Accord de traitement des données

1. OBJET ET CADRE

Le présent Accord de traitement des données (ci-après "DPA") encadre les conditions dans lesquelles la société MONA SCALE, éditrice du service PlanYourDrive (ci-après le "Sous-traitant"), traite des données à caractère personnel pour le compte du client professionnel abonné (ci-après le "Responsable de traitement"), dans le cadre de l'exécution des Conditions Générales de Vente de PlanYourDrive.

Le présent DPA constitue l'Annexe 1 des Conditions Générales de Vente et en fait partie intégrante. Il est conclu en application de l'article 28 du Règlement (UE) 2016/679 du 27 avril 2016 (ci-après "RGPD").

2. DESCRIPTION DU TRAITEMENT

2.1 Objet : fourniture au Responsable de traitement d'un site internet, d'un module de réservation et d'outils de gestion permettant à ce dernier d'exercer son activité de transport de personnes (VTC, taxi). Le Sous-traitant traite les données pour le seul compte et selon les seules instructions documentées du Responsable.

2.2 Nature des opérations de traitement : collecte, enregistrement, organisation, structuration, conservation, modification, extraction, consultation, utilisation, transmission, rapprochement, limitation, effacement et destruction.

2.3 Finalités : gestion des réservations et des courses, communication avec les passagers (SMS, email), génération et envoi de documents (bons de transport, factures, ordres de mission), encaissement des paiements via prestataire tiers, répartition interne des courses entre les sous-traitants ou collaborateurs du Responsable, statistiques d'activité.

2.4 Catégories de données traitées :

  • Passagers : nom, prénom, téléphone, email, adresses de prise en charge et de dépose
  • Courses : horaires, distances, tarifs, options, statut, paiement
  • Sous-traitants ou collaborateurs du Responsable (notamment chauffeurs salariés ou sous-traitants juridiquement liés au Responsable, à l'exclusion de toute mise en relation entre transporteurs indépendants opérée par le Sous-traitant) : nom, prénom, téléphone, email, données de connexion, données de course
  • Documents générés : bons de transport, factures, ordres de mission

2.5 Catégories de personnes concernées : passagers du Responsable, chauffeurs partenaires du Responsable, contacts professionnels du Responsable.

2.6 Durée du traitement : pendant toute la durée du contrat entre le Responsable et le Sous-traitant. À l'issue, voir l'article 9 du présent DPA (sort des données).

3. OBLIGATIONS DU SOUS-TRAITANT

Le Sous-traitant s'engage à :

  • traiter les données uniquement sur instructions documentées du Responsable, y compris en cas de transfert vers un pays tiers ou une organisation internationale, sauf obligation légale contraire (le Sous-traitant informant alors le Responsable, sauf interdiction légale) ;
  • veiller à ce que les personnes autorisées à traiter les données s'engagent à la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ;
  • prendre toutes les mesures requises au titre de l'article 32 du RGPD (sécurité du traitement) ;
  • respecter les conditions énoncées à l'article 5 du présent DPA pour recourir à un sous-traitant ultérieur ;
  • assister le Responsable, par des mesures techniques et organisationnelles appropriées, pour répondre aux demandes d'exercice des droits des personnes concernées (articles 12 à 22 du RGPD) ;
  • assister le Responsable pour garantir le respect des obligations prévues aux articles 32 à 36 du RGPD (sécurité, notification de violation, analyse d'impact, consultation préalable) ;
  • mettre à la disposition du Responsable toutes les informations nécessaires pour démontrer le respect des obligations prévues à l'article 28 du RGPD ;
  • permettre la réalisation d'audits, y compris des inspections, par le Responsable ou par un autre auditeur qu'il a mandaté, et y contribuer (dans les conditions de l'article 7 du présent DPA).

4. OBLIGATIONS DU RESPONSABLE DE TRAITEMENT

Le Responsable s'engage à :

  • fournir au Sous-traitant les données nécessaires à l'exécution du contrat ;
  • documenter par écrit toute instruction concernant le traitement des données par le Sous-traitant ;
  • veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le RGPD de son côté (information des personnes concernées, recueil du consentement le cas échéant, tenue d'un registre de ses activités de traitement, etc.) ;
  • superviser le traitement, y compris en réalisant des audits et inspections auprès du Sous-traitant ;
  • répondre, dans les délais prévus par le RGPD, aux demandes d'exercice de droits formulées par les personnes concernées, le Sous-traitant lui transmettant ces demandes le cas échéant.

5. SOUS-TRAITANTS ULTÉRIEURS

5.1 Autorisation générale. Le Responsable autorise, par la signature des Conditions Générales de Vente, le recours par le Sous-traitant aux sous-traitants ultérieurs énumérés à l'article 5.3 du présent DPA.

