Rectangle

Accord de traitement des données

Le Data Processing Agreement (DPA) définit la manière dont les données personnelles sont traitées entre le responsable du traitement et le sous-traitant conformément au RGPD.

Version : 2.0
Dernière mise à jour : 23/02/2026

 

1. Parties

Le présent Accord de Traitement des Données (« DPA ») fait partie intégrante du Contrat de Services conclu entre :

Responsable du traitement : Le client du secteur de l’hôtellerie utilisant PassportScan Cloud

Sous-traitant :
GlobeID Limited
The Black Church, St. Mary’s Place
Dublin 7, D07P4AX
Irlande
TVA : IE 3342103WH

Le Sous-traitant fournit les services PassportScan Cloud au Responsable du traitement.

 

2. Objet

Le présent DPA régit le traitement des Données à caractère personnel par le Sous-traitant pour le compte du Responsable du traitement conformément :

  • Au Règlement (UE) 2016/679 (RGPD)
  • Aux lois locales applicables en matière de protection des données

Le Sous-traitant traite les Données à caractère personnel uniquement sur instructions documentées du Responsable du traitement.

 

3. Nature et finalité du traitement

PassportScan Cloud permet :

  • L’enregistrement numérique des clients
  • La numérisation des documents d’identité et l’extraction OCR
  • La collecte des consentements
  • L’exportation réglementaire
  • L’intégration avec les PMS
  • L’achat de crédits et l’activation de comptes

Le traitement des paiements est assuré exclusivement par Stripe.

Le Sous-traitant ne détermine pas les finalités du traitement.

 

4. Catégories de personnes concernées

  • Clients de l’hôtel
  • Clients mineurs (lorsque la loi l’exige)
  • Titulaires de réservation
  • Utilisateurs membres du personnel de l’hôtel
  • Contacts de facturation

 

5. Catégories de Données à caractère personnel

Données d’identité

  • Prénom, nom
  • Date et lieu de naissance
  • Nationalité
  • Numéro de document d’identité
  • Type de document
  • Date d’expiration
  • Images des documents (si activé)
  • Images de signature
  • Métadonnées de consentement

Données techniques

  • Adresse IP
  • Métadonnées d’authentification
  • Métadonnées de l’appareil
  • Journaux (logs)

Métadonnées de paiement

  • ID de transaction
  • Statut du paiement
  • Montant
  • Devise
  • Email de facturation (le cas échéant)

Le Sous-traitant ne stocke ni ne traite :

  • Les numéros complets de carte bancaire
  • Les codes CVV
  • Les dates d’expiration des cartes

Les données de carte bancaire sont traitées exclusivement par Stripe.

 

6. Obligations du Sous-traitant

Le Sous-traitant s’engage à :

  • Traiter les Données à caractère personnel uniquement sur instructions documentées
  • Garantir la confidentialité
  • Mettre en œuvre des mesures techniques et organisationnelles appropriées
  • Assister le Responsable du traitement dans l’exercice des droits des personnes concernées
  • Notifier toute violation de données sans retard injustifié
  • Supprimer ou restituer les Données à caractère personnel à la fin du contrat

 

7. Mesures techniques et organisationnelles

Le Sous-traitant met en œuvre :

  • Une infrastructure hébergée sur AWS
  • Un déploiement Multi-AZ
  • Un chiffrement au niveau applicatif / champ par champ (Modèle B)
  • Un chiffrement AES-256 au repos
  • Un chiffrement TLS 1.2+ en transit
  • Un contrôle d’accès basé sur les rôles
  • La prise en charge du MFA
  • La journalisation et la surveillance
  • Des tests d’intrusion indépendants

 

8. Sous-traitants ultérieurs

Le Responsable du traitement autorise le Sous-traitant à engager des sous-traitants ultérieurs tels que listés dans le Registre public des sous-traitants.

Les catégories actuelles incluent :

  • Amazon Web Services (AWS) – Infrastructure Cloud
  • Clerk – Authentification
  • Datadog – Supervision
  • Google Workspace – Opérations internes
  • Stripe – Traitement des paiements

Le Sous-traitant veille à ce que les sous-traitants soient soumis à des obligations équivalentes au RGPD.

 

9. Sécurité du traitement (Article 32 RGPD)

Le Sous-traitant garantit des mesures de sécurité appropriées compte tenu :

  • De l’état de l’art
  • Des coûts de mise en œuvre
  • De la nature, de la portée, du contexte et des finalités du traitement
  • Du risque pour les droits et libertés des personnes physiques

Les mesures incluent le chiffrement, le contrôle d’accès, la résilience et la capacité de réponse aux incidents.

 

10. Localisation des données et transferts internationaux

10.1 Infrastructure principale

L’infrastructure principale de la plateforme, y compris les services applicatifs et les bases de données primaires, est hébergée exclusivement dans :

Amazon Web Services (AWS) – eu-west-1 (Irlande, Union européenne).

Aucune réplication interrégionale des bases de données principales n’est configurée.

10.2 Stockage régional des images de documents

Lorsque la fonctionnalité de stockage d’images de documents est activée par le Responsable du traitement, le stockage objet (Amazon S3) peut être provisionné dans la région AWS correspondant à la juridiction opérationnelle de l’hôtel.

Ces régions peuvent inclure des localisations en dehors de l’Espace économique européen (EEE), notamment :

  • Asie-Pacifique
  • Afrique
  • Amérique du Nord
  • Amérique du Sud
  • Australie

La régionalisation permet :

  • Le respect des exigences de localisation des données
  • L’optimisation de la latence
  • L’alignement juridictionnel

10.3 Garanties en cas de transfert international

Lorsque des données à caractère personnel sont traitées en dehors de l’EEE, les transferts sont encadrés par :

  • L’Addendum sur le traitement des données d’AWS
  • Les Clauses Contractuelles Types (CCT), le cas échéant
  • Le chiffrement au repos (AES-256)
  • Le chiffrement en transit (TLS 1.2+)

Le Sous-traitant garantit des garanties appropriées conformément au Chapitre V du RGPD.

 

11. Audit et inspection

Le Sous-traitant met à disposition les informations nécessaires pour démontrer la conformité et peut fournir :

  • La documentation de sécurité
  • Un résumé des tests d’intrusion
  • Des certifications (le cas échéant)

Les audits peuvent être réalisés sous réserve d’un préavis raisonnable.

 

12. Violation de données à caractère personnel

Le Sous-traitant notifie le Responsable du traitement sans retard injustifié après avoir pris connaissance d’une violation de données.

La notification inclura :

  • La nature de la violation
  • Les catégories de données concernées
  • Les mesures d’atténuation mises en œuvre

 

13. Résiliation

En cas de résiliation des services :

  • Les Données à caractère personnel seront supprimées dans un délai de 30 jours, sauf obligation légale contraire
  • L’accès sera révoqué
  • Les politiques de suppression des sauvegardes s’appliquent

 

14. Droit applicable et juridiction

Le présent Accord de Traitement des Données ainsi que tout litige ou réclamation en découlant ou s’y rapportant (y compris les litiges ou réclamations non contractuels) sont régis et interprétés conformément au droit espagnol. Les tribunaux espagnols sont exclusivement compétents pour connaître de tout litige découlant du présent DPA ou en lien avec celui-ci, sauf disposition contraire impérative du droit applicable en matière de protection des données.

Passportscan