Accord de Traitement des Données (DPA)

1. Parties à l'accord

Le présent Accord de Traitement des Données (DPA) est conclu entre :

Responsable du traitement

Le Client / Transporteur

Toute personne morale ou physique ayant souscrit un abonnement ExpressLogis et utilisant la plateforme pour gérer ses activités de transport.

Sous-traitant

E-COM BUSINESS

Éditeur de la plateforme ExpressLogis, traitant les données pour le compte du Client dans le cadre de la fourniture du service SaaS.

Le présent DPA fait partie intégrante des Conditions Générales d'Utilisation et prend effet à la date de souscription de l'abonnement ExpressLogis.

2. Objet et nature du traitement

E-COM BUSINESS traite les données personnelles pour le compte du Client dans le cadre de la fourniture de la plateforme SaaS ExpressLogis, incluant :

Gestion des commandes et expéditions de transport
Suivi des tournées de livraison via l'application Driver Pro
Gestion de la flotte de véhicules et des conducteurs
Émission de factures électroniques (PEPPOL/Billit)
Stockage des preuves de livraison (photos, signatures électroniques)
Accès à l'API REST pour l'intégration avec les systèmes tiers du Client

3. Catégories de données traitées

Catégorie	Personnes concernées	Finalité
Données d'identification	Conducteurs, staff du transporteur	Authentification, gestion des accès
Données de localisation GPS	Conducteurs (Driver Pro)	Suivi des tournées en temps réel
Signatures électroniques	Destinataires des livraisons	Preuve de réception
Photos de livraison	Destinataires (indirectement)	Preuve de dépôt / état du colis
Données professionnelles conducteurs	Conducteurs	Conformité EC 561/2006, ADR
Coordonnées clients finaux	Destinataires des livraisons	Adresses de livraison, contact

Données sensibles : aucune donnée de catégorie spéciale (art. 9 RGPD) n'est traitée par la plateforme.

4. Obligations du sous-traitant (E-COM BUSINESS)

E-COM BUSINESS s'engage à :

Ne traiter les données que sur instruction documentée du Client (sauf obligation légale)
Garantir la confidentialité des données par des mesures techniques et organisationnelles appropriées
Ne pas divulguer les données à des tiers non autorisés
Notifier le Client dans les 72 heures de toute violation de données détectée
Supprimer ou restituer les données à la fin du contrat, sur demande du Client
Mettre à disposition du Client toute information nécessaire à la démonstration de sa conformité
Permettre les audits demandés par le Client avec un préavis raisonnable
Ne pas sous-traiter sans accord préalable écrit du Client

5. Mesures de sécurité

Conformément à l'article 32 du RGPD, E-COM BUSINESS met en œuvre les mesures suivantes :

Mesures techniques

Chiffrement TLS/HTTPS pour toutes les communications
Chiffrement des données sensibles en base de données
Authentification forte avec sessions sécurisées (HttpOnly, SameSite)
Isolation multi-tenant stricte — aucun accès croisé entre clients
Pare-feu applicatif et filtrage des requêtes malveillantes
Sauvegardes quotidiennes chiffrées sur infrastructure LWS (France)

Mesures organisationnelles

Contrôle d'accès par rôles (RBAC) — accès limité au strict nécessaire
Journaux d'audit complets sur toutes les actions sensibles
Procédure de gestion des incidents de sécurité documentée
Revue périodique des accès et des droits

6. Sous-traitants ultérieurs

Le Client autorise E-COM BUSINESS à faire appel aux sous-traitants ultérieurs suivants. Toute modification sera notifiée avec un préavis de 30 jours :

Sous-traitant	Pays	Finalité	Garanties
LWS	France 🇫🇷	Hébergement VPS	Serveurs UE — ISO 27001
Mollie B.V.	Pays-Bas 🇳🇱	Paiements en ligne	PCI-DSS Level 1
Stripe Inc.	USA 🇺🇸	Paiements en ligne	CCT UE — DPF UE-USA
Billit / PEPPOL	Belgique 🇧🇪	Facturation électronique	Réseau PEPPOL certifié
Google Firebase	USA 🇺🇸	Notifications push Driver Pro	CCT UE — DPF UE-USA

7. Transferts hors Union Européenne

Les transferts vers des pays tiers (Stripe, Firebase) sont encadrés par les Clauses Contractuelles Types (CCT) adoptées par la Commission européenne et/ou le Data Privacy Framework UE-USA. Aucun autre transfert hors UE n'est effectué.

8. Durée et fin du traitement

Le présent DPA prend effet à la date de souscription et reste en vigueur pendant toute la durée du contrat d'abonnement ExpressLogis.

À la résiliation :

Les données sont conservées 30 jours supplémentaires (période de grâce)
Sur demande écrite du Client : export des données en format standard (CSV/JSON)
Après 30 jours : suppression sécurisée et irréversible de toutes les données du Client
Exception : données conservées au-delà si obligation légale (ex. factures : 7 ans)

9. Droits des personnes concernées

E-COM BUSINESS s'engage à assister le Client dans l'exercice des droits des personnes concernées (art. 15 à 22 RGPD) :

Transmission des demandes d'accès, rectification ou effacement dans un délai de 5 jours ouvrés
Mise à disposition des outils techniques nécessaires (export, suppression)
Documentation des traitements à disposition pour les contrôles

10. Notification des violations

En cas de violation de données susceptible d'engendrer un risque pour les droits et libertés des personnes concernées, E-COM BUSINESS s'engage à :

Notifier le Client dans les 72 heures après prise de connaissance
Fournir une description de la nature de la violation et des données impactées
Décrire les mesures prises ou envisagées pour remédier à la violation
Assister le Client dans sa notification à l'autorité de contrôle (APD belge)

11. Droit applicable

Le présent DPA est soumis au droit belge et au Règlement (UE) 2016/679 (RGPD). Tout litige sera soumis aux juridictions compétentes de Bruxelles (Belgique).

12. Contact DPA

Pour toute question relative au présent accord :

E-COM BUSINESS
Email : contact@expresslogis.com
Site : https://expresslogis.com