Accord de Traitement des Données (Data Processing Agreement – DPA)

Accord de Traitement des Données (Data Processing Agreement – DPA)

Entre les soussignés :

  • Carform SAS, société par actions simplifiée, immatriculée au RCS de Grasse sous le numéro 901 823 617, siège social : 535 Route des Lucioles, Les Aqueducs – 06560 Valbonne, agissant en qualité de Sous-traitant ;
  • Le Client professionnel utilisant la Plateforme Carform, agissant en qualité de Responsable du traitement, comme défini dans les Conditions Générales d’Utilisation et de Vente (CGU) de Carform.

Collectivement appelées « les Parties ».

1. Objet et durée

  1. Carform traite, pour le compte du Client, des données à caractère personnel nécessaires à la fourniture des services SaaS de gestion après-vente automobile via la Plateforme Carform (gestion des rendez-vous, suivi atelier, notifications, reporting, etc.).
  2. Le présent DPA s’applique pendant toute la durée du contrat liant les Parties selon les CGU/CGV de Carform, depuis la mise en œuvre des Services jusqu’à leur terme (résiliation ou expiration).

2. Nature des données, finalités et personnes concernées

ÉlémentDescription
DonnéesIdentité (nom, prénom), coordonnées (email, téléphone), immatriculation des véhicules, plannings, communications (SMS, e-mails), adresses postales le cas échéant, données des clients finaux (quand le Client les fournit) conformément aux CGU et à la Politique de Confidentialité Carform.
FinalitésGestion des rendez-vous, suivi des ateliers / missions, envoi de notifications (SMS/E-mail), reporting, suivi de missions, support client, communication via les canaux habituels (email, téléphone, interface de la Plateforme), amélioration des services.
Personnes concernéesUtilisateurs autorisés du Client (administrateurs, utilisateurs définis selon les CGU), et, le cas échéant, les clients finaux des Clients (propriétaires de véhicules, personnes physiques chez qui les données sont collectées) lorsque cela est nécessaire pour les finalités ci-dessus.

3. Prestataires et hébergement

Carform s’engage à :

  1. Traitement sur instructions
    Traiter les données uniquement selon les instructions documentées du Client. Si Carform considère qu’une instruction viole le RGPD ou toute autre disposition applicable, il en informe immédiatement le Client.
  2. Confidentialité et sécurité
    • Garantir la confidentialité des données personnelles traitées ;
    • Veiller à ce que les personnes autorisées au traitement (employés, sous-traitants) soient liées par obligation de confidentialité et reçoivent une formation appropriée en matière de protection des données.
    • Mettre en œuvre des mesures techniques et organisationnelles appropriées, incluant, sans s’y limiter : pseudonymisation, chiffrement, garanties d’intégrité, de disponibilité et de résilience des systèmes, sauvegardes régulières, plan de continuité et de reprise d’activité (disaster recovery), tests / audits de sécurité, contrôle des accès.
  3. Exercice des droits des personnes concernées
    Carform aide le Client à répondre aux demandes d’exercice des droits RGPD : droit d’accès, rectification, effacement, limitation, opposition, portabilité, droit de ne pas faire l’objet d’une décision individuelle automatisée. Lorsqu’une demande est adressée directement au Sous-traitant, celui-ci la transmet immédiatement au Client selon les modalités documentées.
  4. Notification des violations de données
    • Carform notif ie au Client toute violation de données personnelles dans un délai de 48 heures après en avoir pris connaissance ;
    • Fournit les informations nécessaires : nature de la violation, catégories et nombre de personnes concernées, catégories et nombre d’enregistrements de données, conséquences possibles, mesures correctives déjà prises ou envisagées, etc.
    • Fournit la documentation nécessaire pour permettre au Client de satisfaire ses obligations légales (y compris auprès de l’autorité de contrôle).
  5. Audit, documentation, conformité
    • Mettre à disposition du Client les informations nécessaires pour démontrer la conformité aux obligations du RGPD ;
    • Permettre des audits ou inspections raisonnables selon convenance du Client, sous réserve d’un préavis raisonnable, accès aux registres, logs, documentation pertinente ;
    • Maintenir un registre des activités de traitement effectuées pour le compte du Client, incluant les transferts éventuels, les sous-traitants ultérieurs.
  6. Sous-traitance ultérieure
    • Carform peut recourir à des sous-traitants ultérieurs (prestataires techniques, hébergeurs, SMS, emailing, etc.) à condition de garantir qu’ils respectent les obligations RGPD au moins équivalentes à celles prévues dans le présent DPA.
    • Le Client sera informé préalablement et par écrit de l’ajout ou du remplacement d’un sous-traitant ultérieur, avec indication des activités, identité, coordonnées, date effective. Le Client dispose d’un délai de 30 jours pour s’y opposer pour motifs légitimes.

5. Fin de contrat, restitution / suppression des données

  • À la fin de la prestation ou du contrat (résiliation, expiration), Carform restitue au Client toutes les données personnelles traitées pour son compte, dans le format structuré défini dans le contrat ou, à défaut, dans un format couramment utilisé, ou supprime ces données entièrement, sauf obligation légale contraire.
  • Carform fournit une preuve écrite de la destruction ou suppression des données (logs, certificats, etc.), et conserve uniquement ce qui est nécessaire pour des obligations légales (ex. documentation fiscale, etc.), selon les délais légaux applicables.

6. Notification de modification du DPA

  • Délégué à la Protection des Données (DPO) : contact@carform.io, objet : DPO.
  • Le Client peut utiliser tous les canaux habituels de relation client de Carform (email, interface de la Plateforme, téléphone, etc.) pour toute demande d’assistance ou question relative à ce DPA ou à la protection des données.

8. Dispositions diverses

    • Référence aux CGU / Politique de Confidentialité : Le présent DPA est complémentaire aux CGU de Carform et à sa Politique de Confidentialité et RGPD, et s’inscrit dans le cadre de la relation définie par ces documents.
    • Loi applicable : Le présent DPA est régi par le droit français et européen applicable en matière de protection des données.
    • Version et acceptation : Le DPA en cours est celui accepté simultanément à l’acceptation des CGU. Les modifications ultérieures seront formalisées, horodatées et devront être acceptées selon la procédure de notification décrite ci-dessus.

    Retour en haut