Accord de sous-traitance (RGPD)

Le présent accord (l'« Accord ») encadre, conformément à l'article 28 du RGPD, le traitement par Rappli (le « Sous-traitant ») des données personnelles des clients finaux (les « Appelants ») pour le compte du professionnel utilisateur du service (le « Responsable de traitement »). Il complète les conditions générales et est accepté lors de la souscription.

1. Objet, durée, nature et finalité

Le Sous-traitant traite les données des Appelants à seule fin de fournir le service Rappli (réception des appels manqués, envoi de SMS, collecte des demandes via formulaire, mise à disposition dans le tableau de bord du Responsable, alertes). Le traitement dure aussi longtemps que le contrat de service.

2. Données et personnes concernées

Personnes : les clients et prospects du Responsable qui le contactent. Données : numéro de téléphone, nom et prénom, e-mail, adresse, description du besoin, niveau d'urgence, photographies éventuelles, coordonnées d'entreprise. Le Responsable s'abstient de transmettre des données sensibles ; il lui appartient de veiller au contenu des champs libres et des photographies.

3. Traitement sur instructions documentées

Le Sous-traitant ne traite les données que sur instructions documentées du Responsable, telles que matérialisées par l'utilisation du service et le présent Accord, y compris pour les transferts. Il informe le Responsable si une instruction lui paraît contraire au RGPD.

4. Confidentialité

Le Sous-traitant veille à ce que les personnes autorisées à traiter les données s'engagent à la confidentialité.

5. Sécurité (article 32)

Le Sous-traitant met en œuvre des mesures techniques et organisationnelles appropriées : chiffrement des données en transit (HTTPS/TLS) et au repos, contrôle et restriction des accès, journalisation, sauvegardes, cloisonnement des données par compte.

6. Sous-traitants ultérieurs

Le Responsable autorise le recours aux sous-traitants ultérieurs suivants : Supabase (hébergement des données et stockage), Twilio (SMS et téléphonie), Railway (hébergement applicatif), Resend (e-mails) et, pour la part de données concernée, Stripe. Le Sous-traitant impose à ces tiers des obligations de protection équivalentes et informe le Responsable de tout changement, lequel peut s'y opposer pour motif légitime.

7. Assistance aux droits des personnes

Le Sous-traitant aide le Responsable, par des mesures appropriées, à répondre aux demandes d'exercice des droits des Appelants (accès, rectification, effacement, opposition, limitation, portabilité).

8. Violations et analyses d'impact

Le Sous-traitant notifie au Responsable toute violation de données le concernant dans les meilleurs délais après en avoir pris connaissance, et l'assiste, le cas échéant, dans la réalisation d'analyses d'impact et la consultation de l'autorité de contrôle.

9. Sort des données en fin de contrat

Au terme du contrat, le Sous-traitant supprime les données des Appelants ou les restitue au Responsable, au choix de ce dernier, et détruit les copies existantes, sauf obligation légale de conservation.

10. Audit

Le Sous-traitant met à disposition du Responsable les informations nécessaires pour démontrer le respect de l'article 28 et permet la réalisation d'audits, dans des conditions raisonnables (préavis, fréquence limitée, confidentialité, prise en charge des coûts).

11. Transferts hors Union européenne

Les transferts éventuels hors UE sont encadrés comme indiqué dans la politique de confidentialité (décision d'adéquation EU-US Data Privacy Framework et/ou clauses contractuelles types).

Dernière mise à jour : 14 juin 2026.