Accord de Traitement des Données (DPA)

Data Processing Agreement | RGPD | Version 2.0 | 17 mars 2026

L'Éditeur : RouteForce, société par actions simplifiée (SAS) au capital de 1 000 €
Siège social : 14 rue Bausset, 75015 Paris, RCS Paris 102 154 879, SIRET : 102 154 879 00013
Domiciliataire : HIWAY (RCS 801 666 074)
Représentée par Mathieu Szymkiewicz, Président, contact@routeforce.app

Article 1: Objet et contexte

Le présent accord définit les engagements des Parties en matière de protection des données à caractère personnel dans le cadre de l'utilisation du Logiciel RouteForce®.

RouteForce® est un Managed Package Salesforce installé dans l'organisation Salesforce du Client. Les données métier du Client (comptes, contacts, adresses, opportunités) restent intégralement dans l'environnement Salesforce du Client. L'Éditeur n'y a pas accès.

L'Éditeur traite des données à caractère personnel dans deux cas limités : (a) transit de coordonnées GPS via le Service de Routing ; (b) gestion administrative de la licence.

Article 2: Description des traitements

2.1 Service de Routing (traitement transitoire)

Élément	Description
Finalité	Calcul d'itinéraires optimisés
Données transmises	Coordonnées géographiques (latitude/longitude) uniquement
Données NON transmises	Noms, adresses postales, téléphones, emails; ces données restent dans Salesforce
Nature du traitement	Transitoire: calcul en mémoire, aucun stockage
Durée de conservation	Zéro: les coordonnées ne sont pas enregistrées
Hébergement	OVHcloud SAS, datacenter Gravelines (France)
Qualification RGPD	Les coordonnées GPS isolées ne constituent pas, en elles-mêmes, des données à caractère personnel. Par précaution, l'Éditeur applique les mesures de sécurité décrites au présent accord.

2.2 Données d'administration de licence

Élément	Description
Finalité	Gestion de la relation commerciale, facturation, support
Données traitées	Nom de l'entreprise, nom et email du contact principal, identifiant de facturation
Base légale	Exécution du contrat (art. 6.1.b RGPD)
Stockage	Base PostgreSQL sur VPS OVHcloud, Gravelines (France)
Durée de conservation	Durée du contrat + 30 jours

2.3 Logs techniques

Élément	Description
Données	Adresses IP, timestamps, URLs appelées, user-agent
Finalité	Sécurité, débogage, détection d'abus
Durée de conservation	14 jours (rotation automatique)
Base légale	Intérêt légitime (art. 6.1.f RGPD)

Article 3: Mesures de sécurité

Chiffrement : HTTPS/TLS 1.2 et 1.3 pour toutes les communications. HSTS activé. Sauvegardes chiffrées GPG.
Hébergement : OVHcloud SAS, Gravelines (France), certifié ISO 27001, ISO 27017, ISO 27018, SOC 1/2, HDS.
Contrôle d'accès : SSH par clé ED25519 uniquement. Accès restreint à l'administrateur unique. Pare-feu UFW actif.
Protection : Fail2ban actif (SSH, nginx). Containers Docker isolés. Mises à jour de sécurité automatiques.
Supervision : Monitoring de disponibilité toutes les 15 minutes. Audit de sécurité hebdomadaire. Journaux techniques rotatés et surveillance renforcée.
Protection d'accès : Accès d'administration restreint via réseau privé, protection fail2ban sur les services exposés.

Article 4: Sous-traitants techniques

Prestataire	Rôle	Localisation	Garanties
OVHcloud SAS	Hébergement VPS	France (Gravelines)	ISO 27001, HDS, DPA OVH
GitHub (Microsoft)	Sauvegardes chiffrées	USA	Données chiffrées GPG, SCCs, SOC 2
Stripe	Facturation	USA/UE	PCI-DSS, SCCs, DPA Stripe
Brevo (ex-Sendinblue)	Emails transactionnels	France/UE	DPA Brevo, hébergement UE
Tailscale	Accès d'administration sécurisé	USA/UE	Accès privé administrateur, pas d'usage comme hébergeur principal des données client
UptimeRobot	Monitoring disponibilité	USA/UE	Aucune donnée personnelle transmise

L'Éditeur informe le Client de tout changement de sous-traitant. Le Client dispose de trente (30) jours pour s'opposer.

Article 5: Transferts hors UE

Les données d'administration et les logs sont hébergés en France (OVHcloud, Gravelines). Les sauvegardes chiffrées GPG sont stockées sur GitHub (Microsoft, USA) sous couvert des SCCs du DPA Microsoft; GitHub n'accède pas aux données en clair. Stripe opère sous les SCCs pour les données aux USA. Le Service de Routing ne transfère aucune donnée hors UE.

Article 6: Droits des personnes

Pour les données métier dans Salesforce : le Client est seul compétent. Pour les données d'administration, toute demande (accès, rectification, effacement, portabilité) peut être adressée à contact@routeforce.app. Réponse sous trente (30) jours.

Article 7: Notification de violation

En cas de violation de sécurité, l'Éditeur notifie le Client dans un délai de 48 heures et coopère pour la notification à la CNIL (72h réglementaires) si nécessaire.

Article 8: Sort des données en fin de contrat

Les données métier Salesforce restent dans l'environnement Salesforce du Client. Les données d'administration sont supprimées dans les trente (30) jours, sauf obligation légale (factures : 10 ans). L'Éditeur certifie la suppression par écrit sur demande.

Article 9: Droit d'audit

Le Client dispose d'un droit d'audit annuel (préavis de 30 jours). L'audit peut prendre la forme d'un questionnaire, d'une visioconférence ou d'une inspection. Les frais sont à la charge du Client.

Annexe: Synthèse des traitements

Traitement	Responsable	Données	Localisation	Rétention
Données CRM	Client	Données métier	Salesforce du Client	Contrôlée par le Client
Calcul d'itinéraires	Éditeur (transitoire)	Coordonnées GPS	OVH Gravelines (FR)	Zéro (mémoire)
Administration licence	Éditeur	Nom entreprise, email, ID Stripe	OVH Gravelines (FR)	Durée contrat + 30j
Logs techniques	Éditeur	IP, timestamps, URLs	OVH Gravelines (FR)	14 jours
Sauvegardes admin	Éditeur	Dump chiffré GPG	OVH (FR) + GitHub (US, chiffré)	30 jours glissants
Emails transactionnels	Éditeur (via Brevo)	Adresses email	Brevo (FR/UE)	Selon politique Brevo