Accord de traitement des données (DPA)
Derniere mise a jour : 14 février 2026
Le présent Accord de Traitement des Données (ci-après « DPA ») complète les Conditions Générales d'Utilisation et définit les obligations de Valier Technologies SAS en tant que sous-traitant des données personnelles traitées pour le compte du Client.
1. Définitions
- Responsable du traitement : le Client, qui détermine les finalités et les moyens du traitement des données personnelles
- Sous-traitant : Valier Technologies SAS, qui traite les données personnelles pour le compte du Client
- Données personnelles : toute information relative à une personne physique identifiée ou identifiable, au sens de l'article 4 du RGPD
- Violation de données : toute violation de sécurité entraînant la destruction, la perte, l'altération ou la divulgation non autorisée de données personnelles
2. Objet et portée
Le présent DPA s'applique à l'ensemble des traitements de données personnelles effectués par FleetManager Max dans le cadre de la fourniture du service SaaS de gestion de flotte automobile. Les catégories de données et de personnes concernées sont détaillées en Annexe A.
3. Obligations du sous-traitant
FleetManager Max s'engage à :
- Traiter les données personnelles uniquement sur instruction documentée du Client
- Veiller à ce que les personnes autorisées à traiter les données soient soumises à une obligation de confidentialité
- Mettre en œuvre les mesures techniques et organisationnelles appropriées (article 32 du RGPD)
- Ne pas faire appel à un autre sous-traitant sans l'autorisation préalable écrite du Client
- Assister le Client dans l'exécution des demandes d'exercice des droits des personnes concernées
- Notifier le Client de toute violation de données dans un délai de 72 heures
4. Mesures de sécurité
FleetManager Max met en œuvre les mesures de sécurité suivantes :
- Chiffrement : TLS 1.3 en transit, AES-256 au repos
- Contrôle d'accès : RBAC multi-niveaux avec isolation tenant stricte
- Isolation des données : architecture multi-tenant avec séparation logique par org_id et tenant_id
- Journalisation : audit trail complet de tous les accès et modifications
- Sauvegardes : sauvegardes chiffrées quotidiennes avec rétention de 30 jours
- Tests de sécurité : audits réguliers et tests de pénétration
5. Sous-traitance ultérieure
FleetManager Max tient à jour la liste des sous-traitants ultérieurs. Le Client est informé de tout ajout ou changement de sous-traitant avec un préavis de 30 jours. En cas d'objection fondée, le Client peut résilier le contrat sans pénalité.
6. Transferts internationaux
Les données personnelles sont hébergées dans l'Union Européenne. Tout transfert vers un pays tiers est encadré par des clauses contractuelles types approuvées par la Commission Européenne (décision d'exécution 2021/914) ou par une décision d'adéquation.
7. Assistance au Client
FleetManager Max assiste le Client pour :
- Répondre aux demandes d'exercice des droits des personnes concernées
- Réaliser les analyses d'impact relatives à la protection des données (AIPD)
- Notifier les violations de données à l'autorité de contrôle
- Assurer la conformité avec les articles 32 à 36 du RGPD
8. Audit
Le Client dispose d'un droit d'audit sur les traitements réalisés par FleetManager Max. Les audits sont réalisés avec un préavis de 30 jours, pendant les heures ouvrables, et ne doivent pas perturber le fonctionnement du service. FleetManager Max peut proposer un rapport d'audit indépendant en alternative.
9. Restitution et suppression des données
À la fin du contrat, le Client dispose d'un délai de 30 jours pour exporter ses données via l'API ou l'interface d'export. Passé ce délai, FleetManager Max supprime l'ensemble des données personnelles et certifie la suppression par écrit, sauf obligation légale de conservation.
10. Responsabilité
Chaque partie est responsable des dommages causés par un traitement qui ne respecte pas les obligations du RGPD ou du présent DPA. La responsabilité financière du sous-traitant est limitée conformément aux conditions du contrat principal.
11. Annexe A — Catégories de données
| Catégorie | Types de données | Personnes concernées |
|---|---|---|
| Identification | Nom, prénom, email, téléphone | Conducteurs, gestionnaires |
| Professionnel | Numéro de permis, date d'expiration, affectation véhicule | Conducteurs |
| Télématique | Position GPS, vitesse, consommation | Conducteurs (via véhicule) |
| Sinistres | Circonstances, constat, photos, expert | Conducteurs, tiers |
| Infractions | PV, date, montant, désignation | Conducteurs |