Accord de traitement des données

1.1 Parties

• Le Sous-traitant: Thomas Boucard, micro-entreprise, exerçant sous la dénomination commerciale BringIn, SIRET 98995939000018, domicilié au 08 rue d'Alger, 44100 Nantes, France.
• Le Responsable de traitement: le professionnel (personne physique ou morale) titulaire d'un compte BringIn, qui utilise la plateforme pour collecter des données auprès de ses propres clients.

1.2 Définitions

Les termes « données personnelles », « traitement », « responsable de traitement », « sous-traitant », « personne concernée » et « violation de données personnelles » ont le sens défini à l'article 4 du RGPD.

• « Déposant » — le client du Responsable de traitement qui accède au portail BringIn via un lien sécurisé pour déposer des documents.
• « Plateforme » — le service BringIn accessible à l'adresse bringin.io et ses sous-domaines.
• « Sous-traitant ultérieur » — tout prestataire tiers auquel le Sous-traitant fait appel pour réaliser des opérations de traitement au titre du présent accord.

Le présent accord a pour objet de définir les conditions dans lesquelles le Sous-traitant est autorisé à traiter des données personnelles pour le compte du Responsable de traitement, dans le cadre de la fourniture de la Plateforme.

Il prend effet à la date de création du compte BringIn par le Responsable de traitement et reste en vigueur pour toute la durée d'utilisation du service. Il prend fin automatiquement à la clôture définitive du compte, sous réserve des obligations post-contractuelles décrites à l'article 4.7.

Le Sous-traitant traite les données personnelles suivantes pour le compte du Responsable de traitement :

Nature du traitement

Collecte, hébergement, stockage, organisation, transmission, affichage, et suppression de données dans le cadre du fonctionnement de la Plateforme.

Finalité

Permettre au Responsable de traitement de collecter des documents et informations auprès de ses propres clients via un portail sécurisé, d'en assurer le suivi et d'en gérer la validation.

Catégories de données personnelles

• Données d'identification des déposants (prénom, nom, adresse email)
• Documents déposés (PDF, images, tableurs, archives et tout autre fichier transmis via la Plateforme)
• Réponses à des champs de formulaire (texte libre, données structurées, données financières, coordonnées)
• Données techniques de connexion (adresses IP, user-agents, journaux d'accès)
• Consentement RGPD (horodatage et statut de recueil)

Catégories de personnes concernées

Les clients du Responsable de traitement (les déposants) qui accèdent au portail BringIn via un lien sécurisé.

Durée de conservation

Les données sont conservées pendant toute la durée d'activation du compte BringIn du Responsable de traitement. En cas de résiliation, elles sont supprimées dans un délai de 30 jours, sauf obligation légale contraire ou demande d'exportation préalable.

4.1 Instructions documentées

Le Sous-traitant traite les données personnelles uniquement sur instruction documentée du Responsable de traitement. L'utilisation de la Plateforme (création de demandes, paramétrage des portails, envoi de liens clients, gestion des dépôts) constitue des instructions documentées au sens du présent accord.

Si le Sous-traitant estime qu'une instruction viole le RGPD ou toute autre disposition légale applicable, il en informe immédiatement le Responsable de traitement. Dans ce cas, le Sous-traitant peut suspendre l'exécution de l'instruction jusqu'à confirmation ou modification de celle-ci.

4.2 Confidentialité

Le Sous-traitant s'assure que toute personne autorisée à traiter les données personnelles dans le cadre du présent accord est soumise à une obligation de confidentialité appropriée, contractuelle ou légale. L'accès aux données est limité aux personnes strictement nécessaires à la fourniture du service.

4.3 Sécurité (article 32 RGPD)

Le Sous-traitant met en œuvre les mesures techniques et organisationnelles décrites à l'Annexe 2 afin de garantir un niveau de sécurité adapté au risque. Ces mesures incluent notamment le chiffrement des données, le contrôle d'accès, la journalisation et la surveillance des systèmes.

