mercredi 21 juin 2023
Contrat de Traitement des Données (DPA)
CONTRAT DE TRAITEMENT DES DONNÉES PERSONNELLES
(Data Processing Agreement - DPA)
ULTIPLACE
Conforme au RGPD (Règlement UE 2016/679)
Version du 29 Octobre 2025
===============================================================================
PRÉAMBULE
===============================================================================
Le présent contrat de traitement de données (ci-après le "Contrat" ou "DPA") est conclu dans le cadre de la fourniture des services de la plateforme ULTIPLACE et définit les conditions dans lesquelles ULTIPLACE traite des données personnelles pour le compte de ses Clients.
Ce contrat s'inscrit dans le cadre de l'article 28 du Règlement Général sur la Protection des Données (RGPD) et complète les Conditions Générales de Vente (CGV) et les Conditions Générales d'Utilisation (CGU) d'ULTIPLACE.
===============================================================================
ARTICLE 1 - DÉFINITIONS
===============================================================================
1.1. Termes généraux du RGPD
- "Données à caractère personnel" ou "Données personnelles" : toute information se rapportant à une personne physique identifiée ou identifiable (ci-après "Personne concernée")
- "Traitement" : toute opération ou ensemble d'opérations effectuées sur des données personnelles, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation, la modification, l'extraction, la consultation, l'utilisation, la communication, la diffusion, l'effacement ou la destruction
- "Responsable de traitement" : personne physique ou morale qui détermine les finalités et les moyens du traitement des données personnelles
- "Sous-traitant" : personne physique ou morale qui traite des données personnelles pour le compte du Responsable de traitement
- "Sous-traitant ultérieur" : tout sous-traitant engagé par le Sous-traitant pour effectuer des activités de traitement spécifiques
- "Violation de données" : violation de la sécurité entraînant la destruction, la perte, l'altération, la divulgation non autorisée de données personnelles ou l'accès non autorisé à de telles données
- "RGPD" : Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données
- "Autorité de contrôle" : en France, la Commission Nationale de l'Informatique et des Libertés (CNIL)
1.2. Termes spécifiques au présent contrat
- "ULTIPLACE" ou "le Sous-traitant" : la société ULTIPLACE, marque déposée par REALITIM, dont le siège social est situé 34 rue Joncours, 44100 Nantes, agissant en qualité de sous-traitant
- "Client" ou "Responsable de traitement" : toute personne physique ou morale utilisant les services d'ULTIPLACE pour créer et gérer des salons virtuels, notamment les Organisateurs de salons
- "Services" : les services de plateforme de salons virtuels fournis par ULTIPLACE, incluant l'hébergement, la gestion et les fonctionnalités associées
- "Plateforme" : le site web www.ultiplace.com et l'ensemble de ses fonctionnalités
===============================================================================
ARTICLE 2 - OBJET ET CHAMP D'APPLICATION
===============================================================================
2.1. Objet du contrat
Le présent Contrat a pour objet de définir les conditions dans lesquelles ULTIPLACE, agissant en qualité de Sous-traitant, traite des données personnelles pour le compte du Client, agissant en qualité de Responsable de traitement.
2.2. Champ d'application
2.2.1. Traitements concernés
Le présent Contrat s'applique aux traitements de données personnelles suivants :
A) Données des visiteurs de salons virtuels :
- Données d'identification (nom, prénom, email)
- Données de contact (téléphone, adresse professionnelle)
- Données professionnelles (fonction, société, secteur d'activité)
- Données de navigation et d'interaction dans le salon
- Messages échangés avec les exposants
- Cartes de visite numériques collectées
- Historique des visites et des interactions
- Statistiques d'utilisation
B) Données des exposants au sein d'un salon :
- Données d'identification et de contact
- Informations professionnelles
- Contenus publiés sur les stands
- Statistiques de fréquentation de leurs stands
- Messages reçus des visiteurs
- Cartes de visite collectées
C) Données générées par l'utilisation du salon :
- Logs de connexion et d'activité
- Métriques et statistiques agrégées
- Cookies de session et de tracking des visiteurs uniques
2.2.2. Traitements exclus
Le présent Contrat ne s'applique pas aux traitements pour lesquels ULTIPLACE agit en qualité de Responsable de traitement, notamment :
- Les données des comptes utilisateurs ULTIPLACE (gestion des comptes)
- Les données de facturation et de paiement
- Les données nécessaires à l'exploitation technique de la plateforme
- Les données de sécurité et de prévention de la fraude
Pour ces traitements, ULTIPLACE reste seul responsable et applique sa propre politique de confidentialité.
