Le présent document est conclu entre vous (le « Responsable de traitement ») et Hovea (« Sous-traitant ») conformément à l'article 28 du RGPD (Règlement UE 2016/679). Il précise les rôles, les mesures de sécurité, la chaîne de sous-traitance et les modalités de fin de prestation.
Définitions
Cadre conceptuel pour lever toute ambiguïté sur les rôles.
Au sens du présent DPA, on entend par « Données » toute donnée à caractère personnel traitée par Hovea pour le compte du Client, par « Personne concernée » toute personne physique identifiée ou identifiable dont les Données sont traitées, et par « Violation » toute atteinte à la sécurité entraînant accès, perte, altération ou divulgation non autorisée.
Le Client agit en qualité de Responsable de traitement. Hovea agit en qualité de Sous-traitant au sens des articles 4.7 et 4.8 du RGPD (Règlement UE 2016/679).
Objet
Le présent accord encadre la sous-traitance des données à caractère personnel confiées à Hovea dans le cadre de la fourniture du service de gestion locative « Hovea » (ci-après, le « Service »). Il s'applique à toute donnée traitée pour le compte du Client, notamment : identités et coordonnées des bailleurs, locataires, garants, ainsi que les informations financières, documentaires et contractuelles associées.
Durée et résiliation
Le DPA entre en vigueur à la date de signature électronique et reste applicable pour toute la durée de l'abonnement au Service. À l'issue, Hovea s'engage, au choix du Client, à restituer ou à supprimer définitivement l'ensemble des données, dans un délai maximal de 30 jours, et à en fournir attestation écrite sur simple demande.
Nature et finalités du traitement
Cinq finalités exclusives, sans usage secondaire ni profilage marketing.
- Hébergement, stockage et sauvegarde des données saisies dans le Service ;
- Génération de documents (quittances, baux, états des lieux, courriers) ;
- Envoi d'emails transactionnels au Client et à ses locataires ;
- Calculs fiscaux et juridiques à la demande explicite du Client ;
- Assistance juridique automatisée (IA), uniquement sur requête du Client.
Obligations du Sous-traitant
Les engagements de Hovea, conformes à l'article 28 du RGPD.
Hovea s'engage à :
- ne traiter les Données que sur instruction documentée du Client ;
- garantir la confidentialité par un engagement individuel des personnes autorisées ;
- mettre en œuvre des mesures techniques et organisationnelles appropriées (TLS 1.3, chiffrement au repos AES-256, RLS Postgres, authentification forte) ;
- notifier toute violation de Données dans un délai de 72 heures ;
- aider le Client à répondre aux demandes des Personnes concernées (droits d'accès, rectification, effacement, portabilité) ;
- tenir un registre des traitements conforme à l'article 30 du RGPD ;
- supprimer ou restituer les Données à la fin de la prestation, au choix du Client.
Sécurité
Hovea applique les mesures suivantes : chiffrement TLS 1.3 en transit, AES-256 au repos, Row Level Security activée sur toutes les tables Postgres, double authentification disponible, journalisation des accès sensibles, durcissement des images applicatives, principe de moindre privilège pour les accès humains.
Les sauvegardes sont chiffrées, géo-redondées dans l'UE et conservées conformément à la politique de rétention. Les copies de production ne sont jamais utilisées dans des environnements de test.
Sous-traitants ultérieurs
Liste limitative et garanties associées. Toute évolution est notifiée préalablement.
Le Client autorise Hovea à recourir aux sous-traitants ultérieurs listés ci-dessous. Toute modification fera l'objet d'une information préalable laissant au Client un délai raisonnable pour émettre une objection motivée.
| Sous-traitant | Rôle | Localisation | Garanties |
|---|---|---|---|
| Supabase, Inc. | Base de données, authentification, stockage | UE (AWS Paris, eu-west-3) | SOC 2 Type II · DPA signé |
| Vercel Inc. | Hébergement applicatif, CDN, edge functions | UE (Francfort) / États-Unis | DPF US-UE · SCC 2021 |
| Stripe Payments Europe Ltd. | Facturation, paiements | Irlande (UE) | PCI-DSS 1 · DPA signé |
| Resend, Inc. | Emails transactionnels | États-Unis | DPF US-UE · SCC 2021 |
Transferts hors UE
Les transferts vers des sous-traitants hors UE sont encadrés par les Clauses Contractuelles Types (Décision d'exécution UE 2021/914) ou, le cas échéant, par l'adhésion au Data Privacy Framework US-UE. Hovea documente ces garanties et les met à disposition du Client sur demande écrite.
Droits des Personnes concernées
Hovea apporte au Client une assistance raisonnable pour répondre aux demandes d'exercice de droits (accès, rectification, effacement, portabilité, opposition, limitation). Un export RGPD complet en JSON structuré est disponible directement depuis l'espace du Client, sans demande préalable. Les demandes externes adressées à Hovea sont systématiquement réorientées vers le Responsable de traitement.
Notifications de violation
Toute violation de Données est notifiée au Client dans un délai maximal de 72 heures à compter de sa détection, par email à l'adresse de contact renseignée dans l'espace cabinet, conformément à l'article 33 du RGPD. La notification précise la nature, les catégories de Données concernées, les conséquences probables et les mesures prises.
Audit et preuve
Hovea met à disposition du Client, sur demande écrite, les informations nécessaires pour démontrer le respect du présent DPA, dans la limite de ce qui est raisonnablement et techniquement faisable, sans compromettre la confidentialité des autres clients. Un rapport SOC 2 Type II ou équivalent peut être communiqué sous accord de confidentialité préalable.
Fin de l'accord, droit applicable
À la fin de la prestation, Hovea s'engage à supprimer définitivement ou à restituer l'ensemble des Données dans un délai maximal de 30 jours, au choix du Client. Une attestation de suppression peut être délivrée sur simple demande.
Le présent accord est régi par le droit français. Tout litige relatif à son interprétation ou à son exécution relève de la compétence exclusive des tribunaux du ressort de la cour d'appel de Paris.