Accord de Traitement des Données (DPA)
Data Processing Agreement
Choralebase.app - Service de gestion pour chorales
Dernière mise à jour : [DATE]
Préambule
Le présent Accord de Traitement des Données (ci-après « DPA ») complète les Conditions Générales d’Utilisation (CGU) du service Choralebase.app et définit les obligations respectives des parties en matière de protection des données personnelles.
Ce DPA est établi conformément à l’article 28 du Règlement (UE) 2016/679 (RGPD).
1. Définitions
Les termes utilisés dans le présent DPA ont la signification suivante :
- Responsable de traitement : Le Client, c’est-à-dire la chorale ou l’association utilisant le Service pour gérer ses membres.
- Sous-traitant : PASSAGGIO SASU, qui traite les données personnelles pour le compte du Responsable de traitement.
- Données personnelles : Toute information se rapportant à une personne physique identifiée ou identifiable, telle que définie à l’article 4 du RGPD.
- Traitement : Toute opération effectuée sur des données personnelles (collecte, enregistrement, stockage, modification, consultation, transmission, suppression, etc.).
- Violation de données : Une violation de la sécurité entraînant la destruction, la perte, l’altération, la divulgation non autorisée ou l’accès non autorisé aux données personnelles.
- Sous-traitant ultérieur : Tout sous-traitant engagé par le Sous-traitant pour traiter des données personnelles.
2. Objet du traitement
2.1 Nature et finalité
Le Sous-traitant traite les données personnelles pour le compte du Responsable de traitement aux fins suivantes :
- Hébergement et stockage des données de la chorale
- Fourniture des fonctionnalités du Service (gestion des membres, événements, documents, communications)
- Envoi de communications par email pour le compte du Responsable de traitement
- Support technique et maintenance du Service
2.2 Types de données personnelles
Les catégories de données personnelles traitées incluent :
| Catégorie | Exemples |
|---|---|
| Données d’identification | Nom, prénom, date de naissance, photographie |
| Données de contact | Email, téléphone, adresse postale |
| Données familiales | Liens de parenté, structure familiale |
| Données scolaires | Établissement, classe, niveau |
| Données de santé | Allergies, informations médicales (si fournies) |
| Données financières | Cotisations, historique de paiement |
| Données d’activité | Présences, participations aux événements |
2.3 Catégories de personnes concernées
- Membres de la chorale (choristes), y compris des mineurs
- Parents et tuteurs légaux
- Autres adultes référents (contacts d’urgence, etc.)
- Administrateurs et bénévoles de la chorale
2.4 Durée du traitement
Le traitement est effectué pendant toute la durée de l’abonnement du Responsable de traitement au Service, puis pendant une période de 30 jours suivant la résiliation pour permettre l’export des données.
3. Obligations du Sous-traitant
3.1 Instructions documentées
Le Sous-traitant s’engage à :
- Traiter les données personnelles uniquement sur instruction documentée du Responsable de traitement
- Informer immédiatement le Responsable de traitement s’il estime qu’une instruction constitue une violation du RGPD ou d’autres dispositions légales
Les instructions du Responsable de traitement sont constituées par :
- Les présentes CGU et ce DPA
- L’utilisation des fonctionnalités du Service
- Toute instruction spécifique communiquée par email à support@choralebase.app
3.2 Confidentialité
Le Sous-traitant s’assure que les personnes autorisées à traiter les données personnelles :
- Se sont engagées à respecter la confidentialité ou sont soumises à une obligation légale de confidentialité
- N’accèdent qu’aux données nécessaires à l’exercice de leurs fonctions
3.3 Sécurité du traitement
Conformément à l’article 32 du RGPD, le Sous-traitant met en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque :
Mesures techniques :
- Chiffrement des données en transit (TLS 1.2+)
- Chiffrement des données au repos
- Sauvegarde quotidienne des données
- Authentification forte (mots de passe hashés avec algorithme sécurisé)
- Contrôle d’accès basé sur les rôles
- Journalisation des accès et des opérations sensibles
- Protection contre les attaques courantes (injection SQL, XSS, CSRF)
Mesures organisationnelles :
- Politique d’accès au minimum nécessaire
- Procédure de gestion des incidents de sécurité
- Sensibilisation du personnel à la protection des données
3.4 Sous-traitance ultérieure
Le Sous-traitant est autorisé à faire appel aux sous-traitants ultérieurs listés en Annexe A du présent DPA.
