Sécurité

Accord de traitement des données (DPA) — Art. 28 RGPD

Cadre contractuel Art. 28 RGPD : finalités, catégories de données, mesures de sécurité, sous-traitants, notification de violation et fin de contrat.

Télécharger (HTML / PDF)

Ouvrir puis Imprimer → Enregistrer en PDF

1. Parties

Le « Client » : l'organisation contractante, responsable de traitement au sens du RGPD.

Le « Sous-traitant » : Primtee SARL, éditeur de la plateforme Collasio, 5 rue de Belle-Borne, 49100 Angers.

2. Objet & durée

Le présent accord encadre le traitement de données à caractère personnel effectué par Collasio pour le compte du Client dans le cadre de l'utilisation de la plateforme boutique entreprise.

Durée : pendant toute la durée du contrat commercial, et jusqu'à restitution/suppression des données conformément à la section 12.

3. Nature & finalité des traitements

  • Hébergement et affichage des profils collaborateurs/adhérents
  • Gestion des commandes, paniers, validations manager
  • Gestion des dotations, budgets et codes promo
  • Statistiques et reporting pour le pilotage RH/manager
  • Envoi d'emails transactionnels (confirmation commande, alertes taille, etc.)
  • Support technique et résolution d'incidents

4. Catégories de personnes concernées

  • Collaborateurs, adhérents ou membres de l'organisation cliente
  • Managers et administrateurs désignés par le Client
  • Contacts professionnels du Client (facturation, support)

5. Catégories de données personnelles

Données sensibles (Art. 9) : non traitées par défaut. Les tailles vestimentaires ne sont pas considérées comme des données de santé.

  • Identité : nom, prénom, email professionnel, service, établissement
  • Commande : produits, tailles, quantités, historique
  • Livraison : adresse professionnelle ou domicile (si autorisé par le Client)
  • Pilotage : budgets, dotations consommées, validations manager
  • Technique : logs de connexion, adresse IP (sécurité et audit)

6. Obligations du Sous-traitant

Collasio s'engage à :

  • Traiter les données uniquement sur instruction documentée du Client (contrat + paramétrage plateforme)
  • Garantir la confidentialité des personnes autorisées à traiter les données
  • Mettre en œuvre les mesures de sécurité de l'Art. 32 RGPD (voir Guide sécurité)
  • Ne pas recruter de sous-traitant ultérieur sans information préalable du Client
  • Assister le Client pour répondre aux demandes d'exercice de droits (Art. 15-22)
  • Assister le Client pour les analyses d'impact (AIPD) si nécessaire
  • Notifier toute violation de données dans les 72 h après en avoir pris connaissance
  • Supprimer ou restituer les données à la fin du contrat, sauf obligation légale
  • Mettre à disposition les informations nécessaires pour démontrer la conformité

7. Mesures de sécurité (Art. 32)

Collasio met en œuvre des mesures techniques et organisationnelles appropriées, notamment :

  • Chiffrement TLS en transit, chiffrement au repos sur l'infrastructure
  • Contrôle d'accès basé sur les rôles (RBAC) par organisation
  • Authentification forte pour les accès manager
  • Sauvegardes chiffrées et tests de restauration
  • Journalisation et monitoring des accès sensibles
  • Procédures de gestion des incidents et notification
  • Formation interne à la protection des données

8. Sous-traitants ultérieurs

Le Client autorise Collasio à faire appel aux sous-traitants listés dans le registre « Sous-traitants Collasio » (collasio.com/securite). Collasio informe le Client de tout changement significatif avec un préavis raisonnable.

Collasio impose à chaque sous-traitant les mêmes obligations de protection que celles du présent DPA.

9. Transferts hors UE

Collasio vise un hébergement et des sous-traitants situés dans l'Union européenne. En cas de transfert vers un pays tiers, Collasio s'assure de garanties appropriées (Clauses Contractuelles Types, décision d'adéquation, ou mesures complémentaires).

10. Violation de données

En cas de violation de données personnelles, Collasio notifie le Client sans retard indu et au plus tard 72 h après en avoir pris connaissance, avec : description de la nature, catégories et nombre approximatif de personnes/d'enregistrements, conséquences probables, mesures prises ou proposées.

11. Audit & due diligence

Sur demande raisonnable et moyennant un préavis de 30 jours, Collasio met à disposition les informations nécessaires pour démontrer la conformité (questionnaires sécurité, Guide sécurité, registre sous-traitants). Des audits sur site ne sont pas prévus sauf accord spécifique pour les clients Premium.

12. Fin du contrat — restitution & suppression

À la fin du contrat, le Client peut exporter ses données via le back-office ou en demandant un export assisté. Dans les 90 jours suivant la résiliation (sauf demande contraire), Collasio supprime les données des systèmes actifs. Les sauvegardes sont purgées selon le cycle de rétention (max 90 jours supplémentaires).

13. Contact DPO

Délégué à la protection des données / contact sécurité : contact@collasio.com. Primtee SARL — 5 rue de Belle-Borne, 49100 Angers.

Dernière mise à jour : 1 juin 2026.