Documentation RGPD
Dernière mise à jour : 24 mars 2026 (v2.0)
Cette page contient les documents essentiels relatifs à la protection des données personnelles dans le système Resovu, conformément au Règlement (UE) 2016/679 (RGPD), applicable dans l'ensemble de l'UE et de l'EEE, y compris la législation nationale pertinente en matière de protection des données.
Resovu respecte les réglementations nationales de protection des données dans tous les pays où il opère : loi n° 110/2019 Sb. (République tchèque), loi n° 18/2018 Z.z. (Slovaquie), Bundesdatenschutzgesetz — BDSG (Allemagne), loi sur la protection des données personnelles (Pologne), loi sur l'autodétermination informationnelle — adaptation RGPD (Hongrie), Ley Orgánica de Protección de Datos — LOPDGDD (Espagne), Personopplysningsloven (Norvège), Loi Informatique et Libertés (France).
1. Accord de traitement des données (ATD)
1.1 Parties
Le présent Accord de traitement des données (ci-après « ATD ») est conclu entre l'exploitant professionnel utilisant le système Resovu (ci-après « Responsable du traitement ») et Lubomír Unar, n° 05000386 (ci-après « Sous-traitant »). L'ATD fait partie intégrante des Conditions générales d'utilisation de Resovu.
1.2 Objet et durée du traitement
Le Sous-traitant traite les données personnelles des clients du Responsable du traitement aux fins de la fourniture du système de réservation. Le traitement a lieu pendant toute la durée du contrat de service. Catégories de personnes concernées : les clients du Responsable du traitement effectuant des réservations. Catégories de données : nom, prénom, e-mail, téléphone, données de réservation, champs personnalisés optionnels.
1.3 Obligations du Sous-traitant
Le Sous-traitant s'engage à : traiter les données personnelles uniquement sur la base d'instructions documentées du Responsable du traitement ; s'assurer que les personnes autorisées à traiter les données sont soumises à une obligation de confidentialité ; mettre en œuvre toutes les mesures requises par l'Art. 32 du RGPD ; respecter les conditions relatives à l'engagement de sous-traitants ultérieurs ; assister le Responsable du traitement dans l'exécution de ses obligations au titre des Art. 32 à 36 du RGPD ; supprimer ou restituer toutes les données personnelles à la fin du contrat ; fournir au Responsable du traitement toutes les informations nécessaires pour démontrer la conformité.
1.4 Instructions du Responsable du traitement
Le Responsable du traitement donne une instruction générale au Sous-traitant de traiter les données personnelles dans la mesure nécessaire à la fourniture du service Resovu. Le Responsable du traitement peut émettre des instructions complémentaires via les paramètres d'administration du système. Le Sous-traitant informe immédiatement le Responsable du traitement s'il estime qu'une instruction enfreint le RGPD.
1.5 Sous-traitants ultérieurs
Le Responsable du traitement accorde au Sous-traitant une autorisation générale de faire appel aux sous-traitants ultérieurs figurant dans la section Liste des sous-traitants. Le Sous-traitant informe le Responsable du traitement de tout changement prévu concernant l'ajout ou le remplacement de sous-traitants ultérieurs. Le Responsable du traitement peut s'opposer à ces changements dans un délai de 30 jours.
1.6 Mesures de sécurité
Le Sous-traitant met en œuvre des mesures techniques et organisationnelles appropriées : chiffrement AES-256-GCM pour les champs sensibles ; HTTPS/TLS pour tous les transferts de données ; isolation des données par compte via la sécurité au niveau des lignes (Row Level Security) ; contrôle d'accès basé sur les rôles (RBAC) ; hachage des adresses IP ; suppression automatique des données personnelles après la période de conservation ; en-têtes de sécurité (CSP, HSTS, X-Frame-Options) ; limitation du débit pour la protection contre les abus.
1.7 Notification de violation
Le Sous-traitant notifie au Responsable du traitement toute violation de données personnelles dans les meilleurs délais après en avoir pris connaissance, et au plus tard dans les 48 heures. La notification comprend : une description de la nature de la violation, les catégories et le nombre approximatif de personnes concernées, les conséquences probables et les mesures prises.
1.8 Assistance pour les droits des personnes concernées
Le Sous-traitant assiste le Responsable du traitement dans l'exécution de son obligation de répondre aux demandes des personnes concernées souhaitant exercer leurs droits en vertu du Chapitre III du RGPD. Le système permet : l'exportation des données clients (Art. 20), l'anonymisation/suppression des données (Art. 17), la consultation des données traitées (Art. 15).
1.9 Audit
Le Sous-traitant autorise et contribue aux audits et inspections menés par le Responsable du traitement ou un auditeur mandaté par celui-ci. Le Sous-traitant fournit au Responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues à l'Art. 28 du RGPD. Un audit peut être réalisé une fois par an avec un préavis de 30 jours.
1.10 Durée du traitement et suppression
À la fin du service, le Sous-traitant supprime toutes les données personnelles dans un délai de 30 jours, sauf si le droit de l'UE ou d'un État membre exige leur conservation. Le Responsable du traitement peut exporter toutes les données avant la fin du contrat en utilisant la fonction d'exportation RGPD dans l'administration du système.
