Accord de Traitement des Données (DPA)
Data Processing Agreement — Article 28 RGPD — Dernière mise à jour : mars 2026
1. Parties et rôles
Le présent Accord de Traitement des Données (« DPA ») est conclu entre :
- L'École Partenaire (Responsable de traitement — Data Controller au sens de l'article 4(7) du RGPD)
- Andy SAS (Sous-traitant — Data Processor au sens de l'article 4(8) du RGPD)
Conformément à l'article 28 du RGPD, le présent DPA définit les conditions dans lesquelles Andy traite des données personnelles pour le compte des Écoles Partenaires.
2. Nature et finalité du traitement
Andy traite des données personnelles exclusivement pour les finalités suivantes, pour le compte des Écoles Partenaires :
- Gestion des réservations et des sessions
- Gestion des communications clients (WhatsApp, email)
- Facturation et suivi des paiements
- Gestion des check-ins et signatures
- Assistance IA (Andy) pour la communication avec les clients
3. Catégories de données traitées
- Données d'identification : nom, prénom, adresse email, numéro de téléphone
- Données de réservation : sessions réservées, niveau pratique, âge
- Données de santé minimales : aptitude à la natation (si collectée par l'École)
- Données financières : statut de paiement (aucun numéro de carte stocké)
- Données de communication : historique des échanges WhatsApp/email
- Données de signature : signature numérique du waiver d'activité
4. Sous-traitants ultérieurs
Andy fait appel aux sous-traitants suivants, tous ayant signé des accords de protection des données conformes au RGPD :
| Sous-traitant | Rôle | Localisation |
|---|
| Supabase (supabase.com) | Stockage des données | Union Européenne |
| Vercel Inc. | Hébergement applicatif | USA (SCC en place) |
| Resend Inc. | Envoi d'emails | USA (SCC en place) |
| Stripe Inc. | Traitement des paiements | USA/UE (SCC en place) |
| Anthropic PBC | Intelligence artificielle | USA (SCC en place) |
| OpenAI (fallback IA) | Intelligence artificielle | USA (SCC en place) |
| Twilio Inc. | SMS/WhatsApp | USA (SCC en place) |
5. Mesures de sécurité
Andy met en oeuvre les mesures techniques et organisationnelles suivantes :
- Chiffrement des données en transit (TLS 1.3) et au repos (AES-256)
- Accès aux données restreint par rôle (Row Level Security Supabase)
- Authentification multi-facteurs pour l'accès aux systèmes de production
- Journalisation des accès aux données personnelles
- Revue de sécurité régulière
6. Transferts hors UE
Certains sous-traitants (Vercel, Anthropic, Stripe, Resend) traitent des données en dehors de l'Union Européenne. Ces transferts sont encadrés par des Clauses Contractuelles Types (CCT/SCC) conformément à l'article 46 du RGPD.
7. Durée et suppression
Les données personnelles sont traitées pendant toute la durée de l'abonnement de l'École Partenaire. Après résiliation du compte, les données sont supprimées dans un délai de 30 jours, sauf obligation légale de conservation (données comptables : 10 ans conformément à l'article L123-22 du Code de commerce).
8. Droits des personnes concernées
Andy met en place des mécanismes permettant aux Écoles Partenaires d'exercer les droits RGPD de leurs clients :
- Droit d'accès et de portabilité : export des données clients disponible via /api/clients/export
- Droit de suppression : suppression possible via /api/clients/[id]
- Droit de rectification : modification des données via le dashboard
Pour toute demande, contacter :
hey@andypro.io