Accord de Traitement des Données (DPA)

Version 1.0 — En vigueur depuis le 23 janvier 2026

Préambule

Dans le cadre de l'Offre Conciergerie, le Client collecte et traite des données personnelles concernant :

• Les propriétaires des biens gérés
• Les locataires/clients finaux
• Les utilisateurs autorisés (intervenants externes)

Le présent DPA définit les obligations du Sous-traitant en matière de protection de ces données.

Article 1 — Objet et durée

Le Sous-traitant s'engage à traiter les données personnelles pour le compte du Responsable du Traitement dans le cadre strict de la fourniture du service PMS.

Durée : pendant toute la durée du contrat principal (CGS).

Article 2 — Nature des opérations

Opérations de traitement réalisées :

• Hébergement et stockage des données
• Gestion des accès multi-utilisateurs
• Génération de documents et synthèses
• Envoi de notifications automatiques
• Sauvegarde et restauration des données

Article 3 — Catégories de données

Données traitées :

• Données d'identification (nom, prénom, email, téléphone)
• Données de réservation (dates, montants, statuts)
• Données bancaires (IBAN pour virements)
• Données de connexion (logs, IP)
• Communications entre parties

Article 4 — Catégories de personnes concernées

• Propriétaires de biens gérés par le Client
• Locataires/clients finaux
• Utilisateurs autorisés (femmes de ménage, réparateurs, etc.)

Article 5 — Obligations du Sous-traitant

Le Sous-traitant s'engage à :

• Traiter les données uniquement sur instruction documentée du Responsable du Traitement
• Garantir la confidentialité des personnes autorisées à traiter les données
• Assurer la sécurité des données
• Respecter les conditions de sous-traitance ultérieure (article 6)
• Aider le Responsable du Traitement à répondre aux demandes d'exercice des droits
• Aider le Responsable du Traitement à respecter ses obligations (sécurité, notification de violations, AIPD)
• Supprimer ou restituer les données à l'issue du contrat
• Mettre à disposition toutes les informations nécessaires pour démontrer le respect du RGPD

Article 6 — Sous-traitance ultérieure

Sous-traitants ultérieurs autorisés :

• OVH : Hébergement des serveurs (France)
• Beds24 : Channel Manager (le cas échéant)

Le Responsable du Traitement autorise expressément ces sous-traitants ultérieurs. En cas de changement, le Sous-traitant en informera le Responsable du Traitement 30 jours avant. Le Responsable du Traitement pourra s'opposer au changement.

Article 7 — Transferts hors UE

Aucun transfert de données hors Union Européenne n'est effectué, sauf instruction contraire documentée du Responsable du Traitement avec garanties appropriées (clauses contractuelles types, BCR, etc.).

Article 8 — Exercice des droits

Lorsque le Sous-traitant reçoit une demande d'exercice de droits d'une personne concernée :

• Il en informe immédiatement le Responsable du Traitement
• Il ne répond pas directement sans instruction
• Il aide le Responsable du Traitement à répondre dans les délais légaux

Article 9 — Notification de violation

En cas de violation de données :

• Notification au Responsable du Traitement sous 24 heures
• Communication de toutes les informations utiles
• Assistance pour la notification à la CNIL et aux personnes concernées si nécessaire

Article 10 — Audit et contrôle

Le Responsable du Traitement peut :

• Demander des informations sur les mesures de sécurité
• Réaliser des audits (à ses frais, une fois par an maximum)
• Obtenir des attestations de conformité

Article 11 — Sort des données à l'issue du contrat

À l'issue du contrat, le Sous-traitant :

• Restitue au Responsable du Traitement toutes les données (export au format standard)
• Supprime définitivement toutes les copies des données (sauf obligation légale de conservation)
• Fournit une attestation de suppression sur demande

Délai : 30 jours après la fin du contrat.

Article 12 — Responsabilité

Chaque Partie est responsable des dommages causés par un traitement non conforme au RGPD qui lui est imputable.

Article 17 — Durée et résiliation du DPA

Le présent DPA entre en vigueur à la date de souscription au Plan « Gestionnaire » et reste en vigueur pendant toute la durée du contrat principal (CGV/CGS).

En cas de résiliation du contrat principal :

• Le DPA prend fin automatiquement
• Les obligations de confidentialité survivent pendant 5 ans
• Les données sont restituées ou supprimées selon l'article 11

Article 18 — Contact et notifications

Toute notification au titre du présent DPA doit être adressée :

Pour le Sous-traitant (Serpette & Cie) :
Email : admin@hostmanager.fr
Adresse : 3 rue Frédéric Chopin, 56400 AURAY

Pour le Responsable du Traitement (Client) :
Aux coordonnées indiquées lors de l'inscription et mises à jour dans l'espace client.

---

Acceptation électronique

Le présent Data Processing Agreement est réputé accepté électroniquement lors de la souscription au Plan « Gestionnaire » via la plateforme HostManager. Un exemplaire est disponible à tout moment dans l'espace client.

Version 1.0 — Date d'entrée en vigueur : 23 janvier 2026
Contact RGPD : admin@hostmanager.fr — Délai de réponse : 30 jours maximum