Accord de Traitement des Données (DPA)

Le présent accord de traitement des données (ci-après le « DPA ») a pour objet de définir les conditions dans lesquelles Planor, en sa qualité de sous-traitant, s'engage à traiter, pour le compte de ses clients utilisateurs de la plateforme (ci-après le « Responsable de traitement »), les données à caractère personnel nécessaires à la fourniture du service SaaS Planor, conformément à l'article 28 du RGPD.

Le présent DPA constitue une annexe indissociable des Conditions Générales d'Utilisation (CGU) et est réputé accepté par le Responsable de traitement lors de l'acceptation des CGU par case à cocher.

• Nom commercial : Planor
• Forme juridique : Micro-entreprise (entrepreneur individuel)
• Titulaire : Esteban ANTONIO-MOTA
• Adresse :
  2 bis rue Roger Salengro, 77164 Ferrières-en-Brie, France
• SIRET : 918 470 600 00019
• RCS : Bobigny
• Email de contact RGPD : esteban.antonio-mota@planor.fr

Aucun délégué à la protection des données (DPO) n'a été désigné. Le point de contact RGPD unique est l'adresse indiquée ci-dessus.

Le Responsable de traitement détermine seul les finalités et moyens du traitement.
Planor agit exclusivement en qualité de sous-traitant pour les traitements couverts par le présent DPA.

Le Sous-traitant s'engage à ne traiter les données personnelles que sur instruction documentée du Responsable de traitement.

En cas d'instruction manifestement illégale ou non conforme au RGPD, le Sous-traitant :

• suspend immédiatement le traitement concerné,
• informe sans délai le Responsable de traitement.

Le Responsable de traitement autorise le recours aux sous-traitants techniques suivants :

• OVH (France) – hébergement,
• AWS (France / Union européenne) – infrastructure, stockage et envoi d'emails,
• Google Analytics – mesure d'audience sur données anonymisées,
• Odoo – outils internes de support.

Le Responsable de traitement est informé de manière simple de tout changement significatif.

La liste à jour des sous-traitants est fournie sur demande uniquement.

Aucun droit d'opposition formalisé n'est prévu.

Les données personnelles sont hébergées exclusivement dans l'Union européenne.

Aucun transfert de données hors Union européenne n'est réalisé.

En conséquence, aucune clause contractuelle type (SCC) n'est requise.

Le Sous-traitant met en œuvre des mesures techniques et organisationnelles appropriées, décrites de manière générique et non exhaustive, afin de garantir un niveau de sécurité adapté au risque, incluant notamment :

• communications sécurisées (HTTPS / TLS),
• hashage et chiffrement des mots de passe,
• accès réglementé aux fichiers stockés sur AWS,
• gestion des rôles et permissions,
• cloisonnement des environnements clients (multi-tenant),
• sauvegardes régulières,
• journalisation et traçabilité des accès.

En cas de violation de données à caractère personnel, le Sous-traitant notifie le Responsable de traitement sans délai excessif, par email.

La notification peut être progressive, les informations complémentaires étant transmises dès qu'elles sont disponibles.

Le Sous-traitant assiste le Responsable de traitement, dans une limite raisonnable, pour :

• répondre aux demandes d'exercice des droits des personnes concernées,
• assurer la sécurité et la conformité des traitements.

Toute assistance dépassant ce cadre raisonnable pourra faire l'objet d'une facturation spécifique.

Les données personnelles sont conservées pendant toute la durée de la relation contractuelle.

À l'issue du contrat :

• le Responsable de traitement peut procéder à un export gratuit de ses données via les fonctionnalités standard de la plateforme,
• les données sont supprimées automatiquement dans un délai de 90 jours après résiliation, sauf obligation légale contraire.

Le Responsable de traitement peut solliciter des audits documentaires relatifs au respect du présent DPA, sous réserve :

• d'un préavis raisonnable,
• d'une fréquence limitée,
• du caractère proportionné et non abusif de la demande.

Les audits sur site sont exclus.

Le Sous-traitant se réserve le droit de refuser toute demande d'audit manifestement excessive ou disproportionnée.

La responsabilité du Sous-traitant au titre du présent DPA est strictement alignée sur celle prévue par les CGU.

Le présent DPA est accepté automatiquement lors de l'acceptation des CGU par case à cocher.

Il est soumis au droit français.

Tout litige relatif à son interprétation ou son exécution relève de la compétence exclusive du tribunal du siège du Sous-traitant.