2.3. Durée du contrat
Le présent Contrat entre en vigueur dès la première utilisation des Services par le Client et reste en vigueur tant que le Client utilise les Services d'ULTIPLACE.
Il prend fin :
- À la demande du Client (suppression de son compte ou de son salon)
- En cas de résiliation des Services conformément aux CGV
- De plein droit en cas de cessation d'activité d'ULTIPLACE
===============================================================================
ARTICLE 3 - NATURE ET FINALITÉS DES TRAITEMENTS
===============================================================================
3.1. Description des traitements
Le Sous-traitant traite les données personnelles pour permettre au Responsable de traitement de :
3.1.1. Organiser et héberger des salons virtuels
- Créer et configurer des salons virtuels (2D/3D)
- Héberger les contenus du salon
- Gérer les exposants et leurs stands
- Programmer des conférences en ligne
3.1.2. Faciliter les interactions entre participants
- Permettre l'échange de messages instantanés
- Faciliter l'échange de cartes de visite numériques
- Permettre les appels vidéo entre visiteurs et exposants
- Notifier les participants des événements
3.1.3. Fournir des statistiques et analyses
- Comptabiliser les visiteurs uniques
- Tracer le parcours des visiteurs
- Mesurer l'engagement et les interactions
- Générer des rapports de fréquentation
- Identifier les stands les plus visités
3.1.4. Assurer le bon fonctionnement technique
- Gérer les sessions utilisateurs
- Assurer la sécurité des accès
- Maintenir la performance de la plateforme
- Effectuer des sauvegardes
3.2. Finalités des traitements
Les données sont traitées pour les finalités suivantes :
- Fourniture du service de salon virtuel
- Gestion des interactions entre participants
- Production de statistiques pour le Responsable de traitement
- Sécurité et intégrité de la plateforme
- Amélioration des services (sur données pseudonymisées/anonymisées)
3.3. Catégories de personnes concernées
- Visiteurs des salons virtuels (professionnels ou grand public)
- Exposants et leurs équipes
- Conférenciers et intervenants
- Organisateurs et leurs équipes
3.4. Catégories de données traitées
3.4.1. Données d'identification
- Nom et prénom
- Adresse email
- Numéro de téléphone
- Identifiant utilisateur (UID)
3.4.2. Données professionnelles
- Fonction/poste
- Nom de l'entreprise/organisation
- Secteur d'activité
- Adresse professionnelle
- Site web professionnel
3.4.3. Données de contact
- Numéros de téléphone (fixes et mobiles)
- Adresses email professionnelles et personnelles
- Comptes de réseaux sociaux (LinkedIn, Twitter, Facebook, Instagram)
3.4.4. Données de contenu
- Messages échangés dans le chat
- Fichiers partagés (PDF, images, vidéos)
- Descriptions et présentations
- Logos et visuels d'entreprise
3.4.5. Données de navigation et d'utilisation
- Adresse IP
- Cookies et identifiants de session
- Historique de navigation dans le salon
- Horodatage des connexions
- Durée des visites
- Stands visités
- Ressources consultées
- Interactions (clics, téléchargements)
3.4.6. Données techniques
- Type de navigateur et d'appareil
- Système d'exploitation
- Résolution d'écran
- Langue du navigateur
- Fuseau horaire
**Note importante** : Aucune donnée sensible au sens de l'article 9 du RGPD (origine raciale ou ethnique, opinions politiques, convictions religieuses, données de santé, vie sexuelle, données biométriques, etc.) n'est intentionnellement collectée. Si de telles données étaient collectées accidentellement via des contenus publiés par des utilisateurs, le Client doit en informer immédiatement ULTIPLACE.
