victor

Mentions

Data Processing Agreement (DPA)

Dernière mise à jour : 9 juin 2026

Data Processing Agreement (DPA) — Victor by Hubblot

Accord relatif au traitement des données à caractère personnel — Article 28 RGPD

Version 1.0 — En vigueur le [DATE_PUBLICATION]

Préambule

Le présent Data Processing Agreement (« DPA » ou « Accord ») est conclu entre :

  • D'une part, Com'Unique SAS, exerçant sous le nom commercial Hubblot, 1 Rue Edmond Laudeau, 59580 Aniche, France · SIREN 893 514 521 · Capital 2 000 €, représentée par son Président, Kevin Hubblot, ci-après le « Sous-Traitant » ou « Hubblot »,

  • D'autre part, le Client identifié dans le contrat principal (CGV), agissant en qualité de « Responsable du Traitement »,

ensemble dénommés « les Parties ».

Le présent DPA est annexé aux Conditions Générales de Vente du Service Victor (« le Service ») et en fait partie intégrante. Il a pour objet de définir les conditions dans lesquelles Hubblot s'engage à effectuer pour le compte du Responsable du Traitement les opérations de traitement de données à caractère personnel définies ci-après.

Il est conclu en application de l'article 28 du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (« RGPD ») et de la loi n° 78-17 du 6 janvier 1978 modifiée (« Loi Informatique et Libertés »).

Article 1 — Description du traitement

1.1 Objet

Hubblot traite des données à caractère personnel pour le compte du Responsable du Traitement aux fins suivantes :

  • Fourniture du Service Victor en mode SaaS
  • Hébergement et stockage sécurisé des données
  • Sauvegardes
  • Support technique
  • Maintenance corrective et évolutive
  • Surveillance de sécurité et lutte contre la fraude
  • Génération de rapports et statistiques pour le compte du Responsable du Traitement

1.2 Durée

Les traitements sont effectués pendant toute la durée du contrat principal (CGV) et 30 jours supplémentaires après résiliation, pendant lesquels le Responsable du Traitement peut demander un export complet des données.

1.3 Nature et finalités

Finalité Base légale
Gestion des comptes utilisateurs et authentification Exécution du contrat
Planning des vacations et missions Exécution du contrat
Pointages géolocalisés des agents Intérêt légitime du RT (preuve de présence) + consentement
Mains courantes, rondes, rapports d'incident Exécution du contrat + obligation légale (CNAPS)
Paie et facturation des prestations Exécution du contrat + obligation légale
Documents RH (certificats, qualifications, CNAPS) Exécution du contrat + obligation légale
Messagerie interne entre administrateurs et agents Exécution du contrat
Notifications opérationnelles (e-mail, SMS, push) Exécution du contrat
Audit et traçabilité des actions Obligation légale + intérêt légitime

1.4 Catégories de personnes concernées

  • Administrateurs du Responsable du Traitement (gérants, RH, planificateurs, comptables)
  • Agents de sécurité salariés ou indépendants du Responsable du Traitement
  • Sous-traitants et intervenants externes du Responsable du Traitement
  • Clients donneurs d'ordre du Responsable du Traitement
  • Candidats dans le cadre du module RH (le cas échéant)

1.5 Catégories de données traitées

Données d'identification :

  • Nom, prénom, e-mail, téléphone, adresse postale
  • Date et lieu de naissance
  • Photo de profil

Données professionnelles :

  • Numéro CNAPS, dates de validité, certifications SSIAP, autres qualifications
  • Photo carte professionnelle
  • Affectations, plannings, taux horaires (relations contractuelles)

Données opérationnelles :

  • Pointages avec horodatage et géolocalisation
  • Mains courantes, rapports d'incident (texte, photos, vidéos)
  • Passages aux points de ronde (horodatés)

Données techniques :

  • Logs de connexion, adresses IP, navigateur, système d'exploitation
  • Tokens d'authentification
  • Préférences utilisateur

Données de paiement (côté facturation aux clients donneurs d'ordre du RT) :

  • Coordonnées bancaires, IBAN (uniquement pour gestion des règlements clients du RT)

Catégories particulières : Hubblot ne collecte pas activement de données sensibles au sens de l'art. 9 RGPD. Toutefois, le Service peut accueillir, sous la responsabilité du RT :

  • Photos d'identité pouvant révéler origine ethnique perçue
  • Données de santé exceptionnellement saisies dans les mains courantes (par ex. blessure d'un agent)
  • Le RT est responsable de la légalité du traitement de telles données et s'engage à recueillir le consentement explicite lorsque requis.

