Data Processing Agreement - Article 28 RGPD
Dernière mise à jour : 27 juin 2025
Le présent Accord de Traitement des Données (ci-après « l'Accord ») est conclu entre le Client (tel que défini dans les Conditions Générales d'Utilisation de Tesseris), ci-après dénommé le « Responsable de Traitement », et Sohmware SARL, opérant sous le nom de Tesseris, SARL au capital de 5000 euros, SIREN 749862322, dont le siège social est situé au 3 rue Hanau, 67350 Niedermodern, France, ci-après dénommée le « Sous-traitant ».
Le présent Accord constitue une annexe aux Conditions Générales d'Utilisation (CGU) du service Tesseris et prévaut sur toute clause contraire de ces dernières concernant le traitement des données personnelles des clients finaux du Responsable de Traitement.
Le présent Accord a pour objet de définir les conditions dans lesquelles le Sous-traitant s'engage à effectuer pour le compte du Responsable de Traitement les opérations de traitement de données à caractère personnel définies ci-après, conformément aux exigences du Règlement Général sur la Protection des Données (RGPD) et de la législation française en matière de protection des données.
Le Sous-traitant est autorisé à traiter pour le compte du Responsable de Traitement les données personnelles nécessaires pour fournir le service Tesseris. Les détails du traitement sont les suivants :
| Nature et Finalités du Traitement | Fourniture du service SaaS d'optimisation de tournées, incluant : consultation automatisée des calendriers, prise de rendez-vous assistée par IA, calcul d'itinéraires optimaux, envoi de notifications SMS de rappel, hébergement et maintenance sécurisée des données, génération de rapports de tournées. |
| Durée du Traitement | Pour la durée de l'abonnement du Client au service Tesseris, telle que définie dans les CGU, plus une période de conservation de 30 jours après résiliation pour permettre une éventuelle réactivation. Des sauvegardes techniques peuvent être conservées jusqu'à 90 jours supplémentaires à des fins de sécurité et de continuité de service. |
| Types de Données Personnelles | Données des clients finaux du Responsable de Traitement : noms, prénoms, adresses postales complètes, numéros de téléphone, adresses e-mail, types de prestations, créneaux de rendez-vous, historique des interventions, préférences de contact, coordonnées GPS de géolocalisation en temps réel (uniquement avec consentement explicite du client final via son appareil mobile). |
| Catégories de Personnes Concernées | Les clients finaux du Responsable de Traitement (particuliers et professionnels faisant l'objet des rendez-vous et interventions programmées dans le cadre des tournées optimisées). |
Le Sous-traitant s'engage à respecter strictement les obligations suivantes :
Traiter les données uniquement sur instruction documentée du Responsable de Traitement, y compris en ce qui concerne les transferts de données vers des pays tiers. Les présentes constituent les instructions initiales. Toute instruction supplémentaire doit être documentée par écrit.
Garantir la confidentialité des données personnelles traitées et veiller à ce que toutes les personnes autorisées à traiter les données s'engagent contractuellement à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.
Mettre en œuvre les mesures de sécurité techniques et organisationnelles appropriées, telles que décrites en Annexe 1 du présent Accord, pour protéger les données contre la destruction accidentelle ou illicite, la perte, l'altération, la divulgation ou l'accès non autorisés.
Le Responsable de Traitement autorise le recours aux sous-traitants ultérieurs listés en Annexe 2. Tout ajout ou remplacement sera notifié au Responsable de Traitement avec un préavis de 30 jours minimum. Le Responsable de Traitement peut s'opposer pour des motifs légitimes. Le Sous-traitant reste pleinement responsable envers le Responsable de Traitement de l'exécution des obligations de tout sous-traitant ultérieur.
Aider le Responsable de Traitement, par des mesures techniques et organisationnelles appropriées, dans la mesure du possible, à s'acquitter de son obligation de donner suite aux demandes d'exercice des droits des personnes concernées (accès, rectification, effacement, portabilité, limitation, opposition). Les demandes reçues directement par le Sous-traitant seront immédiatement transmises au Responsable de Traitement.
Notifier le Responsable de Traitement de toute violation de données personnelles dans les meilleurs délais après en avoir pris connaissance, au plus tard dans un délai de 48 heures, en fournissant toutes les informations utiles : nature de la violation, catégories et nombre approximatif de personnes concernées, conséquences probables, mesures prises ou envisagées.
Fournir au Responsable de Traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues au présent article et permettre la réalisation d'audits, y compris des inspections, par le Responsable de Traitement ou un auditeur mandaté par lui.
Au terme du contrat, selon le choix du Responsable de Traitement : restituer toutes les données personnelles au Responsable de Traitement ou supprimer toutes les données personnelles et détruire les copies existantes, sauf obligation légale contraire de conservation.
Le Responsable de Traitement s'engage à :
S'assurer que la collecte et le traitement initial des données personnelles de ses clients finaux sont effectués en conformité avec les lois applicables, notamment en recueillant les consentements appropriés et en respectant ses obligations d'information.
Fournir des instructions claires, licites et documentées concernant le traitement des données. Toute instruction supplémentaire ou modification doit être communiquée par écrit.
Respecter ses propres obligations en vertu du RGPD, notamment l'information de ses clients finaux sur l'intervention de Tesseris en tant que sous-traitant, et gérer directement les demandes d'exercice des droits de ses clients finaux.
Coopérer avec le Sous-traitant pour permettre le respect des obligations de ce dernier, notamment en cas d'audit ou de violation de données.
Le Responsable de Traitement peut réaliser des audits pour vérifier la conformité du Sous-traitant au présent Accord, une fois par an au maximum et sous réserve d'un préavis de 30 jours. Les audits sont réalisés pendant les heures ouvrées (9h-18h, lundi-vendredi) et ne doivent pas perturber de manière déraisonnable l'activité du Sous-traitant. Les coûts de l'audit sont à la charge du Responsable de Traitement. Le Sous-traitant fournira toute documentation nécessaire démontrant ses mesures de sécurité et de conformité RGPD.
Chaque partie est responsable du respect de ses propres obligations sous le présent Accord. En cas de manquement du Sous-traitant entraînant une violation de données ou une sanction de l'autorité de contrôle, le Sous-traitant indemnisera le Responsable de Traitement des coûts directs justifiés, dans la limite de sa responsabilité contractuelle définie dans les CGU. Le Responsable de Traitement demeure seul responsable envers ses propres clients finaux du respect de leurs droits RGPD.
Le Responsable de Traitement reconnaît et accepte expressément que le service Tesseris nécessite des transferts de données vers des pays tiers (APIs de géolocalisation Google Maps, calendriers Microsoft/Google) pour son fonctionnement. Ces transferts sont encadrés par les décisions d'adéquation de la Commission européenne ou par les clauses contractuelles types mises en place par ces prestataires. Le Sous-traitant s'engage à informer le Responsable de Traitement de tout nouveau transfert vers un pays tiers.
Le présent Accord entre en vigueur à la date d'acceptation des CGU par le Responsable de Traitement et demeure en vigueur pendant toute la durée de l'abonnement au service Tesseris. Il prend fin automatiquement à la résiliation ou expiration de l'abonnement. Les obligations de confidentialité et de restitution/suppression des données survivront à la résiliation du présent Accord.
Le présent Accord est régi par le droit français. En cas de litige relatif à l'interprétation ou à l'exécution du présent Accord, les parties privilégient la résolution amiable. À défaut, tout litige relèvera de la compétence exclusive des tribunaux de Strasbourg, France.
Le Sous-traitant met en œuvre les mesures de sécurité suivantes :
Liste des sous-traitants ultérieurs autorisés par le Responsable de Traitement :
Service : Hébergement de l'infrastructure principale, stockage des données et sauvegardes de production
Localisation : France
Garanties : Hébergement en UE, mesures de sécurité physiques et logiques, conformité RGPD
Service : APIs de géolocalisation, calcul d'itinéraires optimaux, reverse geocoding
Localisation : Union Européenne et pays à décision d'adéquation
Garanties : Sélection selon critères de conformité RGPD et transferts sécurisés
Service : Accès aux calendriers Google, synchronisation des créneaux
Localisation : Mondial (États-Unis principalement)
Garanties : Décision d'adéquation UE-US, clauses contractuelles types, mesures de sécurité industrielles
Service : API de calendriers (Outlook/Exchange), synchronisation des créneaux
Localisation : Mondial (États-Unis principalement)
Garanties : Décision d'adéquation UE-US, clauses contractuelles types, mesures de sécurité industrielles
Service : Stockage des sauvegardes de sécurité à long terme
Localisation : France
Garanties : Hébergement en UE, chiffrement des données, conformité RGPD
Service : Envoi de notifications SMS de rappel
Localisation : Union Européenne ou pays à décision d'adéquation
Garanties : Sélection selon critères de conformité RGPD et certifications de sécurité
Le Responsable de Traitement reconnaît avoir lu et accepté le présent Accord en acceptant les Conditions Générales d'Utilisation du service Tesseris.
Le Sous-traitant s'engage à respecter l'ensemble des obligations définies dans le présent Accord.
Contact DPO : dpo@tesser.is
Contact général : contact@tesser.is