Accord sur le Traitement des Données (DPA)

Dernière mise à jour : 14 mai 2026

Conclu en application de l'article 28 du Règlement (UE) 2016/679 (RGPD)

Préambule

Le présent Accord sur le Traitement des Données (ci-après le « DPA » ou « Accord ») fait partie intégrante du contrat de prestation de services conclu entre :

UTELYS SAS, Société par Actions Simplifiée au capital de 24 000 €, immatriculée au RCS de Toulouse sous le numéro 842 608 671, dont le siège social est situé 13 rue Sainte-Ursule, 31000 Toulouse, France (ci-après « UTELYS » ou le « Sous-traitant »),

et

le Client professionnel ayant souscrit aux services UTELYS dans les conditions des CGV (ci-après le « Client » ou le « Responsable du traitement »).

Les parties ont convenu des stipulations suivantes, applicables aux traitements de données à caractère personnel réalisés par UTELYS pour le compte du Client.

Article 1 — Définitions

Les termes utilisés dans le présent DPA ont la signification qui leur est attribuée par le RGPD. Notamment :

  • « Données » : les données à caractère personnel traitées par UTELYS pour le compte du Client dans le cadre des Services.
  • « Personnes concernées » : les personnes physiques identifiées ou identifiables auxquelles se rapportent les Données (principalement les clients-voyageurs de l'Hôtel).
  • « Sous-traitant ultérieur » : toute personne physique ou morale qui traite des Données pour le compte d'UTELYS.
  • « Violation de données » : une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de Données, ou l'accès non autorisé à de telles Données.

Article 2 — Objet, durée, nature, finalité et étendue du traitement

Les éléments essentiels du traitement sont précisés à l'Annexe 1 : nature et finalité, catégories de Données, catégories de Personnes concernées, durée. Le présent DPA prend effet à la même date que le contrat principal et demeure applicable tant qu'UTELYS traite des Données pour le compte du Client.

Article 3 — Obligations d'UTELYS en qualité de sous-traitant

Conformément à l'article 28.3 du RGPD, UTELYS s'engage à :

  1. Traiter les Données uniquement sur instruction documentée du Client, y compris en ce qui concerne les transferts hors Union européenne, sauf obligation légale impérative à laquelle UTELYS serait soumise. Le contrat principal et le présent DPA constituent l'instruction initiale du Client. Toute instruction complémentaire doit être formalisée par écrit. Si UTELYS estime qu'une instruction enfreint le RGPD ou toute autre disposition du droit de l'Union européenne ou de ses États membres en matière de protection des données, elle en informe le Client sans délai.
  2. Garantir que les personnes autorisées à traiter les Données s'engagent à respecter la confidentialité, ou soient soumises à une obligation légale appropriée de confidentialité.
  3. Prendre toutes les mesures requises au titre de l'article 32 du RGPD (sécurité du traitement), conformément aux mesures techniques et organisationnelles décrites à l'Annexe 2.
  4. Respecter les conditions visées aux paragraphes 2 et 4 de l'article 28 du RGPD pour recruter un Sous-traitant ultérieur (voir Article 6).
  5. Aider le Client à s'acquitter de son obligation de donner suite aux demandes d'exercice des droits des Personnes concernées (accès, rectification, effacement, opposition, limitation, portabilité). À cet effet, UTELYS met à disposition du Client les fonctionnalités d'administration permettant d'exporter, modifier ou supprimer les Données. Lorsqu'une demande est adressée directement à UTELYS, celle-ci la transmet sans délai au Client.
  6. Aider le Client à garantir le respect des obligations prévues aux articles 32 à 36 du RGPD : sécurité du traitement, notification des violations, communication aux personnes concernées, analyse d'impact relative à la protection des données (AIPD) et consultation préalable de l'autorité de contrôle, compte tenu de la nature du traitement et des informations dont UTELYS dispose.
  7. Restituer ou supprimer les Données à la fin de la prestation des services, au choix du Client (voir Article 9), et détruire les copies existantes, à moins que le droit de l'Union ou le droit français n'exige la conservation des Données.
  8. Mettre à la disposition du Client toutes les informations nécessaires pour démontrer le respect des obligations prévues à l'article 28 du RGPD et permettre la réalisation d'audits dans les conditions de l'Article 8.
  9. Tenir un registre des activités de traitement effectuées pour le compte du Client, conformément à l'article 30.2 du RGPD.
  10. Désigner un Délégué à la protection des données (DPO) : dpo@utelys.fr.

