Contrat de sous-traitance RGPD
Avril 2026
1. Objet et contexte
Le présent Contrat de sous-traitance RGPD (« DPA ») définit les conditions dans lesquelles la société BLACK BOLT, SAS immatriculée au RCS de Créteil sous le numéro 981 985 096 (SIRET 981 985 096 00016), code NAF 6202A, numéro de TVA intracommunautaire FR19 981 985 096, dont le siège social est situé c/o LES TRICOLORES, 110 rue de Fontenay, CS 20010, 94303 Vincennes Cedex, éditrice de la plateforme PilotENR (ci-après « PilotENR » ou le « Sous-traitant »), traite des données personnelles pour le compte du Client (« Responsable de traitement »).
Ce DPA complète les Conditions générales de vente (« CGV ») et constitue une partie intégrante du contrat commercial entre les parties.
En cas de contradiction entre les dispositions du présent DPA et celles des CGV, les dispositions du DPA prévalent. Le présent DPA s'inscrit dans le cadre de l'article 28 du Règlement (UE) 2016/679 du Parlement européen et du Conseil (« RGPD »).
2. Nature et finalité du traitement
PilotENR traite des données personnelles exclusivement pour les finalités suivantes :
- Gestion des leads et des prospects (qualification, suivi)
- Suivi des dossiers de la prospection à l'installation
- Stockage et vérification automatisée des documents par intelligence artificielle (IA)
- Calcul de l'éligibilité aux aides de l'État (MaPrimeRénov', CEE, isolation à 1€)
- Envoi de communications transactionnelles par email
- Suivi des paiements et des primes versées aux clients finaux
3. Types de données personnelles traitées
Les données personnelles traitées incluent :
| Catégorie | Données |
|---|---|
| Identité | Nom, prénom, civilité |
| Contact | Email, téléphone, adresse postale |
| Fiscales | Revenu fiscal de référence (RFR), nombre de parts |
| Habitation | Type de logement, surface, année de construction, mode de chauffage |
| Documents | Carte d'identité, avis d'imposition, justificatif de domicile, devis, factures |
| Commerciales | Historique d'appels, rendez-vous, statut dossier, notes commerciales |
4. Catégories de personnes concernées
Les données personnelles traitées concernent :
- Les leads et prospects du Client
- Les clients finaux du Client (particuliers bénéficiaires des travaux de rénovation énergétique)
5. Obligations du Sous-traitant
PilotENR s'engage à traiter les données personnelles conformément au RGPD et aux dispositions du présent DPA. À ce titre, le Sous-traitant :
- Traite les données exclusivement sur instructions documentées du Responsable de traitement, sauf si une obligation légale l'y oblige.
- Garantit la confidentialité des données (obligation contractuelle imposée à son personnel ayant accès aux données).
- Met en œuvre les mesures de sécurité conformément à l'article 32 du RGPD :
- Chiffrement des données en transit (TLS) et au repos (S3 SSE)
- Isolation multi-tenant stricte
- Contrôle d'accès basé sur les rôles (RBAC)
- Journalisation des accès et opérations
- Sauvegardes régulières des données
- N'engage pas de sous-traitant ultérieur sans autorisation préalable du Responsable de traitement (voir section 6).
- Assiste le Responsable de traitement dans l'exercice des droits des personnes concernées (accès, rectification, effacement, limitation, portabilité, opposition).
- Assiste le Responsable de traitement dans le respect des obligations de sécurité (article 32), de notification des violations (article 33), et de réalisation d'analyses d'impact (AIPD, article 35).
- Met à disposition du Responsable de traitement toutes les informations nécessaires pour démontrer la conformité au RGPD.
6. Sous-traitants ultérieurs
PilotENR recourt aux sous-traitants suivants. Le Responsable de traitement peut s'opposer à tout changement de sous-traitant ultérieur dans les conditions décrites ci-dessous.
| Sous-traitant | Finalité | Localisation | Garanties |
|---|---|---|---|
| Amazon Web Services EMEA SARL | Hébergement, stockage S3 | UE (Paris, eu-west-3) | Intra-UE |
| Stripe Inc. | Traitement des paiements | USA / UE | DPF + CCT |
| Resend Inc. | Envoi d'emails transactionnels | USA | CCT |
| OpenAI LLC | Vérification IA des documents | USA | CCT |
Légende : DPF = EU-US Data Privacy Framework ; CCT = Clauses Contractuelles Types
Chaque changement de sous-traitant ultérieur fera l'objet d'un préavis de 30 jours. Le Responsable de traitement dispose d'un délai de 15 jours pour s'y opposer par écrit. À défaut d'opposition, le changement est réputé autorisé. Chaque sous-traitant ultérieur est lié par des obligations équivalentes en matière de protection des données.
7. Transferts internationaux
Les données personnelles sont hébergées principalement dans l'Union européenne (AWS région Paris, eu-west-3). Les transferts vers les États-Unis (Stripe, Resend, OpenAI) sont encadrés par les mécanismes reconnus par le RGPD :
- EU-US Data Privacy Framework (DPF) pour Stripe
- Clauses Contractuelles Types (CCT) de la Commission européenne pour Resend et OpenAI
PilotENR procède à une vérification régulière de la validité de ces mécanismes de transfert et adapte ses mesures de sécurité si nécessaire.
8. Assistance au Responsable de traitement
PilotENR assiste le Responsable de traitement dans l'exercice des droits des personnes concernées conformément aux articles 15 à 22 du RGPD. À ce titre, le Sous-traitant :
- Traite les demandes d'accès aux données dans un délai de 10 jours ouvrés
- Traite les demandes de rectification et d'effacement dans un délai de 10 jours ouvrés
- Facilite l'exercice du droit à la portabilité (format structuré, couramment utilisé)
- Traite les demandes de limitation et d'opposition dans un délai de 10 jours ouvrés
- Fournit au Responsable de traitement toutes les informations nécessaires à la réalisation d'analyses d'impact (AIPD)
9. Notification des violations de données
En cas de violation de données, PilotENR notifie le Responsable de traitement dans un délai de 48 heures suivant la découverte de l'incident. La notification comprend :
- La nature de la violation
- Les catégories et le nombre approximatif de personnes concernées
- Les conséquences probables de la violation
- Les mesures prises et proposées pour remédier à la violation
PilotENR assiste le Responsable de traitement dans :
- La notification à la CNIL dans les 72 heures (article 33 du RGPD)
- La notification aux personnes concernées en cas de risque élevé (article 34 du RGPD)
10. Restitution et suppression des données
À l'issue ou en cas de résiliation du contrat, PilotENR :
- Assure l'export des données personnelles sous 30 jours (format CSV ou JSON)
- Procède à la suppression définitive des données sous 30 jours suivant l'export
- Supprime les sauvegardes automatiques dans un délai maximum de 90 jours
- Fournit une attestation de suppression sur demande
Cette suppression ne s'applique pas aux données soumises à une obligation légale (conservation comptable et fiscale : 10 ans).
11. Audit
Le Responsable de traitement dispose du droit de procéder à un audit de conformité une fois par année civile. Cet audit est soumis aux conditions suivantes :
- Un préavis écrit d'au minimum 30 jours
- Audit réalisé pendant les heures de travail ouvrables, sans perturbation des services
- Les frais d'audit sont à la charge du Responsable de traitement, sauf si un manquement grave de PilotENR est révélé
12. Durée
Le présent DPA entre en vigueur à la date de signature des CGV et s'applique pendant toute la durée du contrat commercial. Les obligations en matière de confidentialité (section 5) et de suppression des données (section 10) survivent à la résiliation du contrat.