Accord de traitement des données (DPA)
Mis à jour le
Télécharger le PDFLorsque vous utilisez la plateforme Roomee pour traiter les données personnelles de vos propres utilisateurs (salariés, partenaires, prestataires), Roomee agit en qualité de sous-traitant au sens du Règlement Général sur la Protection des Données (RGPD), et vous êtes responsable de traitement. L’accord de traitement des données (Data Processing Agreement, « DPA ») encadre cette relation.
Cet accord répond à l’exigence de l’article 28, paragraphes 3 et 4, du RGPD (règlement (UE) 2016/679), qui impose un contrat écrit entre le responsable du traitement (vous) et le sous-traitant (Roomee) dès lors que ce dernier traite des données pour votre compte.
Le présent texte décrit la structure du DPA et la manière de le conclure. Il ne remplace pas le document contractuel : l’accord complet, qui fait foi, est disponible en PDF (voir Comment conclure le DPA).
Sur quoi repose le DPA
Notre DPA reprend les clauses contractuelles types (CCT) entre responsables du traitement et sous-traitants publiées par la Commission européenne le 4 juin 2021 (décision d’exécution (UE) 2021/915 de la Commission du 4 juin 2021). Ces clauses intègrent l’ensemble des dispositions obligatoires de l’article 28 du RGPD.
Deux points importants :
- Les clauses ne sont pas modifiées. Les CCT prévoient elles-mêmes que les parties s’engagent à ne pas en altérer le texte. Roomee les reprend telles quelles ; seules les annexes sont complétées pour décrire le traitement concret réalisé pour votre compte.
- Ces CCT « article 28 » (décision 2021/915) sont distinctes des clauses contractuelles types dédiées aux transferts de données hors UE/EEE, publiées le même jour par la Commission (décision d’exécution (UE) 2021/914). Les CCT article 28 ne suffisent pas, à elles seules, à encadrer un transfert international : celui-ci relève des garanties prévues au chapitre V du RGPD (voir notre politique de confidentialité).
Les rôles : qui fait quoi
Le RGPD qualifie chaque partie selon son rôle dans le traitement. Dans le cadre de notre relation contractuelle :
- Le Client — responsable de traitement. C’est vous qui déterminez les finalités et les moyens du traitement : vous choisissez la plateforme Roomee, vous la paramétrez, vous créez les utilisateurs et leur attribuez des rôles, et vous activez ou non certaines fonctionnalités. Vous exploitez ces données pour votre propre activité et décidez qui peut y accéder.
- Roomee — sous-traitant. Roomee intervient sous votre autorité et sur vos instructions, en fournissant une solution SaaS et les services associés : hébergement, maintenance, sauvegarde et support. Roomee ne traite vos données que pour vous permettre de déployer la plateforme auprès de vos utilisateurs, et ne les exploite pas pour son compte propre.
Cette répartition suit les critères des lignes directrices du Comité européen de la protection des données (CEPD / EDPB 11/2019).
Structure du DPA
Le DPA suit fidèlement le modèle de la Commission européenne. En voici les grandes parties.
Section I — Objet et invariabilité
Définit l’objet des clauses (garantir la conformité à l’article 28, §3 et §4 du RGPD), précise qu’elles s’appliquent au traitement décrit en annexe II, et que les annexes I à IV font partie intégrante de l’accord. Cette section pose l’invariabilité (les parties ne modifient pas les clauses, hors complément des annexes), les règles d’interprétation (à la lumière du RGPD), la hiérarchie (en cas de contradiction, les clauses priment sur les accords connexes) et une clause d’amarrage facultative permettant à un tiers d’adhérer ultérieurement.
Section II — Obligations des parties
Le cœur opérationnel de l’accord :
- Instructions et limitation de la finalité. Roomee ne traite les données que sur instruction documentée du responsable de traitement, et uniquement pour les finalités définies à l’annexe II. Si une instruction lui paraît contraire au RGPD, Roomee en informe le responsable.
- Sécurité du traitement. Roomee met en œuvre les mesures techniques et organisationnelles décrites à l’annexe III, limite l’accès aux seuls membres du personnel qui en ont strictement besoin, et impose à ceux-ci une obligation de confidentialité.
