Légal
Accord de traitement des données
Data Processing Agreement (DPA) — Conformément au RGPD Article 28
Le présent accord de traitement des données (« DPA ») est conclu entre le Client (responsable de traitement) et Elevorio (sous-traitant), ci-après désignés ensemble les « Parties ».
Ce DPA complète les Conditions Générales d'Utilisation et s'applique dès lors que le Client utilise les services Elevorio impliquant le traitement de données personnelles.
1. Objet et durée du traitement
Elevorio traite les données personnelles pour le compte du Client dans le cadre de la fourniture de son service de génération de sites vitrines immobiliers, comprenant :
- La création et l'hébergement de sites vitrines de biens immobiliers.
- La collecte et la gestion des leads (formulaires de contact).
- L'analyse statistique anonymisée de fréquentation des sites publiés.
- L'envoi d'emails transactionnels et de notifications.
Le traitement dure pendant toute la durée de l'abonnement du Client et pendant les 30 jours suivant la résiliation, sauf obligation légale de conservation plus longue.
2. Types de données personnelles traitées
- Données d'identification du Client : nom, prénom, adresse email.
- Données des leads : nom, email, téléphone, message (saisis par les visiteurs des sites publiés).
- Données de navigation : adresse IP anonymisée, pages visitées, durée de visite, type d'appareil, géolocalisation approximative (pays/ville).
- Données média : photos et descriptions de biens immobiliers téléversées par le Client.
3. Catégories de personnes concernées
- Les utilisateurs de la plateforme Elevorio (agents immobiliers, membres d'équipe).
- Les visiteurs des sites vitrines générés.
- Les leads (prospects ayant rempli un formulaire de contact).
4. Obligations du sous-traitant (Elevorio)
Elevorio s'engage à :
- Traiter les données uniquement sur instruction documentée du Client et conformément au présent DPA.
- Garantir la confidentialité des données traitées et s'assurer que les personnes autorisées à traiter les données sont soumises à une obligation de confidentialité.
- Mettre en œuvre les mesures techniques et organisationnelles décrites à l'article 6.
- Assister le Client dans le respect de ses obligations (droits des personnes, analyses d'impact, notification de violation).
- Supprimer ou restituer les données au choix du Client à la fin de la prestation.
- Mettre à disposition du Client toutes les informations nécessaires pour démontrer le respect des obligations du présent DPA.
5. Sous-sous-traitants
Le Client autorise Elevorio à faire appel aux sous-sous-traitants suivants. Elevorio informera le Client de tout changement et lui permettra de s'y opposer dans un délai de 30 jours.
| Sous-traitant | Finalité | Localisation | Garanties |
|---|---|---|---|
| Vercel | Hébergement application | États-Unis | CCT UE |
| Neon | Base de données PostgreSQL | États-Unis / UE | CCT UE |
| Cloudflare | CDN, DNS, sécurité, stockage R2 | États-Unis / UE | CCT UE |
| Resend | Emails transactionnels | États-Unis | CCT UE |
| Stripe | Paiement | États-Unis | CCT UE |
| Sentry | Surveillance des erreurs | États-Unis | CCT UE, PII supprimées |
| PostHog | Analytics produit | UE (EU Cloud) | Données en UE |
| Upstash | Cache Redis, rate limiting | États-Unis / UE | CCT UE |
| Anthropic | IA générative (contenu) | États-Unis | CCT UE, pas d'entraînement |
| Google (Gemini) | IA générative (embeddings) | États-Unis | CCT UE |
CCT UE = Clauses Contractuelles Types approuvées par la Commission européenne.
6. Mesures de sécurité
Elevorio met en œuvre les mesures suivantes :
- Chiffrement : TLS 1.2+ pour toutes les communications, HSTS activé.
- Authentification : hachage des mots de passe (bcrypt), authentification à deux facteurs (TOTP) disponible, sessions limitées à 7 jours.
- Contrôle d'accès : RBAC (contrôle d'accès par rôle), isolation multi-tenant par organisation, filtrage systématique par organizationId.
- Protection applicative : validation des entrées (Zod), rate limiting (Redis), CAPTCHA (Cloudflare Turnstile), en-têtes de sécurité (CSP, HSTS, X-Frame-Options).
- Surveillance : monitoring des erreurs (Sentry), logs d'audit pour les opérations sensibles, alertes automatisées.
- Sauvegardes : point-in-time recovery (Neon), rétention 7-30 jours selon le plan.
- Conformité RGPD dans le monitoring : suppression automatique des données personnelles (email, IP, cookies) avant envoi à Sentry.
7. Notification de violation
En cas de violation de données personnelles, Elevorio s'engage à notifier le Client dans un délai maximum de 72 heures après en avoir pris connaissance, conformément à l'article 33 du RGPD. Cette notification inclura :
- La nature de la violation (catégories de données et personnes concernées).
- Les conséquences probables.
- Les mesures prises ou proposées pour remédier à la violation.
8. Droits des personnes concernées
Elevorio assiste le Client pour répondre aux demandes d'exercice des droits (accès, rectification, effacement, portabilité, opposition, limitation).
- Export des données : disponible depuis les paramètres du compte (format JSON).
- Suppression du compte : déclenche la purge complète des données (sites, photos, leads, analytics, logs) incluant la suppression des fichiers stockés sur Cloudflare R2.
9. Restitution et suppression des données
À la fin de la prestation, le Client peut exporter ses données via la fonction d'export du compte. Après la période de rétention de 30 jours post-résiliation, Elevorio supprime l'ensemble des données personnelles du Client, sauf obligation légale de conservation (données de facturation : 10 ans).
10. Droit applicable et juridiction
Le présent DPA est régi par le droit français. En cas de litige, les tribunaux compétents seront ceux du siège social d'Elevorio, sauf disposition légale impérative contraire.
Dernière mise à jour : 5 avril 2026