5.2 Information préalable. En cas d'ajout ou de remplacement d'un sous-traitant ultérieur, le Sous-traitant en informe par écrit le Responsable avant la mise en service effective. Le Responsable dispose d'un délai de quinze (15) jours pour formuler des objections motivées. À défaut d'objection dans ce délai, le changement est réputé accepté. En cas d'objection, les parties recherchent une solution dans les trente (30) jours ; à défaut, le Responsable peut résilier le contrat sans frais.

5.3 Liste des sous-traitants ultérieurs au jour de la signature (intervenant dans le traitement des données passagers et courses pour le compte du Responsable) :

  • OVH SAS (France, Roubaix) : hébergement des bases de données et des applications.
  • Stripe Payments Europe Ltd (Irlande, Dublin) : traitement des paiements en ligne. Stripe agit comme responsable de traitement autonome pour ses propres finalités (KYC/AML, lutte anti-fraude, obligations PSP au sens de la DSP2), et comme sous-traitant ultérieur pour les opérations de paiement réalisées pour le compte du Responsable.
  • Cloudflare, Inc. (États-Unis) : CDN, sécurité et anti-DDoS. Transferts couverts par les clauses contractuelles types et la certification Data Privacy Framework UE-USA (décision d'adéquation (UE) 2023/1795 du 10 juillet 2023).
  • Esendex / Commify France (France) : routage des SMS transactionnels.
  • Google LLC (États-Unis) : Google Workspace (suite collaborative incluant notamment Gmail, Drive, Docs, Calendar), Google Maps (calcul d'itinéraires, géocodage) et Gmail (envoi d'emails transactionnels). Transferts couverts par les clauses contractuelles types et la certification Data Privacy Framework UE-USA (décision d'adéquation (UE) 2023/1795 du 10 juillet 2023).
  • Grafana Labs : collecte et stockage des logs techniques d'exploitation (journalisation des erreurs, monitoring de la performance et de la sécurité), pour l'instance européenne de Grafana Cloud lorsque disponible.

Le Sous-traitant s'engage à conclure avec chaque sous-traitant ultérieur un contrat écrit imposant des obligations équivalentes à celles prévues par le présent DPA, conformément à l'article 28.4 du RGPD.

5.4 Prestataires liés à la relation contractuelle entre le Sous-traitant et le Responsable (information transparente, n'ayant pas la qualité de sous-traitants ultérieurs du traitement des données passagers et courses) :

  • Hostinger International Ltd (Chypre) : hébergement du site marketing planyourdrive.com.
  • Stripe Payments Europe Ltd (Irlande, Dublin) : encaissement par carte bancaire des abonnements PlanYourDrive souscrits par le Responsable.
  • GoCardless Ltd (Royaume-Uni, Londres) : prélèvements SEPA des abonnements PlanYourDrive souscrits par le Responsable. Transferts couverts par la décision d'adéquation (UE) 2021/1772 du 28 juin 2021 relative au Royaume-Uni.
  • Google LLC (États-Unis) : Google Workspace (Gmail, Drive, Docs, Calendar) pour l'envoi des notifications, factures et communications de PlanYourDrive vers le Responsable. Transferts couverts par les clauses contractuelles types et la certification Data Privacy Framework UE-USA.
  • Tiime SAS (France) : édition et envoi des factures d'abonnement PlanYourDrive au Responsable, et tenue de la comptabilité associée.
  • Grafana Labs : collecte et stockage des logs techniques d'exploitation relatifs au compte du Responsable (instance européenne de Grafana Cloud lorsque disponible).

6. MESURES TECHNIQUES ET ORGANISATIONNELLES

Le Sous-traitant met en oeuvre les mesures suivantes pour garantir un niveau de sécurité adapté au risque, conformément à l'article 32 du RGPD :

  • chiffrement des communications (TLS) entre le navigateur et les serveurs ;
  • chiffrement au repos des données sensibles ;
  • cloisonnement logique des données par client (séparation des données dans des espaces logiques distincts) ;
  • contrôle d'accès par identifiant et mot de passe, avec politique de mots de passe forts ;
  • journalisation des accès et des opérations sensibles ;
  • sauvegardes régulières (au moins hebdomadaires) des bases de données ;
  • plan de continuité d'activité et restauration ;
  • tests de sécurité réguliers et veille sur les vulnérabilités.

7. AUDITS

Le Responsable peut demander, au plus une fois par an et moyennant un préavis raisonnable d'au moins soixante (60) jours, à effectuer un audit ou à mandater un auditeur indépendant tenu au secret professionnel pour vérifier le respect du présent DPA. Le Responsable supporte les frais de l'audit, sauf si celui-ci révèle un manquement substantiel du Sous-traitant. En cas d'incident de sécurité confirmé affectant les données du Responsable, ou d'investigation par une autorité de contrôle, ce préavis ne s'applique pas et le Sous-traitant coopère sans délai.

