Communities 26

Document légal

Accord de Sous-traitance (DPA)

Conformément à l'article 28 du RGPD, le présent Accord de Sous-traitance encadre le traitement par Communities 26 des données personnelles dont les tenants sont responsables. Document opposable dès l'utilisation de la plateforme par un tenant.

Dernière mise à jour : 4 mai 2026

01.Préambule et qualité des parties

Le présent Accord de Sous-traitance (« DPA ») est conclu entre :

  • Communities 26 SAS, éditeur de la plateforme Communities 26 (le « Sous-traitant »),
  • et le tenant utilisateur de la plateforme (le « Responsable de traitement »), désigné dans son espace par sa raison sociale.

Le Responsable de traitement détermine les finalités et les moyens du traitement des données personnelles relatives à ses membres. Le Sous-traitant agit uniquement sur la base d'instructions documentées du Responsable, dans le cadre du contrat principal (CGU + CGV).

Le présent DPA fait partie intégrante du contrat principal et prévaut, en cas de contradiction, sur les autres documents contractuels concernant le traitement des données personnelles. À valider par avocat

02.Objet

Le présent DPA a pour objet de définir les conditions dans lesquelles le Sous-traitant effectue les opérations de traitement de données personnelles décrites ci-après, pour le compte du Responsable de traitement, dans le respect du Règlement (UE) 2016/679 (« RGPD ») et de la loi n°78-17 du 6 janvier 1978 modifiée.

03.Description du traitement

Nature et finalité

Hébergement, traitement et restitution des données nécessaires au fonctionnement de l'espace tenant : annuaire des membres, gestion des événements, communications (gazette, emails), cotisations, gestion administrative.

Durée

Pendant toute la durée du contrat principal, prolongée de la période d'export et de restitution prévue à l'article « Sort des données ».

Catégories de personnes concernées

  • Membres du tenant et anciens membres.
  • Inscrits à des événements ouverts hors-membres.
  • Contacts prospects ajoutés à la base.

Catégories de données traitées

  • Identité (nom, prénom, photo).
  • Coordonnées (email, téléphone, adresse postale).
  • Données professionnelles (entreprise, fonction, secteur, présentation).
  • Données de cotisation et de paiement (via Stripe — pas de numéro de carte stocké).
  • Données d'usage (inscriptions, présences, ouvertures d'emails).
  • Données techniques (logs, adresses IP) — au strict minimum nécessaire.

04.Obligations du Sous-traitant

Le Sous-traitant s'engage à :

  • Traiter les données uniquement sur instructions documentées du Responsable, telles que définies dans le contrat principal et le présent DPA.
  • Ne traiter les données pour aucune autre finalité (notamment pas de revente, pas d'entraînement de modèles d'IA propriétaires) sans accord écrit préalable.
  • Garantir que les personnes autorisées à traiter les données s'engagent à respecter la confidentialité ou sont soumises à une obligation légale équivalente.
  • Mettre en œuvre les mesures techniques et organisationnelles appropriées (article 32 RGPD), telles que décrites à l'article « Sécurité ».
  • Aider le Responsable, par des mesures techniques et organisationnelles, à donner suite aux demandes d'exercice des droits des personnes concernées (accès, rectification, effacement, portabilité, opposition, limitation).
  • Aider le Responsable dans la réalisation d'analyses d'impact (AIPD) le cas échéant, ainsi que dans la consultation de l'autorité de contrôle.
  • Notifier au Responsable toute violation de données dans un délai de 72 heures à compter de sa constatation, en fournissant les informations nécessaires pour qu'il puisse à son tour notifier la CNIL si requis (article 33 RGPD).
  • Mettre à disposition du Responsable, sur demande raisonnable, les informations nécessaires pour démontrer le respect du présent DPA.
  • Permettre la réalisation d'audits par le Responsable ou un auditeur indépendant mandaté par lui, dans les conditions prévues à l'article « Audits ».

05.Obligations du Responsable de traitement

  • Documenter par écrit toute instruction relative au traitement des données.
  • Veiller, en amont et pendant toute la durée du traitement, au respect des obligations RGPD à sa charge (information, consentement, base légale, registre, AIPD si requise).
  • Superviser les traitements et coopérer avec le Sous-traitant pour la mise en œuvre des mesures de sécurité et l'exercice des droits des personnes.
  • Tenir à jour la liste des membres autorisés à accéder à l'espace administrateur du tenant.

06.Sécurité

Le Sous-traitant met en œuvre les mesures techniques et organisationnelles suivantes :

  • Chiffrement TLS 1.3 des données en transit.
  • Chiffrement AES-256 des données au repos (base de données et stockage objet).
  • Hachage des mots de passe avec Argon2id.
  • Cloisonnement strict des données entre tenants via PostgreSQL Row-Level Security (RLS).
  • Sauvegardes quotidiennes chiffrées, conservées 30 jours, restauration testée trimestriellement.
  • Authentification à deux facteurs disponible pour les administrateurs.
  • Journalisation des accès aux données sensibles.
  • Audits de sécurité internes réguliers et programme de divulgation responsable.
  • Formation continue des équipes techniques aux bonnes pratiques de sécurité.