Article 4 — Obligations du Client en qualité de responsable de traitement

Le Client s'engage à :

  1. Documenter par écrit toute instruction concernant le traitement des Données par UTELYS ;
  2. Veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le RGPD de son côté ;
  3. Informer les Personnes concernées de l'existence du traitement, conformément aux articles 13 et 14 du RGPD ;
  4. Superviser le traitement et, à ce titre, procéder aux audits autorisés par l'Article 8 ;
  5. Recueillir le consentement des Personnes concernées lorsqu'il constitue la base légale du traitement (notamment pour les communications commerciales adressées via la Solution).

Article 5 — Mesures de sécurité

UTELYS met en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, conformément à l'article 32 du RGPD. Ces mesures sont décrites de manière détaillée à l'Annexe 2 et incluent notamment :

  • chiffrement TLS des communications et chiffrement au repos des Données ;
  • contrôle d'accès avec authentification à plusieurs facteurs (MFA) pour les administrateurs ;
  • journalisation et supervision des événements de sécurité ;
  • sauvegardes régulières et procédures de restauration testées ;
  • cloisonnement des environnements (production / pré-production / développement) ;
  • obligation de confidentialité pour l'ensemble des collaborateurs ayant accès aux Données ;
  • politique de gestion des incidents et de continuité d'activité.

UTELYS pourra faire évoluer ces mesures, sous réserve qu'elles maintiennent un niveau de sécurité au moins équivalent.

Article 6 — Sous-traitants ultérieurs

Le Client autorise UTELYS à recourir aux Sous-traitants ultérieurs listés à l'Annexe 3, dans les conditions de l'article 28.2 et 28.4 du RGPD. UTELYS conclut avec chaque Sous-traitant ultérieur un contrat écrit imposant les mêmes obligations de protection des Données que celles prévues au présent DPA.

UTELYS informera le Client de tout projet d'ajout ou de remplacement de Sous-traitant ultérieur au moins 30 jours avant son entrée en vigueur, par notification écrite (e-mail à l'adresse de contact du Client ou information dans le portail d'administration). Le Client dispose alors de la possibilité d'émettre une objection motivée pour des raisons tenant à la protection des Données. À défaut d'objection dans ce délai, le changement est réputé accepté.

En cas d'objection légitime du Client à un nouveau Sous-traitant ultérieur, et à défaut de solution alternative acceptable, chacune des parties pourra résilier le contrat principal sans indemnité.

UTELYS demeure pleinement responsable, devant le Client, de l'exécution par les Sous-traitants ultérieurs de leurs obligations.

Article 7 — Transferts de Données hors Union européenne

Les Données sont hébergées dans l'Union européenne (Allemagne). Si un Sous-traitant ultérieur autorisé est situé hors de l'Espace économique européen, UTELYS s'assure que le transfert est encadré par :

  • une décision d'adéquation de la Commission européenne, ou
  • les Clauses Contractuelles Types (CCT) adoptées par la Commission européenne (décision 2021/914/UE), le cas échéant complétées de mesures supplémentaires conformément aux recommandations du Comité européen de la protection des données (CEPD).

Une copie des garanties applicables peut être obtenue sur demande auprès du DPO d'UTELYS.

Article 8 — Audit

Le Client peut, à ses frais et au maximum une fois par an, vérifier le respect par UTELYS des obligations du présent DPA. L'audit peut prendre l'une des formes suivantes :

  • communication par UTELYS de ses certifications, rapports d'audit indépendants (par ex. ISO 27001, SOC 2) ou attestations équivalentes ;
  • questionnaire écrit auquel UTELYS s'engage à répondre dans un délai raisonnable ;
  • audit sur site, après préavis écrit de 30 jours, pendant les heures ouvrées, par le Client ou par un tiers auditeur indépendant et soumis à confidentialité, agréé par UTELYS (l'agrément ne pouvant être refusé sans motif sérieux).

