1. Parties et portée
Ce DPA est conclu entre Polooma (Sous-traitant) et le Client (Responsable) identifié dans le compte Polooma. Il s'applique chaque fois que le Sous-traitant traite des Données Personnelles pour le compte du Responsable dans le cadre du service Polooma.
2. Objet et durée
Objet : fourniture de la plateforme Polooma — réservation de rendez-vous, gestion des clients, communications et reporting. Durée : tant que l'abonnement Polooma est actif, plus la période de suppression définie en section 8.
3. Catégories de données et de personnes concernées
Personnes concernées : clients finaux du salon du Client (et leur personnel). Catégories de données personnelles : données de contact (nom, email, téléphone), données démographiques (âge, genre si collectés), historique de service, photos téléchargées avec consentement, métadonnées de paiement (pas de numéros de carte — gérées par Stripe/Adyen), notes saisies volontairement par le personnel du salon. Les catégories particulières (Art. 9 RGPD), comme les notes liées à la santé, ne peuvent être traitées que lorsque le Responsable a obtenu le consentement explicite.
4. Obligations du Sous-traitant
Le Sous-traitant : (a) traitera les Données Personnelles uniquement sur instructions documentées du Responsable ; (b) garantira que les personnes autorisées à traiter les données sont tenues au secret ; (c) mettra en œuvre des mesures techniques et organisationnelles appropriées (Art. 32 RGPD) — voir l'Annexe A ; (d) aidera le Responsable à répondre aux demandes des personnes concernées ; (e) aidera pour la notification des violations, les AIPD et les consultations avec les autorités de contrôle ; (f) supprimera ou restituera les Données Personnelles à la fin de l'accord (au choix du Responsable).
5. Sous-traitants ultérieurs
Le Responsable autorise le Sous-traitant à recourir à des sous-traitants ultérieurs. La liste actuelle est publiée et maintenue sur polooma.com/legal/sub-processors (sera ajoutée au lancement de la production). Le Responsable sera notifié au moins 30 jours avant l'ajout d'un nouveau sous-traitant ultérieur et pourra s'y opposer pour des motifs raisonnables.
6. Transferts internationaux
Tout le traitement se déroule dans l'UE/EEE. Si un transfert hors UE/EEE devient nécessaire, le Sous-traitant s'appuiera sur les Clauses Contractuelles Types (CCT) et informera le Responsable à l'avance.
7. Mesures de sécurité
Voir l'Annexe A. Inclut le chiffrement au repos et en transit, RBAC, journalisation d'audit, MFA, scan régulier de vulnérabilités, tests de pénétration annuels, résidence des données UE uniquement et rétention des sauvegardes de 30 jours.
8. Restitution et suppression
À la fin de l'abonnement Polooma, le Sous-traitant — au choix du Responsable : (a) restituera toutes les Données Personnelles dans un format lisible par machine (JSON ou CSV) ; ou (b) les supprimera. La suppression est effectuée dans les 30 jours suivant la fin, sauf lorsque la rétention est exigée par la loi (auquel cas le Responsable est notifié). Les sauvegardes contenant des Données Personnelles sont supprimées dans les 30 jours suivant la prochaine rotation de sauvegarde.
9. Droits d'audit
Le Responsable peut auditer la conformité du Sous-traitant à ce DPA — une fois par an, avec un préavis de 30 jours, durant les heures ouvrées, et de manière à ne pas perturber les opérations du Sous-traitant. Le Sous-traitant peut satisfaire à cette obligation en fournissant au Responsable le rapport d'audit SOC 2 / ISO 27001 le plus récent.
10. Responsabilité
La responsabilité au titre de ce DPA est régie par les Conditions d'utilisation. Le Sous-traitant n'est responsable des dommages causés par le traitement que lorsqu'il n'a pas respecté les obligations du RGPD spécifiquement adressées aux sous-traitants, ou a agi en dehors ou contre les instructions licites du Responsable.
11. Loi applicable
Ce DPA est régi par les lois de l'État membre de l'UE dans lequel le Sous-traitant est établi. Les litiges suivent la clause de résolution des litiges des Conditions d'utilisation.
Annexe A — Mesures techniques et organisationnelles
Chiffrement : TLS 1.3 en transit, AES-256 au repos. Contrôle d'accès : RBAC avec 2FA obligatoire pour les administrateurs. Journalisation : journal d'audit append-only conservé 7 ans. Sauvegardes : toutes les 6 heures, rétention 30 jours. Tests de pénétration : annuels par un cabinet indépendant. Personnel : formé au RGPD, accords de confidentialité signés, accès au besoin. Réponse aux incidents : procédure documentée avec notification de 72 heures au Responsable.