Accord de Traitement des Donnees (DPA)
Data Processing Agreement — Article 28 du RGPD
Derniere mise a jour : 1er avril 2026
1. Objet
Le present accord definit les conditions dans lesquelles l'Editeur du service MyGestia(ci-apres "le Sous-traitant") traite des donnees a caractere personnel pour le compte du Client (ci-apres "le Responsable de traitement"), conformement a l'article 28 du Reglement General sur la Protection des Donnees (RGPD - Reglement UE 2016/679).
2. Roles et responsabilites
Responsable de traitement : le Client, utilisateur du service MyGestia, qui determine les finalites et les moyens du traitement des donnees de ses locataires, copropietaires et partenaires commerciaux.
Sous-traitant : l'Editeur du service MyGestia, qui traite les donnees personnelles uniquement pour le compte et sur instruction du Responsable de traitement, dans le cadre de la fourniture du Service.
3. Finalites du traitement
Les donnees personnelles sont traitees exclusivement pour les finalites suivantes :
- Gestion du patrimoine immobilier (immeubles, lots, diagnostics)
- Gestion des baux et de la relation locataire
- Facturation, quittancement et suivi des paiements
- Comptabilite et reporting financier
- Connexion bancaire et rapprochement des transactions
- Envoi de communications (relances, notifications, documents)
- Generation de documents (factures, quittances, lettres)
- Conformite reglementaire (diagnostics, indices, charges)
4. Categories de donnees traitees
| Categorie | Donnees concernees |
|---|---|
| Locataires | Nom, prenom, adresse, email, telephone, date de naissance, lieu de naissance, nationalite, profession, situation familiale |
| Baux | Dates de debut/fin, montant du loyer, depot de garantie, conditions particulieres |
| Paiements | Montants, dates, references bancaires, historique de paiement |
| Documents | Pieces d'identite, justificatifs, contrats, etats des lieux |
| Donnees bancaires | IBAN, BIC (chiffres AES-256-GCM) |
| Utilisateurs | Nom, email, mot de passe (hache bcrypt), adresse IP de connexion |
5. Durees de conservation
| Categorie | Duree |
|---|---|
| Locataire avec bail actif | Duree du bail + conservation legale |
| Locataire archive | 5 ans apres la fin du dernier bail |
| Documents d'identite | 3 ans apres la fin de la relation contractuelle |
| Donnees bancaires | 10 ans (obligation legale comptable) |
| Journaux d'audit | 1 an |
| Consentements | 3 ans apres revocation |
6. Mesures de securite
Le Sous-traitant met en oeuvre les mesures techniques et organisationnelles suivantes :
- Chiffrement : AES-256-GCM pour les donnees bancaires sensibles (IBAN, BIC), bcrypt pour les mots de passe, TLS 1.3 pour les communications.
- Controle d'acces : authentification par identifiants avec option 2FA (TOTP), RBAC a 5 niveaux (Super Admin, Admin Societe, Gestionnaire, Comptable, Lecture seule).
- Securite applicative : verrouillage de compte apres 5 tentatives echouees, rate limiting sur les endpoints sensibles, Content Security Policy (CSP) avec nonce, HSTS, X-Frame-Options DENY.
- Journalisation : audit log de toutes les operations sensibles (creation, modification, suppression, acces aux donnees), conserve 1 an.
- Isolation : architecture multi-tenant avec scoping strict par societe (societyId) sur toutes les requetes base de donnees.
- Sauvegardes : sauvegardes automatiques quotidiennes de la base de donnees via l'hebergeur (Supabase/PostgreSQL).
- Verification des fichiers : validation des types MIME par magic bytes avant tout upload.
7. Sous-traitants ulterieurs
Le Sous-traitant fait appel aux sous-traitants ulterieurs suivants, autorises par le Responsable de traitement :
| Sous-traitant | Finalite | Localisation |
|---|---|---|
| Supabase (PostgreSQL) | Hebergement base de donnees et stockage fichiers | UE (Frankfurt) |
| Vercel | Hebergement de l'application | Global (CDN) / UE |
| Stripe | Traitement des paiements (abonnements) | UE / US (clauses contractuelles types) |
| Resend | Envoi d'emails transactionnels | US (clauses contractuelles types) |
| Sentry | Monitoring et suivi d'erreurs | US (clauses contractuelles types) |
| Upstash | Cache et rate limiting (Redis) | UE (Frankfurt) |
Le Sous-traitant informera le Responsable de traitement de tout changement dans la liste des sous-traitants ulterieurs au moins 30 jours avant la mise en oeuvre, laissant au Responsable de traitement la possibilite de s'y opposer.
8. Transferts internationaux
Les donnees sont principalement hebergees dans l'Union Europeenne. Lorsque des transferts vers des pays tiers sont necessaires (sous-traitants localises aux Etats-Unis), ils sont encadres par des clauses contractuelles types (CCT) approuvees par la Commission Europeenne, conformement a l'article 46 du RGPD.
9. Droits des personnes concernees
Le Sous-traitant assiste le Responsable de traitement dans l'exercice des droits des personnes concernees :
- Droit d'acces : export des donnees depuis l'interface du Service (module RGPD).
- Droit de rectification : modification des donnees via l'interface de gestion.
- Droit a l'effacement : anonymisation des donnees via le module RGPD, dans le respect des obligations legales de conservation.
- Droit a la portabilite : export des donnees au format structure (CSV, JSON).
- Droit d'opposition et limitation : desactivation du traitement via le module de consentement.
Le Responsable de traitement peut gerer ces demandes via le module RGPD integre au Service (menu Administration > RGPD).
10. Notification des violations
En cas de violation de donnees a caractere personnel, le Sous-traitant notifiera le Responsable de traitement dans un delai maximum de 48 heures apres en avoir pris connaissance, en fournissant toutes les informations necessaires pour permettre au Responsable de traitement de notifier l'autorite de controle (CNIL) dans le delai legal de 72 heures.
11. Audit
Le Responsable de traitement peut realiser ou faire realiser des audits de conformite, sous reserve d'un preavis de 30 jours et d'un accord de confidentialite. Le Sous-traitant met a disposition les journaux d'audit et les informations necessaires pour demontrer sa conformite au RGPD.
12. Sort des donnees en fin de contrat
A la fin du contrat, le Sous-traitant :
- Met a disposition un export complet des donnees pendant 30 jours.
- Supprime l'ensemble des donnees personnelles a l'issue de ce delai, sauf obligation legale de conservation.
- Fournit un certificat de suppression sur demande.
13. Duree
Le present accord est conclu pour la duree de la relation contractuelle entre le Responsable de traitement et le Sous-traitant. Il prend fin automatiquement lors de la resiliation de l'abonnement au Service, sous reserve des obligations de conservation legales.
14. Loi applicable
Le present accord est regi par le droit francais et le RGPD. En cas de litige relatif a l'interpretation ou l'execution du present accord, les tribunaux competents de Paris seront seuls competents.