Accord de sous-traitance RGPD
Le présent accord (ci-après « DPA » pour Data Processing Agreement) précise les conditions dans lesquelles AB Consulting, éditeur du Service GestionChasse, traite les données à caractère personnel pour le compte du Client, conformément à l'article 28 du Règlement (UE) 2016/679 (« RGPD »).
Le présent DPA est partie intégrante des Conditions Générales de Vente et est accepté de plein droit par le Client lors de la souscription au Service. Il prévaut sur toute disposition contradictoire des CGV en matière de protection des données personnelles.
- Définitions
- Objet et qualité des parties
- Description du traitement
- Obligations du Sous-traitant
- Sous-traitants ultérieurs
- Droits des personnes concernées
- Notification des violations
- Sécurité et confidentialité
- Audit et documentation
- Transferts hors UE
- Sort des données en fin de contrat
- Obligations du Responsable de traitement
- Responsabilité
- Durée et entrée en vigueur
Article 1 — Définitions
Les termes employés dans le présent DPA et commençant par une majuscule ont la signification qui leur est donnée par le RGPD, notamment :
- Données à caractère personnel : toute information se rapportant à une personne physique identifiée ou identifiable.
- Traitement : toute opération ou ensemble d'opérations appliquées à des données personnelles (collecte, enregistrement, conservation, modification, consultation, communication, effacement, etc.).
- Responsable de traitement : la personne qui détermine les finalités et les moyens du traitement. Dans le cadre du Service, il s'agit du Client (l'association ou la société de chasse).
- Sous-traitant : la personne qui traite les données pour le compte du Responsable de traitement. Il s'agit ici d'AB Consulting (éditeur de GestionChasse).
- Personnes concernées : les personnes physiques dont les données sont traitées (chasseurs, membres du bureau, adhérents, prestataires, etc.).
- Violation de données : toute violation de la sécurité entraînant la destruction, la perte, l'altération, la divulgation ou l'accès non autorisé à des données personnelles.
Article 2 — Objet et qualité des parties
Le présent DPA encadre le traitement des données personnelles effectué par AB Consulting (le « Sous-traitant ») pour le compte du Client (le « Responsable de traitement ») dans le cadre de l'exécution du Service GestionChasse, tel que défini dans les CGV.
Le Client agit en qualité de Responsable de traitement : il détermine les finalités et les moyens du traitement, et conserve l'entière maîtrise des données qu'il saisit dans le Service. AB Consulting agit en qualité de Sous-traitant : il met à disposition le Service et exécute les traitements sur instruction documentée du Client.
Article 3 — Description du traitement
Les caractéristiques du traitement effectué par le Sous-traitant pour le compte du Responsable sont décrites en Annexe 1. À titre de synthèse :
- Finalité : permettre au Client de gérer son association (chasseurs, prélèvements, finances, manifestations) au moyen du Service en ligne GestionChasse.
- Nature des opérations : hébergement, stockage, organisation, consultation, modification, sauvegarde, suppression des données, à l'initiative du Client.
- Catégories de données : identification (nom, prénom, contact), administratives (numéro de permis, statut, cotisations), financières (recettes/dépenses), techniques (logs de connexion).
- Catégories de personnes : chasseurs, membres du bureau, sponsors, prestataires, fournisseurs.
- Durée : pour la durée de l'abonnement, augmentée d'un délai de restitution de 30 jours après résiliation.
Article 4 — Obligations du Sous-traitant
Conformément à l'article 28-3 du RGPD, le Sous-traitant s'engage à :
- Traiter les données uniquement sur instruction documentée du Responsable, telles que décrites dans le présent DPA et dans les paramètres du Service. Le Sous-traitant ne traite pas les données pour ses propres finalités, sauf obligation légale (auquel cas il en informe le Responsable, sauf si le droit applicable l'interdit pour des raisons d'intérêt public).
- Garantir la confidentialité des données traitées. Toute personne autorisée à accéder aux données est soumise à une obligation de confidentialité contractuelle ou légale.
- Mettre en œuvre les mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté au risque (voir Annexe 2).
- Aider le Responsable à respecter ses propres obligations en matière de droits des personnes, de notification de violation, d'analyse d'impact (AIPD) et de consultation préalable de la CNIL.
- Coopérer en cas de contrôle de l'autorité de contrôle (CNIL).
- Tenir un registre des catégories d'activités de traitement effectuées pour le compte du Responsable, conformément à l'article 30-2 du RGPD.
- Restituer ou supprimer les données en fin de contrat selon les instructions du Responsable (voir Article 11).
Article 5 — Sous-traitants ultérieurs
Le Sous-traitant a recours à des sous-traitants ultérieurs (hébergeur, prestataire de paiement, etc.) pour exécuter certaines opérations spécifiques. La liste de ces sous-traitants ultérieurs autorisés figure en Annexe 3.
Le Client autorise expressément le recours à ces sous-traitants ultérieurs. En cas de changement (ajout ou remplacement), le Sous-traitant en informera le Client par email avec un préavis raisonnable, lui laissant la possibilité d'émettre des objections motivées. À défaut d'objection dans un délai de 30 jours, le changement est réputé accepté.
