Accord de Traitement des Données (DPA)

Data Processing Agreement — Article 28 RGPD • Dernière mise à jour : 14/02/2026 • Version 2.0

Parties

Le présent Accord de Traitement des Données (DPA) est conclu entre :

• Le Responsable du traitement : L'entreprise de transport abonnée à la plateforme ExpressLogis, telle qu'identifiée dans le contrat d'abonnement (ci-après « le Responsable » ou « le Transporteur »).
• Le Sous-traitant : « ExpressLogis » (ci-après « ExpressLogis » ou « le Sous-traitant »), service exploité par E-COM BUSINESS BV, société à responsabilité limitée de droit belge dont le siège social est situé au 479 Chaussée de Jette, 1090 Jette (Bruxelles), Belgique, immatriculée au registre des personnes morales de Bruxelles sous le numéro d'entreprise BCE BE 0765.428.384, accessible à l'adresse expresslogis.com.

Ci-après dénommés individuellement « la Partie » et collectivement « les Parties ».

Préambule

Le Responsable utilise la plateforme SaaS ExpressLogis pour la gestion de ses activités de transport, incluant la gestion de ses clients (donneurs d'ordre), de ses chauffeurs, de ses commandes de transport, de sa facturation et de sa flotte de véhicules.

Dans le cadre de cette utilisation, le Sous-traitant est amené à traiter des données à caractère personnel pour le compte du Responsable.

Le présent accord (ci-après « le DPA ») définit les conditions dans lesquelles le Sous-traitant s'engage à effectuer les opérations de traitement de données à caractère personnel pour le compte du Responsable, conformément à l'article 28 du RGPD.

Le DPA fait partie intégrante des Conditions Générales d'Utilisation de la plateforme ExpressLogis.

1. Objet et durée

1.1 Objet

Le présent DPA a pour objet de définir les conditions dans lesquelles le Sous-traitant s'engage à effectuer, pour le compte du Responsable, les opérations de traitement de données à caractère personnel décrites à l'Annexe 1.

1.2 Durée

Le présent DPA entre en vigueur à la date de souscription de l'abonnement à la plateforme ExpressLogis et reste en vigueur pendant toute la durée du contrat d'abonnement, augmentée de la période nécessaire à la suppression ou à la restitution des données conformément à l'article 9.

2. Description du traitement

Les détails du traitement sont décrits à l'Annexe 1 et comprennent notamment :

• Nature du traitement : hébergement, stockage, consultation, modification, suppression, transmission et sauvegarde de données à caractère personnel via la plateforme SaaS.
• Finalité du traitement : permettre au Responsable de gérer ses activités de transport (clients, chauffeurs, commandes, facturation, flotte).
• Types de données traitées : données d'identification, données de contact, données de localisation GPS, données financières, données relatives aux permis de conduire et pièces d'identité, données de commandes et livraisons.
• Catégories de personnes concernées : clients du Responsable (donneurs d'ordre B2B/B2C), chauffeurs du Responsable, destinataires des livraisons.

3. Obligations du Sous-traitant

3.1 Instructions documentées

Le Sous-traitant s'engage à traiter les données à caractère personnel uniquement sur instruction documentée du Responsable, y compris en ce qui concerne les transferts de données vers un pays tiers ou à une organisation internationale, sauf obligation légale à laquelle le Sous-traitant est soumis. Dans ce cas, le Sous-traitant informe le Responsable de cette obligation avant le traitement, sauf si la loi interdit une telle information.

3.2 Confidentialité

Le Sous-traitant veille à ce que les personnes autorisées à traiter les données à caractère personnel s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.

3.3 Sécurité du traitement (Art. 32 RGPD)

Le Sous-traitant met en œuvre les mesures techniques et organisationnelles appropriées décrites à l'Annexe 2 afin de garantir un niveau de sécurité adapté au risque, y compris :

• le chiffrement des données à caractère personnel (HTTPS/TLS en transit, AES-256 au repos) ;
• des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience des systèmes (isolation multi-tenant, hachage mots de passe, contrôle d'accès par rôle) ;
• des moyens permettant de rétablir la disponibilité des données en cas d'incident (sauvegardes régulières chez LWS France) ;
• une procédure visant à tester et évaluer régulièrement l'efficacité des mesures de sécurité (journalisation, audit trail RGPD).

3.4 Sous-traitance ultérieure

Le Sous-traitant ne recrute pas un autre sous-traitant sans l'autorisation écrite préalable, spécifique ou générale, du Responsable. En cas d'autorisation générale, le Sous-traitant informe le Responsable de tout changement prévu concernant l'ajout ou le remplacement d'autres sous-traitants, donnant ainsi au Responsable la possibilité d'émettre des objections.

