← Retour à l'accueil

Accord de traitement des données (DPA)

Version 1.0 — avril 2026. Conforme à l'article 28 du RGPD (UE 2016/679).

Ce document fait partie intégrante des CGV. En souscrivant à un abonnement, le Client professionnel (« Responsable de traitement ») accepte les termes ci-dessous avec l'Éditeur (« Sous-traitant »). Un exemplaire signé peut être obtenu sur demande écrite à contact@prise-de-rdv.fr.

1. Parties

  • Responsable de traitement(le « Client ») : le professionnel titulaire du compte sur prise-de-rdv.fr.
  • Sous-traitant(l'« Éditeur ») : l'entité identifiée dans les mentions légales.

2. Objet et durée du traitement

Le Sous-traitant traite des données à caractère personnel pour le compte du Responsable dans le cadre de la fourniture du Service de prise de RDV en ligne. Le traitement est effectué pour toute la durée de l'abonnement, et pendant un délai supplémentaire de 30 jours après résiliation (période de grâce pour permettre restauration du compte).

3. Nature et finalité du traitement

Collecte, stockage, consultation et transmission de données de rendez-vous et d'identification du client final, aux fins exclusives d'assurer la prise, la modification, l'annulation et le rappel de rendez-vous pour le compte du Client.

4. Catégories de données traitées

  • Identité du client final : nom, prénom, email, téléphone
  • Données de rendez-vous : date, heure, durée, prestation réservée, staff attribué
  • Historique de conversation avec l'assistant (messages texte — aucune donnée sensible au sens de l'art. 9 RGPD)
  • Métadonnées techniques : horodatages, adresses IP anonymisées pour le rate-limit

5. Catégories de personnes concernées

Les clients finaux du Responsable de traitement (preneurs de rendez-vous).

6. Obligations du Sous-traitant

  • Traiter les données uniquement sur instruction documentée du Responsable (lesdites instructions figurent dans les CGV et la configuration du compte).
  • Garantir la confidentialité et former son personnel à la protection des données.
  • Prendre les mesures de sécurité techniques et organisationnelles décrites à la page sécurité : chiffrement en transit (TLS 1.2+), chiffrement des tokens OAuth au repos, hash bcrypt des mots de passe, journalisation des accès, sauvegardes chiffrées, etc.
  • Notifier le Responsable dans les 72 heures en cas de violation de données.
  • Assister le Responsable dans l'exercice des droits des personnes concernées (accès, rectification, effacement, portabilité).

7. Sous-traitants ultérieurs

Le Client autorise le recours aux sous-traitants suivants, soumis à des garanties contractuelles équivalentes :

  • Avahost (France) — hébergement des serveurs et de la base de données.
  • Brevo(France) — envoi d'emails transactionnels (confirmations, rappels).
  • Resend (Union européenne — fallback email, optionnel).
  • Stripe Payments Europe Ltd (Irlande) — traitement des paiements B2B.
  • Google LLC / Microsoft Corporation — synchronisation calendrier (uniquement si le Client active cette option).

Tout changement de sous-traitant ultérieur sera notifié au Client avec un préavis raisonnable ; le Client peut s'y opposer, auquel cas il pourra résilier l'abonnement sans frais.

8. Transferts hors UE

Aucun transfert systématique de données hors UE n'est effectué par le Sous-traitant. Google (LLC) et Microsoft (Corporation), choisis par le Client, sont établis aux États-Unis et reposent sur les Clauses Contractuelles Types (CCT) de la Commission européenne pour toute réception de données hors UE.

9. Droits des personnes concernées

Le Sous-traitant met à disposition du Client les outils nécessaires pour répondre aux demandes d'exercice des droits (export de données au format JSON depuis l'espace client, suppression de compte avec période de grâce de 30 jours). Les demandes reçues directement par le Sous-traitant seront transmises au Responsable sans délai.

10. Fin du traitement

À l'expiration de la période de grâce de 30 jours suivant la résiliation, les données sont effacées de manière irréversible (suppression en cascade via la procédure automatisée). Les sauvegardes chiffrées sont conservées pendant au maximum 7 jours supplémentaires puis automatiquement purgées.

11. Audit

Le Client peut, à sa demande écrite et à ses frais, demander un rapport d'audit des mesures de sécurité appliquées. Le Sous-traitant s'engage à répondre sous 30 jours.

12. Contact DPO / Questions

Toute demande relative à la protection des données peut être adressée à privacy@prise-de-rdv.fr. Aucun DPO n'est actuellement désigné — cette désignation n'étant pas obligatoire dans le cas du Sous-traitant à la taille actuelle (cf. art. 37 RGPD).