SSquadra
NoticeEste documento solo es jurídicamente vinculante en su versión francesa. No se proporciona una traducción de cortesía; consulte el texto en francés a continuación o póngase en contacto con nosotros.

Document légal

Accord de traitement des données (DPA)

Version 1.1 · en vigueur depuis le 18 avril 2026

Annexe aux Conditions Générales de Vente— conclu conformément à l'article 28 du Règlement (UE) 2016/679 (RGPD).

1. Objet

Le présent Accord de traitement des données (« DPA ») encadre les traitements de données à caractère personnel opérés par LE PETIT LUNETIER (ci-après le « Sous-traitant »), éditeur du service Squadra Planning, pour le compte du Client (ci-après le « Responsable du traitement») dans le cadre de l'exécution des CGV.

En cas de contradiction entre le présent DPA et les CGV sur les seules dispositions relatives à la protection des données, le présent DPA prévaut.

2. Qualification des parties

Le Client agit en qualité de responsable du traitementau sens de l'article 4, §7 du RGPD. Il détermine seul les finalités et les moyens du traitement des données personnelles traitées via le Service (notamment les données de ses salariés et utilisateurs).

Squadra Planning agit en qualité de sous-traitantau sens de l'article 4, §8 du RGPD. Il traite les données uniquement pour le compte et sur instructions documentées du Responsable du traitement.

3. Nature, finalités et durée du traitement

Finalités : fourniture des fonctionnalités du Service (planification, pointage, gestion des temps, calcul de paie, export comptable, gestion des absences, tickets restaurant, intégrations tierces).

Nature des opérations : collecte, enregistrement, organisation, structuration, conservation, consultation, modification, extraction, communication par transmission, suppression.

Durée : pendant toute la durée du contrat, et conformément à l'article 10 du présent DPA.

4. Catégories de données et de personnes concernées

Catégories de personnes concernées : salariés, gérants, managers, utilisateurs du Client, et toute personne enregistrée dans les outils de pointage / planning.

Catégories de données traitées :

  • Données d'identification : nom, prénom, email professionnel, code PIN, photographie éventuelle.
  • Données professionnelles : fonction, contrat (heures hebdomadaires, type), rattachement magasin, rôle applicatif.
  • Données de pointage : horaires d'entrée / sortie, géolocalisation lors du pointage (si activée), photo de vérification (si activée).
  • Données de planification : plannings, congés, absences, motifs.
  • Données techniques : logs de connexion, adresses IP, identifiant de session, user-agent (pour sécurité et audit).

Le Service n'est pas conçupour traiter des catégories particulières de données au sens de l'article 9 RGPD (données de santé, origine raciale ou ethnique, opinions politiques, etc.). Le Client s'interdit d'en saisir.

5. Obligations du Sous-traitant

Conformément à l'article 28 RGPD, le Sous-traitant s'engage à :

  • traiter les données uniquement sur instruction documentée du Responsable du traitement, sauf obligation légale contraire ;
  • garantir que les personnes autorisées à traiter les données sont soumises à une obligation de confidentialité ;
  • mettre en œuvre les mesures techniques et organisationnelles décrites à l'article 8 ;
  • assister le Responsable du traitement pour répondre aux demandes d'exercice de droits des personnes concernées (articles 12 à 23 RGPD) ;
  • aider le Responsable du traitement à se conformer à ses obligations de sécurité, notification de violation et analyse d'impact (articles 32 à 36 RGPD) ;
  • notifier toute violation de données à caractère personnel dans les meilleurs délais et au plus tard 72 heures après en avoir pris connaissance ;
  • mettre à disposition toute information nécessaire pour démontrer sa conformité et, le cas échéant, permettre la réalisation d'audits.

6. Obligations du Responsable du traitement

Le Client s'engage à :

  • ne transmettre au Sous-traitant que les données nécessaires à l'exécution du Service (principe de minimisation) ;
  • disposer d'une base légale valide pour le traitement (exécution du contrat de travail, intérêt légitime, consentement…) ;
  • informer ses Utilisateurs (salariés notamment) du traitement de leurs données via le Service, conformément aux articles 13 et 14 RGPD ;
  • consulter, le cas échéant, ses instances représentatives du personnel (comité social et économique) avant mise en place du pointage biométrique ou géolocalisé ;
  • ne saisir aucune catégorie particulière de données au sens de l'article 9 RGPD.

7. Sous-traitants ultérieurs

Le Client autorise le Sous-traitant à faire appel aux sous-traitants ultérieurs suivants :

  • Supabase Inc. (hébergement base de données + authentification) — serveurs UE.
  • Vercel Inc. (hébergement applicatif / CDN) — régions UE (fra1) privilégiées.
  • Stripe Payments Europe Ltd. (paiement des abonnements) — siège social Dublin, Irlande.
  • Resend (Drift.com, Inc.) (envoi d'emails transactionnels).
  • Google LLC (mesure d'audience anonymisée — Google Analytics 4) — données IP anonymisées.

Toute modification de cette liste sera notifiée au Client, qui disposera de 30 jours pour s'y opposer. En cas d'opposition, le Client pourra résilier le contrat sans frais si aucune alternative n'est proposée.

Le Sous-traitant impose à ses sous-traitants ultérieurs les mêmes obligations de protection des données que celles stipulées au présent DPA.

8. Mesures techniques et organisationnelles

Le Sous-traitant met en œuvre notamment :

  • chiffrement des données en transit (TLS 1.2+) et au repos (AES-256) ;
  • cloisonnement multi-tenant au niveau base de données (RLS PostgreSQL + filtre org_id) ;
  • authentification forte (mot de passe 8 caractères minimum, hashé via bcrypt) ;
  • gestion granulaire des rôles (ADMIN, RH, MANAGER, EMPLOYE, etc.) ;
  • journalisation des événements sensibles (audit_logs) ;
  • sauvegardes automatiques quotidiennes de la base de données ;
  • politique de mots de passe et gestion des accès administratifs via MFA ;
  • procédure documentée de gestion des violations de données.

9. Transferts hors UE

Les données sont hébergées principalement dans l'Union européenne. Certains sous-traitants ultérieurs (Stripe, Google, Resend, Vercel) peuvent, dans des cas limités, transférer des données vers les États-Unis ; dans ce cas, les transferts sont encadrés par les Clauses Contractuelles Types de la Commission européenne (décision 2021/914) et/ou le Data Privacy Framework.

10. Restitution et suppression des données

À l'expiration du contrat, quelle qu'en soit la cause, le Sous-traitant met à disposition du Responsable du traitement, pendant une durée de 30 jours, un export des données. Passé ce délai, les données sont effacées définitivement des systèmes de production dans un délai maximum de 30 jours, puis des sauvegardes dans un délai maximum de 90 jours, sauf obligation légale de conservation.

11. Audit

Le Responsable du traitement peut demander, à ses frais et avec un préavis écrit de 30 jours ouvrés, la communication des documents attestant de la conformité du Sous-traitant (politiques de sécurité, rapports d'audit). Une clause de confidentialité pourra être exigée préalablement. Les audits sur site sont exclus sauf obligation réglementaire impérieuse.

12. Responsabilité

La responsabilité du Sous-traitant au titre du présent DPA est soumise aux mêmes plafonds que ceux prévus à l'article 14 des CGV, à l'exclusion des dommages indirects.

13. Contact

Pour toute question relative au traitement des données : contact@squadraplanning.com.

Le présent DPA forme une annexe indissociable des Conditions Générales de Vente. Sa signature ou son acceptation électronique vaut acceptation par le Client au sens de l'article 28 RGPD.