La liste actuelle des sous-traitants ultérieurs est décrite à l'Annexe 3. Lorsqu'un sous-traitant ultérieur est recruté, le Sous-traitant lui impose, par voie contractuelle, les mêmes obligations de protection des données que celles prévues dans le présent DPA.

3.5 Assistance au Responsable

Le Sous-traitant aide le Responsable, par des mesures techniques et organisationnelles appropriées, à s'acquitter de son obligation de donner suite aux demandes d'exercice des droits des personnes concernées (accès, rectification, effacement, portabilité, opposition, limitation).

3.6 Assistance en matière de sécurité et d'analyse d'impact

Le Sous-traitant aide le Responsable à garantir le respect des obligations prévues aux articles 32 à 36 du RGPD (sécurité, notification de violation, analyse d'impact), compte tenu de la nature du traitement et des informations à la disposition du Sous-traitant.

3.7 Notification des violations

Le Sous-traitant notifie au Responsable toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance, et en tout état de cause dans un délai de 48 heures. Cette notification comprend au minimum :

• la nature de la violation, y compris les catégories et le nombre approximatif de personnes concernées ;
• le nom et les coordonnées du point de contact ;
• les conséquences probables de la violation ;
• les mesures prises ou proposées pour remédier à la violation.

4. Obligations du Transporteur

Le Responsable s'engage à :

• fournir au Sous-traitant les instructions documentées relatives au traitement des données ;
• veiller à la licéité du traitement des données confiées au Sous-traitant ;
• informer ses propres clients et chauffeurs du traitement de leurs données via la plateforme ExpressLogis, conformément aux articles 13 et 14 du RGPD ;
• répondre aux demandes d'exercice des droits des personnes concernées, avec l'assistance technique du Sous-traitant ;
• superviser le traitement, y compris réaliser des audits et inspections si nécessaire.

5. Localisation et transferts de données

5.1 Localisation principale

Les données sont hébergées en France chez LWS, hébergeur soumis au RGPD. Aucune donnée n'est stockée en dehors de l'Union européenne par le Sous-traitant.

5.2 Transferts vers des pays tiers

Certains sous-traitants ultérieurs sont établis aux États-Unis. Les garanties suivantes sont mises en place conformément aux articles 44 à 49 du RGPD :

• Google LLC (Maps, Fonts) : Clauses Contractuelles Types (CCT) approuvées par la Commission européenne + cadre EU-US Data Privacy Framework.
• Stripe Inc. (paiements) : CCT + certification PCI DSS Level 1. Stripe agit comme responsable indépendant pour les données de paiement. ExpressLogis ne stocke jamais les numéros de carte bancaire.
• Cloudflare (CDN) : CCT + DPA Cloudflare.

Le Responsable consent à ces transferts en acceptant le présent DPA. Le Sous-traitant informera le Responsable de tout nouveau transfert vers un pays tiers.

6. Droits d'audit

Le Sous-traitant met à la disposition du Responsable toutes les informations nécessaires pour démontrer le respect des obligations prévues à l'article 28 du RGPD et permet la réalisation d'audits, y compris des inspections, par le Responsable ou un autre auditeur mandaté par celui-ci, et y contribue.

Les audits sont réalisés moyennant un préavis raisonnable de 30 jours calendaires, pendant les heures ouvrables, et ne doivent pas perturber de manière disproportionnée les activités du Sous-traitant. Les coûts de l'audit sont à la charge du Responsable.

Le Sous-traitant informe immédiatement le Responsable si, selon lui, une instruction constitue une violation du RGPD ou d'autres dispositions relatives à la protection des données.

7. Isolation multi-tenant et confidentialité

La plateforme ExpressLogis est une solution SaaS multi-tenant. Le Sous-traitant garantit une isolation stricte des données entre les différents transporteurs :

• Chaque transporteur ne peut accéder qu'à ses propres données (clients, chauffeurs, commandes, factures, véhicules).
• L'isolation est assurée au niveau de la base de données par une clause transporter_id systématique sur toutes les requêtes.
• L'administrateur de la plateforme (ExpressLogis) a un accès technique aux données de tous les transporteurs, limité aux besoins de maintenance, support technique et obligations légales.
• Aucune donnée d'un transporteur n'est partagée avec un autre transporteur.

8. Durées de conservation

Le Sous-traitant conserve les données conformément aux durées suivantes :

Catégorie	Durée	Justification
Données de compte	Contrat + 30 jours	Période de grâce après résiliation
Factures et comptabilité	7 ans	Art. 60 Code TVA belge
Positions GPS chauffeurs	90 jours	Proportionnalité — purge CRON automatique
Journaux de sécurité	1 an	Détection d'incidents
Logs audit RGPD	3 ans	Preuve de conformité (Art. 5.2 RGPD)
Consentements cookies	13 mois	Recommandation APD/CNIL

9. Sort des données en fin de contrat

9.1 Restitution

À l'expiration ou à la résiliation du contrat d'abonnement, le Sous-traitant, au choix du Responsable, restitue toutes les données à caractère personnel au Responsable dans un format structuré, couramment utilisé et lisible par machine (export CSV/JSON), ou les supprime et détruit toutes les copies existantes.

