatisées de la base de données, conservées pendant au moins trente (30) jours, chiffrées au repos
• Politique de mots de passe forts pour les comptes administrateurs internes
• Mises a jour de sécurité appliquées régulièrement aux dependances logicielles et au système d'exploitation
• Tests de robustesse periodiques (analyse statique, dependances vulnerables)
• Procedure documentee de gestion des incidents de sécurité

11. Notification de violation

En cas de violation de données personnelles, CZSYN SAS notifiera le Client dans les meilleurs délais et au plus tard dans un délai de soixante-douze (72) heures après en avoir pris connaissance.

La notification contient au minimum :

• La description de la nature de la violation
• Les catégories et le nombre approximatif de personnes concernées
• Les consequences probables de la violation
• Les mesures prises ou envisagees pour y remedier et en attenuer les effets
• Le point de contact aupres duquel des informations complementaires peuvent etre obtenues

Il appartient au Client, en sa qualité de responsable de traitement, de notifier le cas echeant la violation a la CNIL et, si nécessaire, aux personnes concernées, conformément aux articles 33 et 34 du RGPD.

12. Droits des personnes concernées

Les demandés d'exercice des droits (accès, rectification, effacement, limitation, opposition, portabilite) émises par les personnes concernées doivent etre adressees au Client, responsable de traitement.

CZSYN SAS apporte son assistance technique au Client pour répondre a ces demandés, notamment via les fonctionnalités du Service (export de données, suppression de compte, modification de fiche). En cas de demandé complexe necessitant une intervention sur les systèmes, le Client peut contacter CZSYN SAS a [email protected].

13. Audit et documentation

CZSYN SAS met a disposition du Client, sur demandé écrite, toute documentation utile permettant de demontrer le respect des obligations decoulant de l'article 28 du RGPD (description technique des mesures de sécurité, attestations de ses sous-traitants ulterieurs, registre des traitements).

Le Client peut réaliser un audit, par lui-meme ou via un tiers independant agréé par CZSYN SAS, dans la limite d'un audit par année civile, sur préavis raisonnable d'au moins trente (30) jours et pendant les heures ouvrées, sans perturber l'activité de CZSYN SAS. Les couts de l'audit sont a la charge du Client, sauf en cas de non-conformité averee imputable a CZSYN SAS.

14. Sort des données en fin de contrat

A la cessation du contrat, pour quelque cause que ce soit, le Client dispose d'un délai de trente (30) jours pour exporter ses données au moyen des fonctionnalités prévues a cet effet dans le Service.

A l'expiration de ce délai, CZSYN SAS procede a la suppression definitive de l'ensemble des données personnelles du Client de ses systèmes de production, dans un délai maximum de soixante (60) jours.

Les sauvegardes contenant ces données sont conservées pendant la durée maximale de rotation des sauvegardes (au plus trente (30) jours), puis ecrasees ou supprimées. Les données pouvant faire l'objet d'une obligation légale de conservation (notamment les factures et les logs) sont conservées pendant la durée légale applicable et ne sont accessibles qu'a des fins de respect de cette obligation.

15. Droit applicable

Le present DPA est regi par le droit francais et le RGPD. Tout differend relatif a son interpretation ou son execution releve de la competence du Tribunal de Commerce de Marseille, conformément aux CGV.