Accord de sous-traitance des données (DPA)
Dernière mise à jour : 5 juillet 2026
Cet accord, conclu en application de l'article 28 du RGPD, encadre le traitement par Daytio (sous-traitant) des données personnelles des clients finaux pour le compte de chaque professionnel inscrit (responsable de traitement). Il fait partie intégrante du contrat conclu avec le professionnel.
1. Rôles
Pour les données des clients finaux saisies ou collectées via la plateforme (fiches clients, rendez-vous, prénoms de groupe, adresses de rendez-vous à domicile), le professionnel est responsable de traitement et Daytio ([À COMPLÉTER : raison sociale de l’éditeur]) agit en qualité de sous-traitant, sur instruction documentée du professionnel.
2. Objet et nature du traitement
Hébergement, stockage, affichage et gestion des rendez-vous et des fiches clients ; envoi des e-mails de confirmation, d’annulation et de déplacement ; synchronisation des rendez-vous vers les calendriers connectés par le professionnel ; anonymisation automatique des fiches inactives.
3. Données et personnes concernées
- Personnes concernées : les clients finaux du professionnel.
- Catégories de données : identité (nom, prénom), coordonnées (e-mail, téléphone), adresse postale pour les rendez-vous à domicile, historique de rendez-vous, notes saisies par le professionnel. Aucune donnée sensible n’est demandée par la plateforme ; le professionnel s’engage à ne pas en saisir dans les champs libres (notes).
4. Obligations d’Daytio (sous-traitant)
- Ne traiter les données que pour fournir le service ;
- Garantir la confidentialité (isolation stricte entre comptes, chiffrement en transit, moindre privilège) ;
- Assister le professionnel dans la réponse aux demandes d’exercice des droits (accès, rectification, effacement, portabilité) ;
- Notifier le professionnel sans délai indu en cas de violation de données le concernant ;
- À la fin du contrat : restituer les données (export) puis les supprimer, conformément à l’article 8 des CGV.
5. Sous-traitants ultérieurs
Le professionnel autorise de manière générale le recours aux sous-traitants ultérieurs suivants, qui présentent des garanties appropriées :
- Supabase (base de données, authentification, stockage — UE, AWS eu-west-1) ;
- Vercel (hébergement applicatif) ;
- Resend (envoi d’e-mails transactionnels) ;
- Google (uniquement si le professionnel connecte Google Agenda).
Toute modification de cette liste est notifiée au professionnel, qui peut émettre des objections légitimes.
6. Transferts hors UE
Les données sont hébergées dans l’Union européenne. Lorsque certains prestataires (hébergement applicatif, e-mails) impliquent un transfert hors UE, celui-ci est encadré par des clauses contractuelles types. [À COMPLÉTER : vérifier les DPA de Vercel et Resend et référencer les mécanismes de transfert exacts.]
7. Obligations du professionnel (responsable de traitement)
- Disposer d’une base légale pour ses traitements et informer ses clients (la politique de confidentialité d’Daytio contribue à cette information) ;
- Répondre aux demandes d’exercice des droits de ses clients — la plateforme lui permet notamment de rectifier et de supprimer une fiche client à tout moment ;
- Ne pas saisir de données sensibles ou non pertinentes.
8. Durée de conservation
Sauf instruction contraire du professionnel, les fiches clients inactives sont anonymisées automatiquement 36 mois après le dernier rendez-vous (voir la politique de confidentialité).
9. Audit
Daytio met à disposition les informations nécessaires pour démontrer le respect du présent accord et permet, à des conditions raisonnables (fréquence, préavis, confidentialité), les audits requis par la réglementation.