Accord de sous-traitance des données (DPA)

Dernière mise à jour : 6 juillet 2026

Document type fourni à titre informatif. Il doit être vérifié et adapté par un professionnel du droit avant tout usage commercial. Les mentions notées « ⟨à compléter⟩ » restent à compléter.

Cet accord précise, en application de l’article 28.3 du RGPD, les conditions dans lesquelles Hopla (le « Sous-traitant ») traite des données personnelles pour le compte de l’établissement client (le « Responsable de traitement »). Une version signable peut être fournie sur demande à bonjour@hopla.team.

1. Objet & durée

Le Sous-traitant traite les données pour la seule finalité de fournir le Service Hopla souscrit par le Responsable. L’accord s’applique pendant toute la durée d’utilisation du Service.

2. Nature des traitements

  • Nature & finalité : hébergement, gestion et consultation des plannings et données RH, notifications, et fonctionnalités associées du Service.
  • Catégories de données : données d’identification et professionnelles des salariés (coordonnées, poste, contrat, horaires, absences, éléments d’heures) ; pour la petite enfance, données des enfants et de leurs représentants, y compris des données de santé (allergies, PAI).
  • Catégories de personnes : salariés du Responsable, et le cas échéant enfants accueillis et leurs représentants légaux.

3. Obligations du Sous-traitant

  • traiter les données uniquement sur instruction documentéedu Responsable ;
  • garantir la confidentialitéet n’autoriser l’accès qu’aux personnes habilitées, tenues à la confidentialité ;
  • mettre en œuvre des mesures de sécuritéappropriées (art. 32) : chiffrement en transit, cloisonnement par établissement, contrôle d’accès, journal d’audit ;
  • assisterle Responsable pour la sécurité, les notifications de violation, les analyses d’impact (art. 32 à 36) et les demandes d’exercice des droits des personnes ;
  • mettre à disposition les informations nécessaires pour démontrer le respect de ces obligations.

4. Sous-traitants ultérieurs

Le Responsable autorise le recours aux sous-traitants ultérieurs ci-dessous, soumis aux mêmes obligations de protection. Tout changement est communiqué au préalable, permettant au Responsable de s’y opposer pour un motif légitime.

  • SupabaseBase de données & authentification (Union européenne — Francfort (Allemagne)).
  • VercelHébergement & exécution de l'application (Union européenne — région fra1 (Francfort). Société américaine encadrée par les clauses contractuelles types.).
  • ResendEnvoi des e-mails transactionnels (invitations, notifications) (Union européenne).
  • Vercel BlobStockage privé des photos (espace famille, vertical petite enfance) (Union européenne).

5. Localisation & transferts

Les traitements sont localisés dans l’Union européenne. Aucun transfert hors UE n’est effectué sans garanties appropriées (clauses contractuelles types).

6. Violation de données

En cas de violation de données à caractère personnel, le Sous-traitant en informe le Responsable dans les meilleurs délais après en avoir pris connaissance, avec les éléments utiles pour lui permettre, le cas échéant, de notifier la CNIL et les personnes concernées.

7. Sort des données en fin de contrat

Au terme de la prestation, le Responsable peut exporter ses données (fonction disponible dans les paramètres). Les données sont ensuite supprimées, sauf obligation légale de conservation. La suppression d’un établissement depuis les paramètres efface ses données de manière définitive.

8. Audit

Le Responsable peut, à sa demande et dans des conditions raisonnables, obtenir les informations nécessaires pour vérifier le respect des obligations du Sous-traitant.

9. Contact

Pour toute demande relative à cet accord ou pour en obtenir une version signée : bonjour@hopla.team. Voir aussi la politique de confidentialité.