Article 28 du RGPD
Accord de sous-traitance des données
Dernière mise à jour : Version 1.0 · juillet 2026
Entre les soussignés
VN CONSEIL, SAS au capital de 2 000 euros, immatriculée au RCS de Créteil sous le numéro 987 514 361, dont le siège social est situé 4 rue de Budapest, 94140 Alfortville, représentée par Monsieur Vladimir NADESARATNASINGAM, Président,
Ci-après désignée « le Sous-traitant »,
et
Le Client identifié lors de sa souscription à la Plateforme NEXolease, personne morale ou professionnelle, telle qu'identifiée par ses informations légales renseignées sur son Compte,
Ci-après désigné « le Responsable de Traitement ».
Préambule
Le Responsable de Traitement a conclu avec le Sous-traitant un contrat de services portant sur la mise à disposition de la plateforme de gestion locative NEXolease (« Contrat Principal », matérialisé par les CGV). Dans ce cadre, le Sous-traitant traite, pour le compte du Responsable de Traitement, des Données à Caractère Personnel relatives aux locataires, propriétaires et autres personnes physiques dont le Responsable gère le patrimoine immobilier.
Article 1 · Définitions
Les termes en majuscule non définis dans le présent DPA ont la signification qui leur est donnée par le RGPD ou par le Contrat Principal.
Article 2 · Objet et durée
Le présent DPA s'applique à tout traitement de Données Personnelles effectué par le Sous-traitant pour le compte du Responsable de Traitement dans le cadre de l'exécution du Contrat Principal.
Il entre en vigueur à la date de souscription du Responsable de Traitement à la plateforme NEXolease et prend fin à la résiliation du Contrat Principal, sous réserve des obligations de restitution et de suppression prévues à l'article 12.
Article 3 · Description du traitement
La description détaillée du traitement est précisée à l'Annexe 1.
Article 4 · Obligations du Sous-traitant
- Traiter les Données Personnelles uniquement sur instruction documentée du Responsable de Traitement.
- Garantir la confidentialité des personnes autorisées à traiter les Données.
- Mettre en œuvre les mesures techniques et organisationnelles décrites à l'Annexe 3, conformément à l'article 32 du RGPD.
- Respecter les conditions de la sous-traitance ultérieure (article 5).
- Aider le Responsable de Traitement à respecter ses obligations (article 9).
- Notifier toute violation de Données Personnelles dans les conditions de l'article 8.
- Mettre à disposition les informations nécessaires pour démontrer le respect du présent DPA et permettre des audits (article 11).
Article 5 · Sous-traitance ultérieure
Le Responsable de Traitement autorise le Sous-traitant à recourir aux sous-traitants ultérieurs listés à l'Annexe 2. Toute modification de cette liste fera l'objet d'une notification préalable par voie électronique, au moins trente (30) jours avant son entrée en vigueur. Le Responsable de Traitement disposera d'un délai de quinze (15) jours pour s'y opposer pour motif raisonnable et documenté.
Le Sous-traitant s'engage à conclure avec chaque sous-traitant ultérieur un contrat lui imposant des obligations équivalentes.
Article 6 · Transferts hors UE
Le stockage principal des Données du Responsable de Traitement est réalisé dans l'Union Européenne (région Frankfurt). Aucun transfert vers un pays tiers n'est effectué pour le stockage principal.
Certaines opérations annexes peuvent impliquer des transferts vers des pays tiers (envoi d'emails transactionnels, traitement des paiements). Ces transferts sont encadrés par les Clauses Contractuelles Types adoptées par la Commission européenne le 4 juin 2021 et, lorsque le prestataire y est éligible, par son adhésion au cadre EU-US Data Privacy Framework.
Article 7 · Droits des personnes concernées
Le Sous-traitant aide le Responsable de Traitement à remplir son obligation de donner suite aux demandes d'exercice des droits des personnes concernées (accès, rectification, effacement, opposition, limitation, portabilité).
Article 8 · Notification de violation
Le Sous-traitant notifie au Responsable de Traitement toute violation de Données Personnelles dans les meilleurs délais et au plus tard dans les soixante-douze (72) heures suivant la prise de connaissance de cette violation. La notification précise notamment :
- La nature de la violation et, si possible, les catégories et le nombre approximatif de personnes concernées.
