CleanBoard

Accord de sous-traitance (RGPD)

Dernière mise à jour : 5 juin 2026

Le présent accord encadre le traitement des données personnelles que vous confiez à CleanBoard lorsque vous utilisez le Service. Il est conclu en application de l'article 28 du Règlement général sur la protection des données (RGPD) et fait partie intégrante des conditions générales de vente. Il est accepté lors de la souscription au Service.

1. Rôle des parties

Lorsque vous enregistrez dans CleanBoard des données concernant vos propres clients ou prospects (par exemple leur nom, leurs coordonnées, leurs devis ou leurs chantiers), vous agissez en qualité de responsable de traitement et l'éditeur du Service (« l'Éditeur ») agit en qualité de sous-traitant. L'Éditeur traite ces données pour votre compte, sur la base de vos instructions documentées, constituées par l'utilisation des fonctionnalités du Service et par le présent accord.

2. Objet, durée et nature du traitement

  • Finalité : fournir les fonctionnalités du Service (gestion des clients, devis, chantiers, planning, frais, stock, documents, statistiques et assistant).
  • Nature des opérations : collecte, enregistrement, organisation, conservation, consultation, affichage, modification et suppression des données, pour votre compte.
  • Durée : pendant toute la durée de votre abonnement, puis selon les durées indiquées dans la Politique de confidentialité.
  • Catégories de personnes concernées : vos clients et prospects.
  • Catégories de données : données d'identification et de contact (nom, adresse, e-mail, téléphone) et données relatives aux devis, chantiers et documents que vous saisissez. Le Service ne requiert aucune donnée sensible (article 9 du RGPD) ; vous vous engagez à ne pas en enregistrer sans nécessité ni base légale.

3. Obligations de l'Éditeur (sous-traitant)

Conformément à l'article 28.3 du RGPD, l'Éditeur s'engage à :

  • ne traiter les données que sur vos instructions documentées, y compris pour les transferts, sauf obligation légale ;
  • garantir que les personnes autorisées à traiter les données sont tenues à une obligation de confidentialité ;
  • mettre en œuvre les mesures techniques et organisationnelles appropriées de sécurité (article 32) : voir l'article 5 ci-dessous ;
  • respecter les conditions de recours à un sous-traitant ultérieur (article 4 ci-dessous) ;
  • vous aider, dans la mesure du possible, à répondre aux demandes d'exercice des droits des personnes concernées (accès, rectification, effacement, limitation, opposition, portabilité) ;
  • vous aider à garantir le respect de vos obligations de sécurité, de notification de violation et d'analyse d'impact (articles 32 à 36), compte tenu des informations à sa disposition ;
  • à la fin des prestations, et selon votre choix, supprimer ou vous restituer les données (un export est disponible à tout moment depuis le Service), puis détruire les copies existantes, sauf obligation légale de conservation ;
  • mettre à votre disposition les informations nécessaires pour démontrer le respect de ces obligations et permettre la réalisation d'audits raisonnables.

4. Sous-traitants ultérieurs

Vous autorisez l'Éditeur à recourir aux sous-traitants ultérieurs suivants, qui présentent des garanties appropriées et sont liés par des obligations de protection des données équivalentes :

  • Supabase, Inc.Hébergement des données (base de données, authentification, fichiers) — Union européenne
  • Vercel Inc.Hébergement et diffusion de l'application web
  • OpenAI, L.L.C.Assistant intelligent : la question posée et le contexte strictement nécessaire sont transmis pour générer une réponse. Les données envoyées via l'API ne sont pas utilisées pour entraîner les modèles.
  • Stripe Payments Europe, Ltd.Traitement des paiements de l'abonnement
  • Resend (e-mails transactionnels)Envoi d'e-mails liés au compte (authentification, rappels)

L'Éditeur vous informe de tout projet d'ajout ou de remplacement d'un sous-traitant ultérieur, vous permettant de vous y opposer pour un motif légitime.

5. Sécurité

L'Éditeur met en œuvre des mesures adaptées : chiffrement des échanges, cloisonnement strict des comptes (chaque utilisateur n'accède qu'à ses propres données), contrôle d'accès au niveau de la base de données et hébergement des données dans l'Union européenne. Ces mesures sont décrites dans la Politique de confidentialité.

6. Transferts hors Union européenne

Les données sont hébergées dans l'Union européenne. Certains sous-traitants ultérieurs (par exemple pour l'hébergement applicatif ou l'assistant intelligent) peuvent impliquer un transfert hors UE ; ces transferts sont alors encadrés par des garanties appropriées (clauses contractuelles types de la Commission européenne).

7. Violation de données

En cas de violation de données à caractère personnel concernant les traitements réalisés pour votre compte, l'Éditeur vous en informe dans les meilleurs délais après en avoir pris connaissance et vous communique les informations utiles pour vous permettre, le cas échéant, de procéder aux notifications qui vous incombent.

8. Vos obligations

En tant que responsable de traitement, vous demeurez tenu d'informer vos clients du traitement de leurs données, de disposer d'une base légale pour les traiter et de répondre aux demandes d'exercice de leurs droits, l'Éditeur vous y apportant son assistance.

9. Contact

Pour toute question relative au présent accord ou pour obtenir un exemplaire signé : contact@cleanboard.fr.