===============================================================================
ARTICLE 4 - OBLIGATIONS DU RESPONSABLE DE TRAITEMENT (CLIENT)
===============================================================================
4.1. Licéité du traitement
Le Responsable de traitement garantit que :
- Il a une base légale pour le traitement des données (consentement, intérêt légitime, exécution d'un contrat, etc.)
- Il a informé les personnes concernées conformément aux articles 13 et 14 du RGPD
- Il a obtenu, si nécessaire, le consentement des personnes concernées
- Le traitement est conforme à la réglementation applicable
4.2. Information des personnes concernées
Le Responsable de traitement s'engage à :
- Informer les visiteurs de son salon de la collecte de leurs données
- Fournir une politique de confidentialité accessible et transparente
- Mentionner ULTIPLACE en tant que sous-traitant
- Informer sur les droits des personnes (accès, rectification, effacement, etc.)
- Obtenir le consentement pour les cookies non essentiels si applicable
4.3. Instructions documentées
Le Responsable de traitement reconnaît que :
- Les présentes constituent les instructions documentées données au Sous-traitant
- Toute instruction supplémentaire ou modification doit être formulée par écrit
- Les instructions doivent être conformes au RGPD
4.4. Respect des droits des personnes
Le Responsable de traitement s'engage à :
- Gérer les demandes d'exercice de droits des personnes concernées
- Solliciter l'assistance du Sous-traitant si nécessaire pour répondre à ces demandes
- Respecter les délais de réponse imposés par le RGPD (1 mois)
4.5. Notification des violations
Le Responsable de traitement s'engage à :
- Notifier à l'autorité de contrôle toute violation de données dans les 72 heures si applicable
- Notifier aux personnes concernées en cas de risque élevé pour leurs droits et libertés
4.6. Réalisation d'une AIPD si nécessaire
Le Responsable de traitement s'engage à :
- Réaliser une Analyse d'Impact sur la Protection des Données (AIPD/DPIA) si le traitement présente un risque élevé
- Consulter l'autorité de contrôle si l'AIPD révèle un risque élevé résiduel
- Solliciter l'assistance du Sous-traitant pour l'AIPD si nécessaire
===============================================================================
ARTICLE 5 - OBLIGATIONS DU SOUS-TRAITANT (ULTIPLACE)
===============================================================================
5.1. Traitement conforme aux instructions
Le Sous-traitant s'engage à :
- Traiter les données uniquement sur instruction documentée du Responsable de traitement
- Ne pas utiliser les données à des fins autres que la fourniture des Services
- Informer immédiatement le Responsable de traitement si une instruction lui semble contraire au RGPD
5.2. Confidentialité
Le Sous-traitant s'engage à :
- Garantir la confidentialité des données traitées
- S'assurer que les personnes autorisées à traiter les données sont soumises à une obligation de confidentialité
- Former son personnel aux exigences du RGPD
- Limiter l'accès aux données aux seules personnes qui en ont besoin pour fournir les Services
5.3. Sécurité des données
Le Sous-traitant met en œuvre les mesures techniques et organisationnelles appropriées pour :
- Protéger les données contre la destruction accidentelle ou illicite
- Protéger contre la perte, l'altération, la divulgation ou l'accès non autorisés
- Assurer la confidentialité, l'intégrité, la disponibilité et la résilience des systèmes
5.3.1. Mesures de sécurité techniques
- **Chiffrement** :
* Communications chiffrées (HTTPS/TLS 1.2+)
* Mots de passe chiffrés (hashing bcrypt)
* Données sensibles chiffrées au repos
- **Contrôle d'accès** :
* Authentification forte (email/mot de passe, OAuth 2.0 Google)
* Gestion des sessions sécurisées
* Séparation des données par salon (isolation)
* Contrôles d'accès basés sur les rôles (RBAC) pour les équipes
