Retour à l'accueil

RGPD · Article 28

Contrat de sous-traitance des données

Dernière mise à jour : 10 juillet 2026

⚠️ Modèle de travail. Complétez les champs surlignés, puis faites relire ce document par un professionnel du droit. Ce modèle ne constitue pas un conseil juridique.

01

Parties et objet

Le présent accord (« DPA ») est conclu entre l'Église cliente (le « Responsable de traitement ») et [Éditeur : nom / statut juridique](le « Sous-traitant »), éditeur de la plateforme Bethesda CRM. Il encadre, conformément à l'article 28 du RGPD, le traitement des données personnelles effectué par le Sous-traitant pour le compte du Responsable de traitement, dans le cadre des Conditions Générales de Vente.


02

Nature, finalité et durée

Finalité :fournir le service de gestion d'équipe et de planning (gestion des membres, cultes, disponibilités, messagerie, newsletters, ressources).
Durée :pendant toute la durée de l'abonnement du Responsable de traitement.


03

Catégories de données et de personnes

Personnes concernées : membres, bénévoles et responsables de l'église cliente.

Données traitées : identité (nom, prénom), coordonnées (e-mail, téléphone, adresse), appartenance aux équipes, rôles, disponibilités, messages internes, et toute donnée saisie par le Responsable de traitement. Aucune donnée sensible n'est requise par la plateforme.


04

Obligations du sous-traitant

  • Traiter les données uniquement sur instruction documentée du Responsable de traitement.
  • Garantir la confidentialité (personnes autorisées soumises à une obligation de confidentialité).
  • Mettre en œuvre des mesures de sécurité appropriées (voir art. 06).
  • Assister le Responsable de traitement pour répondre aux demandes des personnes (accès, effacement, portabilité…).
  • Notifier toute violation de données dans les meilleurs délais, et au plus tard [72] heures après en avoir pris connaissance.
  • Au terme du contrat, supprimer ou restituer les données selon le choix du Responsable de traitement (suppression sous [30] jours).
  • Mettre à disposition les informations nécessaires pour démontrer sa conformité et permettre des audits.

05

Sous-traitants ultérieurs

Le Responsable de traitement autorise le recours aux sous-traitants ultérieurs suivants. Tout nouveau sous-traitant sera notifié au préalable, avec possibilité d'objection motivée.

Vercel Inc.

Hébergement de l'application web

Localisation : UE / États-Unis (clauses contractuelles types)

Supabase Inc.

Base de données, authentification, stockage des fichiers

Localisation : UE (région européenne) / clauses contractuelles types

Resend (resend.com)

Envoi des e-mails transactionnels et newsletters

Localisation : États-Unis (clauses contractuelles types)


06

Mesures de sécurité

  • Chiffrement des données en transit (HTTPS) et au repos (chiffrement de la base et du stockage).
  • Authentification sécurisée et contrôle d'accès par rôle (politiques de sécurité au niveau des lignes).
  • Accès aux fichiers via liens signés temporaires (stockage privé).
  • Sauvegardes régulières de la base de données.
  • Hébergement sur des infrastructures certifiées (UE en priorité).

07

Transferts hors UE

Certains sous-traitants peuvent traiter des données hors de l'Union européenne. Ces transferts sont encadrés par les clauses contractuelles types de la Commission européenne et/ou des garanties appropriées au sens du chapitre V du RGPD.


08

Obligations du responsable de traitement

Le Responsable de traitement (l'église) garantit disposer d'une base légale pour collecter les données de ses membres, les informer de leurs droits, et ne saisir que des données pertinentes. Il reste responsable de la licéité des traitements qu'il initie via la plateforme.

Voir aussi les mentions légales et les CGV.