2. Registre des activités de traitement (RAT)
Registre conformément à l'article 30 du RGPD concernant les activités de traitement effectuées via le système Resovu.
| Finalité du traitement | Base juridique | Catégories de données | Catégories de personnes concernées | Durée de conservation |
|---|---|---|---|---|
| Gestion des réservations | Art. 6(1)(b) — exécution du contrat | Nom, e-mail, téléphone, date de réservation, note | Clients effectuant des réservations | Configurable (365 jours par défaut) |
| Communication (confirmations, rappels) | Art. 6(1)(b) — exécution du contrat | Nom, e-mail, téléphone, détails de réservation | Clients ayant des réservations actives | Selon la durée de conservation de la réservation |
| Traitement des paiements | Art. 6(1)(b) — exécution du contrat | Données de paiement (traitées par Stripe, jamais stockées dans Resovu) | Clients effectuant des paiements en ligne | Selon les conditions de Stripe |
| Marketing (avec consentement) | Art. 6(1)(a) — consentement | Nom, e-mail | Clients ayant donné leur consentement marketing | Jusqu'au retrait du consentement |
| Sécurité et protection contre les abus | Art. 6(1)(f) — intérêt légitime | Adresse IP, user-agent (temporairement pour le rate limiting) | Tous les utilisateurs du système | Selon la durée de conservation du journal d'audit |
| Comptabilité et facturation | Art. 6(1)(c) — obligation légale | Raison sociale, numéro d'identification, numéro de TVA, e-mail, adresse | Exploitants du système (comptes) | 5 ans (obligation légale comptable) |
3. Procédure de notification des violations de données personnelles
3.1 Détection et signalement
Resovu met en œuvre des systèmes de surveillance pour la détection des incidents de sécurité. Chaque employé ou collaborateur est tenu de signaler immédiatement toute suspicion de violation de la sécurité des données à la direction de l'entreprise.
3.2 Évaluation de la gravité
Lors de la détection d'un incident, la personne responsable évalue immédiatement : l'étendue des données affectées, le nombre de personnes concernées, l'impact probable sur les droits et libertés des personnes concernées, si les données étaient chiffrées, si l'impact peut être atténué.
3.3 Notification à l'autorité de contrôle
Si la violation est susceptible de présenter un risque pour les droits et libertés des personnes physiques, Resovu notifie l'autorité de contrôle compétente dans les 72 heures suivant la découverte (conformément à l'article 33 du RGPD). La notification comprend : une description de la nature de la violation, les coordonnées du délégué à la protection des données (DPD), une description des conséquences probables, une description des mesures prises. Autorités de contrôle : CNIL (Commission Nationale de l'Informatique et des Libertés) — www.cnil.fr (France), ÚOOÚ — www.uoou.cz (République tchèque), ÚOOU SR — www.dataprotection.gov.sk (Slovaquie), BfDI — www.bfdi.bund.de (Allemagne), UODO — www.uodo.gov.pl (Pologne), NAIH — www.naih.hu (Hongrie), AEPD — www.aepd.es (Espagne), Datatilsynet — www.datatilsynet.no (Norvège).
3.4 Notification aux personnes concernées
Si la violation est susceptible de présenter un risque élevé pour les droits et libertés des personnes physiques, Resovu informe les personnes concernées dans les meilleurs délais. La notification est rédigée dans un langage clair et comprend des recommandations pour atténuer l'impact.
3.5 Documentation
Tous les incidents de sécurité sont consignés dans un registre interne, comprenant : la date de découverte, la description de l'incident, les données et personnes affectées, les mesures prises, les décisions de notification aux autorités et aux personnes concernées, les résultats de l'enquête.
3.6 Contact pour le signalement d'incidents
Signalez les incidents de sécurité à : security@resovu.com. Indiquez « Incident de sécurité » dans l'objet du message. Fournissez autant d'informations que possible sur la nature et l'étendue de l'incident.
4. Liste des sous-traitants
| Fournisseur | Service | Localisation des données | Garanties |
|---|---|---|---|
| Supabase (AWS) | Base de données, authentification, stockage | UE (Francfort, eu-central-1) | DPA, SOC 2 Type II |
| Stripe | Traitement des paiements | UE (Irlande) + États-Unis | DPA, SCC, PCI DSS Level 1 |
| Vercel | Hébergement, Edge Network, serverless | CDN mondial (edge en UE) | DPA, SOC 2 Type II |
| Resend | E-mails transactionnels | États-Unis | DPA, SCC |
| Infobip | Rappels par SMS | UE (Francfort) + mondial | DPA, SCC, ISO 27001 |
| Synchronisation calendrier (optionnelle) | États-Unis | DPA, SCC | |
| Sentry (Functional Software Inc.) | Surveillance des erreurs | US | DPA, SCC, SOC 2 |
| Upstash | Rate limiting (Redis) | UE (Francfort) | DPA, SOC 2 |