En cas de changement de sous-traitant ultérieur :
- Le Sous-traitant informera le Responsable de traitement par email au moins 30 jours avant le changement
- Le Responsable de traitement pourra s’opposer au changement dans un délai de 15 jours
- En cas d’opposition justifiée et d’impossibilité de trouver une alternative, le Responsable de traitement pourra résilier le Service
Le Sous-traitant s’assure que tout sous-traitant ultérieur présente des garanties suffisantes et est lié par un contrat imposant les mêmes obligations de protection des données.
3.5 Assistance au Responsable de traitement
Le Sous-traitant aide le Responsable de traitement à :
Droits des personnes concernées :
- Le Service fournit des fonctionnalités permettant au Responsable de traitement de répondre aux demandes d’accès, rectification et suppression
- Le Sous-traitant assiste le Responsable de traitement pour les demandes complexes
Obligations de sécurité (articles 32 à 36 RGPD) :
- Notification des violations de données (voir section 4)
- Réalisation d’analyses d’impact si nécessaire
- Consultation préalable de l’autorité de contrôle si nécessaire
3.6 Restitution et suppression des données
À l’issue de la prestation :
- Le Responsable de traitement peut exporter ses données via les fonctionnalités du Service pendant 30 jours
- Sur demande du Responsable de traitement, le Sous-traitant peut fournir une copie des données dans un format structuré
- À l’expiration du délai de 30 jours, ou sur demande explicite, les données sont supprimées définitivement
- Le Sous-traitant fournit sur demande une attestation de suppression
3.7 Audit et contrôle
Le Sous-traitant met à disposition du Responsable de traitement les informations nécessaires pour démontrer le respect des obligations du présent DPA et permettre la réalisation d’audits :
- Documentation des mesures de sécurité sur demande
- Réponse aux questionnaires de conformité
- Possibilité d’audit sur site avec préavis raisonnable (30 jours) et prise en charge des frais par le Responsable de traitement
4. Notification des violations de données
4.1 Obligation de notification
En cas de violation de données personnelles, le Sous-traitant :
- Notifie le Responsable de traitement dans les meilleurs délais et au plus tard 48 heures après en avoir pris connaissance
- Fournit les informations suivantes :
- Nature de la violation
- Catégories et nombre approximatif de personnes concernées
- Catégories et nombre approximatif d’enregistrements concernés
- Conséquences probables
- Mesures prises ou proposées
4.2 Assistance
Le Sous-traitant assiste le Responsable de traitement dans :
- La notification à l’autorité de contrôle (CNIL) si requise
- La communication aux personnes concernées si requise
- La mise en œuvre de mesures correctives
5. Obligations du Responsable de traitement
Le Responsable de traitement s’engage à :
5.1 Licéité du traitement
- S’assurer de la licéité des traitements effectués via le Service
- Obtenir les consentements nécessaires, notamment parentaux pour les données de mineurs
- Informer les personnes concernées conformément aux articles 13 et 14 du RGPD
5.2 Qualité des données
- Veiller à l’exactitude des données saisies
- Mettre à jour les données obsolètes
- Supprimer les données des personnes ayant quitté la chorale dans un délai raisonnable
5.3 Instructions conformes
- Donner des instructions conformes au RGPD
- Ne pas demander au Sous-traitant d’effectuer des traitements illicites
6. Données sensibles et mineurs
6.1 Données de santé
Le Service permet la saisie de données de santé (allergies, informations médicales). Le Responsable de traitement :
- Doit obtenir le consentement explicite des personnes concernées (ou parents pour les mineurs)
- Est seul responsable de la licéité de ce traitement
- Doit limiter la collecte au strict nécessaire
6.2 Données de mineurs
Une part significative des personnes concernées étant des mineurs, les dispositions suivantes s’appliquent conformément à l’article 8 du RGPD et à l’article 45 de la loi Informatique et Libertés :
Obligations du Responsable de traitement :
- Obtenir le consentement parental pour tout mineur de moins de quinze (15) ans
- Mettre en place un mécanisme de vérification raisonnable du consentement parental
