DPA — TRAITEMENT DES DONNÉES

Version 1.0 — applicable à toute utilisation professionnelle de BTP Ecosystem. Conclu entre vous (« Responsable de traitement ») et BTP Ecosystem SAS (« Sous-traitant ») au sens de l'article 28 du RGPD.

1. Objet

Le présent accord encadre le traitement par BTP Ecosystem des données personnelles confiées par le Responsable dans le cadre de l'utilisation de la plateforme (gestion de chantiers, devis, factures, équipe, messagerie, documents).

2. Nature et finalité du traitement

• Hébergement et stockage des données saisies par le Responsable.
• Exécution des fonctionnalités demandées (édition de documents, paiement).
• Maintenance, sauvegardes, support technique, sécurité.
• Statistiques agrégées et anonymisées de service.

3. Catégories de données et de personnes

• Données d'identification (nom, e-mail, téléphone, SIRET).
• Données professionnelles (rôle, chantiers, équipe, fournisseurs).
• Données financières (devis, factures, IBAN éventuel).
• Données techniques (logs, adresses IP, journal d'audit).
• Personnes concernées : utilisateurs invités, salariés, clients, fournisseurs, sous-traitants du Responsable.

4. Durée

Le traitement court pendant toute la durée du contrat de service. Les durées de conservation détaillées sont décrites dans la politique de rétention.

5. Obligations du sous-traitant

• Traiter les données uniquement sur instructions documentées du Responsable.
• Garantir la confidentialité (engagement écrit du personnel habilité).
• Mettre en œuvre les mesures techniques et organisationnelles appropriées (art. 32 RGPD) : chiffrement TLS, sauvegardes chiffrées, MFA pour les administrateurs, journalisation, cloisonnement multi-tenant via RLS.
• Assister le Responsable dans l'exercice des droits des personnes (art. 12 à 22 RGPD).
• Notifier toute violation de données dans les 72 heures suivant sa connaissance (art. 33 RGPD).
• À la fin du contrat, restituer ou supprimer les données dans un délai de 30 jours (export possible depuis le profil).

6. Sous-traitants ultérieurs autorisés

Le Responsable autorise les sous-traitants suivants :

• Lovable Cloud (Supabase) — hébergement base, auth, stockage — UE (Francfort).
• Cloudflare Inc. — CDN, edge runtime, anti-DDoS — UE/US (clauses contractuelles types).
• Stripe Payments Europe Ltd — paiements abonnement — Irlande.
• Google LLC (AI Gateway via Lovable) — modèles Gemini pour l'assistance IA — UE/US (CCT).

Tout changement est notifié par e-mail au moins 30 jours avant prise d'effet ; le Responsable peut s'y opposer pour motif légitime.

7. Transferts hors UE

Les éventuels transferts hors UE (Cloudflare, Google) sont encadrés par les clauses contractuelles types de la Commission européenne (décision 2021/914) et des mesures supplémentaires (chiffrement, pseudonymisation).

8. Audit

Le Responsable peut demander une fois par an un rapport d'audit (SOC 2 / ISO 27001 de nos sous-traitants) ou diligenter un auditeur indépendant tenu au secret.

9. Contact DPO

Délégué à la protection des données : dpo@btp-ecosystem.com

Voir aussi : Politique de confidentialité · Rétention · Mentions légales