- **Infrastructure** :
* Hébergement sur Firebase (Google Cloud Platform)
* Serveurs situés dans l'UE
* Pare-feu et protection DDoS
* Surveillance et détection d'intrusion
- **Sauvegardes** :
* Sauvegardes automatiques quotidiennes
* Redondance des données
* Tests de restauration réguliers
5.3.2. Mesures de sécurité organisationnelles
- **Gestion des accès** :
* Politique de gestion des accès avec principe du moindre privilège
* Révision régulière des droits d'accès
* Suppression des accès lors du départ d'un collaborateur
- **Sensibilisation** :
* Formation des équipes au RGPD et à la sécurité
* Sensibilisation aux risques de phishing et d'ingénierie sociale
- **Gestion des incidents** :
* Procédure de gestion des violations de données
* Registre des incidents de sécurité
* Plan de continuité d'activité et de reprise après sinistre
- **Audits et tests** :
* Tests de sécurité réguliers
* Revue de code sécurisé
* Surveillance continue des vulnérabilités
5.4. Notification des violations de données
En cas de violation de données personnelles, le Sous-traitant s'engage à :
- Notifier le Responsable de traitement dans les plus brefs délais (objectif : moins de 24 heures)
- Fournir toutes les informations pertinentes :
* Nature de la violation
* Catégories et nombre approximatif de personnes concernées
* Catégories et nombre approximatif d'enregistrements concernés
* Conséquences probables de la violation
* Mesures prises ou proposées pour remédier à la violation
5.5. Assistance au Responsable de traitement
Le Sous-traitant s'engage à assister le Responsable de traitement pour :
5.5.1. Exercice des droits des personnes
- Faciliter l'accès aux données en cas de demande d'accès
- Permettre la rectification des données inexactes
- Permettre l'effacement des données ("droit à l'oubli")
- Fournir les données dans un format structuré et couramment utilisé (portabilité)
- Limiter le traitement si demandé
- Traiter les oppositions au traitement
Délais d'intervention : sous 5 jours ouvrés pour les demandes d'exercice de droits.
5.5.2. Obligations du Responsable de traitement
- Réalisation d'analyses d'impact (AIPD/DPIA)
- Consultations préalables avec l'autorité de contrôle
- Notification des violations de données
- Démonstration de la conformité au RGPD
5.6. Suppression ou restitution des données
À la fin de la fourniture des Services, le Sous-traitant s'engage à, au choix du Responsable de traitement :
- Supprimer toutes les données personnelles, ou
- Restituer les données au Responsable de traitement dans un format structuré et couramment utilisé (JSON, CSV)
Délai de suppression après fin de service : 30 jours
Exception : les données peuvent être conservées dans la mesure nécessaire au respect d'une obligation légale (par exemple, données de facturation conservées 10 ans).
5.7. Mise à disposition d'informations et audits
Le Sous-traitant s'engage à :
- Mettre à disposition toutes les informations nécessaires pour démontrer le respect de ses obligations
- Permettre la réalisation d'audits par le Responsable de traitement ou un auditeur mandaté
- Répondre aux questionnaires de conformité dans un délai raisonnable
Modalités des audits :
- Préavis de 30 jours minimum
- Audits sur site ou à distance selon accord
- Fréquence maximale : 1 audit par an (hors audit suite à incident)
- Les audits ne doivent pas perturber excessivement l'activité du Sous-traitant
- Signature d'un accord de confidentialité par l'auditeur
===============================================================================
ARTICLE 6 - SOUS-TRAITANCE ULTÉRIEURE
===============================================================================
6.1. Autorisation générale de sous-traitance
Le Responsable de traitement autorise le Sous-traitant à recourir à des sous-traitants ultérieurs pour fournir les Services, sous réserve du respect des conditions du présent article.