- Pour les mineurs de quinze (15) ans et plus : s’assurer que les parents sont informés même si le mineur peut consentir lui-même
- Fournir une information adaptée à l’âge des mineurs concernés
- Informer les mineurs de leur droit à l’effacement des données collectées durant leur minorité, une fois devenus majeurs
Mesures du Sous-traitant :
- Accès aux données des mineurs strictement limité aux administrateurs désignés et aux parents/tuteurs concernés
- Architecture technique empêchant la communication directe aux adresses email des mineurs
- Aucun profilage ni prise de décision automatisée sur les données des mineurs
- Conservation des logs d’accès aux données des mineurs pendant la durée légale
- Procédure de traitement prioritaire des demandes d’effacement émanant de personnes devenues majeures
6.3 Âge minimum d’accès direct
Conformément à l’article 45 de la loi Informatique et Libertés, l’âge minimum pour qu’un mineur puisse consentir seul au traitement de ses données personnelles est fixé à quinze (15) ans en France. Le Service est conçu en conséquence :
- Aucun compte utilisateur n’est créé directement pour les mineurs
- L’accès au portail parent est réservé aux adultes (parents/tuteurs)
- Les mineurs n’ont pas d’accès direct au Service
7. Localisation des données
Les données personnelles sont hébergées exclusivement dans l’Union Européenne :
- Infrastructure principale : Scaleway (France - Paris)
- Application : Railway (Union Européenne)
- Emails transactionnels : Brevo (France)
Aucun transfert de données hors de l’Union Européenne n’est effectué dans le cadre du Service.
8. Durée et résiliation
8.1 Durée
Le présent DPA entre en vigueur à la date de souscription au Service et reste en vigueur pendant toute la durée de l’abonnement.
8.2 Survie
Les obligations de confidentialité et de suppression des données survivent à la résiliation du présent DPA.
9. Dispositions générales
9.1 Modification
Toute modification du présent DPA doit faire l’objet d’un accord écrit entre les parties. Le Sous-traitant peut proposer des modifications pour se conformer à l’évolution de la réglementation ; ces modifications seront notifiées au Responsable de traitement avec un préavis de 30 jours.
9.2 Droit applicable
Le présent DPA est régi par le droit français. Les tribunaux compétents de Nanterre sont seuls compétents en cas de litige.
9.3 Contact
Pour toute question relative au présent DPA :
PASSAGGIO SASU 69 rue Louise Michel 92300 Levallois-Perret France
Email : support@choralebase.app
Annexe A : Liste des sous-traitants ultérieurs
| Sous-traitant | Fonction | Localisation | Données traitées |
|---|---|---|---|
| Scaleway SAS | Hébergement infrastructure | France (Paris) | Toutes les données |
| Railway Corporation | Hébergement application | Union Européenne | Toutes les données |
| Brevo (Sendinblue) | Envoi d’emails | France | Emails, noms des destinataires |
| Stripe Inc. | Traitement paiements | Union Européenne | Données de paiement Client |
| HelloAsso (à venir) | Traitement paiements | France | Données de paiement membres |
Cette liste est mise à jour en cas de changement de sous-traitant ultérieur, avec notification au Responsable de traitement.
Annexe B : Mesures de sécurité techniques et organisationnelles
B.1 Contrôle d’accès physique
- Hébergement dans des datacenters certifiés (Scaleway : ISO 27001)
- Accès physique restreint et surveillé par les hébergeurs
B.2 Contrôle d’accès logique
- Authentification par mot de passe avec exigences de complexité
- Sessions sécurisées avec expiration automatique
- Contrôle d’accès basé sur les rôles (administrateur, parent, etc.)
- Journalisation des connexions et actions sensibles
B.3 Contrôle de transmission
- Chiffrement TLS 1.2+ pour toutes les communications
- Certificats SSL/TLS valides et renouvelés automatiquement
B.4 Contrôle des données
- Sauvegarde quotidienne avec rétention de 30 jours
- Chiffrement des sauvegardes
- Procédure de restauration testée
B.5 Disponibilité et résilience
- Infrastructure redondante
- Monitoring et alerting
- Procédure de reprise d’activité
B.6 Gestion des incidents
- Procédure documentée de gestion des incidents de sécurité
- Équipe d’astreinte pour les incidents critiques
- Post-mortem et amélioration continue
Document rédigé pour revue juridique. Version draft - [DATE]