Juridique — Professionnels
Contrat de sous-traitance RGPD
Data Processing Agreement (DPA) — Article 28 du Règlement (UE) 2016/679
Le présent contrat de sous-traitance (ci-après « DPA ») est conclu entre FitResa (Susanoo SAS), en qualité de sous-traitant, et tout Professionnel abonné à la plateforme FitResa, en qualité de responsable de traitement. Il est accepté électroniquement lors de la création du compte Professionnel et forme un avenant aux Conditions Générales d'Utilisation et aux Conditions Générales de Vente de FitResa. Il est obligatoire au sens de l'article 28 du Règlement Général sur la Protection des Données (RGPD — Règlement UE 2016/679).
Parties
Le Sous-traitant
Susanoo SAS, dont le siège social est situé au 7 RUE DU GENERAL LECLERC, 94350 VILLIERS-SUR-MARNE, SIRET 882 462 849 000 10, représentée par Hervé BOYER. Ci-après « FitResa ».
Le Responsable de traitement
Toute personne physique ou morale ayant créé un compte Professionnel sur la plateforme FitResa et accepté les présentes conditions. Ci-après « le Professionnel ».
Article 1 — Objet et durée
Le présent DPA définit les droits et obligations de FitResa en tant que sous-traitant des données personnelles que le Professionnel, en qualité de responsable de traitement, lui confie dans le cadre de l'utilisation de la plateforme FitResa.
FitResa traite ces données pour le compte du Professionnel afin de lui fournir les services SaaS décrits dans les CGU et CGV (gestion du planning, des réservations, de la base clients, des communications).
Le présent DPA entre en vigueur à la date d'acceptation par le Professionnel et reste en vigueur pendant toute la durée de l'abonnement. Il prend fin automatiquement à la résiliation ou à l'expiration de l'abonnement.
Article 2 — Nature, finalité et caractéristiques des traitements
| Caractéristique | Description |
|---|---|
| Objet du traitement | Fourniture des services SaaS FitResa : gestion du planning, des réservations, de la relation client et des communications |
| Nature des opérations | Collecte, enregistrement, organisation, structuration, conservation, consultation, communication, effacement |
| Finalités | Permettre au Professionnel de gérer son activité sportive/bien-être et sa relation avec ses clients via la plateforme FitResa |
| Durée | Durée de l'abonnement du Professionnel + 30 jours pour l'export des données après résiliation |
| Territoire | Union européenne |
Article 3 — Données personnelles traitées
| Catégorie de données | Exemples | Personnes concernées |
|---|---|---|
| Données d'identité | Nom, prénom, email, téléphone | Clients finaux du Professionnel |
| Données de réservation | Date, horaire, type de prestation, statut, historique | Clients finaux du Professionnel |
| Données de santé (optionnel) | Blessures, contre-indications, informations médicales saisies dans le profil | Clients finaux du Professionnel |
| Données de paiement | Référence de transaction Stripe (pas les données de carte) | Clients finaux du Professionnel |
| Données de communication | Historique emails/SMS envoyés via la plateforme | Clients finaux du Professionnel |
⚠️ Les données de santé (blessures, contre-indications) sont des données sensibles au sens de l'article 9 du RGPD. Le Professionnel est responsable d'obtenir le consentement explicite de ses clients avant de les saisir dans la plateforme.
Article 4 — Sous-traitants ultérieurs
Le Professionnel autorise FitResa à faire appel aux sous-traitants ultérieurs suivants. FitResa s'engage à notifier le Professionnel par email de tout ajout ou remplacement de sous-traitant avec un préavis de 30 jours, pendant lequel le Professionnel peut s'y opposer.
| Sous-traitant | Rôle | Pays | Garanties RGPD |
|---|---|---|---|
| Stripe | Paiements (abonnements) | USA | SCCs + DPA |
| Resend | Emails transactionnels | UE | DPA |
| SMSFactor / SMS Partner | Envoi de SMS | France (UE) | DPA |
| Anthropic (Claude API) | Fonctionnalités IA | USA | DPA + SCCs |
| Ionos SE | Hébergement VPS | UE | DPA |
Article 5 — Obligations de FitResa (Sous-traitant)
FitResa s'engage à :
- Traiter les données personnelles uniquement sur instruction documentée du Professionnel, sauf obligation légale contraire — les CGU et le présent DPA constituent les instructions documentées.
- Garantir que les personnes autorisées à traiter les données sont soumises à des obligations de confidentialité appropriées.
- Mettre en œuvre les mesures de sécurité techniques et organisationnelles appropriées visées à l'article 32 du RGPD (chiffrement TLS/AES-256, contrôle d'accès, journalisation, sauvegardes).
- Respecter les conditions fixées pour le recours à un autre sous-traitant (sous-traitants ultérieurs — cf. Article 4).
- Aider le Professionnel, dans la mesure du possible, à s'acquitter de son obligation de donner suite aux demandes d'exercice des droits des personnes concernées.
