Accord de sous-traitance des données personnelles (DPA)
Conformément à l'article 28 du Règlement Général sur la Protection des Données (RGPD)
Version 1.1 - Dernière mise à jour : 27 mai 2026
Préambule
Le présent accord de sous-traitance (ci-après « DPA ») est conclu entre :
- Le Responsable de traitement : l'Organisation (association, club ou structure à but non lucratif) qui utilise le Service BenevolOps pour gérer les données personnelles de ses bénévoles et/ou adhérents
- Le Sous-traitant : AssOps Solutions, éditeur de BenevolOps, qui traite les données personnelles pour le compte du Responsable de traitement dans le cadre de la fourniture du Service
Le présent DPA fait partie intégrante des Conditions Générales d'Utilisation et entre en vigueur dès l'acceptation par l'Organisation lors de la création de son compte organisationnel sur BenevolOps.
1. Objet du traitement
Le Sous-traitant traite les données personnelles des bénévoles, coordinateurs et adhérents de l'Organisation dans le cadre de la fourniture du Service BenevolOps, et exclusivement sur instruction documentée du Responsable de traitement.
1.1. Nature et finalité du traitement
| Finalité | Fourniture d'une plateforme SaaS de gestion opérationnelle de bénévoles et d'adhésions |
| Nature du traitement | Collecte, stockage, organisation, consultation, communication par transmission, extraction, suppression |
| Durée | Pendant toute la durée de l'abonnement de l'Organisation au Service, et conformément aux durées de conservation décrites dans la politique de confidentialité |
1.2. Catégories de personnes concernées
- Bénévoles et coordinateurs inscrits au sein de l'Organisation
- Adhérents inscrits via le portail d'inscription public
- Administrateurs de l'Organisation
1.3. Types de données traitées
- Identité : prénom, nom, date de naissance, genre
- Coordonnées : adresse email, numéro de téléphone, adresse postale
- Données de connexion : mot de passe chiffré, adresse IP
- Données d'activité : créneaux assignés, pointages, disponibilités, compétences, échanges de créneaux
- Données d'adhésion : type d'adhésion, statut, documents justificatifs téléversés
- Données calculées : score de fiabilité, statistiques de participation
- Données de paiement : montant de cotisation, statut de paiement (les données bancaires sont traitées exclusivement par Stripe)
- Données sensibles (art. 9 RGPD) : selon la configuration de l'Organisation, le Service peut héberger des certificats médicaux, mentions d'allergies ou de régimes alimentaires. Ces données ne sont collectées que sur consentement explicite des personnes concernées et bénéficient d'un niveau de protection renforcé
- Données de mineurs (art. 8 RGPD) : si l'Organisation gère des adhérents ou bénéficiaires mineurs (covoiturage avec autorisations parentales, remise sécurisée d'enfants lors d'événements), le Responsable de traitement garantit que le consentement parental approprié a été recueilli
2. Obligations du Sous-traitant
Le Sous-traitant s'engage à :
2.1. Instructions documentées
Traiter les données personnelles uniquement sur instruction documentée du Responsable de traitement, y compris en ce qui concerne les transferts de données. Les instructions sont réputées données via la configuration du Service par l'Organisation (paramétrage des notifications, types d'adhésion, documents demandés, etc.).
2.2. Confidentialité
Veiller à ce que les personnes autorisées à traiter les données personnelles s'engagent à respecter la confidentialité ou soient soumises à une obligation légale de confidentialité appropriée.
2.3. Sécurité
Mettre en œuvre les mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté au risque, notamment :
- Chiffrement des mots de passe (bcrypt, 10 rounds)
- Communication chiffrée (HTTPS/TLS) pour toutes les transmissions
- Authentification par jeton (JWT) avec expiration
- Contrôle d'accès basé sur les rôles (RBAC)
- Journal d'audit traçant toutes les actions avec horodatage et IP
- Protection contre les attaques par force brute (rate limiting)
- Sauvegardes régulières des données
- Isolation des données entre organisations (multi-tenant)
2.4. Sous-traitance ultérieure
Le Sous-traitant ne recrute pas d'autre sous-traitant sans l'autorisation préalable écrite, générale ou spécifique, du Responsable de traitement. L'acceptation des présentes CGU et du présent DPA vaut autorisation générale pour les sous-traitants ultérieurs listés ci-dessous :
| Sous-traitant | Traitement | Localisation | Hors UE |
|---|---|---|---|
| Hostinger | Hébergement VPS, base PostgreSQL | Lituanie / France (UE) | Non |
| Cloudflare | CDN, DNS, protection DDoS, stockage R2 (documents, sauvegardes) | États-Unis (siège), réseau mondial | Oui (CCT) |
| Resend | Envoi d'emails transactionnels | AWS eu-west-1 (Irlande, UE) | Non |
| Stripe | Traitement des paiements de cotisations et abonnements | Irlande (UE) / États-Unis | Oui (CCT) |
| Twilio | Envoi de SMS de notification (plan PRO) | États-Unis | Oui (CCT) |
| Sentry | Détection d'erreurs applicatives en production | États-Unis | Oui (CCT) |
| BetterStack | Monitoring de disponibilité, logs applicatifs | République tchèque (UE) | Non |
| Google Workspace | Réception des emails entrants ([email protected]) | États-Unis | Oui (CCT) |
| PostHog | Analyse d'usage produit (sur consentement uniquement) | Francfort, Allemagne (UE) | Non |
| Crisp IM SAS | Support client et chat en ligne (sur consentement uniquement) | Nantes, France (UE) | Non |
Le Sous-traitant informera le Responsable de traitement de tout ajout ou remplacement de sous-traitant ultérieur, lui donnant la possibilité de s'y opposer.