6.2. Liste des sous-traitants ultérieurs
Le Sous-traitant informe le Responsable de traitement de la liste des sous-traitants ultérieurs actuels :
**Sous-traitants ultérieurs actuels :**
A) **Google Cloud Platform / Firebase**
- Services : Hébergement, base de données (Firestore), authentification, stockage de fichiers
- Localisation : Union Européenne
- Certifications : ISO 27001, ISO 27017, ISO 27018, SOC 2, SOC 3
- Conformité RGPD : Clauses contractuelles types de l'UE
- Site web : https://firebase.google.com / https://cloud.google.com
B) **Stripe**
- Services : Traitement des paiements
- Localisation : Données traitées en Europe
- Certifications : PCI DSS Level 1, ISO 27001, SOC 2 Type II
- Conformité RGPD : Clauses contractuelles types de l'UE
- Site web : https://stripe.com
C) **Twilio**
- Services : Gestion des appels vidéo et de la visioconférence
- Localisation : Serveurs en Europe (région sélectionnée)
- Certifications : ISO 27001, ISO 27017, ISO 27018, SOC 2 Type II
- Conformité RGPD : Clauses contractuelles types de l'UE
- Site web : https://www.twilio.com
D) **Vercel**
- Services : Hébergement et déploiement de l'application web
- Localisation : Serveurs en Europe
- Certifications : SOC 2 Type II
- Conformité RGPD : DPA disponible
- Site web : https://vercel.com
La liste complète et à jour des sous-traitants ultérieurs est disponible sur demande à l'adresse : contact@ultiplace.com
6.3. Notification des changements
Le Sous-traitant s'engage à :
- Informer le Responsable de traitement de tout changement prévu concernant les sous-traitants ultérieurs (ajout ou remplacement)
- Notifier par email avec un préavis de 30 jours minimum
- Permettre au Responsable de traitement de formuler des objections
6.4. Droit d'objection
En cas d'objection légitime du Responsable de traitement :
- Le Responsable dispose de 15 jours pour formuler son objection motivée
- Si aucune solution alternative n'est trouvée, le Responsable peut résilier le contrat sans pénalité
- Les données seront restituées ou supprimées selon les instructions du Responsable
6.5. Obligations contractuelles avec les sous-traitants ultérieurs
Le Sous-traitant s'engage à :
- Imposer aux sous-traitants ultérieurs les mêmes obligations de protection des données que celles prévues au présent Contrat
- S'assurer que les sous-traitants ultérieurs offrent des garanties suffisantes
- Rester pleinement responsable envers le Responsable de traitement du respect par les sous-traitants ultérieurs de leurs obligations
===============================================================================
ARTICLE 7 - TRANSFERTS DE DONNÉES HORS UE
===============================================================================
7.1. Principe
Les données personnelles sont hébergées et traitées au sein de l'Union Européenne.
Le Sous-traitant s'engage à ne pas transférer les données hors de l'Union Européenne sans garanties appropriées conformément au chapitre V du RGPD.
7.2. Transferts autorisés avec garanties
Si un transfert hors UE s'avérait nécessaire (par exemple, support technique d'urgence), le Sous-traitant s'engage à mettre en place l'un des mécanismes suivants :
- Clauses contractuelles types approuvées par la Commission européenne
- Certification sous le Data Privacy Framework (UE-États-Unis) si applicable
- Dérogations prévues à l'article 49 du RGPD (consentement explicite, etc.)
7.3. Information du Responsable de traitement
Le Sous-traitant informera le Responsable de traitement de tout transfert de données hors UE et des garanties mises en place.
===============================================================================
ARTICLE 8 - DURÉE DE CONSERVATION DES DONNÉES
===============================================================================
8.1. Durées de conservation définies par le Responsable de traitement
Le Responsable de traitement définit les durées de conservation suivantes :
**Données de salon actif :**
- Durée du salon : de 1 jour à 1 an (selon configuration)
- Conservation active pendant toute la durée configurée
**Données de salon terminé :**
- Conservation active : 30 jours après la date de fin du salon
- Pendant cette période, le Responsable de traitement peut exporter ses données
- Passé ce délai : archivage ou suppression définitive
**Messages et conversations :**
- Conservation : durée du salon + 30 jours
- Possibilité d'export pendant cette période
**Statistiques et métriques :**
- Conservation : durée du salon + 30 jours
- Données agrégées et anonymisées : conservation illimitée
**Cartes de visite échangées :**
- Conservation : tant que le compte du visiteur existe
- Suppression à la fermeture du compte visiteur (après 30 jours de grâce)
**Données d'audit et de sécurité :**
- Logs de connexion : 12 mois maximum
- Logs de sécurité : 12 mois maximum
8.2. Suppression définitive
La suppression des données est :
- Irréversible et définitive
- Effectuée sur tous les systèmes et toutes les sauvegardes (sauf sauvegardes de sécurité qui seront supprimées selon le cycle habituel de rotation)
- Documentée dans un registre des suppressions
8.3. Export des données avant suppression
Le Responsable de traitement dispose de 30 jours après la fin du salon pour exporter ses données. Les formats d'export disponibles sont :
- JSON (format natif de la base de données)
- CSV (pour les données tabulaires)
- ZIP contenant les fichiers médias
===============================================================================
ARTICLE 9 - RESPONSABILITÉ ET INDEMNISATION
===============================================================================
9.1. Responsabilité du Sous-traitant
Le Sous-traitant est responsable des dommages causés par un traitement :
- Non conforme aux obligations du RGPD qui lui incombent
- Non conforme aux instructions légales du Responsable de traitement
9.2. Exonération de responsabilité
Le Sous-traitant est exonéré de toute responsabilité s'il prouve :
- Qu'il n'est à l'origine du fait dommageable, ou
- Que le dommage résulte d'instructions du Responsable de traitement contraires au RGPD
9.3. Responsabilité solidaire
Conformément à l'article 82 du RGPD, lorsque plusieurs acteurs (Responsable de traitement et Sous-traitant) sont impliqués dans un même traitement ayant causé un dommage, ils peuvent être tenus solidairement responsables.
9.4. Limitation de responsabilité
La responsabilité du Sous-traitant au titre du présent Contrat est limitée conformément aux CGV d'ULTIPLACE, sauf en cas de violation intentionnelle ou de faute lourde.
9.5. Indemnisation
Le Sous-traitant s'engage à indemniser le Responsable de traitement :
- Des amendes infligées par l'autorité de contrôle résultant d'un manquement du Sous-traitant
- Des dommages causés aux personnes concernées résultant d'un manquement du Sous-traitant
Le Responsable de traitement s'engage à indemniser le Sous-traitant :
- Des amendes résultant d'instructions contraires au RGPD
- Des dommages résultant d'un manquement du Responsable de traitement à ses obligations
===============================================================================
ARTICLE 10 - REGISTRE DES ACTIVITÉS DE TRAITEMENT
===============================================================================
10.1. Obligation du Sous-traitant
Conformément à l'article 30.2 du RGPD, le Sous-traitant tient un registre de toutes les catégories d'activités de traitement effectuées pour le compte des Responsables de traitement.
10.2. Contenu du registre
Le registre du Sous-traitant contient :
- Le nom et les coordonnées du Sous-traitant
- Le nom et les coordonnées de chaque Responsable de traitement pour le compte duquel il agit
- Les catégories de traitements effectués pour chaque Responsable
- Le cas échéant, les transferts de données vers des pays tiers
- Une description générale des mesures de sécurité techniques et organisationnelles
10.3. Mise à disposition
Le registre est tenu sous format électronique et mis à disposition de l'autorité de contrôle sur demande.
Le Responsable de traitement peut demander communication des informations le concernant dans le registre.
===============================================================================
ARTICLE 11 - COOPÉRATION AVEC LES AUTORITÉS DE CONTRÔLE
===============================================================================
11.1. Obligation de coopération
Le Sous-traitant s'engage à coopérer avec l'autorité de contrôle (CNIL en France) et à répondre à ses demandes dans les délais impartis.
