Accord de traitement des données (DPA)
Version 1.0 — En vigueur à compter du 1er avril 2026
1. Parties et rôles
Le Sous-traitant : Matthieu Sergent-Ferreri (EI), SIREN 798 298 832, TVA FR70798298832, 1139 chemin du Lavarin, 84000 Avignon — exploitant du Service Atria Motors.
Le Responsable du traitement : le Client professionnel identifié dans le devis ou bon de commande applicable.
Le Client détermine les finalités et les moyens essentiels des traitements dans le Service. Atria Motors traite les données pour le compte du Client, conformément au contrat principal, au présent DPA et aux instructions documentées du Client.
2. Objet, durée et hiérarchie
Le présent DPA s'applique pendant toute la durée du traitement de données personnelles opéré par Atria Motors pour le compte du Client, puis jusqu'à la suppression ou restitution effective des données. En cas de contradiction avec le contrat principal sur un sujet de protection des données, le DPA prévaut.
3. Instructions documentées
Le présent DPA, le contrat principal et les paramètres configurés par le Client dans le Service constituent les instructions documentées. Si Atria Motors estime qu'une instruction enfreint le RGPD, il en informe le Client dans les meilleurs délais.
4. Obligations d'Atria Motors en qualité de sous-traitant
- Traiter les données uniquement sur instruction documentée du Client, sauf obligation légale contraire ;
- S'assurer que les personnes autorisées à traiter les données sont soumises à une obligation de confidentialité ;
- Mettre en œuvre des mesures techniques et organisationnelles appropriées (détaillées en Annexe 2) ;
- Aider le Client à répondre aux demandes d'exercice de droits des personnes concernées ;
- Aider le Client à satisfaire à ses obligations en matière de sécurité, notification de violation, documentation et analyse d'impact ;
- Mettre à disposition les informations nécessaires pour démontrer le respect des obligations de l'article 28 du RGPD.
5. Obligations du Client en qualité de responsable du traitement
- Disposer d'une base légale valable pour ses traitements ;
- Informer les personnes concernées de manière adéquate ;
- Ne confier à Atria Motors que des données et traitements licites et proportionnés ;
- Utiliser le Service conformément à ses obligations légales ;
- Ne pas introduire, sans accord écrit préalable, de catégories particulières de données sensibles.
6. Sous-traitants ultérieurs
Le Client autorise le recours aux sous-traitants listés en Annexe 3. En cas d'ajout ou de remplacement significatif, Atria Motors informe le Client avec un préavis raisonnable pour formuler une objection motivée.
7. Transferts hors EEE
Tout transfert hors de l'Espace économique européen est encadré par un mécanisme valide au regard du RGPD (décision d'adéquation ou Clauses Contractuelles Types — décision 2021/914/UE).
8. Droits des personnes concernées
Toute demande d'exercice de droits reçue directement par Atria Motors est transmise au Client dans les meilleurs délais. Atria Motors n'y répond pas directement sauf instruction documentée du Client ou obligation légale.
9. Violation de données personnelles
En cas de violation de données traitées pour le compte du Client, Atria Motors notifie le Client sans retard injustifié après en avoir pris connaissance et lui communique les informations disponibles pour l'aider à satisfaire à ses obligations réglementaires (notification CNIL sous 72h si applicable).
10. Audits et démonstration de conformité
Le Client peut demander des informations raisonnables pour démontrer le respect du présent DPA. Les audits privilégient la documentation et les échanges à distance. Un audit sur site est possible sur préavis raisonnable, sans perturbation excessive des opérations.
11. Fin du traitement, restitution et suppression
À l'expiration du contrat, Atria Motors met à disposition les moyens d'export des données pendant 30 jours, puis procède à leur suppression dans un délai raisonnable, sous réserve des obligations légales de conservation et des nécessités liées à la preuve ou à un litige en cours.
| Objet | Fourniture d'un logiciel métier SaaS pour la gestion commerciale et opérationnelle de concessions automobiles |
|---|---|
| Opérations | Collecte, enregistrement, structuration, consultation, communication interne, hébergement, export, suppression |
| Finalités | Gestion des leads entrants, workflow préparation VO, tickets internes, suivi du stock véhicules, notifications |
| Catégories de données | Données d'identification et coordonnées (prospects, clients), données commerciales (intérêt pour un véhicule, historique), données collaborateurs (identifiants, journaux d'activité) |
| Personnes concernées | Prospects et clients finaux de la concession, collaborateurs et utilisateurs du Client |
| Données sensibles | Aucune catégorie particulière (art. 9 RGPD) dans le cadre normal du Service |
| Durée | Durée du contrat + 30 jours (délai d'export) + obligations légales éventuelles |
- Chiffrement en transit : HTTPS/TLS 1.2 minimum sur toutes les communications
- Authentification : accès via Google OAuth2 — aucun mot de passe stocké en clair
- Hébergement : Google Cloud Platform (europe-west1), certifié ISO 27001 et SOC 2 Type II
- Sauvegardes : automatiques quotidiennes, rétention minimale 7 jours
- Contrôle des accès : principe du moindre privilège, journal d'accès maintenu
- Isolation des données : séparation logique des données par centre client
- Gestion des incidents : procédure de détection, qualification et notification en place
- Mises à jour de sécurité : appliquées dans des délais adaptés à la criticité
| Sous-traitant | Rôle | Localisation | Garanties |
|---|---|---|---|
| Google LLC (Google Cloud) |
Infrastructure, hébergement, base de données (Google Sheets), stockage (Google Drive) | UE — Belgique (europe-west1) | ISO 27001 · SOC 2 · DPA Google RGPD |
| Google LLC (Google Workspace / Gmail) |
Réception et traitement des emails entrants (leads), envoi de notifications email | UE | ISO 27001 · DPA Google RGPD |
| Telegram Messenger Inc. | Envoi de notifications push aux utilisateurs (alertes leads, rappels, tickets) | International | CCT — décision Commission européenne 2021/914/UE |
Cette liste peut être mise à jour par notification au Client avec un préavis raisonnable.