L'audit ne pourra ni perturber l'exécution des Services, ni porter atteinte à la confidentialité des données d'autres clients d'UTELYS.

Article 9 — Fin du traitement et sort des Données

À l'expiration ou à la résiliation du contrat principal, UTELYS :

  1. met à la disposition du Client, pendant 30 jours, un export des Données dans un format structuré et couramment utilisé (CSV, JSON ou équivalent) ;
  2. supprime, à l'issue de ce délai, les Données présentes dans ses systèmes actifs ;
  3. supprime les Données présentes dans ses sauvegardes dans un délai supplémentaire maximal de 90 jours ;
  4. fournit, sur demande écrite du Client, une attestation de destruction.

UTELYS pourra toutefois conserver les Données strictement nécessaires au respect de ses obligations légales (notamment fiscales et comptables).

Article 10 — Notification des violations de Données

UTELYS notifie au Client toute Violation de données la concernant :

  • sans délai injustifié et au plus tard dans les 48 heures suivant sa découverte par UTELYS ;
  • par e-mail à l'adresse de contact désignée par le Client.

La notification précise, dans la mesure du possible, la nature de la violation, les catégories et le nombre approximatif de Personnes concernées, les catégories et le nombre approximatif d'enregistrements concernés, les conséquences probables, les mesures prises ou proposées pour y remédier, et les coordonnées du DPO d'UTELYS. UTELYS apporte au Client toute l'assistance nécessaire pour lui permettre de remplir ses obligations vis-à-vis des autorités (notification CNIL sous 72 heures, art. 33 RGPD) et des Personnes concernées (art. 34 RGPD).

Article 11 — Responsabilité

La responsabilité de chaque partie au titre du présent DPA est régie par les stipulations du contrat principal, sous réserve des dispositions impératives de l'article 82 du RGPD relatif au droit à réparation des Personnes concernées. Lorsque les deux parties sont impliquées dans le même traitement et qu'une indemnisation est versée, chacune assume la part de responsabilité qui lui incombe en proportion de sa contribution au dommage.

Article 12 — Modifications

UTELYS pourra adapter le présent DPA pour tenir compte de l'évolution du cadre réglementaire ou des recommandations des autorités compétentes. Toute modification substantielle est notifiée au Client au moins 30 jours avant son entrée en vigueur. En cas d'opposition motivée, les parties s'efforceront de trouver une solution alternative ; à défaut, chacune pourra résilier le contrat principal sans indemnité.

Article 13 — Hiérarchie des normes

En cas de contradiction entre les stipulations du présent DPA et celles du contrat principal (CGV ou conditions particulières), le présent DPA prévaut pour les questions relatives à la protection des Données. Les stipulations impératives du RGPD prévalent en tout état de cause.

Annexe 1 — Description du traitement

Nature du traitement : hébergement, stockage, traitement et mise à disposition de données à caractère personnel dans le cadre de la fourniture de la Solution Utelys (guest app SaaS).

Finalité du traitement : permettre à l'Hôtel Partenaire (Client) de digitaliser son livret d'accueil, de communiquer avec ses clients-voyageurs et de gérer les services proposés au sein de son établissement.

Catégories de Données traitées :

  • Données d'identification du voyageur : nom, prénom, adresse e-mail, photo de profil (le cas échéant) ;
  • Données de séjour : dates de séjour, n° de chambre, langue, préférences déclarées ;
  • Données de communication : messages échangés via la messagerie intégrée ;
  • Données de connexion : adresse IP, type de terminal, horodatage ;
  • Le cas échéant, données fournies via un fournisseur d'identité tiers (Google, Facebook, LinkedIn) à l'initiative du voyageur.

Catégories de Personnes concernées : clients-voyageurs séjournant chez l'Hôtel Partenaire et, le cas échéant, collaborateurs de l'Hôtel Partenaire utilisant l'interface d'administration.

Durée du traitement : durée du contrat principal, augmentée des délais visés à l'Article 9 pour la restitution et la suppression des Données.