07.Sous-traitants ultérieurs

Le Responsable de traitement autorise le Sous-traitant à recourir aux sous-traitants ultérieurs suivants pour exécuter les activités de traitement décrites :

  • Railway, Inc. (États-Unis) — hébergement applicatif staging — railway.app.
  • Scaleway SAS (France) — hébergement de production et base de données — scaleway.com.
  • Cloudflare, Inc. (États-Unis) — CDN, anti-DDoS, stockage objet R2 — cloudflare.com.
  • Stripe Payments Europe Ltd (Irlande) — traitement des paiements — stripe.com.
  • Mailjet SAS (France) — envoi d'emails transactionnels et campagnes — mailjet.com.
  • Functional Software, Inc. dba Sentry (États-Unis) — supervision technique des erreurs — sentry.io.
  • MinIO Inc. (États-Unis) — solution alternative de stockage objet — min.io.

Le Sous-traitant informera le Responsable, par notification dans son espace administrateur ou par email, de tout projet d'ajout ou de remplacement d'un sous-traitant ultérieur, au moins 30 jours avant la mise en œuvre. Le Responsable disposera d'un délai de 15 jours pour formuler une objection motivée. À défaut d'objection dans ce délai, l'ajout sera réputé accepté. À valider par avocat

Le Sous-traitant impose à ses sous-traitants ultérieurs des obligations contractuelles de protection équivalentes à celles du présent DPA.

08.Transferts hors Union européenne

Lorsqu'un sous-traitant ultérieur traite des données depuis un pays hors UE n'offrant pas un niveau de protection adéquat reconnu par la Commission européenne, le transfert est encadré par les Clauses Contractuelles Types (CCT) approuvées par la Commission européenne (décision 2021/914), complétées de mesures techniques et organisationnelles supplémentaires (chiffrement de bout en bout, restrictions d'accès), conformément à la jurisprudence Schrems II. À valider par avocat

09.Droits des personnes concernées

Le Sous-traitant met à disposition du Responsable les outils techniques permettant de répondre aux demandes des personnes concernées (export, rectification, suppression). En cas de demande adressée directement au Sous-traitant, celui-ci la transmet au Responsable dans les meilleurs délais et n'y répond pas lui-même, sauf instruction contraire du Responsable.

10.Notification de violation de données

Le Sous-traitant notifie au Responsable toute violation de données personnelles dans un délai maximum de 72 heures à compter de sa constatation. La notification précise :

  • la nature de la violation (catégories et nombre approximatif de personnes / enregistrements concernés) ;
  • les conséquences probables ;
  • les mesures déjà prises ou envisagées pour y remédier et en limiter les impacts ;
  • le point de contact pour obtenir plus d'informations.

11.Audits

Le Responsable peut réaliser, à ses frais, un audit du respect du présent DPA, au maximum une fois par an et après préavis raisonnable (15 jours minimum). L'audit peut être effectué par le Responsable ou un tiers de son choix soumis à un engagement de confidentialité.

L'audit ne doit pas perturber le fonctionnement du service et porte uniquement sur les éléments pertinents au traitement objet du présent DPA. Le Sous-traitant peut, en lieu et place d'un audit sur site, fournir au Responsable les rapports d'audits indépendants déjà réalisés (ex : SOC 2, ISO 27001 lorsque disponibles). À valider par avocat

12.Sort des données en fin de contrat

À la résiliation ou au terme du contrat principal :

  • Le Responsable dispose de 30 jours pour exporter ses données dans un format structuré, courant et lisible par machine (CSV, JSON).
  • À l'issue de ce délai, ou sur demande explicite du Responsable, le Sous-traitant supprime ou restitue toutes les données et leurs copies (sauvegardes incluses) dans un délai maximum de 90 jours.
  • Les données conservées au-delà au titre d'une obligation légale (ex : facturation) sont strictement isolées et ne sont plus accessibles à des fins d'exploitation.

13.Responsabilité

Chaque partie est responsable du respect des obligations qui lui incombent au titre du RGPD et du présent DPA. Les éventuelles indemnisations dues entre les parties au titre du présent DPA s'inscrivent dans les limites de responsabilité prévues au contrat principal. À valider par avocat

14.Date d'effet et acceptation

Le présent DPA est opposable au Responsable de traitement à compter de la première utilisation de la plateforme. La date d'acceptation est enregistrée dans le journal d'audit du tenant et est consultable depuis l'espace administrateur (rubrique « Légal »).

15.Contact

Pour toute question relative au présent DPA : privacy@communities26.com.