- Données sensibles. Des garanties renforcées s’appliquent le cas échéant (selon l’annexe II, aucune donnée sensible n’est traitée par Roomee).
- Documentation, conformité et audit. Roomee met à disposition les informations permettant de démontrer sa conformité et permet la réalisation d’audits (les modalités sont précisées à l’annexe III).
- Sous-traitants ultérieurs. Roomee bénéficie d’une autorisation écrite générale, fondée sur une liste convenue, et informe par écrit le responsable de tout ajout ou remplacement au moins trente (30) jours à l’avance, ce qui vous laisse le temps de vous y opposer. Chaque sous-traitant ultérieur est lié par des obligations équivalentes (voir la page Sous-traitants).
- Transferts internationaux. Tout transfert hors UE s’effectue sur instruction documentée et dans le respect du chapitre V du RGPD.
- Assistance et violations de données. Roomee assiste le responsable pour répondre aux demandes des personnes concernées et pour ses obligations au titre des articles 32 à 36 du RGPD (sécurité, analyses d’impact, consultation préalable). En cas de violation de données, Roomee coopère et notifie dans les meilleurs délais et au plus tard quarante-huit (48) heures après en avoir pris connaissance, afin de vous permettre de respecter votre propre délai de 72 heures (art. 33 RGPD) (articles 33 et 34 du RGPD).
Section III — Dispositions finales
Encadre le non-respect et la résiliation : le responsable peut faire suspendre le traitement, voire résilier, en cas de manquement grave ou persistant. À l’issue du contrat, Roomee supprime ou restitue l’ensemble des données traitées pour votre compte, selon votre choix, et détruit les copies — sauf obligation légale de conservation.
Annexes I à IV
Les annexes individualisent le modèle pour votre situation :
- Annexe I — Liste des parties. Responsable de traitement : le Client identifié au contrat. Sous-traitant : Roomee (17 boulevard Flandrin, 75016 Paris ; contact : b.wilfred@roomee.io).
- Annexe II — Description du traitement. Personnes concernées : les utilisateurs autorisés du Client. Catégories de données : données d’identification (prénom, nom, e-mail, téléphone, biographie, liens réseaux sociaux, photos, vidéos, voix), données de vie professionnelle (poste, lien hiérarchique n-1/n+1, date d’entrée, conversations de messagerie) et formations / actualités — en général, toutes les données générées par les utilisateurs. Données sensibles : aucune. Nature : hébergement, sauvegarde, restauration, restructuration, organisation et suppression. Finalité : fournir les services définis au contrat. Durée : le temps nécessaire à l’exécution du contrat et au respect des obligations légales.
- Annexe III — Mesures de sécurité et conditions d’audit. Décrit les mesures techniques et organisationnelles, ainsi que les modalités d’audit : un (1) audit par an au maximum, aux frais du Client, par un auditeur indépendant (non concurrent de Roomee, soumis à confidentialité), notifié au moins un mois à l’avance pour tout audit sur site, et organisé sans perturber la qualité du service.
- Annexe IV — Sous-traitants ultérieurs. Renvoie à la liste tenue à jour par Roomee : voir la page Sous-traitants.
Comment conclure le DPA
Le DPA intégrant les CCT a été pré-signé par Roomee (Benjamin Wilfred, Président). Comme indiqué plus haut, le texte des clauses n’est pas modifié : seules les annexes sont complétées.
- Téléchargez le DPA : dpa-roomee.pdf.
- Signez-le à votre tour (en tant que responsable de traitement).
- Renvoyez un exemplaire signé à b.wilfred@roomee.io.
En complément
Roomee, en qualité de sous-traitant, met également à votre disposition, sur simple demande à contact@roomee.io :
- un registre des activités de traitement réalisées pour votre compte ;
- la liste à jour des sous-traitants ultérieurs (voir Sous-traitants) ;
- son assistance pour vos obligations RGPD (articles 32 à 36).
Pour le détail des traitements et de leurs finalités, voir notre politique de confidentialité. Pour toute question : contact@roomee.io.
Autres documents légaux
- Conditions générales d'utilisation
- Liste des sous-traitants
- Mentions légales
- Politique de confidentialité
- Politique de gestion des cookies
- Programme de conformité RGPD
Une question sur vos données ? Écrivez-nous à contact@roomee.io.