Le Sous-traitant impose à ses sous-traitants ultérieurs, par contrat, des obligations de protection des données équivalentes à celles du présent DPA.
Article 6 — Droits des personnes concernées
Le Sous-traitant met à disposition du Responsable les outils nécessaires (export des données, fonctionnalités de modification et de suppression dans l'application) lui permettant de répondre directement aux demandes d'exercice des droits formulées par les personnes concernées (accès, rectification, effacement, limitation, opposition, portabilité).
Si une personne concernée adresse directement sa demande au Sous-traitant, celui-ci la transmet sans délai au Responsable et n'y répond pas lui-même, sauf instruction contraire du Responsable.
Article 7 — Notification des violations de données
En cas de violation de données personnelles affectant les données traitées pour le compte du Responsable, le Sous-traitant s'engage à :
- Notifier le Responsable dans les meilleurs délais et au plus tard 48 heures après en avoir pris connaissance, par email à l'adresse de contact administrateur du compte ;
- Lui transmettre toutes les informations utiles à la qualification de la violation : nature, catégories et nombre approximatif de personnes concernées, conséquences probables, mesures prises ou envisagées pour limiter les conséquences ;
- Documenter la violation et coopérer pleinement avec le Responsable pour qu'il puisse, le cas échéant, notifier la CNIL dans les 72 heures (art. 33 RGPD) et informer les personnes concernées (art. 34 RGPD).
Article 8 — Sécurité et confidentialité
Le Sous-traitant met en œuvre l'ensemble des mesures techniques et organisationnelles décrites en Annexe 2, conformément à l'article 32 du RGPD. Ces mesures sont régulièrement réévaluées et mises à jour pour tenir compte de l'état de l'art, des coûts et de la nature, de la portée, du contexte et des finalités du traitement.
Toute personne ayant accès aux données est tenue à une obligation de confidentialité, y compris au-delà de la fin du contrat ou du lien de subordination.
Article 9 — Audit et documentation
Le Sous-traitant met à disposition du Responsable, sur demande écrite raisonnable, toute documentation nécessaire pour démontrer le respect des obligations du présent DPA (politique de sécurité, registre des sous-traitants ultérieurs, attestations d'hébergement, etc.).
Le Responsable peut, à ses frais, procéder à un audit de conformité, sur préavis écrit raisonnable d'au minimum 30 jours, ne dépassant pas une fois par an, sauf incident grave. L'audit est conduit par le Responsable ou par un tiers indépendant, soumis à un engagement de confidentialité, dans le respect du fonctionnement du Sous-traitant et des autres clients.
Article 10 — Transferts hors Union européenne
Le Sous-traitant s'engage à n'opérer aucun transfert de données personnelles vers un pays situé hors Union européenne ou Espace économique européen, sauf accord écrit préalable du Responsable et mise en place de garanties appropriées (clauses contractuelles types de la Commission européenne, ou décision d'adéquation).
L'ensemble des sous-traitants ultérieurs listés en Annexe 3 hébergent les données dans l'Union européenne ou disposent de garanties appropriées (clauses contractuelles types). Le Client en est informé et accepte ces conditions.
Article 11 — Sort des données en fin de contrat
À l'expiration ou à la résiliation du contrat, le Sous-traitant met à disposition du Client, pendant une durée de 30 jours calendaires, un export des données personnelles au format CSV ou Excel.
À l'issue de ce délai, le Sous-traitant procède à la suppression définitive de l'ensemble des données du Client de ses serveurs et de ceux de ses sous-traitants ultérieurs, à l'exclusion des données pour lesquelles une obligation légale de conservation s'impose au Sous-traitant (notamment factures, pièces comptables : 10 ans).
Le Sous-traitant fournit, sur demande, une attestation écrite de suppression des données.
Article 12 — Obligations du Responsable de traitement
Le Responsable s'engage de son côté à :
- N'utiliser le Service que pour des finalités licites et conformément aux instructions du présent DPA ;
- Recueillir l'information et, le cas échéant, le consentement des personnes concernées avant toute saisie de leurs données dans le Service (art. 13 et 14 RGPD) ;
- Tenir son propre registre des activités de traitement conformément à l'article 30-1 du RGPD ;
- Sécuriser ses identifiants de connexion, ne pas les partager et signaler immédiatement toute compromission au Sous-traitant ;
- Répondre aux demandes des personnes concernées dans les délais légaux (1 mois) et tenir le Sous-traitant informé en cas d'instruction ayant un impact sur le traitement.
Article 13 — Responsabilité
Chaque partie est responsable des dommages causés par un manquement à ses obligations propres au titre du présent DPA. La responsabilité du Sous-traitant est en outre encadrée par l'article 13 des CGV (plafond aux 12 derniers mois encaissés).
En cas de sanction administrative ou de demande d'indemnisation faite par une personne concernée, chaque partie supporte la part de responsabilité qui lui incombe au regard du manquement commis (art. 82 RGPD).