2.5. Droits des personnes concernées
Le Sous-traitant aide le Responsable de traitement à s'acquitter de son obligation de donner suite aux demandes d'exercice des droits des personnes concernées (accès, rectification, effacement, portabilité, opposition, limitation). Le Service met à disposition des fonctionnalités permettant :
- Droit d'accès et portabilité : export des données au format JSON depuis le profil utilisateur
- Droit de rectification : modification du profil par l'utilisateur ou par l'administrateur
- Droit à l'effacement : suppression et anonymisation du compte via le profil utilisateur
- Droit d'opposition : gestion des préférences de notification (opt-out email, SMS, push)
2.6. Notification des violations de données
Le Sous-traitant a mis en place une procédure interne formalisée de gestion des violations de données personnelles, conforme aux articles 33 et 34 du RGPD. En cas de violation, le Sous-traitant notifie le Responsable de traitement sans délai injustifié et au plus tard dans les 72 heures après en avoir pris connaissance, afin que celui-ci puisse à son tour notifier la CNIL et, le cas échéant, les personnes concernées. La notification inclut :
- La nature de la violation (catégories et nombre de personnes concernées)
- Les catégories et le volume approximatif d'enregistrements concernés
- Les conséquences probables de la violation
- Les mesures prises ou proposées pour remédier à la violation et en atténuer les effets
- Le point de contact pour obtenir des informations complémentaires
Le Sous-traitant assiste le Responsable de traitement dans la rédaction et la transmission de la notification à la CNIL et, le cas échéant, dans la communication aux personnes concernées.
2.7. Assistance
Le Sous-traitant aide le Responsable de traitement à garantir le respect de ses obligations en matière de sécurité des données, de notification des violations, d'analyse d'impact et de consultation préalable de l'autorité de contrôle, compte tenu de la nature du traitement et des informations dont dispose le Sous-traitant.
3. Obligations du Responsable de traitement
Le Responsable de traitement s'engage à :
- S'assurer que le traitement des données personnelles de ses bénévoles et adhérents dispose d'une base légale valide (consentement, intérêt légitime, exécution contractuelle)
- Informer ses bénévoles et adhérents du traitement de leurs données personnelles et de leurs droits
- Fournir au Sous-traitant des instructions documentées pour le traitement des données (via la configuration du Service)
- Ne pas demander au Sous-traitant de traiter des données de manière contraire au RGPD
- Désigner, le cas échéant, un délégué à la protection des données (DPO) conformément à l'article 37 du RGPD
4. Transferts de données hors UE
La base de données principale et les sauvegardes sont hébergées au sein de l'Union Européenne. Toutefois, certains sous-traitants ultérieurs listés à la section 2.4 (Cloudflare, Stripe, Twilio, Sentry, Google Workspace) opèrent depuis ou via les États-Unis.
Ces transferts sont encadrés par les Clauses Contractuelles Types (CCT) adoptées par la Commission Européenne (décision 2021/914), incluses dans les accords de sous-traitance signés avec chaque fournisseur. Le Sous-traitant tient à disposition du Responsable de traitement la documentation justificative de ces transferts sur simple demande à l'adresse [email protected].
Pour tout nouveau transfert vers un pays tiers ou pour toute évolution de la liste de sous-traitants ultérieurs, le Sous-traitant en informe le Responsable de traitement avec un préavis raisonnable et met en place les garanties appropriées avant la mise en œuvre.
5. Audits et vérifications
Le Sous-traitant met à la disposition du Responsable de traitement toutes les informations nécessaires pour démontrer le respect de ses obligations et pour permettre la réalisation d'audits, y compris des inspections, par le Responsable de traitement ou un autre auditeur qu'il a mandaté.
Les demandes d'audit doivent être adressées par écrit avec un préavis raisonnable de 30 jours. Les audits sont réalisés aux frais du Responsable de traitement et ne doivent pas perturber le fonctionnement normal du Service.
6. Sort des données en fin de contrat
Au choix du Responsable de traitement, le Sous-traitant :
- Restitue l'ensemble des données personnelles au Responsable de traitement dans un format structuré et lisible (export JSON/CSV disponible dans le Service)
- Supprime toutes les données personnelles et détruit les copies existantes, sauf obligation légale de conservation
En l'absence d'instruction du Responsable de traitement dans un délai de 90 jours après la fin du contrat, les données seront supprimées conformément à la politique de conservation décrite dans la politique de confidentialité.
7. Durée
Le présent DPA entre en vigueur à la date de création de l'Organisation sur le Service et reste en vigueur aussi longtemps que le Sous-traitant traite des données personnelles pour le compte du Responsable de traitement. Les clauses relatives à la confidentialité et au sort des données survivent à la fin du contrat.
8. Contact et DPO
Pour toute question relative au présent DPA ou au traitement des données personnelles : [email protected]
En cas de litige relatif à la protection des données, le Responsable de traitement ou les personnes concernées peuvent introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés).