Accord de traitement des données (DPA)
Version 1.1 — Dernière mise à jour : 23 avril 2026
1. Parties et rôles
Le Sous-traitant : Matthieu Sergent-Ferreri (EI), SIREN 798 298 832, TVA FR70798298832, 1139 chemin du Lavarin, 84000 Avignon — exploitant du Service Atria Motors.
Le Responsable du traitement : le Client professionnel identifié dans le devis ou bon de commande applicable.
Le Client détermine les finalités et les moyens essentiels des traitements dans le Service. Atria Motors traite les données pour le compte du Client, conformément au contrat principal, au présent DPA et aux instructions documentées du Client.
2. Objet, durée et hiérarchie
Le présent DPA s'applique pendant toute la durée du traitement de données personnelles opéré par Atria Motors pour le compte du Client, puis jusqu'à la suppression ou restitution effective des données. En cas de contradiction avec le contrat principal sur un sujet de protection des données, le DPA prévaut.
3. Instructions documentées
Le présent DPA, le contrat principal et les paramètres configurés par le Client dans le Service constituent les instructions documentées. Si Atria Motors estime qu'une instruction enfreint le RGPD, il en informe le Client dans les meilleurs délais.
4. Obligations d'Atria Motors en qualité de sous-traitant
- Traiter les données uniquement sur instruction documentée du Client, sauf obligation légale contraire ;
- S'assurer que les personnes autorisées à traiter les données sont soumises à une obligation de confidentialité ;
- Mettre en œuvre des mesures techniques et organisationnelles appropriées (détaillées en Annexe 2) ;
- Aider le Client à répondre aux demandes d'exercice de droits des personnes concernées ;
- Aider le Client à satisfaire à ses obligations en matière de sécurité, notification de violation, documentation et analyse d'impact ;
- Mettre à disposition les informations nécessaires pour démontrer le respect des obligations de l'article 28 du RGPD.
5. Obligations du Client en qualité de responsable du traitement
- Disposer d'une base légale valable pour ses traitements ;
- Informer les personnes concernées de manière adéquate ;
- Ne confier à Atria Motors que des données et traitements licites et proportionnés ;
- Utiliser le Service conformément à ses obligations légales ;
- Ne pas introduire, sans accord écrit préalable, de catégories particulières de données sensibles.
6. Sous-traitants ultérieurs
Le Client autorise le recours aux sous-traitants listés en Annexe 3. En cas d'ajout ou de remplacement significatif, Atria Motors informe le Client avec un préavis raisonnable pour formuler une objection motivée.
7. Transferts hors EEE
Tout transfert hors de l'Espace économique européen est encadré par un mécanisme valide au regard du RGPD (décision d'adéquation ou Clauses Contractuelles Types — décision 2021/914/UE).
8. Droits des personnes concernées
Toute demande d'exercice de droits reçue directement par Atria Motors est transmise au Client dans les meilleurs délais. Atria Motors n'y répond pas directement sauf instruction documentée du Client ou obligation légale.
9. Violation de données personnelles
En cas de violation de données traitées pour le compte du Client, Atria Motors notifie le Client sans retard injustifié après en avoir pris connaissance et lui communique les informations disponibles pour l'aider à satisfaire à ses obligations réglementaires (notification CNIL sous 72h si applicable).
10. Audits et démonstration de conformité
Le Client peut demander des informations raisonnables pour démontrer le respect du présent DPA. Les audits privilégient la documentation et les échanges à distance. Un audit sur site est possible sur préavis raisonnable, sans perturbation excessive des opérations.
11. Fin du traitement, restitution et suppression
À l'expiration du contrat, et selon le choix du Client, Atria Motors restitue les données dans un format raisonnablement exploitable, ou les supprime. Sauf instruction contraire ou obligation légale de conservation :
- les moyens d'export restent disponibles pendant 30 jours après la fin effective du service ;
- la suppression logique des environnements de production intervient dans un délai cible de 30 jours après ce délai d'export ;
- les sauvegardes sont purgées selon le cycle normal de rétention, sans excéder 90 jours, sauf exigence légale contraire.
Atria Motors peut conserver les données strictement nécessaires à la preuve de l'exécution contractuelle, à la défense de ses droits ou au respect d'une obligation légale, dans une base restreinte et pour la durée strictement nécessaire.
12. Responsabilité
Chaque partie est responsable de ses propres manquements au RGPD, à la loi Informatique et Libertés et au présent DPA.
Le Client demeure seul responsable de la licéité des traitements décidés pour ses besoins métier, de la pertinence des bases légales, de l'information des personnes concernées et des paramètres fonctionnels qu'il active (y compris les scénarios de communication automatisée).
Atria Motors demeure responsable de la conformité de ses obligations propres de sous-traitant, de la sécurité et de la confidentialité des traitements qu'il met en œuvre pour le compte du Client, et du respect des obligations imposées à ses sous-traitants ultérieurs.
| Objet | Fourniture d'un logiciel métier SaaS pour la gestion commerciale et opérationnelle de concessions automobiles |
|---|---|
| Opérations | Collecte, enregistrement, structuration, consultation, communication interne, hébergement, export, suppression |
| Finalités | Gestion des leads entrants, workflow préparation VO, tickets internes, suivi du stock véhicules, notifications |
| Catégories de données | Données d'identification et coordonnées (prospects, clients), données commerciales (intérêt pour un véhicule, historique), données collaborateurs (identifiants, journaux d'activité) |
| Personnes concernées | Prospects et clients finaux de la concession, collaborateurs et utilisateurs du Client |
| Données sensibles | Aucune catégorie particulière (art. 9 RGPD) dans le cadre normal du Service |
| Durée | Durée du contrat + 30 jours (délai d'export) + obligations légales éventuelles |
- Chiffrement en transit : HTTPS/TLS 1.2 minimum sur toutes les communications
- Authentification : accès via Google OAuth2 — aucun mot de passe stocké en clair
- Hébergement : Google Cloud Platform (europe-west9, Paris), certifié ISO 27001 et SOC 2 Type II
- Sauvegardes : automatiques quotidiennes, rétention minimale 7 jours
- Contrôle des accès : principe du moindre privilège, journal d'accès maintenu
- Isolation des données : séparation logique des données par centre client
- Gestion des incidents : procédure de détection, qualification et notification en place
- Mises à jour de sécurité : appliquées dans des délais adaptés à la criticité
| Sous-traitant | Rôle | Localisation | Garanties |
|---|---|---|---|
| Google LLC (Google Cloud) |
Infrastructure, hébergement, base de données PostgreSQL (Cloud SQL), stockage applicatif (GCS) | UE — Paris (europe-west9) | ISO 27001 · SOC 2 · DPA Google RGPD |
| Google LLC (Google Workspace / Gmail) |
Réception et traitement des emails entrants (leads), envoi de notifications email | UE | ISO 27001 · DPA Google RGPD |
| Telegram Messenger Inc. | Envoi de notifications push aux utilisateurs (alertes leads, rappels, tickets) | International | CCT — décision Commission européenne 2021/914/UE |
| Twilio | SMS, voix, webhooks telephonie, routage concierge et suivi des appels | Transferts possibles hors EEE | DPA Twilio + CCT |
| Meta WhatsApp Business | Messages WhatsApp Business, templates et notifications conversationnelles | Transferts possibles hors EEE | DPA Meta + CCT |
| Mistral AI SAS (moteur Atria AI) |
Classification, scoring, extraction documentaire et assistance à la réponse — modèle mistral-small-latest |
France (UE) | DPA Mistral · hébergement UE |
| Microsoft Corporation (M365 OAuth, envoi vendeurs) |
Authentification SSO Microsoft 365 et envoi d'emails côté vendeur | UE selon configuration du tenant client | DPA Microsoft · CCT pour flux support hors EEE |
| Resend | Email transactionnel et notifications applicatives | Selon infrastructure du prestataire | DPA Resend |
| Sentry | Supervision d'erreurs, traces techniques et alertes incidents | Transferts possibles hors EEE | DPA Sentry + minimisation PII |
Cette liste peut être mise à jour par notification au Client avec un préavis raisonnable.