Aller au contenu principal
Retour à Sécurité & RGPD
Modèle DPA · Article 28 RGPD

Accord de sous-traitance des données personnelles.

Modèle d'accord à signer entre IAmYou (sous-traitant au sens de l'article 28 du RGPD) et l'agence cliente (responsable de traitement). Ce document est fourni à titre informatif. La version contractuelle signée prévaut.

Demander la version signée

1. Parties

Le sous-traitant : IAmYou, projet édité par Paul Le Goff, personne physique, localisé à Bordeaux, France. Contact : contact@iamyouagency.com. Société en cours d'immatriculation ; les références légales (raison sociale, RCS, SIRET) seront annexées au présent accord à l'immatriculation effective.

Le responsable de traitement : l'agence cliente identifiée par sa raison sociale, son siège social et son représentant légal, tels qu'indiqués dans le bon de commande ou le contrat-cadre signé avec IAmYou.

2. Objet et durée

Le présent accord régit les obligations respectives des parties dans le cadre du traitement des données à caractère personnel effectué par IAmYou pour le compte de l'agence cliente, dans le strict cadre des services souscrits.

Il prend effet à la date de signature du contrat principal et court pour toute la durée d'exécution dudit contrat. Il prend automatiquement fin à la résiliation du contrat principal, sous réserve des obligations qui survivent à sa fin (retour ou destruction des données, confidentialité).

3. Nature et finalité du traitement

  • Réception et qualification des messages entrants des prospects et clients de l'agence (sites web, portails immobiliers, messageries, formulaires).
  • Constitution d'un score de qualification, planification de rendez-vous, transfert vers les conseillers humains de l'agence.
  • Conservation et indexation du catalogue de biens, des conversations et des fiches prospect aux seules fins d'exécution du service.
  • Envoi d'emails transactionnels pour le compte de l'agence (confirmation de rendez-vous, rappels, suivi).

4. Catégories de données et de personnes concernées

Catégories de personnes concernées : prospects, locataires potentiels, propriétaires bailleurs, acquéreurs et garants en relation avec l'agence.

Catégories de données traitées : données d'identification (nom, prénom, email, téléphone), données de communication (messages, transcriptions audio le cas échéant, métadonnées techniques), données de qualification (budget, zone, échéance, type de bien recherché), données relatives aux interactions avec l'agence.

Catégories particulières : IAmYou ne traite pas de données dites « sensibles » au sens de l'article 9 RGPD (origine, opinions, santé, orientation sexuelle, données biométriques) ni de données relatives à des condamnations pénales (article 10 RGPD).

5. Obligations du sous-traitant (IAmYou)

  1. Traiter les données uniquement sur instructions documentées du responsable de traitement, y compris en matière de transferts hors Union européenne.
  2. Garantir que les personnes autorisées à traiter les données s'engagent à respecter la confidentialité et reçoivent une sensibilisation à la protection des données.
  3. Mettre en œuvre les mesures techniques et organisationnelles énumérées en section 11 du présent accord pour assurer un niveau de sécurité approprié au risque.
  4. Ne recourir à un sous-traitant ultérieur qu'avec l'autorisation préalable, générale ou spécifique, du responsable de traitement, et lui imposer par contrat les mêmes obligations en matière de protection des données.
  5. Aider le responsable de traitement à répondre aux demandes d'exercice des droits des personnes concernées (accès, rectification, effacement, limitation, opposition, portabilité) dans un délai compatible avec celui prévu par le RGPD.
  6. Notifier au responsable de traitement toute violation de données à caractère personnel dans les meilleurs délais et au plus tard vingt-quatre heures après en avoir pris connaissance, avec un rapport circonstancié sous soixante-douze heures.
  7. Mettre à disposition du responsable de traitement toute la documentation nécessaire pour démontrer le respect des obligations issues de l'article 28 RGPD et permettre la réalisation d'audits, dans des conditions raisonnables.
  8. Au choix du responsable de traitement, supprimer ou renvoyer l'ensemble des données personnelles à la fin de la prestation, et détruire les copies existantes, sauf obligation légale de conservation.

6. Obligations du responsable de traitement

  • S'assurer du respect du RGPD et des lois nationales applicables au traitement, notamment de la légitimité de la base légale (consentement, exécution d'un contrat, intérêt légitime, etc.).
  • Documenter les instructions transmises au sous-traitant, notamment en cas d'évolution du périmètre.
  • Assurer la transparence vis-à-vis des personnes concernées, notamment via une politique de confidentialité conforme.
  • Désigner, le cas échéant, un délégué à la protection des données (DPO) et en communiquer les coordonnées au sous-traitant.