Article 14 — Durée et entrée en vigueur
Le présent DPA entre en vigueur à la date de souscription au Service par le Client et reste applicable pendant toute la durée du contrat. Les obligations relatives à la confidentialité, à la restitution et à la suppression des données survivent à la fin du contrat conformément à leurs termes.
Annexe 1 — Nature des données et catégories de personnes
1.1 Catégories de personnes concernées
- Chasseurs (membres adhérents de l'association)
- Membres du bureau de l'association (président, trésorier, secrétaire, etc.)
- Sponsors et partenaires de l'association
- Prestataires et fournisseurs intervenant dans les manifestations
- Utilisateurs administrateurs du Service côté Client
1.2 Catégories de données traitées
| Catégorie | Exemples |
|---|---|
| Identification | Nom, prénom, date et lieu de naissance, photo (facultative) |
| Coordonnées | Adresse postale, email, numéro de téléphone |
| Administratives | Numéro de permis de chasser, validation annuelle, statut (membre, invité, garde-chasse), cotisation, date d'adhésion |
| Financières | Montant des cotisations, paiements, justificatifs de dépenses, opérations comptables de l'association |
| Activité de chasse | Prélèvements déclarés, dates, lieux, espèces (données associées au chasseur saisissant) |
| Connexion / techniques | Identifiant utilisateur, journaux de connexion (IP, date, action), logs applicatifs |
1.3 Données sensibles
Aucune donnée sensible au sens de l'article 9 du RGPD (origine raciale, opinions politiques, convictions religieuses, données de santé, etc.) ni de l'article 10 (condamnations pénales) n'est traitée par le Service.
1.4 Durée de conservation
- Données actives : pour la durée de l'abonnement.
- Données après résiliation : 30 jours pour permettre l'export par le Client, puis suppression définitive.
- Logs de connexion : 12 mois (recommandation CNIL).
- Données de facturation : 10 ans (obligation comptable et fiscale).
Annexe 2 — Mesures de sécurité techniques et organisationnelles
Conformément à l'article 32 du RGPD, le Sous-traitant met en œuvre les mesures suivantes :
2.1 Mesures techniques
- Chiffrement en transit : connexions HTTPS/TLS 1.2+ sur l'ensemble des échanges entre le navigateur et les serveurs.
- Chiffrement au repos : bases de données et sauvegardes chiffrées sur disque (AES-256).
- Authentification : identifiants individuels par utilisateur, mots de passe hachés (bcrypt ou équivalent), verrouillage temporaire après tentatives infructueuses, possibilité d'authentification à double facteur.
- Sauvegardes : sauvegardes quotidiennes automatiques, conservation 30 jours, restauration testée régulièrement.
- Cloisonnement : séparation logique stricte des données entre clients (multi-tenancy avec isolation par identifiant).
- Journalisation : conservation des journaux d'accès et de modification pendant 12 mois.
- Mises à jour : application des correctifs de sécurité dans les meilleurs délais.
2.2 Mesures organisationnelles
- Accès restreint : seul le personnel autorisé d'AB Consulting peut accéder aux données, dans le cadre strict de la maintenance ou du support.
- Engagement de confidentialité : toute personne ayant accès aux données est tenue à une obligation contractuelle de confidentialité.
- Sensibilisation : formation continue des intervenants à la sécurité et au RGPD.
- Politique de mots de passe : exigences de complexité, rotation périodique pour les comptes techniques.
- Procédure d'incident : plan de réponse à incident documenté, avec procédure de notification au Responsable de traitement sous 48 h.
- Évaluation régulière : revue annuelle des mesures et tests de restauration.
2.3 Hébergement
Les données sont hébergées exclusivement dans des centres de données situés au sein de l'Union européenne, opérés par des prestataires certifiés ISO 27001 ou équivalent. Le détail de l'hébergement est précisé dans les mentions légales.
Annexe 3 — Liste des sous-traitants ultérieurs autorisés
Au jour de la signature du contrat, le Sous-traitant a recours aux sous-traitants ultérieurs suivants pour le compte du Responsable :
| Sous-traitant | Service fourni | Catégories de données | Localisation |
|---|---|---|---|
| Hetzner Online GmbH Industriestr. 25, 91710 Gunzenhausen, Allemagne |
Hébergement de l'application et des bases de données, sauvegardes | L'ensemble des données du Client | Helsinki (Finlande) — Union européenne |
| Stripe Payments Europe, Ltd. | Traitement des paiements par carte bancaire (abonnement et facturation) | Coordonnées de facturation, données bancaires (jamais transmises à AB Consulting) | Irlande / UE — clauses contractuelles types pour les flux internes Stripe |
| Prestataire d'envoi d'emails transactionnels (à préciser) | Envoi des emails de notification, factures, rappels | Email, nom, prénom, contenu de l'email | UE |
Toute évolution de cette liste fait l'objet d'une notification au Responsable de traitement par email, conformément à l'article 5 du présent DPA.
Dernière mise à jour : 28 avril 2026.