11.2. Information du Responsable de traitement
Le Sous-traitant informera le Responsable de traitement de toute demande ou contrôle de l'autorité de contrôle concernant ses données, sauf interdiction légale.
11.3. Assistance lors des contrôles
Le Sous-traitant assistera le Responsable de traitement en cas de contrôle par l'autorité de contrôle portant sur les traitements couverts par le présent Contrat.
===============================================================================
ARTICLE 12 - MODIFICATIONS DU CONTRAT
===============================================================================
12.1. Évolutions légales
Le présent Contrat pourra être modifié pour se conformer aux évolutions de la réglementation en matière de protection des données personnelles.
12.2. Notification des modifications
Toute modification sera notifiée au Responsable de traitement par email avec un préavis de 30 jours.
12.3. Acceptation des modifications
L'utilisation continue des Services après l'entrée en vigueur des modifications vaut acceptation des nouvelles conditions.
En cas de refus, le Responsable de traitement peut résilier le contrat et demander la restitution ou la suppression de ses données.
===============================================================================
ARTICLE 13 - RÉSILIATION ET FIN DU CONTRAT
===============================================================================
13.1. Causes de résiliation
Le présent Contrat prend fin dans les cas suivants :
- Résiliation des Services par le Responsable de traitement
- Résiliation pour manquement grave d'une des parties
- Cessation d'activité d'ULTIPLACE
- Impossibilité de poursuivre la relation contractuelle
13.2. Effet de la résiliation
À la résiliation du Contrat :
- Le Sous-traitant cesse tout traitement de données personnelles pour le compte du Responsable de traitement
- Le Responsable de traitement dispose de 30 jours pour exporter ses données
- Passé ce délai, les données sont supprimées définitivement (sauf obligation légale de conservation)
13.3. Restitution ou suppression des données
À la fin du Contrat, le Responsable de traitement peut choisir :
Option A - Restitution :
- Export des données dans un format structuré et couramment utilisé
- Fourniture des fichiers dans un délai de 15 jours
- Suppression définitive après confirmation de la bonne réception
Option B - Suppression :
- Suppression définitive de toutes les données
- Fourniture d'un certificat de destruction sur demande
13.4. Conservation pour obligation légale
Certaines données peuvent être conservées si une obligation légale l'impose (par exemple, données de facturation pendant 10 ans). Ces données sont conservées dans un environnement sécurisé et leur accès est strictement limité.
===============================================================================
ARTICLE 14 - DISPOSITIONS DIVERSES
===============================================================================
14.1. Intégralité de l'accord
Le présent Contrat, complété par les CGV et CGU d'ULTIPLACE, constitue l'intégralité de l'accord entre les parties concernant le traitement des données personnelles.
14.2. Hiérarchie des documents
En cas de contradiction, l'ordre de prévalence est le suivant :
1. Le présent DPA
2. Les CGV d'ULTIPLACE
3. Les CGU d'ULTIPLACE
14.3. Nullité partielle
Si une clause du présent Contrat est déclarée nulle ou inapplicable, elle sera réputée non écrite sans affecter la validité des autres clauses.
14.4. Cession
Le présent Contrat ne peut être cédé par l'une ou l'autre des parties sans l'accord écrit préalable de l'autre partie.
14.5. Confidentialité
Les parties s'engagent à traiter comme confidentielles toutes les informations échangées dans le cadre du présent Contrat.
===============================================================================
ARTICLE 15 - LOI APPLICABLE ET JURIDICTION
===============================================================================
15.1. Droit applicable
Le présent Contrat est régi par le droit français et par le RGPD.
15.2. Règlement des litiges
En cas de litige relatif à l'interprétation ou à l'exécution du présent Contrat, les parties s'efforceront de trouver une solution amiable.
À défaut, les tribunaux compétents seront ceux désignés dans les CGV d'ULTIPLACE.
