YelloowPlan

Contrat de sous-traitance des données (DPA)

En vigueur depuis le 15 mai 2026 — annexe au contrat principal

Le présent contrat de sous-traitance (« DPA ») est conclu en application de l'article 28 du Règlement (UE) 2016/679 (« RGPD ») entre :

  • Yelloow SAS, en qualité de sous-traitant (ci-après « l'Éditeur »), et
  • Le Client ayant souscrit au Service YelloowPlan, en qualité de responsable de traitement (ci-après « le Client »).

Le DPA fait partie intégrante des conditions générales de vente. En cas de contradiction avec ces dernières concernant la protection des données personnelles, le DPA prévaut.

1. Objet

Dans le cadre du Service, l'Éditeur traite des données personnelles pour le compte du Client. Le présent DPA précise les obligations respectives des parties au titre du RGPD.

2. Description du traitement

  • Nature et finalité : hébergement et traitement des données saisies par le Client dans le Service (planification, gestion d'équipes, suivi terrain).
  • Durée : pendant toute la durée du contrat, prolongée de 90 jours pour la phase de réversibilité, puis suppression (cf. CGV § 11).
  • Catégories de personnes concernées : salariés du Client, clients finaux du Client, prestataires et fournisseurs, contacts opérationnels.
  • Catégories de données : identification, contact, contrat de travail, plannings, géolocalisation, photos terrain, signatures, audit logs. Aucune donnée sensible au sens de l'article 9 du RGPD n'est traitée par défaut. Si le Client saisit volontairement de telles données, il en assume la responsabilité au titre de l'article 9.

3. Obligations de l'Éditeur

L'Éditeur s'engage à :

  • Traiter les données uniquement sur instruction documentée du Client, sauf obligation légale particulière ;
  • Garantir la confidentialité des données par la signature d'engagements individuels avec ses collaborateurs habilités ;
  • Mettre en œuvre les mesures techniques et organisationnelles décrites dans la politique de confidentialité § 5 (chiffrement, RLS, sauvegardes, contrôle d'accès, audit) ;
  • Aider le Client à répondre aux demandes d'exercice des droits des personnes concernées dans un délai raisonnable ;
  • Notifier le Client sans retard injustifié et au plus tard sous 48 heures après en avoir pris connaissance, en cas de violation de données personnelles. La notification précise la nature, le volume estimé, les conséquences probables et les mesures prises ;
  • Mettre à disposition du Client, à sa demande, toute information utile pour démontrer le respect des obligations RGPD (registre des traitements, attestations de conformité des sous-traitants, audits) ;
  • Permettre la réalisation d'audits, dans la limite d'une demande par an, avec un préavis raisonnable et dans le respect de la confidentialité due aux autres clients.

4. Obligations du Client

Le Client s'engage à :

  • Disposer d'une base légale valable pour les traitements qu'il opère via le Service ;
  • Informer les personnes concernées dans les conditions des articles 12 à 14 du RGPD ;
  • Configurer les paramètres de durée de conservation appropriés à son contexte et à ses obligations légales ;
  • S'abstenir de saisir des données dont le traitement est expressément exclu par le Service ou par la législation applicable.

5. Sous-traitants ultérieurs

Le Client autorise l'Éditeur à faire appel aux sous-traitants ultérieurs listés ci-dessous, dans le cadre du Service :

  • Supabase Inc.Base de données PostgreSQL, authentification, stockage de fichiers. Localisation : Singapour (siège) — données hébergées en UE (Paris, France).
  • Vercel Inc.Hébergement et exécution de l'application web. Localisation : États-Unis — edge networks mondiaux.
  • Stripe Payments Europe LtdTraitement des paiements par carte bancaire. Localisation : Irlande (UE).
  • Resend Inc.Envoi des emails transactionnels (magic link, notifications). Localisation : États-Unis.
  • Sentry (Functional Software, Inc.)Suivi des erreurs applicatives (logs techniques). Localisation : États-Unis.
  • PostHog Inc.Mesure d'audience produit (events anonymisés). Localisation : États-Unis — option self-hosted UE disponible.
  • Inngest Inc.Exécution de jobs asynchrones (rappels, crons applicatifs). Localisation : États-Unis.

L'Éditeur impose à chaque sous-traitant ultérieur les mêmes obligations de protection des données que celles du présent DPA. Tout ajout ou remplacement de sous-traitant est notifié au Client par email au moins 30 jours avant sa mise en œuvre. Le Client peut s'y opposer pour des motifs légitimes liés à la protection des données ; à défaut d'accord, le contrat peut être résilié de plein droit sans indemnité.

6. Transferts hors UE

Les transferts éventuels hors Union européenne sont encadrés par les clauses contractuelles types de la Commission européenne (décision 2021/914) et, le cas échéant, par l'adhésion au EU-U.S. Data Privacy Framework.

7. Sort des données à la fin de la prestation

À l'expiration du contrat principal, et après la phase de réversibilité décrite dans les CGV § 11, l'Éditeur supprime de manière irréversible l'ensemble des données personnelles traitées pour le compte du Client, hors obligation légale de conservation. Les sauvegardes incrémentales sont écrasées par rotation dans un délai maximal de 35 jours.

8. Responsabilité et indemnisation

Chaque partie est responsable des dommages causés par un traitement non conforme au RGPD, dans les conditions prévues par l'article 82 du RGPD. La répartition de la responsabilité entre l'Éditeur et le Client suit la part respective de chacun dans la survenance du dommage.

9. Droit applicable et juridiction

Le présent DPA est soumis au droit français. Tout litige relatif à son application relève de la compétence exclusive des tribunaux du ressort du siège social de l'Éditeur.

10. Contact

Toute correspondance relative au présent DPA doit être adressée à privacy@yelloowplan.com.