Convention de sous-traitance — Article 28 RGPD

Règlement (UE) 2016/679 (RGPD), Art. 28 · Référence contrat : 2026-TIV-SYR-002 · Objet : Service SyRes (SaaS) · Version : 1.0 — Juin 2026

Parties

Responsable du traitement

Établissement Saint-Joseph de Tivoli
40 Avenue d'Eysines, 33073 Bordeaux cedex
Tél. : 05 56 08 04 40
secretariat.direction@tivoli-33.org

Ci-après désigné « le Responsable »

Sous-traitant

BUBAPP (Auto-Entrepreneur)
17 rue Marcelin Jourdan, 33200 Bordeaux
SIRET : 10147351000010
bubapp.contact@gmail.com

Ci-après désigné « le Sous-traitant »

Préambule

Dans le cadre du contrat de service SaaS (devis réf. 2026-TIV-SYR-002), BUBAPP met à disposition et héberge l'application SyRes (système de réservation de salles et matériels pédagogiques) pour le compte de l'Établissement Saint-Joseph de Tivoli. À ce titre, BUBAPP est amené à traiter des données à caractère personnel pour le compte du Responsable, au sens de l'article 4(8) du RGPD.

La présente convention définit les conditions dans lesquelles le Sous-traitant s'engage à effectuer ces traitements pour le compte du Responsable, conformément à l'article 28(3) du RGPD.

1. Description du traitement sous-traité

Paramètre	Description
Nature du traitement	Hébergement, développement, maintenance et exploitation de l'application SyRes (modèle SaaS)
Finalité	Gestion des réservations de salles et matériels ; gestion des comptes du personnel ; suivi des passages élèves en salle CTP-info ; journal d'audit
Catégories de données	Données d'identification du personnel (nom, prénom, e-mail professionnel, mot de passe hashé bcrypt, rôle applicatif) ; Données de réservation (intitulé, description, dates/horaires, statut) ; Données d'élèves (nom, prénom, classe — mineurs) ; Données de présence (présent/absent, travail réalisé — module CTP) ; Adresses IP (anti-bruteforce, 15 min maximum) ; Journal d'audit (action, utilisateur, IP, horodatage)
Catégories de personnes	Personnel enseignant et non-enseignant de l'établissement ; élèves mineurs (module CTP-info)
Durée du traitement	Durée du contrat de service, conformément aux durées de conservation définies dans la politique de confidentialité de l'application

2. Obligations du Sous-traitant (BUBAPP)

2.1 Traitement sur instructions documentées

BUBAPP traite les données à caractère personnel uniquement sur instruction documentée du Responsable. Le contrat de service SaaS et la présente convention constituent les instructions initiales. BUBAPP informera sans délai le Responsable si une instruction lui semble contraire au RGPD ou à toute disposition légale applicable.

2.2 Confidentialité et engagement du personnel

BUBAPP s'assure que les personnes autorisées à traiter les données personnelles sont soumises à une obligation de confidentialité appropriée et ont été sensibilisées aux exigences du RGPD. Cette obligation de confidentialité survit à la cessation du contrat.

2.3 Mesures de sécurité (Art. 32 RGPD)

BUBAPP met en œuvre et maintient les mesures techniques et organisationnelles suivantes :

Mesure	Description	Statut
Chiffrement en transit	HTTPS (TLS 1.2+) forcé en production via .htaccess	✓ Actif
Hashage des mots de passe	bcrypt (PASSWORD_BCRYPT) — irréversible	✓ Actif
Protection CSRF	Tokens aléatoires (bin2hex 32 octets + hash_equals) sur tous les formulaires POST	✓ Actif
Sessions sécurisées	HttpOnly, SameSite=Strict, regenerate_id après connexion, durée 8h	✓ Actif
Rate limiting	Blocage IP après 5 tentatives échouées / 15 min	✓ Actif
Contrôle d'accès	Authentification obligatoire, rôles admin/superviseur/utilisateur, APIs protégées	✓ Actif
Tokens de reset MDP	SHA-256 stocké en base, expiration 2h, supprimé à l'utilisation	✓ Actif
Sauvegardes	Sauvegardes automatisées OVH (serveur France)	✓ Actif
Chiffrement au repos	Données hébergées sur serveur OVH France (chiffrement au niveau infrastructure OVH)	△ Infrastructure OVH

BUBAPP s'engage à maintenir ces mesures à jour et à en informer le Responsable en cas de changement significatif.

2.4 Sous-traitance ultérieure — OVH

Le Responsable autorise expressément le recours au sous-traitant ultérieur suivant :

Sous-traitant ultérieur	Rôle	Localisation des données
OVH SAS 2 rue Kellermann, 59100 Roubaix, France	Hébergement serveur dédié, base de données MySQL, nom de domaine, certificat SSL, sauvegardes automatisées	France (DC2/DC3) — aucun transfert hors UE

BUBAPP informera le Responsable de tout changement de sous-traitant ultérieur avec un préavis minimum de 30 jours, permettant au Responsable de s'y opposer avant la prise d'effet du changement. BUBAPP impose à tout sous-traitant ultérieur les mêmes obligations de protection des données que celles prévues dans la présente convention.

2.5 Assistance aux droits des personnes concernées (Art. 15–22 RGPD)

BUBAPP met à disposition du Responsable les outils techniques nécessaires pour satisfaire les demandes d'exercice des droits des personnes concernées :

Droit d'accès et portabilité (Art. 15 & 20) — export JSON disponible en libre-service dans l'application (page « Mes données »)
Droit de rectification (Art. 16) — modification de l'e-mail et du mot de passe par l'utilisateur ; nom/prénom par l'administrateur du Responsable
Droit à l'effacement (Art. 17) — formulaire de demande dans l'application (notification automatique aux administrateurs) ; purge manuelle via admin/purge.php
Droit d'opposition / limitation (Art. 21–18) — traitement par l'administrateur du Responsable

Pour toute demande nécessitant une intervention technique hors périmètre des outils ci-dessus, BUBAPP assiste le Responsable dans un délai de 5 jours ouvrés.

