DPA - Traitement des données
Dernière mise à jour : 10/06/2026
Le présent Accord de traitement des données (« DPA ») s'applique au traitement des données personnelles effectué par Zeplan, édité par SBcom - Steven Berg (entrepreneur individuel, RCS Paris 838 066 090 00021, Paris) (« le Sous-traitant »), pour le compte du Client (« le Responsable du traitement ») dans le cadre de l'utilisation du service. Il complète les CGU et s'impose conformément à l'article 28 du RGPD.
1. Rôles
- Le Client est responsable du traitement des données personnelles qu'il saisit ou importe dans le service (ses membres, ses contacts, etc.).
- Zeplan agit en sous-traitant : il traite ces données uniquement sur instruction documentée du Client, aux seules fins de fournir le service.
2. Objet, durée, nature et finalité
- Objet : hébergement et traitement des données saisies dans Zeplan.
- Durée : la durée du contrat (CGU), augmentée des durées de conservation applicables.
- Nature et finalité : fournir un service de planning d'équipe (stockage, affichage, export, calculs de disponibilité et de charge).
- Catégories de personnes : membres de l'équipe du Client, ses contacts.
- Catégories de données : nom, fonction/niveau, statut, affectations, disponibilités, commentaires, et toute donnée que le Client choisit de saisir.
Le Client s'engage à ne pas saisir de données sensibles (santé, opinions, etc.) non nécessaires au service.
3. Obligations du Sous-traitant
Zeplan s'engage à :
- traiter les données uniquement sur instruction du Client ;
- garantir la confidentialité (personnel habilité et tenu au secret) ;
- mettre en œuvre des mesures de sécurité appropriées (chiffrement en transit, isolation des données par organisation via Row Level Security, contrôles d'accès, journalisation, sauvegardes) ;
- assister le Client pour répondre aux demandes d'exercice de droits des personnes concernées ;
- aider le Client à respecter ses obligations de sécurité, de notification de violation et d'analyse d'impact ;
- notifier le Client sans délai injustifié en cas de violation de données.
4. Sous-traitants ultérieurs
Le Client autorise Zeplan à recourir aux sous-traitants ultérieurs suivants :
| Sous-traitant | Rôle | Localisation |
|---|---|---|
| Supabase | Base de données, authentification | Union européenne (Francfort) |
| Vercel | Hébergement applicatif | UE / hors UE (clauses types) |
| Stripe | Paiement | UE / hors UE (clauses types) |
| Resend | Emails transactionnels | UE / hors UE (clauses types) |
Zeplan informera le Client de tout changement (ajout/remplacement) de sous-traitant, le Client pouvant s'y opposer pour motif légitime.
5. Transferts hors UE
Les données métier sont hébergées dans l'Union européenne. Tout transfert hors UE par un sous-traitant ultérieur est encadré par des clauses contractuelles types et/ou un mécanisme de transfert reconnu (Data Privacy Framework).
6. Assistance et droits des personnes
Zeplan met à disposition du Client les fonctionnalités lui permettant d'accéder, de rectifier, d'exporter et de supprimer les données de ses personnes concernées, et l'assiste raisonnablement pour toute demande complémentaire.
7. Violation de données
En cas de violation de données affectant les données du Client, Zeplan le notifie dans les meilleurs délais après en avoir pris connaissance, en fournissant les informations utiles pour permettre au Client de respecter ses propres obligations de notification.
8. Sort des données en fin de contrat
À la fin du contrat, le Client peut exporter ses données. Passé un délai de 24 mois, Zeplan supprime les données du Client, sauf obligation légale de conservation.
9. Audit
Zeplan met à disposition du Client les informations nécessaires pour démontrer le respect de l'article 28 du RGPD et se soumet, dans des conditions raisonnables et sous préavis, à des audits documentaires.