- Les conséquences probables.
- Les mesures prises ou envisagées pour y remédier et limiter ses effets.
- Les coordonnées du point de contact pour toute information complémentaire.
Article 9 · Aide au Responsable de Traitement
- Sécurité du traitement (art. 32 RGPD).
- Notification de violation à l'autorité de contrôle (art. 33) et aux personnes concernées (art. 34).
- Analyse d'impact relative à la protection des données (art. 35), si applicable.
- Consultation préalable de l'autorité de contrôle (art. 36), si applicable.
Article 10 · Registre
Le Sous-traitant tient à jour, conformément à l'article 30 du RGPD, un registre de toutes les catégories d'activités de traitement effectuées pour le compte du Responsable de Traitement.
Article 11 · Audit
Le Sous-traitant met à disposition les informations nécessaires pour démontrer le respect de ses obligations, dans la limite d'un audit par an, sur préavis raisonnable de trente (30) jours, aux frais du Responsable de Traitement.
Article 12 · Fin du traitement
À la fin du Contrat Principal, le Sous-traitant, au choix du Responsable de Traitement notifié par écrit dans les trente (30) jours suivant la résiliation :
- Restitue l'intégralité des Données Personnelles dans un format structuré (FEC, ZIP des quittances, CSV), puis les supprime de ses systèmes.
- Supprime directement les Données, sauf obligations légales de rétention plus longue.
À défaut d'instruction dans le délai imparti, le Sous-traitant procède à la suppression. Une attestation de suppression est transmise sur demande.
Article 13 · Responsabilité
Chaque Partie est responsable du respect de ses propres obligations. La responsabilité financière du Sous-traitant est limitée dans les conditions du Contrat Principal (article 13 des CGV).
Annexe 1 · Description du traitement
| Élément | Précision |
|---|---|
| Nature | Hébergement, stockage, traitement et restitution de données relatives à la gestion locative. |
| Finalités | Permettre au Responsable de Traitement d'exercer son activité de gestion locative. |
| Personnes concernées | Locataires, propriétaires, garants, co-titulaires de bail, utilisateurs du compte. |
| Catégories de données | Identification, coordonnées, données professionnelles, données financières (loyers, paiements, dépôts, IBAN si saisi), données contractuelles, photos d'états des lieux. |
| Catégories particulières | Aucune donnée sensible au sens de l'article 9 RGPD ni relative aux condamnations pénales. |
| Durée | Durée du Contrat Principal + 30 jours pour restitution + obligations légales de conservation (10 ans pour les pièces comptables). |
Annexe 2 · Sous-traitants ultérieurs autorisés
| Sous-traitant | Finalité | Localisation |
|---|---|---|
| Vercel Inc. | Hébergement applicatif | Frankfurt (UE) |
| Supabase Inc. | Hébergement base de données Postgres | Frankfurt (UE) |
| Resend Inc. | Envoi d'emails transactionnels | États-Unis |
| Stripe Inc. | Encaissement des abonnements | Irlande (UE) |
Annexe 3 · Mesures techniques et organisationnelles
Mesures techniques
- Chiffrement des communications en transit (TLS 1.2+ obligatoire).
- Chiffrement au repos (AES-256 fourni par l'hébergeur).
- Cloisonnement strict des tenants : toute requête filtre obligatoirement sur l'identifiant du cabinet client.
- Authentification par lien magique à usage unique ; aucun mot de passe à mémoriser.
- Sessions de connexion limitées à 30 jours, révocables à tout moment.
- Journalisation des opérations sensibles (suppression, réinitialisation, paiements).
- Sauvegardes quotidiennes conservées 7 jours.
Mesures organisationnelles
- Accès aux systèmes restreint aux seuls collaborateurs habilités.
- Engagement de confidentialité de tous les collaborateurs.
- Procédure documentée d'intervention en cas de violation, notification 72 heures.
- Veille réglementaire continue.
- Politique de mots de passe forts pour les accès administrateur des prestataires.
Éditeur : VN CONSEIL, SAS au capital de 2 000 €, RCS Créteil 987 514 361, siège 4 rue de Budapest, 94140 Alfortville. Représentant légal et directeur de la publication : Vladimir NADESARATNASINGAM, Président. Contact : contact@nexolease.com · Pôle RGPD : dpo@vn-conseil.com.