Données sensibles : aucune donnée relevant des catégories particulières visées à l'article 9 du RGPD n'est collectée ni traitée de manière intentionnelle.

Annexe 2 — Mesures techniques et organisationnelles de sécurité

UTELYS met en œuvre les catégories de mesures techniques et organisationnelles suivantes, conformément à l'article 32 du RGPD :

2.1 — Sécurité des communications. Chiffrement TLS de l'ensemble des échanges entre les terminaux utilisateurs et nos serveurs, avec certificats émis par une autorité reconnue.

2.2 — Sécurité des Données stockées. Chiffrement des volumes de stockage chez l'hébergeur, hachage des mots de passe selon les standards de l'industrie et cloisonnement logique des données entre clients.

2.3 — Contrôle d'accès. Authentification individuelle pour chaque collaborateur, authentification à plusieurs facteurs pour les accès administrateurs, application du principe du moindre privilège, revue périodique des droits et révocation immédiate en cas de départ.

2.4 — Sécurité des infrastructures. Hébergement chez un fournisseur certifié ISO 27001 et SOC 2 Type II au sein de l'Union européenne (voir Annexe 3). Cloisonnement des environnements de production, de pré-production et de développement.

2.5 — Sauvegardes et continuité d'activité. Sauvegardes automatiques régulières, conservées dans une zone distincte de la production, et procédures de restauration testées périodiquement. Plan de continuité documenté.

2.6 — Journalisation et supervision. Journalisation des événements applicatifs et d'administration. Supervision des anomalies et tentatives d'intrusion. Durée de conservation des journaux conforme aux obligations légales applicables.

2.7 — Sécurité applicative. Démarche de développement sécurisé, gestion des vulnérabilités, et tests de sécurité périodiques.

2.8 — Mesures organisationnelles. Engagement de confidentialité signé par l'ensemble des collaborateurs, sensibilisation à la protection des données, procédure de gestion des incidents, registre des activités de traitement tenu à jour, désignation d'un Délégué à la protection des données joignable à dpo@utelys.fr.

Le détail technique précis des mesures mises en œuvre peut être communiqué au Client, sur demande motivée, dans le cadre d'un audit conduit conformément à l'Article 8 du présent DPA, et sous réserve d'un engagement de confidentialité approprié.

Annexe 3 — Liste des Sous-traitants ultérieurs autorisés

À la date de signature du présent DPA, UTELYS recourt aux Sous-traitants ultérieurs suivants pour la fourniture des Services :

Sous-traitantFinalitéLocalisation des Données
DigitalOcean, LLC (USA)Hébergement de l'infrastructure (serveurs, stockage, bases de données)Union européenne (Allemagne)
Mailgun Technologies, Inc. (groupe Sinch, USA)Envoi d'e-mails transactionnels et de notificationsUnion européenne
Intercom R&D Unlimited Company (Irlande)Support client et messagerieUnion européenne (Irlande)
Google Ireland Limited (Google Analytics 4, Irlande)Mesure d'audience du site et de l'applicationUnion européenne, avec traitements possibles hors UE

Garanties communes : chacun de ces sous-traitants est lié à UTELYS par un contrat conforme à l'article 28 du RGPD (DPA). Les transferts hors Union européenne, lorsqu'ils existent, sont encadrés par les Clauses Contractuelles Types adoptées par la Commission européenne et, le cas échéant, par l'adhésion du destinataire au EU-US Data Privacy Framework. Les sous-traitants utilisés présentent des certifications de sécurité de référence (notamment SOC 2 Type II et/ou ISO 27001). Les détails de configuration et de paramétrage propres à chaque sous-traitant peuvent être communiqués au Client sur demande, dans les conditions de l'Article 8.

La présente liste est susceptible d'évoluer dans les conditions de l'Article 6. La version applicable est consultable à tout moment sur la présente page. Pour toute question ou pour s'abonner aux notifications de mise à jour, contacter : dpo@utelys.fr.

Contact

UTELYS SAS — Délégué à la protection des données
13 rue Sainte-Ursule, 31000 Toulouse, France
E-mail : dpo@utelys.fr