4.4 Recours aux sous-traitants ultérieurs

En acceptant le présent accord, le Responsable de traitement autorise le recours aux sous-traitants ultérieurs listés à l'Annexe 3. Le Sous-traitant informe le Responsable de tout ajout ou remplacement d'un sous-traitant ultérieur avec un préavis de 30 jours, par email ou notification dans l'interface. Le Responsable dispose de ce délai pour s'y opposer.

Le Sous-traitant impose à ses sous-traitants ultérieurs des obligations équivalentes en matière de protection des données, et demeure responsable envers le Responsable de traitement de leur bonne exécution.

4.5 Assistance au Responsable de traitement

Le Sous-traitant aide le Responsable à s'acquitter de ses obligations, notamment :

• Donner suite aux demandes d'exercice des droits des personnes concernées (accès, rectification, effacement, portabilité, opposition, limitation) — à adresser à thomas@bringin.fr, délai de réponse 30 jours
• Notifier une violation de données à l'autorité compétente (CNIL)
• Réaliser une analyse d'impact relative à la protection des données (AIPD) si nécessaire
• Mener une consultation préalable auprès de l'autorité de contrôle si requis

4.6 Notification des violations de données

En cas de violation de données personnelles affectant les traitements couverts par le présent accord, le Sous-traitant en informe le Responsable de traitement dans les meilleurs délais et au plus tard dans les 72 heuressuivant la prise de connaissance de l'incident, par email à l'adresse renseignée sur le compte BringIn.

La notification comprend, dans la mesure du possible : la nature de la violation, les catégories et le nombre approximatif de personnes concernées et d'enregistrements affectés, les conséquences probables, les mesures prises ou envisagées pour y remédier.

4.7 Sort des données en fin de service

À la résiliation ou à la suppression du compte BringIn, le Sous-traitant supprime l'ensemble des données personnelles dans un délai de 30 jours, à l'exception des données dont la conservation est requise par une obligation légale.

Sur demande explicite formulée avant la clôture du compte, le Responsable de traitement peut obtenir une exportation de ses données (demandes, métadonnées, fichiers déposés) dans un format structuré. Cette demande est à adresser à thomas@bringin.fr.

4.8 Registre et audits

Le Sous-traitant tient un registre des activités de traitement réalisées pour le compte des Responsables de traitement, conformément à l'article 30(2) du RGPD, et le met à disposition des autorités de contrôle sur demande.

Le Sous-traitant met à disposition du Responsable de traitement toutes les informations nécessaires pour démontrer le respect des obligations du présent accord et autorise la réalisation d'audits ou d'inspections, mandatés par le Responsable, sous réserve d'un préavis écrit raisonnable (minimum 15 jours ouvrés) et dans le respect de la confidentialité des données des autres clients.

Le Responsable de traitement s'engage à :

• Utiliser la Plateforme uniquement à des fins légitimes et conformes au RGPD et à toute législation applicable
• Disposer d'une base légale valide pour chaque traitement effectué via la Plateforme (contrat, consentement, obligation légale, intérêt légitime, etc.)
• Informer ses propres clients (les déposants) de l'utilisation de BringIn comme outil de collecte, conformément aux articles 13 et 14 du RGPD
• S'assurer que le consentement des déposants est valablement recueilli lorsqu'il constitue la base légale du traitement
• Ne pas transmettre via la Plateforme de données relevant des catégories particulières de l'article 9 RGPD (données de santé, biométriques, génétiques, opinions politiques, croyances religieuses, données relatives à des infractions pénales, etc.) sans accord écrit préalable du Sous-traitant
• Informer sans délai le Sous-traitant de toute modification réglementaire ou changement de circonstances susceptible d'affecter les traitements couverts par le présent accord
• S'assurer que ses propres sous-traitants et membres d'équipe autorisés respectent les présentes obligations

Les données personnelles sont hébergées principalement dans l'Union Européenne (région Frankfurt, Allemagne). Certains sous-traitants ultérieurs sont établis aux États-Unis (Vercel Inc., Resend Inc.) mais traitent les données via leurs infrastructures situées en Europe.

