Le présent Accord de Traitement des Données (ci-après « ATD » ou « DPA ») est conclu entre DirectBookingManager en qualité de sous-traitant et tout Client professionnel souscrivant au Service en qualité de responsable du traitement, conformément à l'article 28 du Règlement (UE) 2016/679 (RGPD).
Article 1 — Identification des parties
1.1 Le Sous-traitant
Raphaël HEIRIES, entrepreneur individuel, SIRET 982 627 192 00015, 50 Clos Saint-Girons, 13290 Aix-en-Provence, France, exploitant sous le nom commercial DirectBookingManager.
Contact DPO/vie privée : privacy@directbookingmanager.fr
1.2 Le Responsable du traitement
Tout Client professionnel ayant souscrit un abonnement au Service DirectBookingManager, dont l'identité est renseignée dans les paramètres de son compte (nom, SIRET/numéro d'enregistrement, adresse).
Article 2 — Objet, durée et nature du traitement
2.1 Objet
Le Sous-traitant traite des données personnelles pour le compte du Responsable du traitement dans le cadre exclusif de la fourniture du Service SaaS DirectBookingManager : gestion des réservations directes, traitement des paiements, messagerie, états des lieux, génération de contenus SEO et assistance IA.
2.2 Durée
Le présent accord prend effet à la date de souscription de l'abonnement et demeure en vigueur pendant toute la durée du contrat, puis jusqu'à suppression effective de l'ensemble des données traitées conformément à l'Article 10.
2.3 Nature des opérations de traitement
- Collecte et enregistrement des données de réservation
- Stockage sécurisé en base de données chiffrée
- Affichage des données dans l'interface administrateur du Client
- Traitement automatisé des paiements via Stripe
- Envoi de communications transactionnelles aux voyageurs
- Génération de documents (contrats, factures, états des lieux)
- Traitement par intelligence artificielle pour la messagerie et le SEO
- Sauvegarde et archivage
2.4 Finalités du traitement
- Gestion des réservations de locations saisonnières
- Relation client entre le gestionnaire (Client) et ses voyageurs
- Traitement des paiements et génération de factures
- Conformité légale (états des lieux, archivage contractuel)
- Amélioration de la visibilité en ligne du bien (SEO)
Article 3 — Catégories de données et personnes concernées
3.1 Personnes concernées
- Les voyageurs et locataires du Client (personnes effectuant des réservations)
- Les utilisateurs du compte Client (gestionnaire, managers désignés)
3.2 Catégories de données traitées
| Catégorie | Données | Base légale (RGPD) |
|---|
| Identité | Nom, prénom, email, téléphone | Art. 6(1)(b) — exécution contrat |
| Réservation | Dates, montants, statut, source | Art. 6(1)(b) — exécution contrat |
| Paiement | Token Stripe (jamais numéro CB) | Art. 6(1)(b) + Art. 6(1)(c) légal |
| Communication | Messages, demandes, historique chat | Art. 6(1)(b) — exécution contrat |
| État des lieux | Photos, signature, IP signataire | Art. 6(1)(c) + Art. 6(1)(f) légal |
| Technique | IP, User-Agent, logs d'accès | Art. 6(1)(f) — intérêt légitime sécurité |
Aucune donnée de catégorie particulière (art. 9 RGPD : santé, origines ethniques, opinions politiques…) n'est collectée ni traitée dans le cadre du Service.
Article 4 — Obligations du Sous-traitant
Conformément à l'article 28(3) du RGPD, le Sous-traitant s'engage à :
- Traiter sur instruction documentée.Ne traiter les données personnelles que sur instruction du Responsable du traitement (telles que définies par l'usage du Service), sauf obligation légale contraire.
- Garantir la confidentialité.S'assurer que les personnes autorisées à traiter les données sont soumises à une obligation de confidentialité appropriée.
- Mettre en œuvre des mesures de sécuritéconformément à l'Article 6 du présent accord.
- Respecter les conditions de recours à un sous-traitant ultérieurconformément à l'Article 7.