Article 2 — Obligations du Sous-Traitant (Hubblot)

Hubblot s'engage à :

2.1 Conformité

  • Ne traiter les données que sur instruction documentée du Responsable du Traitement, y compris en matière de transferts hors UE/EEE
  • Informer immédiatement le RT si une instruction lui semble constituer une violation du RGPD ou d'autres règles de protection des données
  • Garantir que les personnes habilitées à traiter les données s'engagent à respecter la confidentialité (clause incluse dans les contrats de travail des collaborateurs Hubblot)

2.2 Sécurité

Mettre en œuvre les mesures techniques et organisationnelles appropriées (art. 32 RGPD), notamment :

Chiffrement :

  • Données en transit : TLS 1.3 systématique
  • Données au repos : chiffrement au niveau disque (LUKS) + secrets sensibles chiffrés colonne (AES-256-GCM, clé maître VAULT_MASTER_KEY hors base)
  • Mots de passe : Argon2id avec sel unique
  • Tokens : SHA-256 stockés en base

Isolation :

  • Row-Level Security PostgreSQL forcé sur toutes les tables tenant-scopées
  • Connexions DB via rôle dédié, contrôle de l'identifiant tenant à chaque requête
  • Séparation stricte des environnements (dev / preprod / prod)

Authentification :

  • Mot de passe fort obligatoire (12+ caractères, complexité)
  • Second facteur (TOTP) proposé et fortement encouragé pour les administrateurs
  • Sessions JWT signées HS256 (secret 256 bits min.)
  • Détection des compromis (HaveIBeenPwned)

Sauvegardes :

  • Snapshots quotidiens chiffrés conservés 30 jours
  • Sauvegarde mensuelle conservée 12 mois
  • Restauration testée trimestriellement

Audit et traçabilité :

  • Journal d'audit append-only avec chaînage cryptographique SHA-256 (AuditLog)
  • Toute action sensible (login, suspension, suppression, impersonation) tracée
  • Conservation des logs 12 mois (puis archivés)

Sécurité réseau :

  • Firewall applicatif (ModSecurity OWASP CRS)
  • Rate limiting par IP et par compte
  • Surveillance des accès anormaux

Sécurité physique :

  • Hébergement chez prestataire certifié ISO 27001 et hébergeur de données de santé (HDS) recommandé
  • Sites en France métropolitaine

2.3 Confidentialité et personnel

  • N'accorder l'accès aux données qu'aux personnes ayant un besoin opérationnel
  • Tracer chaque accès administrateur
  • Appliquer le principe du moindre privilège
  • Soumettre les collaborateurs à un engagement formel de confidentialité

2.4 Sous-traitance ultérieure

Le Sous-Traitant est autorisé à recourir à d'autres sous-traitants (« sous-sous-traitants »), sous réserve de :

  • Communiquer la liste actualisée (cf. Annexe 1 du présent DPA)
  • Notifier au RT toute modification au moins 30 jours avant, permettant au RT de s'y opposer pour motif légitime
  • Imposer aux sous-sous-traitants des obligations équivalentes à celles du présent DPA
  • Rester pleinement responsable envers le RT de l'exécution par les sous-sous-traitants

2.5 Droits des personnes concernées

Hubblot assiste le RT, par la mise à disposition de fonctionnalités appropriées dans le Service, pour répondre aux demandes d'exercice des droits :

  • Droit d'accès (art. 15)
  • Droit de rectification (art. 16)
  • Droit à l'effacement (art. 17)
  • Droit à la limitation (art. 18)
  • Droit à la portabilité (art. 20)
  • Droit d'opposition (art. 21)

Les administrateurs du RT peuvent exporter, rectifier ou supprimer les données depuis le Service. En cas de demande nécessitant une intervention Hubblot, le RT contacte dpo@myvictor.fr ; Hubblot répond sous 5 jours ouvrés.

2.6 Violation de données (data breach)

En cas de violation de données à caractère personnel, Hubblot s'engage à :

  • Notifier au RT dans les 72 heures suivant la prise de connaissance
  • Fournir toutes informations utiles : nature, catégories et nombre approximatif de personnes concernées, conséquences probables, mesures prises ou envisagées
  • Coopérer avec le RT pour la notification éventuelle à la CNIL et aux personnes concernées (art. 33-34 RGPD)
  • Documenter la violation dans un registre interne

2.7 Analyse d'impact (PIA / DPIA)

Hubblot fournit au RT, sur demande, les informations nécessaires à la réalisation d'une analyse d'impact relative à la protection des données (AIPD) pour les traitements présentant un risque élevé.