2.6 Notification des violations de données personnelles (Art. 33–34 RGPD)

⚠ Obligation critique : En cas de violation de données à caractère personnel (accès non autorisé, destruction, perte, divulgation ou altération), BUBAPP notifie le Responsable dans les meilleurs délais et au plus tard dans les 48 heures après en avoir pris connaissance, afin de permettre au Responsable de respecter son obligation de notification à la CNIL dans le délai de 72 heures (Art. 33 RGPD).

La notification adressée au Responsable comprend au minimum :

La nature de la violation (type d'incident, systèmes affectés)
Les catégories et le nombre approximatif de personnes et d'enregistrements concernés
Les conséquences probables de la violation
Les mesures prises ou envisagées pour remédier à la violation et en atténuer les effets
Le nom et les coordonnées du point de contact chez BUBAPP pour suivi

Canal de notification : bubapp.contact@gmail.com · Contact urgent : à préciser lors de la signature

Si toutes les informations ne sont pas disponibles dans ce délai, BUBAPP transmet une notification partielle initiale et complète sa communication par étapes successives, sans retard injustifié.

2.7 Assistance à la conformité (Art. 32–36)

Compte tenu de la nature du traitement et des informations à sa disposition, BUBAPP aide le Responsable à garantir le respect des obligations prévues aux articles 32 à 36 du RGPD, notamment en matière de :

Sécurité du traitement (Art. 32)
Notification des violations à la CNIL (Art. 33) et aux personnes concernées (Art. 34)
Analyses d'impact relatives à la protection des données (AIPD/PIA), si requises (Art. 35)

2.8 Restitution et suppression des données en fin de contrat

À la résiliation ou à l'expiration du contrat de service, BUBAPP s'engage à :

Fournir un export complet des données (base de données SQL + fichiers associés) dans un délai de 30 jours suivant la date de résiliation effective, dans un format exploitable
Supprimer de manière sécurisée toutes les données à caractère personnel hébergées dans les 30 jours suivant la confirmation écrite de bonne réception de l'export par le Responsable
Fournir une attestation de suppression sur demande écrite du Responsable
S'assurer que les sous-traitants ultérieurs (OVH) appliquent les mêmes obligations de suppression

2.9 Documentation et audit (Art. 28(3)(h))

BUBAPP met à la disposition du Responsable toutes les informations nécessaires pour démontrer le respect des obligations prévues au présent article et pour permettre la réalisation d'audits, y compris des inspections. BUBAPP informera immédiatement le Responsable si, à son avis, une instruction constitue une violation du RGPD ou de toute disposition applicable en matière de protection des données.

BUBAPP tient son propre registre des activités de traitement effectuées pour le compte du Responsable, conformément à l'article 30(2) du RGPD.

3. Obligations du Responsable (Saint-Joseph de Tivoli)

Fournir des instructions documentées pour tout traitement sortant du périmètre standard de l'application SyRes
Informer BUBAPP de toute modification susceptible d'affecter le traitement (ajout de catégories de données, nouvelles finalités, changement de base légale, etc.)
S'assurer que la base légale de chaque traitement est valide, adéquate et à jour
Désigner un référent RGPD / DPO au sein de l'établissement (Art. 37 RGPD) et communiquer ses coordonnées à BUBAPP
Gérer les demandes d'exercice des droits des personnes concernées, avec l'assistance technique de BUBAPP si nécessaire
Notifier la CNIL dans le délai de 72 heures en cas de violation de données, sur la base des informations transmises par BUBAPP
S'assurer que les personnes concernées ont été informées du traitement (via la politique de confidentialité de l'application)

4. Durée et résiliation

La présente convention prend effet à la date de signature et reste en vigueur pendant toute la durée du contrat de service SaaS (devis réf. 2026-TIV-SYR-002), renouvelable tacitement dans les mêmes conditions que ce contrat.

En cas de résiliation du contrat de service, les dispositions relatives à la restitution et à la suppression des données (§ 2.8) ainsi que les obligations de confidentialité (§ 2.2) continuent de s'appliquer jusqu'à leur exécution complète.

5. Dispositions générales

Droit applicable : droit français ; en cas de litige, juridiction compétente : Bordeaux
Hiérarchie des documents : la présente convention complète le contrat de service SaaS (devis réf. 2026-TIV-SYR-002) ; en cas de contradiction, la convention prévaut pour toutes les obligations relatives à la protection des données
Modifications : toute modification de la présente convention doit faire l'objet d'un avenant signé par les deux parties
Autorité de contrôle : Commission Nationale de l'Informatique et des Libertés (CNIL) — 3 Place de Fontenoy, TSA 80715, 75334 Paris cedex 07 — www.cnil.fr
Conservation : ce document doit être conservé pendant toute la durée du contrat et 5 ans après sa résiliation (Art. 30(4) RGPD)

Signatures

LE SOUS-TRAITANT — BUBAPP

Signature :

Nom, Prénom, Qualité :

Date :

LE RESPONSABLE DU TRAITEMENT — TIVOLI

Bon pour accord — Signature et Cachet :

Nom, Prénom, Qualité :

Fait à : Le :

Convention établie en deux exemplaires originaux, un pour chaque partie. · Référence contrat : 2026-TIV-SYR-002 · Version 1.0 — Juin 2026