- Assister le Responsabledans l'exercice des droits des personnes concernées (accès, rectification, effacement, portabilité) dans un délai de 72 heures suivant la demande, si celle-ci est transmise par email à privacy@directbookingmanager.fr.
- Notifier les violations de données au Responsable du traitement dans un délai de 72 heures après en avoir pris connaissance (art. 33 RGPD), avec les informations disponibles au moment de la notification.
- Supprimer ou restituer les donnéesà l'issue du contrat conformément à l'Article 10.
- Mettre à disposition les informations nécessairespour démontrer le respect des obligations du présent accord, dans le cadre des droits d'audit définis à l'Article 9.
Article 5 — Obligations du Responsable du traitement
Le Responsable du traitement s'engage à :
- Fournir des instructions claires et documentées au Sous-traitant
- S'assurer, avant et pendant le traitement, que le Sous-traitant présente des garanties suffisantes (le présent accord en témoigne)
- Informer les personnes concernées (voyageurs) du traitement de leurs données et de l'intervention du Sous-traitant, conformément aux articles 13 et 14 du RGPD
- Obtenir les consentements nécessaires lorsque le traitement repose sur le consentement (art. 6(1)(a) RGPD)
- Ne pas donner d'instructions qui mettraient le Sous-traitant en infraction avec le RGPD ou toute autre réglementation applicable
Article 6 — Mesures de sécurité techniques et organisationnelles (TOMs)
Le Sous-traitant met en œuvre les mesures de sécurité suivantes, conformément à l'article 32 du RGPD :
6.1 Mesures techniques
- Chiffrement des données en transit (TLS 1.3) et au repos (AES-256 via Supabase)
- Authentification multi-facteurs disponible pour les comptes administrateurs
- Tokens d'accès à durée de vie limitée (JWT 12h) avec rotation automatique
- Row Level Security (RLS) en base de données — isolation stricte par tenant
- Sauvegardes quotidiennes chiffrées avec rétention de 30 jours (Supabase)
- Journalisation des accès et actions sensibles (audit log immuable)
- Rate limiting sur toutes les API (Upstash Redis)
- Monitoring d'erreurs et alertes (Sentry)
6.2 Mesures organisationnelles
- Accès aux données de production limité au strictement nécessaire (principe du moindre privilège)
- Aucun accès aux données Client sans motif documenté et traçable
- Revue de sécurité avant tout déploiement majeur
- Procédure de réponse aux incidents documentée
Article 7 — Sous-traitants ultérieurs
Le Responsable du traitement autorise le recours aux sous-traitants ultérieurs listés ci-dessous. Le Sous-traitant informe le Responsable de tout changement prévu concernant l'ajout ou le remplacement d'un sous-traitant ultérieur, avec un préavis de trente (30) jours, permettant au Responsable de s'y opposer.
| Sous-traitant | Pays | Rôle | Garanties |
|---|
| Supabase Inc. | USA (serveurs EU) | Base de données, authentification, stockage | DPA Supabase, serveurs AWS eu-west-1 (Irlande) |
| Vercel Inc. | USA (CDN mondial) | Hébergement application, CDN, fonctions serverless | DPA Vercel, Clauses contractuelles types UE |
| Stripe Inc. | USA (filiale EU) | Traitement des paiements, facturation | DPA Stripe, certifié PCI DSS niveau 1, CCT UE |
| Anthropic PBC | USA | Modèle IA — Copilot gestionnaire | API zero data retention activé, CCT UE |
| OpenRouter | USA | Routage modèles IA (SEO, concierge, traduction) | No-log policy documentée, CCT UE |
| Resend Inc. | USA | Emails transactionnels | DPA Resend, CCT UE |
| Upstash Inc. | USA (serveurs EU) | Cache, rate limiting, files d'attente | DPA Upstash, serveurs EU-West disponibles |
| Sentry Inc. | USA | Monitoring d'erreurs (logs techniques) | DPA Sentry, CCT UE, données pseudonymisées |
Article 8 — Transferts de données hors Union européenne
Certains sous-traitants listés à l'Article 7 ont leur siège social aux États-Unis. Les transferts de données personnelles vers ces entités sont encadrés par :
- Les Clauses Contractuelles Types (CCT) adoptées par la Commission européenne (décision 2021/914) — applicables pour tous les sous-traitants US listés.