8. NOTIFICATION DE VIOLATION

En cas de violation de données personnelles affectant les données traitées pour le compte du Responsable, le Sous-traitant en informe le Responsable dans les meilleurs délais après qualification de l'incident, en règle générale dans un délai indicatif de soixante-douze (72) heures suivant la confirmation de la violation, par email à l'adresse de contact du Responsable, afin de permettre au Responsable de respecter son obligation propre de notification à l'autorité de contrôle (article 33.1 du RGPD). La notification précise la nature de la violation, les catégories et le nombre approximatif de personnes concernées, les conséquences probables, et les mesures prises ou proposées pour y remédier.

9. SORT DES DONNÉES EN FIN DE CONTRAT

À l'issue de la prestation, le Sous-traitant s'engage, au choix du Responsable :

  • à restituer toutes les données personnelles au Responsable sous un format structuré et exploitable (CSV ou équivalent) ;
  • ou à les supprimer définitivement, ainsi que toutes les copies existantes, sauf obligation légale de conservation.

Le choix du Responsable doit être notifié au Sous-traitant dans les sept (7) jours suivant la fin du contrat. À défaut de choix exprimé, le Sous-traitant procède à la suppression des données dans un délai de quatre-vingt-dix (90) jours, sous réserve des durées légales de conservation. Une attestation de suppression est délivrée sur demande.

10. CONFIDENTIALITÉ ET ENGAGEMENT DU PERSONNEL

Le Sous-traitant s'engage à ce que les personnes autorisées à traiter les données personnelles soient soumises à une obligation de confidentialité contractuelle ou légale, et reçoivent une sensibilisation appropriée à la protection des données.

11. TRANSFERTS HORS UE

Les données sont hébergées principalement dans l'Union européenne (OVH France, Stripe Irlande, Esendex France, Hostinger Chypre). Pour les transferts vers des sous-traitants ultérieurs situés hors UE (notamment Cloudflare et Google), le Sous-traitant met en oeuvre des garanties appropriées au sens des articles 44 à 49 du RGPD : clauses contractuelles types adoptées par la Commission européenne et engagements Data Privacy Framework lorsque applicables.

12. DURÉE ET RÉSILIATION

Le présent DPA prend effet à la date d'acceptation des Conditions Générales de Vente et reste en vigueur tant que le Sous-traitant traite des données personnelles pour le compte du Responsable. Sa résiliation suit celle des Conditions Générales de Vente, sous réserve des obligations qui survivent à la fin du contrat (article 9 ci-dessus).

13. MODIFICATION DU DPA

Le Sous-traitant peut être amené à modifier le présent DPA pour tenir compte des évolutions réglementaires ou de la liste des sous-traitants ultérieurs. Toute modification est notifiée au Responsable par email selon les modalités prévues à l'article 5.2 ci-dessus pour les sous-traitants ultérieurs, et au titre des Conditions Générales de Vente pour les autres modifications.

14. LIMITATION DE RESPONSABILITÉ

La responsabilité du Sous-traitant au titre du présent DPA, tous préjudices et tous fondements confondus (y compris responsabilité civile, contractuelle, quasi-délictuelle, et au titre de l'article 82 du RGPD), est expressément limitée, conformément à l'article 8 des Conditions Générales de Vente, au montant total des sommes versées par le Responsable au Sous-traitant au cours des douze (12) derniers mois précédant le fait générateur, ou, si ce montant est inférieur, à la somme de cinq cents (500) euros HT.

Le Sous-traitant ne pourra en aucun cas être tenu responsable des dommages indirects, immatériels, pertes d'exploitation, pertes de clientèle, atteintes à la réputation, ou de toute sanction administrative infligée au Responsable résultant d'un manquement de ce dernier à ses propres obligations de responsable de traitement.

Conformément à l'article 82.5 du RGPD, lorsqu'une violation est imputable à un sous-traitant ultérieur identifié, le Sous-traitant pourra appeler ce sous-traitant ultérieur en garantie, et sa responsabilité sera limitée à la part de préjudice qui lui est directement imputable.

La présente limitation de responsabilité régit les rapports contractuels entre le Sous-traitant et le Responsable. Elle ne saurait être opposée aux personnes concernées qui exerceraient leurs droits ou réclameraient réparation directement sur le fondement de l'article 82 du RGPD, étant rappelé que celles-ci peuvent agir contre le responsable ou le sous-traitant dans les conditions prévues à l'article 82.4 du RGPD, sans préjudice des actions récursoires entre parties prévues à l'article 82.5 du RGPD.

La présente limitation ne s'applique pas en cas de dol ou de faute lourde caractérisée du Sous-traitant.

15. CONTACT

Pour toute question relative au présent DPA ou à la protection des données :
Email : [email protected]
Adresse postale : MONA SCALE, 9B Boulevard de Berlin, 44000 Nantes, France.

Dernière mise à jour : 31/05/2026.