9.2 Délai

La restitution ou la suppression intervient dans un délai de 30 jours calendaires suivant la demande du Responsable. Passé ce délai, et sauf obligation légale de conservation, les données sont supprimées.

9.3 Conservation légale

Les données soumises à une obligation légale de conservation (notamment les factures — 7 ans, Art. 60 Code TVA belge) sont archivées de manière sécurisée et à accès restreint pendant la durée légale, puis supprimées automatiquement.

10. Droit applicable et juridiction

Le présent DPA est régi par le droit belge. Tout litige relatif à l'interprétation ou à l'exécution du présent DPA relève de la compétence exclusive des tribunaux de Bruxelles.

11. Dispositions finales

Le présent DPA fait partie intégrante des Conditions Générales d'Utilisation de la plateforme ExpressLogis. En cas de contradiction entre le DPA et les CGU, les dispositions du DPA prévalent en ce qui concerne la protection des données à caractère personnel.

Toute modification du présent DPA doit faire l'objet d'un avenant écrit signé par les deux Parties.

Annexe 1
Description du traitement

Élément	Description
Nature du traitement	Hébergement, stockage, consultation, modification, suppression, transmission, sauvegarde de données via la plateforme SaaS ExpressLogis
Finalité	Permettre au Transporteur de gérer ses activités : clients, chauffeurs, commandes, facturation, flotte, localisation GPS
Durée	Durée du contrat d'abonnement + période de rétention légale applicable
Personnes concernées	Clients du Transporteur (donneurs d'ordre B2B/B2C), chauffeurs du Transporteur, destinataires des livraisons
Données d'identification	Raison sociale, nom, prénom, date de naissance, nationalité, numéro de TVA, type (B2B/B2C)
Données de contact	Email, téléphone, adresse postale
Données de localisation	Positions GPS en temps réel (latitude, longitude, vitesse, cap, batterie) — chauffeurs en mission uniquement
Pièces d'identité	Numéro de carte d'identité (chauffeurs), numéro et type de permis de conduire, dates d'expiration
Données financières	Coordonnées bancaires (IBAN, BIC) des transporteurs pour la facturation — Aucune carte bancaire stockée
Données de commandes	Adresses enlèvement/livraison, description colis, poids, volume, photos preuve livraison, signatures, horodatages
Données techniques	Adresse IP, user-agent, logs de sécurité, tokens CSRF, empreintes de session

Annexe 2
Mesures techniques et organisationnelles (Art. 32 RGPD)

Catégorie	Mesure	Détail
Chiffrement	Transit : HTTPS/TLS	Certificat SSL sur toutes les communications
Chiffrement	Repos : AES-256	Données sensibles (IBAN, tokens) chiffrées avec ENCRYPTION_KEY
Authentification	Hachage bcrypt	Mots de passe hashés (coût 12), jamais stockés en clair
Authentification	Anti brute force	Max 5 tentatives/15min, verrouillage 30min
Session	Protection CSRF + fingerprint	Token CSRF par session, empreinte IP+UA, cookies Secure/HttpOnly/SameSite
Accès	Isolation multi-tenant	Clause transporter_id systématique, vérification ownership
Accès	Rôles	4 rôles distincts (Admin, Transporteur, Client, Chauffeur)
Réseau	Headers sécurité	CSP, HSTS, X-Frame-Options, CORS whitelist
Surveillance	Journalisation	Logs sécurité (1 an) + audit trail RGPD (3 ans)
Hébergement	Serveurs France (LWS)	Datacenter soumis au RGPD, sauvegardes régulières
Données	Purge automatique GPS	Suppression automatique > 90 jours (CRON quotidien)

Annexe 3
Liste des sous-traitants ultérieurs

Le Responsable autorise le Sous-traitant à faire appel aux sous-traitants ultérieurs suivants :

Sous-traitant	Siège	Service	Données	Garanties
LWS	France	Hébergement web et BDD	Toutes	RGPD (France)
Google LLC	USA	Maps, Geocoding, Fonts	Adresses, GPS, IP	CCT + DPF
Stripe Inc.	USA/Irlande	Paiements	Données paiement	CCT + PCI DSS
Cloudflare	USA	CDN	IP	CCT
jsDelivr	Pays-Bas	CDN	IP	CCT

Note : Stripe agit comme responsable du traitement indépendant pour les données de paiement. VIES (Commission européenne) et PEPPOL (OpenPeppol) sont des services officiels de l'Union européenne et ne sont pas considérés comme des sous-traitants ultérieurs au sens de l'article 28 du RGPD.