- Aider le Professionnel à garantir le respect des obligations relatives à la sécurité, aux violations de données, aux analyses d'impact (AIPD) et à la consultation préalable.
- Notifier le Professionnel dans les meilleurs délais (et au plus tard dans les 72 heures) après avoir pris connaissance d'une violation de données le concernant.
- Supprimer toutes les données personnelles ou les renvoyer au Professionnel à l'issue du contrat, selon son choix, et supprimer les copies existantes sauf obligation légale de conservation.
- Mettre à la disposition du Professionnel toutes les informations nécessaires pour démontrer le respect des obligations du présent DPA, et permettre la réalisation d'audits.
Article 6 — Obligations du Professionnel (Responsable de traitement)
Le Professionnel s'engage à :
- Collecter les données personnelles de ses clients en conformité avec le RGPD (base légale, information des personnes, durées de conservation).
- N'instruire FitResa que de traitements licites au regard du RGPD.
- Informer ses clients (Clients finaux) de l'utilisation de FitResa comme sous-traitant, notamment dans sa propre politique de confidentialité.
- Obtenir le consentement explicite de ses clients pour tout traitement de données sensibles (notamment les données de santé saisies dans les profils clients).
- Répondre aux demandes d'exercice des droits que FitResa lui transmettrait.
- Signaler immédiatement à FitResa toute instruction qui lui semblerait contraire au RGPD ou à toute autre règlementation applicable.
Article 7 — Transferts hors Union européenne
FitResa peut faire appel à des sous-traitants ultérieurs établis hors de l'Union européenne (notamment Stripe et Anthropic, basés aux États-Unis). Ces transferts sont encadrés par des Clauses Contractuelles Types (CCT) approuvées par la Commission européenne ou un mécanisme équivalent. FitResa s'engage à maintenir à jour la liste des sous-traitants ultérieurs et à informer le Professionnel de tout changement (cf. Article 4).
Article 8 — Sécurité des données
FitResa met en œuvre les mesures de sécurité suivantes :
• Chiffrement des données en transit (TLS 1.2+) et au repos (AES-256)
• Authentification sécurisée par magic link (sans mot de passe stocké en clair)
• Contrôle d'accès basé sur les rôles (RBAC) — chaque Professionnel n'accède qu'à ses propres données
• Journalisation des accès et des opérations sensibles
• Sauvegardes régulières et testées
• Surveillance et alertes en cas d'activité anormale
FitResa s'engage à maintenir ces mesures et à les adapter à l'évolution des risques et des technologies.
Article 9 — Violations de données personnelles
En cas de violation de données personnelles au sens de l'article 4 (12) du RGPD (destruction, perte, altération, divulgation ou accès non autorisé), FitResa s'engage à :
1. Notifier le Professionnel dans les meilleurs délais et au plus tard dans les 72 heures suivant la prise de connaissance de la violation.
2. Fournir une description de la nature de la violation, des catégories de données et de personnes concernées, des mesures prises ou envisagées.
3. Aider le Professionnel à remplir ses obligations de notification auprès de la CNIL et des personnes concernées si nécessaire.
Article 10 — Restitution et suppression des données
À l'expiration ou à la résiliation de l'abonnement, FitResa s'engage à :
• Permettre au Professionnel d'exporter ses données (base clients, historique de réservations) dans un format structuré pendant un délai de 30 jours suivant la fin de l'abonnement.
• Supprimer définitivement toutes les données personnelles des clients du Professionnel à l'issue de ce délai, sauf obligation légale de conservation.
• Confirmer par email la suppression effective des données sur demande du Professionnel.
Article 11 — Audits et documentation
Le Professionnel peut, à tout moment, demander à FitResa de lui fournir les informations nécessaires pour démontrer la conformité au présent DPA. FitResa fournira les informations disponibles (politiques internes, certifications, résultats d'audits) dans un délai raisonnable.
Les audits sur site sont possibles sur demande écrite motivée, avec un préavis de 30 jours et sous réserve d'accord sur les modalités pratiques. Les coûts d'audit sont à la charge du Professionnel sauf si une non-conformité est constatée.
Article 12 — Droit applicable et dispositions finales
Le présent DPA est régi par le droit français et le Règlement (UE) 2016/679 (RGPD). En cas de contradiction entre le DPA et les CGU/CGV, le DPA prévaut pour tout ce qui concerne la protection des données personnelles.
Le présent DPA peut être modifié par FitResa pour refléter les évolutions légales ou réglementaires. Toute modification substantielle sera notifiée au Professionnel avec un préavis de 30 jours.
Le Sous-traitant
Susanoo SAS
7 RUE DU GENERAL LECLERC, 94350 VILLIERS-SUR-MARNE
SIRET 882 462 849 000 10
Le Responsable de traitement
Le Professionnel abonné — identifié par son compte FitResa
Accepté électroniquement à l'inscription