Accord de traitement des données (DPA)
Version du 25 juin 2026
Préambule
Le présent Accord de traitement des données (« DPA ») encadre le traitement des données à caractère personnel que le Client (« Responsable de traitement ») confie à KGInfoServs (« Sous-traitant» ou « l'Éditeur ») dans le cadre de l'utilisation de la plateforme KGPilot. Il est conclu en application de l'article 28 du Règlement (UE) 2016/679 (RGPD).
Le présent DPA fait partie intégrante des CGU et CGV ; il est accepté en même temps que celles-cilors de la création de l'Organisation (acceptation horodatée et versionnée). Aucune signature manuscrite n'est requise, l'écrit électronique satisfaisant à l'article 28.9 du RGPD. En cas de contradiction sur le traitement des données personnelles, le présent DPA prévaut.
1. Définitions
Les termes « données à caractère personnel », « traitement », « responsable du traitement », « sous-traitant », « personne concernée » et « violation de données » ont le sens que leur donne l'article 4 du RGPD. Le « Client » désigne l'Organisation souscriptrice ; les « sous-traitants ultérieurs » désignent les prestataires auxquels le Sous-traitant recourt pour fournir le service.
2. Objet, nature et durée du traitement
Le Sous-traitant traite les données personnelles pour le seul compte du Client et aux seules fins de fournir la plateforme KGPilot (gestion des chauffeurs, des missions, du planning, de la facturation et de la communication, et, le cas échéant, transmission des factures électroniques via une plateforme agréée). Le traitement consiste en la collecte, l'enregistrement, l'hébergement, la consultation, la transmission technique et la suppression des données. Il dure le temps du contrat principal (CGU/CGV).
3. Catégories de données et de personnes concernées
Sont notamment traitées, selon l'usage que le Client fait de la plateforme :
- Personnes concernées : utilisateurs du Client (gérants, dispatcheurs, chauffeurs, comptables), clients finaux et passagers du Client, fournisseurs du Client.
- Catégories de données : identité et coordonnées, données professionnelles (rôle, n° de carte VTC, permis), données de mission (adresses, horaires, nom du passager), géolocalisation des chauffeurs en service, données de facturation, documents téléversés, données techniques (adresse IP, journaux).
Le détail figure dans la Politique de confidentialité. Le Client est seul responsable de la licéité, de l'exactitude et de la base légale des données qu'il introduit dans la plateforme.
4. Obligations du Sous-traitant
Conformément à l'article 28.3 du RGPD, le Sous-traitant s'engage à :
- Instructions : ne traiter les données que sur instruction documentée du Client. Les CGU, les CGV, le paramétrage du compte et les fonctionnalités utilisées constituent ces instructions. Le Sous-traitant informe le Client s'il estime qu'une instruction est contraire au RGPD.
- Confidentialité : veiller à ce que les personnes autorisées à traiter les données soient soumises à une obligation de confidentialité.
- Sécurité (art. 32) : mettre en œuvre des mesures techniques et organisationnelles appropriées — chiffrement en transit (TLS) et au repos, contrôle d'accès par rôle, authentification multi-facteurs, journalisation et audit des accès sensibles, sauvegardes chiffrées, cloisonnement (isolation multi-tenant).
- Assistance — droits des personnes : aider le Client, dans la mesure du possible, à répondre aux demandes d'exercice des droits (accès, rectification, effacement, portabilité, opposition), notamment via les fonctions d'export et de suppression de la plateforme.
- Assistance — sécurité et conformité : aider le Client, dans la mesure du possible et à des coûts raisonnables, à respecter ses obligations au titre des articles 32 à 36 du RGPD (sécurité, notification de violation, analyse d'impact).
- Documentation : mettre à la disposition du Client les informations nécessaires pour démontrer le respect des obligations du présent article.
5. Sous-traitance ultérieure
Le Client autorise le Sous-traitant à recourir à des sous-traitants ultérieurs pour fournir le service. Ceux-ci interviennent par catégorie de service : hébergement et infrastructure(au sein de l'Union européenne), authentification, paiement, email transactionnel, supervision technique, cartographie et, si le service est activé, facturation électronique(plateforme agréée JeFacture / ECMA Solutions).
La liste nominative et à jour des sous-traitants ultérieurs, ainsi que leur localisation, est communiquée sur demande à contact@kginfoservs.com. Le Sous-traitant impose à chaque sous-traitant ultérieur des obligations de protection des données équivalentes à celles du présent DPA et demeure responsable de leur respect. En cas de changement, le Client en est informé et peut s'y opposer pour un motif légitime relatif à la protection des données ; à défaut de solution, il peut résilier le service concerné.
6. Violation de données
En cas de violation de données à caractère personnel le concernant, le Sous-traitant en informe le Client sans retard injustifié après en avoir pris connaissance, et lui fournit les informations raisonnablement disponibles pour lui permettre de remplir ses propres obligations. Il appartient au Client, responsable de traitement, de notifier le cas échéant la CNIL (dans les 72 heures) et les personnes concernées, conformément aux articles 33 et 34 du RGPD.
7. Sort des données en fin de prestation
À la fin du contrat principal ou à la fermeture du compte, et au choix du Client, le Sous-traitant supprime ou restitue les données personnelles. La restitutions'effectue par les fonctions d'export de la plateforme (CSV/PDF), qu'il appartient au Client d'utiliser avant l'échéance. Le Sous-traitant procède ensuite à la suppression, sauf obligation légale de conservation (notamment les factures électroniques, conservées par la plateforme agréée lorsqu'elle est utilisée). KGPilot n'est pas un service d'archivage et ne garantit aucune conservation au-delà de ce qu'impose la loi.
8. Audit
Le Sous-traitant met à disposition du Client les informations et la documentation permettant de démontrer sa conformité. Le Client peut réaliser un audit au maximum une fois par an, sur préavis raisonnable (30 jours), à ses frais, dans le respect de la confidentialité et sans perturber l'exploitation. Le Sous-traitant privilégie la communication de documentation et de rapports existants pour répondre aux demandes d'audit.
9. Transferts hors Union européenne
Les données sont principalement hébergées au sein de l'Union européenne. Lorsqu'un sous-traitant ultérieur traite des données en dehors de l'UE, le transfert est encadré par des garanties appropriées (décision d'adéquation, dont le Data Privacy Framework UE-US, ou clauses contractuelles types).
10. Obligations du Responsable de traitement (Client)
Le Client s'engage à :
- ne traiter, via la plateforme, que des données pour lesquelles il dispose d'une base légale et du droit de les confier au Sous-traitant ;
- informer ses propres personnes concernées (clients, passagers, chauffeurs) et recueillir les consentements requis ;
- ne donner que des instructions licites ;
- assumer son rôle de responsable de traitement, y compris les notifications à l'autorité de contrôle.
11. Responsabilité
La responsabilité des parties au titre du présent DPA s'exerce dans les limites prévues par les CGV (notamment le plafond de responsabilité). Chaque partie supporte les conséquences de ses propres manquements à la réglementation applicable à la protection des données.
12. Durée
Le présent DPA s'applique pendant toute la durée du contrat principal et tant que le Sous-traitant traite des données pour le compte du Client. Les obligations de confidentialité survivent à son terme.
13. Contact
Pour toute demande relative au présent DPA ou à la protection des données :
KGInfoServs — contact@kginfoservs.com