Accord de sous-traitance (DPA)
Article 28 du RGPD — traitement des données des clients du Pro
Édité par Cfixé SAS — Dernière mise à jour : 16 juin 2026
Le présent Accord de sous-traitance (« DPA ») est conclu entre le professionnel abonné à Propelsia (« le Responsable de traitement » ou « Pro ») et Cfixé SAS, éditrice de la Solution Propelsia (« le Sous-traitant » ou « Cfixé »). Il fait partie intégrante du contrat d’abonnement et précise les conditions dans lesquelles Cfixé traite, pour le compte du Pro, les données personnelles de ses clients, conformément à l’article 28 du Règlement (UE) 2016/679 (« RGPD »).
1. Objet et rôles
Dans le cadre de l’utilisation de la Solution, le Pro confie à Cfixé le traitement de données personnelles dont il définit les finalités et les moyens. Le Pro agit en qualité de responsable de traitement et Cfixé en qualité de sous-traitant. Pour les données que Cfixé collecte pour ses propres besoins (gestion du compte, facturation), elle agit en responsable de traitement, dans les conditions de la Politique de confidentialité.
2. Périmètre du traitement
Le traitement couvre l’ensemble des opérations réalisées par Cfixé via la Solution pour le compte du Pro, notamment : la création et l’hébergement de son site, la prise de rendez-vous et la gestion des réservations, la gestion de la clientèle (CRM), les campagnes email et SMS, et l’assistance par l’agent IA Pulse. Il inclut expressément les opérations de paramétrage, de migration et de saisie de données que Cfixé réalise pour le compte du Pro (par exemple la construction de son site, l’import de ses fiches clients ou la mise en place de ses réservations), réalisées sur la base de ses instructions. La description détaillée figure à l’Annexe 1.
3. Instructions documentées
Cfixé ne traite les données que sur instructions documentées du Pro, telles que matérialisées par l’utilisation des fonctionnalités de la Solution, le contrat et le présent DPA. Cfixé informe le Pro si une instruction lui paraît constituer une violation du RGPD. Cfixé n’utilise pas ces données à ses propres fins, à l’exception du contrôle de la qualité, de la sécurité et de l’amélioration du service Pulse (notamment la revue et l’analyse des interactions), ce que le Pro autorise expressément. Les données ne sont pas transmises à des fournisseurs d’IA tiers pour entraîner leurs modèles.
4. Confidentialité
Cfixé veille à ce que les personnes autorisées à traiter les données s’engagent à la confidentialité et reçoivent la formation nécessaire.
5. Sécurité
Cfixé met en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque (article 32 RGPD). Ces mesures figurent à l’Annexe 2.
6. Sous-traitants ultérieurs
Le Pro autorise Cfixé à recourir à des sous-traitants ultérieurs pour l’exécution du service. La liste figure à l’Annexe 3. Cfixé impose à ces sous-traitants des obligations de protection équivalentes à celles du présent DPA et demeure responsable de leur exécution. En cas d’ajout ou de remplacement d’un sous-traitant ultérieur, Cfixé en informe le Pro par un moyen approprié ; le Pro dispose d’un délai raisonnable pour s’y opposer pour un motif légitime relatif à la protection des données.
7. Assistance du sous-traitant
Compte tenu de la nature du traitement, Cfixé aide le Pro, dans la mesure du possible : (i) à répondre aux demandes d’exercice des droits des personnes concernées ; (ii) à assurer la sécurité, la notification des violations et, le cas échéant, la réalisation d’analyses d’impact (AIPD) et la consultation préalable de l’autorité de contrôle.
8. Violation de données
Cfixé notifie au Pro toute violation de données personnelles la concernant dans les meilleurs délais après en avoir pris connaissance, en fournissant les informations utiles pour permettre au Pro de respecter ses propres obligations de notification à la CNIL et, le cas échéant, aux personnes concernées.
9. Sort des données en fin de contrat
Au terme de la prestation, et selon le choix du Pro, Cfixé restitue les données (export depuis la Solution) ou les supprime, ainsi que les copies existantes, dans un délai de 30 jours, sauf obligation légale de conservation. Les modalités de réversibilité figurent dans les CGV.
10. Audit
Cfixé met à la disposition du Pro les informations nécessaires pour démontrer le respect de l’article 28 du RGPD et permet la réalisation d’audits, y compris des inspections, par le Pro ou un auditeur mandaté, dans des conditions raisonnables (préavis, confidentialité, sans perturber l’exploitation et la sécurité).
11. Transferts hors Union européenne
Les données sont hébergées en France. Tout transfert éventuel vers un pays tiers est encadré par des garanties appropriées au sens du RGPD (décision d’adéquation ou clauses contractuelles types).
12. Responsabilité et durée
Chaque partie répond des dommages causés par un traitement qui ne respecte pas les obligations du RGPD lui incombant. Le présent DPA s’applique pendant toute la durée du traitement réalisé par Cfixé pour le compte du Pro.
Annexe 1 — Description du traitement
Article 28.3 RGPD
- Nature du traitement
- Collecte, enregistrement, organisation, structuration, conservation, consultation, modification, extraction et effacement — y compris paramétrage, migration et saisie de données réalisés par Cfixé pour le compte du Pro, et actions de l’agent IA Pulse.
- Finalités
- Fourniture des fonctionnalités de la Solution au bénéfice du Pro : site, réservation, CRM, campagnes email/SMS, assistance IA.
- Durée
- Durée du contrat d’abonnement, puis restitution ou suppression (article 9).
- Catégories de personnes
- Clients et prospects du Pro ; membres de l’équipe du Pro.
- Catégories de données
- Identité (nom, prénom), coordonnées (email, téléphone, adresse postale), données de rendez-vous et de réservation, historique et préférences, contenu des échanges. Aucune donnée sensible n’est requise ; le Pro s’abstient d’en saisir, sauf à en assumer seul la responsabilité et la base légale.
Annexe 2 — Mesures de sécurité
Article 32 RGPD
Cfixé met en œuvre notamment les mesures suivantes :
- hébergement en France auprès d’un prestataire qualifié (datacenters sécurisés) ;
- chiffrement des mots de passe et des flux (HTTPS/TLS) ;
- gestion des habilitations et contrôle des accès selon le besoin d’en connaître ;
- journalisation et traçabilité des accès et opérations sensibles ;
- sauvegardes régulières et procédures de restauration ;
- cloisonnement des environnements et mises à jour de sécurité ;
- recours à des fournisseurs d’IA encadrés par contrat, sans transmission des données pour l’entraînement de modèles tiers ; l’analyse des interactions avec Pulse est limitée au contrôle qualité, à la sécurité et à l’amélioration du service.
Annexe 3 — Sous-traitants ultérieurs
Liste tenue à jour par Cfixé
| Sous-traitant | Rôle | Localisation / garanties |
|---|---|---|
| Nubevia Sophia SAS | Hébergement de la Solution et des données | France (Valbonne) |
| Fournisseur(s) d’IA | Traitement par l’IA (Pulse) | Garanties contractuelles — pas d’entraînement |
| Prestataires emailing & SMS | Envoi des emails et SMS | Union européenne |
| Synchronisation fiche Business Profile et agenda | UE / USA — CCT | |
| Prestataire de paiement | Encaissement pour le compte du Pro | Selon le prestataire choisi par le Pro |
La liste nominative et à jour des sous-traitants ultérieurs est communiquée au Pro sur simple demande à hello@propelsia.com.