Ces transferts sont encadrés par les mécanismes suivants :

• Clauses Contractuelles Types (CCT) adoptées par la Commission européenne (décision d'exécution 2021/914), intégrées aux conditions générales de chaque sous-traitant ultérieur
• Cadre adéquat UE-États-Unis (Data Privacy Framework) pour les prestataires certifiés

Le détail des garanties applicables à chaque sous-traitant ultérieur figure à l'Annexe 3.

Chaque partie est responsable du respect de ses propres obligations au titre du RGPD et du présent accord. En cas de dommage causé à une personne concernée résultant d'un traitement en violation du RGPD, la responsabilité de chaque partie est engagée à proportion de sa part de responsabilité dans le dommage constaté.

Le Sous-traitant ne peut être tenu responsable des dommages résultant d'instructions illicites du Responsable de traitement, de l'utilisation de la Plateforme en dehors de sa finalité prévue, ou du non-respect par le Responsable de ses propres obligations au titre du RGPD.

La responsabilité agrégée du Sous-traitant au titre du présent accord est limitée aux montants effectivement payés par le Responsable de traitement au Sous-traitant au cours des 12 mois précédant le fait générateur du dommage. Cette limitation ne s'applique pas en cas de faute grave ou de dol.

8.1 Droit applicable et juridiction

Le présent accord est régi par le droit français. En cas de litige, les parties s'engagent à rechercher une solution amiable avant tout recours judiciaire. À défaut d'accord, les tribunaux compétents de Nantes (France) seront seuls compétents.

8.2 Modifications

Le Sous-traitant peut modifier le présent accord avec un préavis de 30 jourspar email ou notification dans l'interface BringIn. En cas de modification imposée par une évolution réglementaire, le préavis peut être réduit au délai strictement nécessaire à la mise en conformité. L'utilisation continue du service après le délai de préavis vaut acceptation des nouvelles conditions.

8.3 Hiérarchie des documents

En cas de contradiction entre le présent accord et les Conditions générales d'utilisation, les dispositions du présent accord prévaudront pour toute question relative au traitement des données personnelles.

8.4 Intégralité de l'accord

Le présent accord, ses annexes et les Conditions générales d'utilisation constituent l'intégralité de l'accord entre les parties concernant le traitement des données personnelles. Il annule et remplace tout accord antérieur portant sur le même objet.

Chiffrement

• Chiffrement des données au repos : AES-256 (Supabase Storage)
• Chiffrement des données en transit : TLS 1.3 sur toutes les connexions
• Hachage des codes PIN : scrypt (sel 16 octets, sortie 32 octets)
• OTP email : validé par HMAC-SHA256, expiration 10 minutes

Contrôle d'accès

• Row Level Security (RLS) activé sur l'intégralité des tables de la base de données — aucun utilisateur ne peut accéder aux données d'un autre workspace
• Accès aux fichiers déposants via URLs signées à courte durée de vie (expiration configurable, minimum 1 heure)
• Liens portails clients : tokens UUID v4 (122 bits d'entropie), non-devinables
• Protection optionnelle des portails : code PIN ou OTP email par demande
• Accès opérateur aux données restreint au strict nécessaire pour les opérations de maintenance

Journalisation et surveillance

• Logs d'accès applicatifs conservés 30 jours
• Journalisation des actions sensibles (connexion, suppression de données, téléchargement de fichiers)
• Surveillance de l'infrastructure via les outils natifs Vercel et Supabase

Mesures organisationnelles

• Accès aux systèmes de production limité au strict nécessaire
• Variables d'environnement et secrets gérés via Vercel (jamais exposés dans le code source)
• Dépôt de code privé, accès contrôlé
• Procédure de réponse aux incidents documentée, notification en 72h en cas de violation

Pour toute question relative aux sous-traitants ultérieurs ou pour exercer un droit d'opposition à l'ajout d'un nouveau prestataire, contactez thomas@bringin.fr.