7. Sous-traitants ultérieurs

Le responsable de traitement autorise par défaut, à la signature du présent accord, le recours aux sous-traitants ultérieurs listés ci-dessous. Toute modification ou ajout de sous-traitant ultérieur fait l'objet d'une information préalable du responsable de traitement avec un délai de trente jours pour formuler une éventuelle objection raisonnable.

Sous-traitantRôleLocalisationEncadrement transferts
Vercel Inc.Hébergement applicatif (frontend, fonctions serverless)États-Unis (région de traitement : Paris, France)Clauses contractuelles types européennes + DPF (Data Privacy Framework)
Supabase, Inc.Base de données Postgres (conversations, leads, fichiers)Frankfurt, Allemagne (région eu-central-1)Aucun transfert hors UE pour les données stockées
OpenAI, L.L.C.Modèles de langage pour l'agent conversationnelÉtats-UnisClauses contractuelles types + DPF · zero retention activée (zéro entraînement)
Resend, Inc.Email transactionnel (welcome, notifications)États-UnisClauses contractuelles types + DPF
Sentry (Functional Software, Inc.)Observability — capture des erreurs serveur et clientAllemagne (instance EU dédiée)Aucun transfert hors UE pour l'instance EU

8. Transferts hors Union européenne

Les données stockées (base Postgres principale et sauvegardes) résident exclusivement en Union européenne (Frankfurt). Certains traitements techniques transitoires peuvent impliquer des sous-traitants ultérieurs établis aux États-Unis. Ces transferts sont alors encadrés par les clauses contractuelles types européennes (CCT) ou par la certification des sous-traitants au Data Privacy Framework (DPF). La liste à jour des sous-traitants et des mécanismes de transfert est tenue à disposition sur simple demande.

9. Audit et contrôle

Le responsable de traitement peut, une fois par an et avec un préavis raisonnable, demander un audit de conformité. Cet audit peut prendre la forme d'une revue documentaire, d'un questionnaire de sécurité ou d'une visite sur site, selon ce qui est le moins intrusif et suffisant pour vérifier le respect des obligations. Les coûts d'un audit déclenché en l'absence d'incident sont à la charge du responsable de traitement.

10. Retour ou destruction des données en fin de prestation

À la résiliation du contrat principal, et selon le choix du responsable de traitement notifié dans un délai de trente jours, IAmYou procède soit à l'export complet des données personnelles dans un format structuré et standard (JSON, CSV, PDF), soit à leur destruction sécurisée. Dans les deux cas, les copies, y compris les sauvegardes, sont supprimées dans un délai maximum de quatre-vingt-dix jours, sauf obligation légale de conservation. Une attestation écrite est fournie sur demande.

11. Mesures techniques et organisationnelles

Chiffrement

  • Chiffrement en transit (TLS 1.3) sur tous les flux client / serveur / base de données.
  • Chiffrement au repos AES-256 sur la base Postgres et les sauvegardes.
  • Secrets et clés API stockés en variables d'environnement chiffrées chez l'hébergeur, jamais dans le code source.

Contrôle d'accès

  • Authentification forte requise pour tout accès administrateur (mot de passe + second facteur).
  • Principe du moindre privilège : chaque membre de l'équipe IAmYou ne dispose que des droits strictement nécessaires à sa mission.
  • Journaux d'accès conservés pendant six mois et auditables sur demande.

Cloisonnement

  • Chaque client dispose d'un tenant logique isolé. Aucune donnée client n'est jamais croisée avec celle d'un autre.
  • Les accès inter-tenants par les modèles d'intelligence artificielle sont prohibés par configuration.

Sauvegardes & continuité

  • Sauvegardes automatiques quotidiennes de la base de données, conservées trente jours.
  • Plan de reprise d'activité documenté avec un objectif de temps de reprise inférieur à quatre heures.

Sécurité applicative

  • Revue de code obligatoire avant tout déploiement en production.
  • Tests automatisés (typage, lint, unitaires, end-to-end) exécutés sur chaque proposition de changement.
  • Outils de capture d'erreur en production (Sentry) avec alertes temps réel sur incident critique.

Gestion des incidents

  • Notification au responsable de traitement dans les vingt-quatre heures suivant la prise de connaissance d'une violation de données personnelles.
  • Rapport d'incident écrit transmis sous soixante-douze heures comprenant la nature de la violation, les catégories de données, le nombre approximatif de personnes concernées et les mesures prises.

12. Loi applicable et compétence

Le présent accord est régi par le droit français et le droit de l'Union européenne. Tout litige relatif à son interprétation ou à son exécution qui n'aurait pu être réglé à l'amiable dans un délai de trente jours sera soumis à la compétence exclusive des tribunaux compétents du ressort de Bordeaux.

Modèle DPA à jour au mai 2026. Pour recevoir une version signée et personnalisée, écrivez à contact@iamyouagency.com. Les coordonnées légales complètes seront annexées dès l'immatriculation effective de l'entité IAmYou.