Charte juridique · DPA v1.0

Accord de sous-traitance
des données personnelles.

Le présent document est conclu entre vous (le « Responsable de traitement ») et Hovea (« Sous-traitant ») conformément à l'article 28 du RGPD (Règlement UE 2016/679). Il précise les rôles, les mesures de sécurité et la chaîne de sous-traitance.

Article 1 — Objet

Le présent accord encadre la sous-traitance des données à caractère personnel confiées à Hovea dans le cadre de la fourniture du service de gestion locative « Hovea » (ci-après, le « Service »). Il s'applique à toute donnée traitée pour le compte du Client, notamment : identités et coordonnées des bailleurs, locataires, garants, ainsi que les informations financières, documentaires et contractuelles associées.

Article 2 — Durée et résiliation

Le DPA entre en vigueur à la date de signature électronique et reste applicable pour toute la durée de l'abonnement au Service. À l'issue, Hovea s'engage, au choix du Client, à restituer ou à supprimer définitivement l'ensemble des données, dans un délai maximal de 30 jours, et à en fournir attestation écrite sur simple demande.

Article 3 — Nature et finalités du traitement

  • Hébergement, stockage et sauvegarde des données saisies dans le Service ;
  • Génération de documents (quittances, baux, états des lieux) ;
  • Envoi d'emails transactionnels au Client et à ses locataires ;
  • Calculs fiscaux et juridiques à la demande explicite du Client ;
  • Assistance juridique automatisée (IA), sur requête du Client.

Article 4 — Obligations du Sous-traitant

Hovea s'engage à :

  • ne traiter les données que sur instruction documentée du Client ;
  • garantir la confidentialité par un engagement individuel des personnes autorisées ;
  • mettre en œuvre des mesures techniques et organisationnelles appropriées (TLS 1.3, chiffrement au repos AES-256, RLS Postgres, authentification forte) ;
  • notifier toute violation de données dans un délai de 72 heures ;
  • aider le Client à répondre aux demandes des personnes concernées (droits d'accès, rectification, effacement, portabilité) ;
  • tenir un registre des traitements conforme à l'article 30 du RGPD.

Article 5 — Sous-traitants ultérieurs

Le Client autorise Hovea à recourir aux sous-traitants ultérieurs listés ci-dessous. Toute modification fera l'objet d'une information préalable laissant au Client un délai raisonnable pour émettre une objection motivée.

Sous-traitants ultérieurs autorisés et garanties associées
Sous-traitantRôleLocalisationGaranties
Supabase, Inc.Base de données, authentification, stockageUE (Francfort)SOC 2 Type II · DPA signé
Vercel Inc.Hébergement applicatif, CDN, edge functionsUE (Francfort) / États-UnisDPF US-UE · SCC 2021
Stripe Payments Europe Ltd.Facturation, paiementsIrlande (UE)PCI-DSS 1 · DPA signé
Resend, Inc.Emails transactionnelsÉtats-UnisDPF US-UE · SCC 2021

Article 6 — Transferts hors UE

Les transferts vers des sous-traitants hors UE sont encadrés par les Clauses Contractuelles Types (Décision d'exécution UE 2021/914) ou, le cas échéant, par l'adhésion au Data Privacy Framework US-UE.

Article 7 — Audit et preuve

Hovea met à disposition du Client, sur demande écrite, les informations nécessaires pour démontrer le respect du présent DPA, dans la limite de ce qui est raisonnablement et techniquement faisable, sans compromettre la confidentialité des autres clients.

Article 8 — Droit applicable

Le présent accord est régi par le droit français. Tout litige relatif à son interprétation ou à son exécution relève de la compétence exclusive des tribunaux du ressort de la cour d'appel de Paris.

Signature électronique

Signer ce DPA.

La signature électronique vaut acceptation de l'ensemble des clauses ci-dessus. Un accusé sera conservé dans votre espace cabinet avec horodatage et adresse IP, conformément à l'article 1367 du Code civil.