Accord de sous-traitance (DPA)
Version 1.0
En vigueur depuis le 4 juin 2026
Préambule
Le présent Accord de sous-traitance (« DPA ») encadre les traitements de données à caractère personnel réalisés par Utelys (éditeur de la solution Trigger Flow, ci-après le « Sous-traitant ») pour le compte de son client (ci-après le « Responsable de traitement »), conformément à l'article 28 du Règlement (UE) 2016/679 (RGPD).
Il s'applique aux données traitées par Trigger Flow pour le compte du client (données des clients, prospects et voyageurs de l'établissement). Les traitements pour lesquels Utelys agit comme responsable de traitement relèvent, eux, de la Politique de confidentialité.
Cette page constitue la version de référence du DPA. Une version signée, adaptée à votre établissement, est annexée au contrat de prestation : la présente publication ne vaut pas signature.
1. Objet, durée, nature et finalité du traitement
- Objet : la fourniture de la solution Trigger Flow (CRM et automatisation de la communication hôtelière).
- Nature et finalité : collecte, enregistrement, organisation, hébergement, consultation, envoi de communications (e-mail, SMS), automatisation de scénarios relationnels, mesure et reporting, pour le compte du Responsable de traitement.
- Durée : le traitement est réalisé pendant toute la durée du contrat de prestation et prend fin selon les modalités de l'article 9.
2. Catégories de données et de personnes concernées
| Catégories de personnes | Catégories de données |
|---|---|
| Clients et voyageurs de l'établissement | Identité, coordonnées, données de séjour et de réservation, contenu des échanges |
| Prospects de l'établissement | Identité, coordonnées, données de contact commercial |
| Utilisateurs internes du Responsable de traitement | Identité, coordonnées professionnelles, données de connexion |
Le traitement ne porte sur aucune catégorie particulière de données (article 9 du RGPD), sauf instruction écrite contraire et encadrée du Responsable de traitement.
3. Obligations du Responsable de traitement
Le Responsable de traitement s'engage à :
- Documenter par écrit les instructions données au Sous-traitant ;
- S'assurer de disposer d'une base légale pour les traitements confiés ;
- Informer les personnes concernées et recueillir les consentements requis ;
- Veiller au respect de ses propres obligations au titre du RGPD.
4. Traitement sur instruction documentée
Le Sous-traitant traite les données uniquement sur instruction documentée du Responsable de traitement, y compris pour les transferts hors Union européenne, sauf obligation légale à laquelle il serait soumis. Dans ce cas, il en informe le Responsable de traitement avant le traitement, sauf interdiction légale.
Si une instruction lui paraît contraire au RGPD, le Sous-traitant en informe immédiatement le Responsable de traitement.
5. Confidentialité
Le Sous-traitant veille à ce que les personnes autorisées à traiter les données s'engagent à en respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.
6. Sécurité
Le Sous-traitant met en œuvre les mesures techniques et organisationnelles appropriées prévues à l'article 32 du RGPD, décrites à l'Annexe 2, afin de garantir un niveau de sécurité adapté au risque.
7. Sous-traitance ultérieure
Le Responsable de traitement autorise le Sous-traitant à recourir aux sous-traitants ultérieurs listés à l'Annexe 1. Le Sous-traitant :
- impose à chaque sous-traitant ultérieur, par contrat, des obligations de protection des données équivalentes à celles du présent DPA ;
- informe préalablement le Responsable de traitement de tout ajout ou remplacement de sous-traitant ultérieur, lui laissant la possibilité d'émettre des objections légitimes ;
- demeure pleinement responsable de l'exécution des obligations des sous-traitants ultérieurs.
8. Assistance du Responsable de traitement
Le Sous-traitant, compte tenu de la nature du traitement, assiste le Responsable de traitement pour :
- Répondre aux demandes d'exercice des droits des personnes concernées (articles 15 à 22) ;
- Garantir la sécurité et notifier les violations de données (articles 32 à 34) : le Sous-traitant notifie au Responsable de traitement toute violation de données dans les meilleurs délais après en avoir pris connaissance ;
- Réaliser les analyses d'impact (AIPD) et les consultations préalables de l'autorité de contrôle (articles 35 et 36).
9. Sort des données en fin de contrat
Au terme de la prestation, le Sous-traitant, au choix du Responsable de traitement, restitue ou supprime l'ensemble des données à caractère personnel, et détruit les copies existantes, sauf obligation légale de conservation.
10. Registre, information et audits
Le Sous-traitant tient un registre des activités de traitement réalisées pour le compte du Responsable de traitement (article 30.2). Il met à disposition du Responsable de traitement toutes les informations nécessaires pour démontrer le respect de ses obligations et permet la réalisation d'audits, dans des conditions raisonnables et préservant la confidentialité des autres clients.
11. Transferts hors Union européenne
Lorsqu'un traitement implique un transfert de données hors de l'Union européenne, le Sous-traitant met en œuvre les garanties appropriées prévues par le RGPD : Clauses Contractuelles Types de la Commission européenne, décisions d'adéquation et mesures complémentaires (chiffrement, contrôles d'accès). Les sous-traitants ultérieurs concernés figurent à l'Annexe 1.
Annexe 1 — Sous-traitants ultérieurs
| Catégorie | Prestataire | Localisation |
|---|---|---|
| Hébergement infrastructure | DigitalOcean | Union européenne |
| Envoi d'emails | Mailgun | Union européenne |
| Envoi de SMS | Twilio, Gateway API | Union européenne / international |
| Paiement par carte | Stripe | Union européenne (Irlande) |
| Prélèvements SEPA | GoCardless | Union européenne / Royaume-Uni |
| Mesure d'audience | Google Analytics | États-Unis |
| Assistance par intelligence artificielle | Anthropic | États-Unis |
Annexe 2 — Mesures techniques et organisationnelles
- Chiffrement des communications (TLS 1.2 minimum)
- Authentification renforcée des accès administrateur
- Cloisonnement des environnements (production, préproduction)
- Journalisation des accès et des opérations sensibles
- Sauvegardes régulières et tests de restauration
- Gestion des habilitations selon le principe du moindre privilège
- Engagement de confidentialité des collaborateurs
- Procédure de notification des violations de données (article 33)
Annexe 3 — Fonctionnalités d'intelligence artificielle
Certaines fonctionnalités s'appuient sur des modèles d'IA (aide à la rédaction, résumé et analyse de conversations, traduction). Elles sont activées à la demande par le Responsable de traitement.
- Minimisation : les données sont, autant que possible, anonymisées ou pseudonymisées avant traitement ; certaines données personnelles (notamment le contenu des messages) peuvent toutefois être transmises au modèle, le temps de produire le résultat demandé.
- Fournisseur : Anthropic — traitement aux États-Unis encadré par les Clauses Contractuelles Types et le chiffrement des communications.
- Non-entraînement : les données transmises ne sont pas utilisées pour entraîner les modèles.
- Aucune décision automatisée produisant des effets juridiques ou significatifs au sens de l'article 22 du RGPD.
Contact
- Référent à la protection des données : dpo@trigger-flow.com
- Adresse postale : Utelys SAS, 13 rue Saint-Ursule, 31000 Toulouse, France