Accord de Traitement des Données (DPA)
Sommaire
Parties Préambule 1. Objet et durée 2. Description du traitement 3. Obligations du Sous-traitant 4. Obligations du Transporteur 5. Transferts de données 6. Sous-traitants ultérieurs 7. Durées de conservation 8. Fin de contrat 9. Droit applicableParties
Le présent Accord de Traitement des Données (DPA) est conclu entre :
- Le Responsable du traitement : l'entreprise de transport abonnée à la plateforme ExpressLogis (ci-après « le Transporteur »).
- Le Sous-traitant : ExpressLogis, société établie à Bruxelles, Belgique, exploitant la plateforme SaaS accessible à l'adresse expresslogis.com.
Préambule
Le Transporteur utilise la plateforme SaaS ExpressLogis pour la gestion de ses activités de transport. Dans ce cadre, ExpressLogis traite des données à caractère personnel pour le compte du Transporteur. Le présent DPA définit les conditions de ce traitement conformément à l'article 28 du RGPD.
1. Objet et durée
Le DPA entre en vigueur à la date de souscription de l'abonnement et reste en vigueur pendant toute la durée du contrat, augmentée de la période nécessaire à la suppression ou restitution des données.
2. Description du traitement
- Nature : hébergement, stockage, consultation, modification, suppression et sauvegarde de données via la plateforme SaaS.
- Finalité : permettre au Transporteur de gérer ses activités (clients, chauffeurs, commandes, facturation, flotte).
- Catégories de personnes : clients du Transporteur, chauffeurs du Transporteur, destinataires des livraisons.
- Types de données : identification, contact, localisation GPS, financières, permis de conduire, pièces d'identité, commandes, livraisons.
3. Obligations du Sous-traitant
- Traiter les données uniquement sur instruction documentée du Transporteur.
- Garantir la confidentialité des données par les personnes autorisées à les traiter.
- Mettre en œuvre les mesures de sécurité appropriées (chiffrement HTTPS/TLS et AES-256, hachage bcrypt, isolation multi-tenant, contrôle d'accès par rôle).
- Ne pas recruter de sous-traitant ultérieur sans autorisation préalable du Transporteur.
- Assister le Transporteur pour répondre aux demandes d'exercice des droits des personnes concernées.
- Notifier toute violation de données dans les 48 heures.
4. Obligations du Transporteur
Le Transporteur s'engage à fournir les instructions documentées, veiller à la licéité du traitement, et informer ses propres clients et chauffeurs du traitement de leurs données via la plateforme.
5. Transferts de données
Les données sont hébergées en France (LWS). Certains sous-traitants ultérieurs sont aux USA (Google, Stripe, Cloudflare) avec des garanties CCT (Clauses Contractuelles Types).
6. Sous-traitants ultérieurs
Liste des sous-traitants ultérieurs autorisés :
- LWS (France) — Hébergement web et base de données
- Google LLC (USA) — Maps, Geocoding, Fonts — Garanties : CCT
- Stripe Inc. (USA/Irlande) — Paiements — Garanties : CCT + PCI DSS
- Cloudflare (USA) — CDN — Garanties : CCT
- jsDelivr (Pays-Bas) — CDN — Garanties : CCT
7. Durées de conservation
- Données de compte : durée du contrat + 30 jours
- Factures : 7 ans (Art. 60 Code TVA belge)
- Positions GPS : 90 jours (purge automatique CRON)
- Logs sécurité : 1 an
- Logs audit RGPD : 3 ans
- Consentements cookies : 13 mois
8. Fin de contrat
À la résiliation, le Transporteur peut demander l'export de ses données (CSV/JSON) dans un délai de 30 jours. Passé ce délai, les données sont supprimées, sauf obligations légales de conservation.
9. Droit applicable
Le DPA est régi par le droit belge. Les tribunaux de Bruxelles sont compétents.
10. Document complet
Le présent résumé est fourni à titre informatif. Le DPA complet est disponible en téléchargement et fait partie intégrante des Conditions Générales d'Utilisation.
Télécharger le DPA complet (PDF)