← Retour

Accord de Traitement de Donnees (DPA)

Article 28 du RGPD — Version phase de test
Derniere mise a jour : 19 avril 2026

Preambule

Le present DPA formalise la relation de sous-traitance entre :

  • La Professionnelle, utilisatrice de Poseo, Responsable de traitement des donnees de ses Clientes ;
  • Dovi Minkowski, editeur de Poseo, Sous-traitant au sens de l'article 28 du RGPD.

Le DPA est automatiquement accepte lors de la creation du compte Professionnelle et fait partie integrante des CGU.

1. Objet, nature et finalite

Objet : traitement par Poseo, pour le compte de la Professionnelle, des donnees personnelles des Clientes, aux fins de fournir le Service.

Nature des operations : collecte, enregistrement, conservation, consultation, utilisation, communication, effacement.

Finalites :

  • gestion des rendez-vous et du planning ;
  • envoi de rappels et confirmations (email/SMS) ;
  • collecte d'acomptes via Stripe Connect ;
  • suivi de fidelite et historique.

Duree : duree d'utilisation du Service par la Professionnelle.

2. Categories de donnees et de personnes

Personnes concernees : Clientes finales de la Professionnelle.

Categories :

  • Identification : nom, prenom, email, telephone
  • Preferences esthetiques
  • Donnees de sante (art. 9 RGPD) : allergies — sous consentement explicite recueilli par la Professionnelle
  • Photos de prestations
  • Historique : RDV, acomptes

3. Obligations de Poseo (Sous-traitant)

3.1. Instructions

Poseo traite les donnees uniquement sur instruction documentee de la Professionnelle. Les CGU, la Politique de Confidentialite et les parametres du compte constituent les instructions initiales.

3.2. Confidentialite

Poseo garantit la confidentialite des personnes autorisees a acceder aux donnees.

3.3. Securite (art. 32 RGPD)

Mesures mises en oeuvre : chiffrement TLS 1.3 / AES-256, bcrypt, isolation logique, controle d'acces, sauvegardes chiffrees, journalisation.

En phase de test, ces mesures peuvent etre moins robustes qu'en production mature. La Professionnelle en est informee.

3.4. Sous-traitants ulterieurs

La Professionnelle autorise Poseo a recourir aux sous-traitants suivants :

Sous-traitantRoleLocalisation
OVH SASHebergement, SMTPFrance
Stripe Payments EuropeAcomptes ClientesIrlande / USA
Twilio Ireland LimitedEnvoi SMSIrlande / USA
OpenRouter / GoogleAssistant IA (anonymise)USA

Tout ajout ou remplacement est notifie par email avec preavis de 30 jours ; droit d'opposition pour motif legitime.

3.5. Assistance

Poseo assiste la Professionnelle dans :

  • la reponse aux droits des Clientes (outils d'export, de rectification, de suppression disponibles dans l'interface) ;
  • la realisation d'AIPD si necessaire ;
  • la notification de violation de donnees.

3.6. Notification de violation

En cas de violation, Poseo notifie la Professionnelle sous 48 heures maximum, en precisant :

  • la nature de la violation ;
  • categories et nombre approximatif de personnes concernees ;
  • consequences probables ;
  • mesures prises.

La Professionnelle reste responsable de la notification a la CNIL (72 h) et aux personnes concernees.

3.7. Transferts hors UE

Encadres par EU-US Data Privacy Framework et Clauses Contractuelles Types. Les donnees de sante ne sont jamais transferees hors UE.

3.8. Audit

Sur demande motivee de la Professionnelle, Poseo communique les informations necessaires pour demontrer sa conformite. Un audit est possible une fois par an, avec preavis de 60 jours, aux frais du demandeur.

3.9. Fin du traitement

A la fin du contrat, au choix de la Professionnelle : restitution (export CSV/JSON) ou suppression definitive sous 30 jours, sauf obligations legales de conservation.

4. Obligations de la Professionnelle

La Professionnelle s'engage a :

  • ne traiter que des donnees collectees licitement ;
  • recueillir le consentement explicite des Clientes pour les allergies (art. 9.2.a RGPD) ;
  • fournir aux Clientes l'information des articles 13 et 14 du RGPD (via la Politique de Confidentialite de Poseo, qui satisfait cette obligation) ;
  • repondre aux demandes d'exercice des droits dans les delais legaux ;
  • notifier sans delai toute instruction particuliere ou demande d'une autorite.

5. Responsabilite

Chacune des Parties est responsable des dommages causes par le non-respect de ses propres obligations RGPD. La limitation de responsabilite des CGU s'applique.

6. Duree et droit applicable

Duree : duree du contrat + obligations survivantes (confidentialite, restitution/suppression).
Droit francais. Juridictions competentes selon les CGU.