15.3. Autorité de contrôle
Les personnes concernées peuvent introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) :
CNIL
3 Place de Fontenoy
TSA 80715
75334 PARIS CEDEX 07
Téléphone : 01 53 73 22 22
Site web : https://www.cnil.fr
===============================================================================
ARTICLE 16 - CONTACTS ET NOTIFICATIONS
===============================================================================
16.1. Délégué à la Protection des Données (DPO)
**Pour ULTIPLACE (Sous-traitant) :**
ULTIPLACE - REALITIM
34 rue Joncours
44100 Nantes
Email : contact@ultiplace.com
[DPO : à désigner si nécessaire selon l'article 37 du RGPD]
**Pour le Responsable de traitement :**
Le Responsable de traitement est invité à communiquer les coordonnées de son DPO s'il en a désigné un.
16.2. Notifications
Toutes les notifications au titre du présent Contrat doivent être adressées :
Pour ULTIPLACE :
ULTIPLACE - REALITIM
34 rue Joncours
44100 Nantes
Email : contact@ultiplace.com
Pour le Responsable de traitement :
À l'adresse email associée à son compte ULTIPLACE
16.3. Langue
Le présent Contrat est rédigé en français. En cas de traduction, seule la version française fait foi.
===============================================================================
Le présent Contrat de Traitement des Données entre en vigueur dès l'utilisation des Services d'ULTIPLACE par le Client.
L'utilisation des Services vaut acceptation du présent Contrat.
Date de dernière mise à jour : 29 Octobre 2025
Version : 2.0
===============================================================================
ANNEXE 1 - MESURES DE SÉCURITÉ DÉTAILLÉES
===============================================================================
**1. Contrôle d'accès physique**
- Hébergement chez Google Cloud Platform avec sécurité physique de niveau 1
- Accès aux data centers restreint et surveillé 24/7
- Biométrie et badges d'accès
**2. Contrôle d'accès logique**
- Authentification multi-facteurs pour les administrateurs
- Principe du moindre privilège
- Révocation immédiate des accès en cas de départ
- Sessions utilisateurs sécurisées avec tokens JWT
**3. Chiffrement**
- Communications : TLS 1.2+ (HTTPS)
- Données en transit : chiffrement de bout en bout
- Mots de passe : hashing avec bcrypt (salt)
- Données sensibles au repos : chiffrement AES-256
**4. Séparation des données**
- Isolation des données par salon (multi-tenancy sécurisée)
- Règles de sécurité Firebase interdisant l'accès inter-salons
- Contrôles d'autorisation à chaque requête
**5. Sauvegarde et continuité**
- Sauvegardes automatiques quotidiennes
- Réplication des données sur plusieurs zones géographiques
- Plan de reprise d'activité (RTO < 24h, RPO < 1h)
- Tests de restauration trimestriels
**6. Surveillance et détection**
- Logs d'accès et d'activité
- Alertes automatiques en cas d'activité suspecte
- Monitoring de la sécurité 24/7
- Mise à jour régulière des correctifs de sécurité
**7. Tests de sécurité**
- Revue de code sécurisé (SAST)
- Tests de vulnérabilités réguliers
- Scans automatisés des dépendances
- Mise à jour des bibliothèques vulnérables
**8. Gestion des incidents**
- Procédure documentée de gestion des incidents
- Équipe d'intervention disponible
- Communication rapide en cas de violation
- Analyse post-incident et mesures correctives
===============================================================================
ANNEXE 2 - MODÈLE DE DEMANDE D'EXERCICE DE DROITS
===============================================================================
Les personnes concernées peuvent exercer leurs droits en contactant directement le Responsable de traitement (organisateur du salon) ou ULTIPLACE à l'adresse : contact@ultiplace.com
**Informations requises pour traiter la demande :**
- Nom et prénom
- Adresse email utilisée lors de la visite du salon
- Nom du salon concerné
- Nature de la demande (accès, rectification, effacement, etc.)
- Copie d'un document d'identité (si nécessaire pour vérification)
**Délais de réponse :**
- Accusé de réception : 48 heures
- Réponse complète : 30 jours maximum (1 mois)
- Prolongation possible de 2 mois en cas de demande complexe (avec justification)
===============================================================================
