Contrat de sous-traitance des donnees (DPA)

Article 28 RGPD - Idelia Technologies / IDELIA

Version 2026-06-04 (projet) - Mise a jour : 4 juin 2026

Ce document est une version de travail en cours de validation juridique. Il sera remplace par la version definitive validee avant tout traitement reel de donnees de clientele a grande echelle ; le mecanisme d'acceptation et son horodatage restent valables, seule la redaction sera affinee.

Le present contrat encadre, au sens de l'article 28 du RGPD, le traitement par Idelia (sous-traitant) des donnees personnelles dont le salon (responsable de traitement) determine les finalites et les moyens.

1. Roles des parties

Le salon est responsable de traitement des donnees de sa clientele. Idelia agit comme sous-traitant : Idelia ne traite ces donnees que pour fournir ses services (consultation morpho-coiffure, fiches clientes, recommandations, reprise de base client), sur instruction documentee du salon.

Idelia reste par ailleurs responsable de traitement pour ses propres finalites (gestion du compte salon, facturation, securite), decrites dans la Politique de confidentialite.

2. Objet, duree, nature et finalite

Objet : la fourniture des services Idelia au salon. Duree : celle de la relation contractuelle. Nature et finalite : enregistrement et structuration des donnees de consultation et des fiches clientes, generation de recommandations et, le cas echeant, reprise de la base client existante du salon.

3. Categories de donnees et de personnes

  • personnes concernees : la clientele du salon ;
  • donnees d'identification et de contact (nom, prenom, telephone, e-mail) ;
  • donnees capillaires et de diagnostic (nature du cheveu, historique technique, formules) ;
  • le cas echeant, donnees pouvant relever de categories particulieres (indications liees a la sante capillaire, photographies), que le salon ne renseigne que si necessaire et avec la base legale appropriee.

4. Obligations d'Idelia (article 28.3)

  • traiter les donnees uniquement sur instruction documentee du salon ;
  • garantir la confidentialite (personnel habilite et tenu a la confidentialite) ;
  • mettre en oeuvre des mesures de securite appropriees (article 32) ;
  • ne recourir a un sous-traitant ulterieur que dans les conditions de l'article 5 ci-dessous ;
  • aider le salon a repondre aux demandes d'exercice de droits de sa clientele ;
  • aider le salon en matiere de securite, de notification de violation et d'analyses d'impact ;
  • supprimer ou restituer les donnees en fin de contrat, selon le choix du salon ;
  • mettre a disposition les informations necessaires pour demontrer le respect de l'article 28 et permettre des audits.

5. Sous-traitants ulterieurs

Le salon autorise Idelia a recourir aux sous-traitants ulterieurs ci-dessous pour l'hebergement et la fourniture du service. Idelia informe le salon de tout changement et lui laisse la possibilite d'emettre des objections (bump de version du present contrat).

  • Scalingo (hebergement, France) ;
  • Cloudflare R2 (stockage d'images) ;
  • Resend (envoi d'e-mails) ;
  • Twilio (envoi de SMS) ;
  • Zoho (e-mailing et CRM) ;
  • Stripe (facturation du salon) ;
  • OpenAI et Google Gemini (services d'IA ; les donnees directement identifiantes sont minimisees avant tout envoi ; la reprise de base client ne transite pas par ces services) ;
  • Postmark (e-mails entrants).

6. Transferts hors Union europeenne

Lorsqu'un sous-traitant ulterieur traite des donnees hors de l'Union europeenne, Idelia veille a encadrer ces transferts par un mecanisme juridique approprie (par ex. clauses contractuelles types).

7. Securite

Idelia met en oeuvre des mesures techniques et organisationnelles appropriees : chiffrement en transit, controle des acces, journalisation, minimisation des donnees transmises a des tiers et sauvegardes.

8. Sort des donnees en fin de contrat

A la fin de la prestation, Idelia supprime ou restitue les donnees de clientele selon le choix du salon, sous reserve des obligations legales de conservation.

9. Responsabilite et droit applicable

Chaque partie repond de ses obligations au titre du RGPD. Le present contrat est regi par le droit francais. Pour toute question, vous pouvez ecrire a contact@idelia-mc.com.