Accord de traitement des données (DPA)

Préambule

Le présent Accord de traitement des données (« DPA ») est conclu entre le Client (ci-après le « Responsable de traitement ») et la société CONSILIOWEB, SAS au capital de 1 000 €, immatriculée au RCS de Brive-la-Gaillarde sous le numéro B 892 889 858, dont le siège social est situé 13 Lestrade, 19200 Ussel (ci-après le « Sous-traitant »).

Ce DPA fait partie intégrante des Conditions Générales de Vente du service Orkelis et s'applique dans la mesure où le Sous-traitant traite des données à caractère personnel pour le compte du Responsable de traitement dans le cadre de la fourniture du service SaaS Orkelis.

Le présent accord est établi conformément à l'article 28 du Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel (RGPD).

Article 1 — Objet et durée du traitement

1.1. Le présent DPA a pour objet de définir les conditions dans lesquelles le Sous-traitant s'engage à effectuer, pour le compte du Responsable de traitement, les opérations de traitement de données à caractère personnel nécessaires à la fourniture du service Orkelis.

1.2. Le traitement débute à la date de souscription du service Orkelis par le Responsable de traitement et se poursuit pendant toute la durée du contrat de service. Il prend fin à l'expiration ou à la résiliation du contrat, sous réserve des obligations de restitution et de suppression prévues à l'article 8.

Article 2 — Nature et finalité du traitement

2.1. Le Sous-traitant traite les données à caractère personnel dans le cadre exclusif de la fourniture du service SaaS Orkelis, une solution de planification et de gestion des plannings d'équipe.

2.2. Les opérations de traitement réalisées comprennent : la collecte, l'enregistrement, la structuration, la conservation, l'adaptation, la consultation, l'utilisation, la communication par transmission et l'effacement des données.

2.3. La finalité du traitement est la génération, l'optimisation et la gestion des plannings des collaborateurs du Responsable de traitement, incluant la prise en compte des contraintes légales (Code du travail, conventions collectives), des disponibilités et des compétences des agents.

Article 3 — Types de données personnelles et catégories de personnes concernées

3.1. Types de données personnelles traitées :

— Données d'identification : nom, prénom

— Coordonnées professionnelles : adresse email, numéro de téléphone

— Données liées à l'activité professionnelle : horaires de travail, créneaux de disponibilité, compétences, qualifications, affectations

— Données d'utilisation : logs de connexion, préférences de planning, demandes d'échanges de créneaux

3.2. Catégories de personnes concernées :

— Les collaborateurs, agents et salariés du Responsable de traitement dont les plannings sont gérés via le service Orkelis

— Les administrateurs et managers utilisant la plateforme pour le compte du Responsable de traitement

Article 4 — Obligations du Sous-traitant

4.1. Instructions documentées — Le Sous-traitant s'engage à traiter les données à caractère personnel uniquement sur instruction documentée du Responsable de traitement, y compris en ce qui concerne les transferts de données vers un pays tiers. Si le Sous-traitant est tenu de procéder à un transfert en vertu du droit de l'Union ou d'un État membre, il en informe le Responsable de traitement avant le traitement, sauf interdiction légale (art. 28-3-a RGPD).

4.2. Confidentialité — Le Sous-traitant veille à ce que les personnes autorisées à traiter les données à caractère personnel s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité (art. 28-3-b RGPD).

4.3. Mesures de sécurité — Le Sous-traitant met en œuvre les mesures techniques et organisationnelles appropriées conformément à l'article 32 du RGPD, notamment :

— Chiffrement des données en transit (TLS 1.2+) et au repos (AES-256)

— Contrôle d'accès strict basé sur les rôles (RBAC) avec authentification multi-facteurs pour les administrateurs

— Sauvegardes automatiques quotidiennes avec rétention de 30 jours, stockées de manière chiffrée

— Journalisation des accès et des opérations sur les données

— Tests de sécurité réguliers et mises à jour de sécurité

— Séparation logique des données entre les clients (architecture multi-tenant)

4.4. Sous-traitance ultérieure — Le Sous-traitant ne recrute pas d'autre sous-traitant sans l'autorisation écrite préalable, spécifique ou générale, du Responsable de traitement. En cas d'autorisation générale, le Sous-traitant informe le Responsable de traitement de tout changement prévu concernant l'ajout ou le remplacement de sous-traitants ultérieurs au moins 30 jours avant la modification, donnant ainsi au Responsable de traitement la possibilité d'émettre des objections (art. 28-2 RGPD). La liste des sous-traitants ultérieurs est consultable à l'adresse /sous-traitants.

