Accord de Traitement des Données (DPA)
Dernière mise à jour : 13/04/2026
Accord de Traitement des Données (DPA)
Date de dernière mise à jour : 13 avril 2026
Version : 1.1
> Cet accord est annexé aux Conditions Générales d'Utilisation de Limaniya Host. Il est conclu conformément à l'article 28 du Règlement (UE) 2016/679 (RGPD).
1. Parties
Sous-traitant : Karamba Sakho, Entrepreneur Individuel — contact@limaniya.fr
Responsable de traitement : Le Client (conciergerie) ayant souscrit un abonnement Limaniya Host.
2. Objet
Le présent accord définit les conditions dans lesquelles le Sous-traitant traite les données à caractère personnel pour le compte du Responsable de traitement dans le cadre de la fourniture du service Limaniya Host.
3. Nature, finalité et durée du traitement
- Nature : Stockage, organisation, structuration, consultation, extraction des données
- Finalité : Gestion des réservations, voyageurs, propriétaires et équipes de conciergerie ; assistance IA conversationnelle ; alertes proactives automatiques
- Durée : Durée du contrat de service + 30 jours pour restitution/suppression
4. Catégories de données traitées
| Catégorie | Données | Personnes concernées |
|---|---|---|
| Identité voyageurs | Nom, prénom, email, téléphone | Voyageurs |
| Documents d'identité | Copie pièce identité (si collectée) | Voyageurs |
| Paiement | Montants, statuts (sans numéro carte) | Voyageurs |
| Propriétaires | Nom, email, RIB, accès logement | Propriétaires |
| Équipe | Login, rôle, logs d'activité | Employés conciergerie |
| Interactions IA | Requêtes co-pilote, réponses, actions | Employés conciergerie |
5. Instructions documentées
Le Sous-traitant ne traite les données à caractère personnel que sur instruction documentée du Responsable de traitement. L'utilisation du service constitue une instruction permanente de traitement selon les finalités définies à l'article 3.
6. Confidentialité
Le Sous-traitant s'engage à n'autoriser le traitement des données que par des personnes soumises à une obligation de confidentialité appropriée.
7. Mesures de sécurité (Art. 32 RGPD)
Le Sous-traitant met en œuvre les mesures suivantes :
- Chiffrement TLS en transit (HTTPS obligatoire)
- Chiffrement AES-256 des données au repos (Supabase/AWS)
- Row Level Security (RLS) garantissant l'isolation entre tenants
- Authentification multi-facteurs disponible
- Appareils de confiance avec code PIN (SHA-256 + bcrypt) et expiration de session automatique (4h)
- Journalisation des accès et des actions du co-pilote IA
- Sauvegardes automatiques quotidiennes (RPO : 24h)
8. Sous-traitance ultérieure
Le Sous-traitant fait appel aux sous-traitants ultérieurs suivants :
| Sous-traitant | Rôle | Localisation | Garanties |
|---|---|---|---|
| Vercel Inc. | Hébergement application | USA | EU-U.S. Data Privacy Framework |
| Supabase Inc. (AWS) | Base de données | eu-west-3 Paris | CCT 2021/914 |
| Resend Inc. | Emails système | USA | Data Privacy Framework |
| Upstash Inc. | Cache applicatif | EU Frankfurt | Données en UE |
| Groq Inc. | IA générative co-pilote | USA | SCCs 2021/914 + Zero Data Retention |
| OpenAI, L.L.C. | STT, Vision, Embeddings | USA | Data Privacy Framework + Zero Data Retention |
| Twilio Inc. | SMS escalade support | USA | Data Privacy Framework |
Le Responsable de traitement peut s'opposer à la nomination d'un nouveau sous-traitant dans un délai de 14 jours suivant notification. À défaut d'opposition, l'ajout est réputé accepté.
9. Co-pilote IA et décision automatisée
Le co-pilote IA de Limaniya Host ("Jarvis") assiste les gestionnaires en suggérant des actions et en générant des alertes proactives. Conformément à l'article 22 du RGPD :
- Aucune action à impact significatif sur des données personnelles n'est exécutée sans confirmation humaine explicite
- Le Responsable de traitement est informé que les interactions avec le co-pilote sont journalisées à des fins d'audit (CopilotLog)
- Les données transmises aux modèles IA (Groq, OpenAI) sont limitées au strict nécessaire et ne sont pas conservées au-delà du traitement (Zero Data Retention)
10. Assistance au Responsable de traitement
Le Sous-traitant s'engage à :
- Aider le Responsable à répondre aux demandes d'exercice de droits (accès, rectification, effacement, portabilité)
- Notifier le Responsable dans les 48 heures en cas de violation de données (Art. 33 RGPD)
- Fournir les informations nécessaires aux analyses d'impact (AIPD) si requis
- Communiquer les logs du co-pilote IA sur demande dans le cadre d'un droit d'accès
11. Notification des violations de données
En cas de violation de données susceptible d'engendrer un risque pour les droits et libertés, le Sous-traitant notifiera le Responsable de traitement dans les 48 heures suivant la prise de connaissance, avec les informations suivantes :
- Nature de la violation
- Catégories et nombre approximatif de personnes concernées
- Conséquences probables
- Mesures prises ou envisagées
12. Audits
Le Responsable de traitement ou un auditeur mandaté peut effectuer des audits de conformité, sur préavis de 30 jours, dans la limite d'un audit par an, sans perturber l'activité du Sous-traitant.
13. Sort des données en fin de contrat
Dans les 30 jours suivant la résiliation du contrat, le Sous-traitant :
- Met à disposition les données dans un format exportable (JSON/CSV)
- Supprime définitivement l'ensemble des données du Responsable de traitement
- Fournit une attestation écrite de suppression sur demande
14. Transferts hors Union Européenne
Les données sont stockées dans l'Union Européenne (serveurs Supabase, région eu-west-3 Paris). Les transferts éventuels vers des sous-traitants américains sont encadrés par :
- Le Data Privacy Framework EU-U.S. (Vercel, Resend, OpenAI, Twilio)
- Les Clauses Contractuelles Types — décision 2021/914 (Supabase, Groq)
- Les Clauses Contractuelles Types de la Commission européenne — Décision 2021/914 (Supabase)
Groq et OpenAI opèrent avec le mode Zero Data Retention : aucune donnée n'est conservée au-delà du traitement de la requête.
15. Droit applicable
Le présent accord est soumis au droit français. Tout litige sera porté devant les juridictions compétentes de Toulouse.