Accord de sous-traitance des données (DPA)

Dernière mise à jour : 24 juin 2026

Le présent accord encadre, conformément à l'article 28 du RGPD, le traitement par CALYO(édité par CALYO, SIRET 102 662 665 00011, 18 Lot de la Grande Fontaine, 54385 Domèvre-en-Haye, le « Sous-traitant ») des données personnelles pour le compte de la société abonnée (le « Responsable de traitement »). Il est accepté par le Responsable lors de la souscription.

1. Objet et rôles

La société abonnée reste responsable de traitement des données de ses propres clients qu'elle saisit dans CALYO. CALYO agit en qualité de sous-traitant et ne traite ces données que pour fournir le service (calepinage, études, dossiers administratifs) et sur instruction du Responsable.

2. Données et personnes concernées

— Catégories de personnes : clients et prospects de la société abonnée (particuliers et professionnels).
— Catégories de données : identité, coordonnées (adresse, téléphone, email), données de logement et de consommation énergétique, point de livraison Enedis (PDL), éléments du projet photovoltaïque.

3. Obligations du sous-traitant

CALYO s'engage à : (a) ne traiter les données que sur instruction documentée du Responsable ; (b) garantir la confidentialité (personnel habilité uniquement) ; (c) mettre en œuvre des mesures de sécurité appropriées ; (d) assister le Responsable pour répondre aux demandes d'exercice de droits des personnes ; (e) notifier toute violation de données dans les meilleurs délais (objectif 48–72 h) ; (f) supprimer ou restituer les données en fin de contrat ; (g) tenir un registre et permettre des audits raisonnables.

4. Mesures de sécurité

Isolation stricte des données par société (cloisonnement multi-tenant), chiffrement des échanges (HTTPS), mots de passe hachés (bcrypt), contrôle d'accès par rôle, session unique par compte, journalisation des connexions et détection des accès anormaux.

5. Sous-traitants ultérieurs

Le Responsable autorise CALYO à recourir aux sous-traitants suivants, tenus à des obligations équivalentes : Vercel (hébergement applicatif), Neon (base de données), Stripe (paiement), ip-api (géolocalisation IP à des fins de sécurité). Tout changement substantiel sera communiqué.

6. Accès de maintenance

Le Responsable reconnaît que le personnel habilité de CALYO peut accéder aux données et aux espaces, à des fins de support, de maintenance et de sécurité, dans le respect de la confidentialité.

7. Durée et sort des données

L'accord s'applique pendant toute la durée de l'abonnement. À la résiliation, les données sont supprimées ou restituées dans un délai raisonnable, sous réserve des obligations légales de conservation.

⚠️ Modèle d'accord de sous-traitance à faire valider juridiquement avant exploitation commerciale à grande échelle.