4.5. Assistance pour les droits des personnes — Le Sous-traitant aide le Responsable de traitement, par des mesures techniques et organisationnelles appropriées, à s'acquitter de son obligation de donner suite aux demandes d'exercice des droits des personnes concernées (accès, rectification, effacement, portabilité, limitation, opposition) conformément aux articles 15 à 22 du RGPD (art. 28-3-e RGPD).

4.6. Assistance pour les obligations de sécurité — Le Sous-traitant aide le Responsable de traitement à garantir le respect des obligations prévues aux articles 32 à 36 du RGPD (sécurité, notification de violation, analyse d'impact), compte tenu de la nature du traitement et des informations à disposition du Sous-traitant (art. 28-3-f RGPD).

Article 5 — Obligations du Responsable de traitement

5.1. Le Responsable de traitement s'engage à fournir au Sous-traitant des instructions documentées concernant le traitement des données à caractère personnel.

5.2. Le Responsable de traitement garantit la licéité des traitements qu'il confie au Sous-traitant. Il est notamment responsable de l'information et, le cas échéant, du recueil du consentement des personnes concernées.

5.3. Le Responsable de traitement supervise le traitement et reste responsable du respect des obligations prévues par le RGPD et la législation applicable en matière de protection des données.

Article 6 — Sous-traitants ultérieurs

6.1. À la date de signature du présent accord, le Sous-traitant fait appel aux sous-traitants ultérieurs suivants :

— Infomaniak Network SA (Rue Eugène-Marziano 25, 1227 Les Acacias, Genève, Suisse) — Finalité : hébergement de l'infrastructure applicative et des bases de données — Localisation : Suisse — Certifications : ISO 27001, ISO 14001

6.2. Le Sous-traitant impose à ses sous-traitants ultérieurs, par voie contractuelle, les mêmes obligations en matière de protection des données que celles prévues au présent DPA, conformément à l'article 28-4 du RGPD.

6.3. Le Sous-traitant demeure pleinement responsable devant le Responsable de traitement de l'exécution par ses sous-traitants ultérieurs de leurs obligations.

Article 7 — Transferts hors Union européenne

7.1. Le Sous-traitant héberge les données au sein de l'Espace économique européen (EEE) et en Suisse.

7.2. La Suisse bénéficie d'une décision d'adéquation de la Commission européenne (décision 2000/518/CE, confirmée par les réévaluations successives), garantissant un niveau de protection des données équivalent à celui de l'Union européenne.

7.3. Aucun transfert de données vers un pays tiers ne disposant pas d'une décision d'adéquation n'est effectué sans l'accord préalable du Responsable de traitement et sans la mise en place de garanties appropriées (clauses contractuelles types, règles d'entreprise contraignantes ou certification).

Article 8 — Suppression et restitution des données

8.1. Au terme de la prestation de service, le Sous-traitant s'engage, au choix du Responsable de traitement, à :

— Restituer toutes les données à caractère personnel au Responsable de traitement dans un format structuré, couramment utilisé et lisible par machine (export CSV, JSON)

— Supprimer toutes les données à caractère personnel et les copies existantes, sauf obligation légale de conservation

8.2. Le Responsable de traitement dispose d'un délai de 30 jours à compter de la fin du contrat pour demander la restitution de ses données. Passé ce délai, le Sous-traitant procède à la suppression définitive des données dans un délai de 60 jours.

8.3. Le Sous-traitant certifie par écrit la suppression effective des données sur demande du Responsable de traitement.

Article 9 — Notification de violation de données

9.1. Le Sous-traitant notifie au Responsable de traitement toute violation de données à caractère personnel dans les meilleurs délais, et au plus tard dans les 72 heures suivant la prise de connaissance de la violation, conformément à l'article 33 du RGPD.

9.2. Cette notification comprend au minimum :

— La nature de la violation (catégories et nombre approximatif de personnes et d'enregistrements concernés)

— Le nom et les coordonnées du point de contact

— Les conséquences probables de la violation

— Les mesures prises ou proposées pour remédier à la violation et en atténuer les effets

Article 10 — Audit et inspections

10.1. Le Sous-traitant met à la disposition du Responsable de traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues au présent DPA et à l'article 28 du RGPD.

10.2. Le Sous-traitant autorise et contribue aux audits, y compris les inspections, réalisés par le Responsable de traitement ou un autre auditeur mandaté par celui-ci, sous réserve d'un préavis raisonnable de 30 jours et du respect des obligations de confidentialité (art. 28-3-h RGPD).

10.3. Les frais d'audit sont à la charge du Responsable de traitement, sauf si l'audit révèle un manquement du Sous-traitant à ses obligations.

Contact

Pour toute question relative au présent DPA ou à la protection de vos données :

CONSILIOWEB — Email : contact@orkelis.com — Téléphone : 06 82 87 73 19

Dernière mise à jour : mars 2026.