Contrat de sous-traitance RGPD (DPA)
Version 1.0 - Dernière mise à jour : 2026-04-15
Le présent contrat régit les obligations de sous-traitance au sens de l'article 28 du RGPD entre Mon Chez Toit SRL (TVA BE0885913767, Tommestraat 28, 3040 Ottenburg, Belgique), exerçant sous le nom commercial Jardio (ci-après «l'Éditeur», sous-traitant), et l'organisation cliente (responsable du traitement).
Double qualité de l'Éditeur
L'Éditeur agit à deux titres distincts :
- Responsable du traitementpour les données administratives de l'admin (facturation, CGV, authentification propriétaire du compte).
- Sous-traitantpour les données des ouvriers et clients finaux traitées pour le compte de l'organisation cliente (pointages, chantiers, rapports).
Le présent DPA couvre uniquement la seconde qualité. Les clauses concernant le rôle de responsable sont dans les CGV et la politique de confidentialité.
1. Objet et durée du traitement
Le sous-traitant traite les données personnelles pour le compte du responsable dans le cadre de la fourniture du service Jardio (pointeuse, gestion de chantiers, rapports de travail).
Le traitement est effectué pendant toute la durée du contrat d'abonnement Jardio et cesse à sa résiliation, sous réserve des durées de conservation légales (voir clause 8).
2. Nature et finalité du traitement
Le sous-traitant traite les données aux fins exclusives de :
- Enregistrement des heures de travail (pointages).
- Gestion des chantiers, tournées et plannings pour le compte du responsable.
- Génération de rapports et d'exports RH.
- Notifications opérationnelles (rappels pointage, clôture de session).
- Archivage temporaire et anonymisation automatique après 5 ans (art. 5(1)(e) RGPD).
3. Catégories de données et de personnes concernées
Personnes concernées :ouvriers, superviseurs, admin et clients finaux de l'organisation cliente.
Données traitées :
- Identité (prénom, nom, date de naissance).
- Coordonnées (email, téléphone, adresse).
- Données contractuelles (type de contrat, taux horaire).
- Données de pointage (horaires, chantiers visités, notes de travail, photos optionnelles).
- Contact d'urgence (si renseigné par le salarié).
- Donnée de santé limitée : le type d'absence (ex. maladie), traité sur la base de l'art. 9(2)(b) RGPD (obligations en droit du travail et de la sécurité sociale). Seul le type d'absence est enregistré, aucun diagnostic médical ni certificat n'est collecté.
4. Obligations du sous-traitant
Conformément à l'article 28(3) RGPD, le sous-traitant :
- Traite les données uniquement sur instruction documentée du responsable (matérialisée par le contrat d'abonnement).
- Garantit que les personnes autorisées à traiter les données sont soumises à une obligation de confidentialité.
- Met en œuvre les mesures techniques et organisationnelles appropriées (chiffrement TLS, RLS Postgres, audit logs : voir clause 6).
- Respecte les conditions de recours à un sous-traitant ultérieur (voir clause 5).
- Assiste le responsable dans le respect des droits des personnes (voir clause 7).
- Notifie toute violation de données sans délai injustifié, au maximum dans les 72 heures après en avoir pris connaissance.
5. Sous-traitants ultérieurs
Le responsable autorise le sous-traitant à recourir aux sous-traitants ultérieurs listés ci-dessous. Toute modification fera l'objet d'une notification préalable avec un délai minimum de 30 jours pour formuler une objection motivée.
| Sous-traitant | Finalité | Localisation | Garanties transfert |
|---|---|---|---|
| Supabase Inc. | Hebergement base de donnees, Auth, Storage | UE (Frankfurt, Allemagne) | EU hosting — aucun transfert hors UE |
| Vercel Inc. | Hebergement applicatif (Next.js), CDN | US + CDN global | SCC 2021 + DPA signe (C4) |
| Stripe Payments Europe Ltd. | Traitement paiements, facturation | Irlande (UE) — entite europeenne | DPA signe, donnees traitees en UE |
| PostHog Inc. | Analytics produit anonymisees | UE (eu.i.posthog.com, Frankfurt) | EU Cloud uniquement — aucun transfert hors UE |
| Resend Inc. | Envoi emails transactionnels (invitations, notifications) | US | SCC 2021 + DPA signe |
| Sentry (Functional Software Inc.) | Monitoring erreurs serveur/client | US | SCC 2021 + DPA signe, sampling 10% + filtrage PII |
DPA signés pour les 6 sous-traitants (archives disponibles sur demande à info@jardio.pro).
6. Sécurité et confidentialité
Le sous-traitant met en œuvre les mesures suivantes :
- Chiffrement TLS 1.3 pour tous les transits de données.
- Chiffrement at-rest pour la base de données et les fichiers (photos de chantiers).
- Isolation multi-tenant stricte par
organization_id(RLS Postgres sur toutes les tables). - Authentification par Supabase Auth avec protection contre les attaques par force brute.
- Rate limiting distribué (Upstash Redis) sur les endpoints sensibles.
- Logs d'audit (activity_logs) avec anonymisation des PII (emails masqués, IP tronquées /24 IPv4 et /48 IPv6).
- Monitoring Sentry avec sampling 10% et filtrage automatique des PII.
- Tests automatisés (2500+ tests) et revue de code sur chaque modification.
7. Assistance et droits des personnes
Le sous-traitant fournit au responsable les outils suivants pour répondre aux demandes des personnes concernées :
- Export JSON complet des données personnelles (art. 20, droit à la portabilité), accessible dans les paramètres utilisateur.
- Suppression réelle des données sur demande (art. 17, droit à l'effacement), cascade sur tous les modules (pointages, absences, rapports, ainsi que les comptes liés chez les sous-traitants ultérieurs).
- Rectification directement dans l'interface admin pour l'ensemble des données professionnelles.
- Assistance à la réalisation d'analyses d'impact (AIPD/DPIA) : une DPIA-type est fournie avec le service.
8. Sort des données en fin de contrat
À la résiliation du contrat Jardio, au choix du responsable :
- Restitution des données via export JSON complet et fichiers ZIP des photos (à la demande dans les 30 jours).
- Suppression définitive à l'expiration du délai de 30 jours post-résiliation, sauf obligations légales de conservation (AR du 8 août 1980 pour la Belgique : conservation 5 ans des données de paie).
Une anonymisation automatique est également appliquée après 5 ans sur les données qui n'ont pas d'obligation de conservation (cron mensuel).
Contact et recours
Pour toute question relative à ce DPA, au traitement de données ou pour exercer un droit : écrivez à info@jardio.pro.
En cas de litige non résolu, vous pouvez introduire une réclamation auprès de :
- Belgique : Autorité de protection des données (APD) : autoriteprotectiondonnees.be
- France : CNIL, cnil.fr
Mon Chez Toit SRL - TVA BE0885913767 - Tommestraat 28, 3040 Ottenburg, Belgique - exerçant sous le nom commercial Jardio
Voir aussi : Politique de confidentialité · CGV · Vos droits RGPD · Mentions légales