Accord de sous-traitance
des données (DPA)
Le présent accord encadre, conformément à l'article 28 du RGPD, le traitement que KFR Tech (« le Sous-traitant ») réalise pour le compte de l'utilisateur du service Au Rapport (« le Responsable de traitement ») sur les données de tiers que celui-ci confie au service. Il fait partie intégrante des CGU/CGVet est accepté en même temps qu'elles.
Version 1.0 — 10 juin 2026.
1. Objet, nature et finalité du traitement
Le Sous-traitant héberge, stocke, met en forme et restitue les données saisies par le Responsable de traitement dans le cadre de la production de rapports d'inspection par drone. Le traitement dure aussi longtemps que l'abonnement, augmenté de la période de récupération de 30 jours.
2. Types de données et personnes concernées
Données traitées : identité et coordonnées des clients finaux du Responsable de traitement, adresses des sites inspectés, photographies aériennes (pouvant incidemment contenir des personnes, véhicules ou propriétés), contenus des rapports. Personnes concernées : clients finaux du Responsable de traitement, occupants ou tiers apparaissant incidemment sur les prises de vue.
3. Instructions documentées
Le Sous-traitant ne traite les données que sur instruction documentée du Responsable de traitement — en pratique, les actions effectuées via l'application (création, modification, génération, suppression de rapports) constituent ces instructions. Il informe le Responsable de traitement si une instruction lui paraît contraire au RGPD.
4. Confidentialité et sécurité (art. 32)
Le Sous-traitant met en œuvre les mesures techniques et organisationnelles appropriées : chiffrement des échanges (TLS), hachage des mots de passe (scrypt), cloisonnement strict des données par compte, authentification forte de l'administration (passkeys WebAuthn), journalisation des actions d'administration, sauvegardes gérées par l'hébergeur de base de données. Toute personne autorisée à traiter les données est tenue à la confidentialité.
5. Sous-traitants ultérieurs
Le Responsable de traitement autorise de manière générale le recours aux sous-traitants ultérieurs listés ci-dessous. Toute modification de cette liste est publiée sur la présente page et notifiée aux utilisateurs actifs, qui disposent de 30 jours pour émettre une objection légitime — l'objection persistante ouvrant droit à résiliation.
| Prestataire | Rôle | Localisation | Garanties de transfert |
|---|---|---|---|
| Vercel Inc. | Hébergement de l’application | États-Unis (déploiement région UE) | Clauses contractuelles types (CCT) |
| Neon Inc. | Base de données PostgreSQL | Union européenne | Hébergement UE |
| Cloudflare Inc. | Stockage des photos et PDF (R2) | États-Unis (stockage configurable) | Clauses contractuelles types (CCT) |
| Stripe Payments Europe | Traitement des paiements | Irlande (UE) | Entité UE, PCI-DSS |
| Resend Inc. | Envoi d’emails transactionnels | États-Unis | Clauses contractuelles types (CCT) |
| PostHog Inc. | Mesure d’audience (après consentement) | Instance Cloud EU (Allemagne) | Hébergement UE |
6. Assistance au Responsable de traitement
Le Sous-traitant assiste le Responsable de traitement, dans la mesure du possible, pour répondre aux demandes d'exercice des droits des personnes concernées (accès, rectification, effacement, portabilité), ainsi que pour ses obligations en matière de sécurité, de notification de violation et, le cas échéant, d'analyse d'impact.
7. Notification des violations de données
Le Sous-traitant notifie au Responsable de traitement toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance, avec les informations nécessaires à la notification éventuelle à la CNIL (sous 72 h) et aux personnes concernées.
8. Sort des données en fin de contrat
À l'issue de la période de récupération de 30 jours suivant la résiliation, le Sous-traitant supprime les rapports, photos et données de clients finaux. Les données que la loi impose de conserver (facturation) sont gardées pour la durée légale, puis supprimées.
9. Audits
Le Sous-traitant met à disposition les informations nécessaires pour démontrer le respect du présent accord. Le Responsable de traitement peut, au plus une fois par an et moyennant un préavis de 30 jours, mener ou faire mener un audit documentaire, à ses frais et sans perturber le service.