Accord de sous-traitance (DPA)
Data Processing Agreement — Article 28 du RGPD
Dernière mise à jour : 13 mars 2026
1. Objet et durée du traitement
Le présent accord définit les obligations de PicAgent (ci-après « le sous-traitant ») et du photographe utilisateur (ci-après « le responsable du traitement ») concernant le traitement des données personnelles des clients finaux du photographe.
Le traitement débute lors de la création du compte PicAgent et dure aussi longtemps que le photographe utilise le service. À la suppression du compte, les données sont supprimées conformément à la politique de confidentialité (dans un délai de 30 jours), à l'exception des données de facturation conservées 10 ans.
2. Nature et finalité du traitement
PicAgent fournit un logiciel de gestion (ERP) en mode SaaS destiné aux photographes professionnels. Dans ce cadre, PicAgent héberge et traite les données que le photographe saisit dans le service pour les finalités suivantes :
- Hébergement et stockage des données (base de données, fichiers)
- Gestion des fiches clients du photographe
- Génération et envoi de documents (devis, factures, contrats)
- Envoi d'emails au nom du photographe
- Hébergement de galeries photos accessibles aux clients finaux
- Hébergement de questionnaires et formulaires de réservation
3. Types de données traitées
Les données personnelles des clients finaux traitées par PicAgent pour le compte du photographe comprennent :
- Nom et prénom
- Adresse email
- Numéro de téléphone
- Adresse postale
- Photos (galeries)
- Réponses aux questionnaires
- Historique des échanges email
4. Catégories de personnes concernées
Les personnes concernées sont les clients des photographes utilisant PicAgent (clients finaux ayant fait appel aux services du photographe).
5. Obligations de PicAgent (sous-traitant)
PicAgent s'engage à :
- Traiter les données uniquement sur instruction documentée du responsable du traitement (le photographe), sauf obligation légale
- Garantir la confidentialité des données — le personnel ayant accès aux données est soumis à une obligation de confidentialité
- Mettre en œuvre les mesures techniques et organisationnelles appropriées pour assurer la sécurité des données (voir Annexe B)
- Respecter les conditions de recours aux sous-traitants ultérieurs (voir section 7)
- Aider le responsable du traitement à répondre aux demandes d'exercice des droits des personnes concernées (accès, rectification, effacement, portabilité)
- Notifier le responsable du traitement dans les meilleurs délais (et au plus tard 72 heures) en cas de violation de données personnelles
- Supprimer ou restituer les données à la fin du contrat, selon le choix du responsable du traitement ; un export CSV de certaines données est disponible depuis l'interface, et un export complémentaire peut être fourni sur demande raisonnable
- Mettre à disposition du responsable du traitement les informations nécessaires pour démontrer le respect des obligations du présent accord et permettre la réalisation d'audits (voir section 9)
6. Obligations du photographe (responsable du traitement)
Le photographe s'engage à :
- S'assurer de la licéité du traitement des données de ses clients finaux
- Informer ses clients finaux du traitement de leurs données par PicAgent en tant que sous-traitant
- Donner des instructions documentées conformes à la réglementation en vigueur
- Superviser le traitement effectué par PicAgent et signaler toute anomalie
7. Sous-traitants ultérieurs
Le responsable du traitement donne à PicAgent une autorisation générale écrite de recourir à des sous-traitants ultérieurs pour l'exécution du service. La liste des sous-traitants ultérieurs actuels figure en Annexe A.
En cas de modification de la liste des sous-traitants ultérieurs (ajout ou remplacement), PicAgent informera le responsable du traitement par email au moins 30 jours avant la mise en œuvre du changement. Le responsable du traitement dispose de ce délai pour émettre une opposition écrite, motivée et fondée sur des raisons sérieuses liées à la protection des données, à l'adresse contact@picagent.fr.
En cas d'opposition justifiée, PicAgent s'efforcera de proposer une solution alternative raisonnable. Si aucune solution n'est trouvée dans un délai de 30 jours suivant l'opposition, le responsable du traitement pourra résilier le contrat sans pénalité.
8. Transferts hors UE
Certains sous-traitants ultérieurs sont situés en dehors de l'Union européenne. Les transferts de données sont encadrés par les clauses contractuelles types (CCT) adoptées par la Commission européenne, conformément à l'article 46.2.c du RGPD. Le détail par sous-traitant figure en Annexe A.
9. Audits
PicAgent met à la disposition du responsable du traitement les informations raisonnablement nécessaires pour démontrer le respect du présent accord.
Sous réserve d'un préavis écrit d'au moins trente (30) jours, et au maximum une fois par période de douze (12) mois sauf incident de sécurité ou exigence réglementaire particulière, le responsable du traitement peut demander la réalisation d'un audit documentaire portant sur les obligations de protection des données couvertes par le présent accord.
Tout audit sur site devra être justifié par un motif sérieux, être réalisé pendant les heures ouvrées, sans perturber excessivement l'activité de PicAgent, et sous réserve d'un engagement de confidentialité approprié.
Les frais d'audit sont supportés par le responsable du traitement, sauf manquement grave démontré de PicAgent.
10. Droit applicable
Le présent accord est régi par le droit français et le Règlement Général sur la Protection des Données (RGPD — Règlement UE 2016/679).
Annexe A — Liste des sous-traitants ultérieurs
| Sous-traitant | Finalité | Localisation | Garanties transfert |
|---|---|---|---|
| Supabase Pte. Ltd. | Base de données, authentification, stockage fichiers | UE (Francfort) | — |
| Vercel Inc. | Hébergement application | UE / USA | CCT |
| Stripe Inc. | Traitement des paiements | UE / USA | CCT, PCI-DSS |
| Resend Inc. | Envoi d'emails transactionnels | USA | CCT |
| PostHog Inc. | Analytics comportementales | UE (Francfort) | — |
| Sentry (Functional Software Inc.) | Monitoring des erreurs | UE | — |
| Anthropic PBC | Fournisseur IA (assistant, extraction) | USA | CCT |
| OpenAI Inc. | Fournisseur IA alternatif | USA | CCT |
| Mistral AI SAS | Fournisseur IA alternatif | UE (France) | — |
CCT = Clauses contractuelles types de la Commission européenne (article 46.2.c du RGPD).
Annexe B — Mesures techniques et organisationnelles de sécurité
- Chiffrement en transit : toutes les communications sont chiffrées via HTTPS/TLS
- Chiffrement au repos : AES-256-GCM pour les données sensibles (tokens Telegram, URLs calendriers externes)
- Hachage : bcrypt pour les données d'authentification sensibles (portail client)
- Isolation des données : filtrage systématique par photographerId sur toutes les requêtes (multi-tenant), RLS Supabase en complément
- Contrôle d'accès : authentification par lien magique (magic link), session tokens Supabase, clés API avec scopes (read/write)
- Headers de sécurité : Content-Security-Policy (CSP), HSTS, X-Frame-Options, X-Content-Type-Options
- Rate limiting : protection contre les abus sur toutes les API publiques
- Monitoring : Sentry pour la détection des erreurs avec PII scrubbing actif (emails masqués, IP supprimées, headers sensibles retirés)
- Sauvegardes : sauvegardes automatiques de la base de données par Supabase (point-in-time recovery)
- Journalisation : logs d'accès et d'erreurs conservés 12 mois maximum