2.8 Destruction et restitution

Au terme du contrat, à la demande du RT et au plus tard 30 jours après résiliation :

  • Hubblot restitue l'intégralité des données dans un format structuré (JSON + CSV) et l'ensemble des documents PDF
  • Hubblot procède à la suppression définitive des données dans tous les supports actifs et sauvegardes (rotation naturelle de 30 jours)
  • Hubblot conserve uniquement les données dont la conservation est imposée par la loi (factures, données comptables : 10 ans), dans un environnement à accès restreint
  • Hubblot atteste par écrit de la destruction sur demande

Article 3 — Obligations du Responsable du Traitement

Le RT s'engage à :

  • Fournir au Sous-Traitant uniquement les données nécessaires aux finalités
  • S'assurer du caractère licite des traitements qu'il fait effectuer
  • Informer les personnes concernées (agents, salariés, clients) de l'existence du Service, des finalités, de la durée de conservation, des destinataires et des droits dont elles disposent (art. 13-14 RGPD)
  • Recueillir le consentement lorsque la base légale l'exige (notamment géolocalisation des pointages, photos d'identité agents)
  • Tenir un registre des traitements (art. 30 RGPD) le concernant
  • Désigner un Délégué à la Protection des Données (DPO) si requis par sa situation
  • Respecter ses propres obligations de sécurité (gestion des accès, formation des utilisateurs)
  • Notifier sans délai à Hubblot toute compromission supposée
  • Régler les sommes dues au titre du contrat principal (sans quoi la suspension du Service peut limiter les fonctionnalités d'export)

Article 4 — Localisation des données

4.1 Hébergement

Les données sont hébergées exclusivement en Union Européenne, sur des infrastructures situées en France métropolitaine (région Roubaix) chez des hébergeurs conformes ISO 27001 et engagés sur le RGPD.

4.2 Transferts hors UE

Hubblot n'effectue aucun transfert de données personnelles hors de l'Union Européenne dans le cadre de la fourniture du Service.

Si des sous-sous-traitants utilisés pour des fonctions accessoires (par ex. anti-bot) traitent des métadonnées techniques hors UE, ces transferts sont encadrés par les Clauses Contractuelles Types de la Commission Européenne (décision 2021/914). La liste précise est disponible en Annexe 1.

Article 5 — Audit et contrôle

Le RT peut, à ses frais, faire procéder à un audit de conformité aux engagements du présent DPA, à raison d'une fois par an maximum, sur préavis écrit de 30 jours minimum, par un cabinet indépendant tenu à un engagement de confidentialité.

Hubblot met à disposition les éléments suivants :

  • Rapport d'audit interne annuel (le cas échéant)
  • Politique de sécurité (PSSI)
  • Procédures de gestion des incidents
  • Liste des sous-sous-traitants
  • Attestations / certifications obtenues

L'audit ne doit pas perturber le fonctionnement du Service ni l'accès aux données d'autres Clients.

Article 6 — Délégué à la Protection des Données (DPO) Hubblot

Hubblot a désigné un référent protection des données joignable à : dpo@myvictor.fr

Référent : Kevin Hubblot, dpo@myvictor.fr

Article 7 — Durée et résiliation

Le présent DPA prend effet à l'acceptation et reste en vigueur tant que le contrat principal (CGV) est en vigueur.

Il survit à la résiliation du contrat principal pendant 30 jours, durée nécessaire à la restitution et à la suppression des données.

Article 8 — Modifications

Toute modification du présent DPA fait l'objet d'un avenant écrit accepté par les Parties. Les évolutions liées à la mise en conformité avec une évolution de la réglementation peuvent être appliquées avec un préavis de 30 jours, le RT pouvant s'y opposer en résiliant le contrat principal sans pénalité.

Article 9 — Loi applicable et juridiction

Le présent DPA est régi par le droit français. Les litiges relèvent de la compétence des tribunaux désignés dans les CGV.

ANNEXE 1 — Liste des sous-sous-traitants

Sous-sous-traitant Service rendu Localisation traitements Données concernées
OVHcloud SAS Hébergement infrastructure France Toutes données du Service
Stripe Payments Europe Ltd Paiement et facturation Irlande (UE) + USA (CCT) Données de paiement Hubblot↔Tenant
Brevo SAS E-mail transactionnel France E-mail, prénom, nom destinataires
SMS Partner SAS Envoi SMS France Numéro de téléphone, contenu SMS
IOPOLE SAS Plateforme agréée e-invoicing France Factures émises (à partir de 2026)
Google Cloud (Push API) Notifications push UE (CCT) Token d'enregistrement device
Apple Push Notification Service Notifications push iOS USA (CCT) Token d'enregistrement device

La liste est actualisée régulièrement et consultable sur myvictor.fr/dpa/sous-traitants.

ANNEXE 2 — Mesures techniques et organisationnelles détaillées

Une fiche technique détaillant les mesures de sécurité est disponible sur demande au DPO Hubblot.

Sommaire :

  1. Politique de sécurité du système d'information (PSSI)
  2. Gestion des identités et des accès
  3. Chiffrement et gestion des clés
  4. Gestion des journaux et des incidents
  5. Sécurité physique des hébergements
  6. Plan de continuité d'activité (PCA) et plan de reprise (PRA)
  7. Sensibilisation et formation du personnel
  8. Tests d'intrusion et audits de sécurité périodiques

Document généré automatiquement à la souscription et conservé sous forme inaltérable.

Page en cours de finalisation. Les éléments juridiques définitifs seront publiés avant ouverture commerciale. Pour toute question, écrivez à hello@hubblot.fr.