- La localisation des données en Europelorsque disponible : les données Supabase et Upstash sont hébergées sur des serveurs AWS situés dans l'Union européenne (eu-west-1, Irlande).
Le Sous-traitant s'engage à ne pas effectuer de transfert vers un pays tiers sans garanties appropriées au sens du Chapitre V du RGPD.
Article 9 — Audit et transparence
Le Responsable du traitement peut, une fois par an et sur notification écrite de quinze (15) jours ouvrés, demander un audit de conformité portant sur les obligations du présent accord.
L'audit peut prendre la forme :
- D'un questionnaire détaillé auquel le Sous-traitant répondra par écrit
- De la communication de rapports de conformité ou de certifications disponibles
- D'un appel ou réunion avec le Sous-traitant
Les frais d'audit sont à la charge du Responsable du traitement. Toute information communiquée dans ce cadre est soumise à confidentialité.
Article 10 — Sort des données à l'issue du contrat
À la résiliation du contrat, quelle qu'en soit la cause :
- Le Client dispose d'un délai de trente (30) jourspour exporter ses données depuis l'interface administrateur (export CSV des réservations, téléchargement des documents et états des lieux).
- À l'issue de ce délai, toutes les données à caractère personnel des voyageurs sont supprimées des systèmes actifs du Sous-traitant, à l'exception de :
- Les données de facturation conservées 10 ans (obligation légale comptable)
- Les données d'état des lieux conservées 3 ans après fin du dernier bail (prescription locative)
- Les logs de sécurité conservés 12 mois maximum
- Sur demande écrite du Client, le Sous-traitant fournit une attestation de suppression dans un délai de trente (30) jours.
Article 11 — Violation de données personnelles
En cas de violation de données personnelles au sens de l'article 4(12) du RGPD, le Sous-traitant :
- Notifie le Responsable du traitement dans les 72 heuresaprès en avoir pris connaissance, à l'adresse email associée au compte, avec les informations disponibles au moment de la notification (nature de la violation, données concernées, nombre de personnes affectées, mesures prises).
- Complète la notification dans les meilleurs délais si toutes les informations ne sont pas disponibles dans le délai initial.
- Assiste le Responsable dans ses obligations de notification à la CNIL (art. 33 RGPD) et d'information des personnes concernées (art. 34 RGPD) si nécessaire.
Article 12 — Droits des personnes concernées
Le Responsable du traitement est responsable de répondre aux demandes d'exercice de droits (accès, rectification, effacement, opposition, portabilité, limitation) émanant des personnes concernées (voyageurs).
Lorsqu'une demande est transmise directement au Sous-traitant, celui-ci en informe le Responsable dans un délai de 72 heureset fournit l'assistance technique nécessaire pour y donner suite (extraction des données, suppression ciblée, etc.), sur demande écrite adressée à privacy@directbookingmanager.fr.
Article 13 — Droit applicable et règlement des litiges
Le présent accord est soumis au droit français et au Règlement (UE) 2016/679 (RGPD). Tout litige relatif à son interprétation ou son exécution est soumis à la compétence exclusive des Tribunaux d'Aix-en-Provence (France) — ressort du siège social du Sous-Traitant —, sans préjudice du droit de toute partie de saisir l'autorité de contrôle compétente (CNIL pour la France : cnil.fr).
Article 14 — Contact DPO / vie privée
Pour toute question relative au présent accord ou au traitement des données personnelles :
Email : privacy@directbookingmanager.fr
Délai de réponse :72 heures pour les demandes urgentes, 30 jours pour les demandes d'exercice de droits.