Accord sur le traitement des données (DPA)

Dernière mise à jour : 12 juin 2026 · Version 2.0

Accord sur le traitement des données personnelles au titre de l'article 28 du Règlement (UE) 2016/679 (RGPD), entre le Client de Verto (« Responsable du traitement ») et DFM Digital Solutions S.r.l.s. (« Sous-traitant »).

Art. 1 — Définitions

Aux fins du présent accord, on entend par :

  • RGPD :Règlement (UE) 2016/679 relatif à la protection des personnes physiques à l'égard du traitement des données personnelles.
  • Données personnelles : toute information se rapportant à une personne physique identifiée ou identifiable.
  • Traitement :toute opération ou ensemble d'opérations effectuées sur des données personnelles.
  • Personne concernée : la personne physique à laquelle se rapportent les données personnelles (dans ce contexte, les voyageurs du Client).
  • Sous-traitant ultérieur : tiers mandaté par le Sous-traitant pour effectuer des opérations spécifiques de traitement.
  • Violation de données (Data Breach) :violation de sécurité entraînant, accidentellement ou de manière illicite, la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès aux données personnelles.
  • Contrat principal :le contrat de service entre le Client et DFM Digital Solutions S.r.l.s. pour l'utilisation de la plateforme Verto.

Art. 2 — Objet et durée

Le présent DPA régit le traitement des données personnelles effectué par le Sous-traitant pour le compte du Responsable dans le cadre de la fourniture des services Verto. L'accord entre en vigueur en même temps que le Contrat principal et reste effectif pendant toute la durée de celui-ci, jusqu'à la restitution ou la suppression complètes des données personnelles.

Art. 3 — Nature et finalités du traitement

Le Sous-traitant traite les données personnelles exclusivement aux fins suivantes, sur instruction documentée du Responsable :

  • Importation et synchronisation des réservations
  • Identification des voyageurs et association à la réservation
  • Génération et envoi de messages automatiques (check-in, check-out, bienvenue)
  • Gestion des communications WhatsApp avec les voyageurs
  • Traitement des messages via des modèles d'intelligence artificielle pour la génération de réponses contextuelles
  • Conservation de l'historique des conversations
  • Génération de rapports et statistiques agrégés
  • Fourniture d'assistance technique au Client

Art. 4 — Catégories de données et personnes concernées

Catégories de personnes concernées

Voyageurs des structures d'hébergement gérées par le Client via la plateforme Verto.

Catégories de données personnelles

  • Données d'identification : nom, prénom, langue préférée
  • Données de contact : numéro de téléphone, adresse e-mail
  • Données de réservation :dates de séjour, nombre de voyageurs, montant, canal d'origine, demandes spéciales
  • Données de localisation :pays d'origine
  • Contenu des communications : messages WhatsApp échangés entre le voyageur et le système

Art. 5 — Obligations du Sous-traitant

Le Sous-traitant s'engage à :

  • Traiter les données personnelles uniquement sur la base d'instructions documentées du Responsable
  • Veiller à ce que les personnes autorisées à traiter les données se soient engagées à la confidentialité
  • Adopter toutes les mesures de sécurité exigées par l'article 32 du RGPD
  • Respecter les conditions de recours aux sous-traitants ultérieurs (art. 6 du présent accord)
  • Assister le Responsable dans le respect des obligations relatives aux droits des personnes concernées
  • Assister le Responsable dans la conduite d'analyses d'impact (AIPD) et consultations préalables
  • Au terme du service, restituer ou supprimer les données selon les instructions du Responsable
  • Mettre à disposition du Responsable toutes les informations nécessaires pour démontrer le respect des obligations et permettre des audits

Art. 6 — Sous-traitants ultérieurs

Le Responsable autorise de manière générale le recours aux sous-traitants ultérieurs suivants :

  • Meta Platforms Ireland Ltd — WhatsApp Business API, messagerie
  • Twilio Inc. — Infrastructure téléphonique et numéros WhatsApp Business
  • Anthropic PBC — Claude AI, traitement du langage naturel
  • OpenAI, LLC — GPT, traitement du langage naturel
  • Stripe, Inc. — Gestion des paiements
  • Fournisseur hosting/cloud — Infrastructure et stockage

La liste à jour des sous-traitants est disponible à la page Sous-traitants. Le Sous-traitant informe le Responsable de toute modification avec un préavis minimum de 15 jours. Le Responsable a le droit de s'opposer à la nomination d'un nouveau sous-traitant dans les 15 jours suivant la communication.

Art. 7 — Mesures de sécurité

Mesures techniques

  • Chiffrement des données en transit (TLS 1.2+) et au repos (AES-256)
  • Contrôle des accès basé sur les rôles (RBAC)
  • Authentification multi-facteurs (MFA) pour l'accès aux systèmes

Mesures organisationnelles

  • Formation périodique du personnel à la protection des données
  • Procédures documentées de gestion des incidents
  • Revue périodique des autorisations d'accès

Art. 8 — Transferts internationaux

Les transferts de données personnelles vers des pays tiers (en particulier les États-Unis) s'effectuent sur la base du EU-US Data Privacy Framework et/ou des Clauses Contractuelles Types (CCT) adoptées par la Commission européenne.

Les données personnelles des voyageurs ne sont pas utilisées pour l'entraînement (training) des modèles d'intelligence artificielle. Des données anonymisées et agrégées peuvent être utilisées pour l'amélioration du service.

Art. 9 — Data Breach

En cas de violation de données personnelles, le Sous-traitant notifie le Responsable sans retard injustifié et au plus tard dans les 48 heures à compter de la connaissance, en fournissant toutes les informations nécessaires pour permettre au Responsable de remplir ses obligations de notification au titre des articles 33 et 34 du RGPD.

Art. 10 — Droits des personnes concernées

Le Sous-traitant assiste le Responsable, par des mesures techniques et organisationnelles appropriées, dans l'exécution de l'obligation de donner suite aux demandes des personnes concernées pour l'exercice des droits prévus au chapitre III du RGPD (accès, rectification, effacement, limitation, portabilité, opposition).

Art. 11 — Audit

Le Sous-traitant met à disposition du Responsable toutes les informations nécessaires pour démontrer le respect des obligations prévues par le présent accord et autorise audits et inspections avec un préavis minimum de 30 jours. Le Responsable accepte que des rapports de certification indépendants (SOC 2, ISO 27001) puissent servir de preuve de conformité.

Art. 12 — Restitution et suppression des données

Au terme du Contrat principal, le Responsable peut demander la restitution des données dans un délai de 30 jours. En l'absence de demande, les données seront supprimées dans un délai de 60 jours à compter de la cessation du service, sous réserve des obligations de conservation prévues par la loi.

Art. 13 — Responsabilité

La responsabilité globale du Sous-traitant découlant du présent DPA ou y étant liée est limitée aux montants effectivement versés par le Responsable au cours des 12 moisprécédant l'événement à l'origine de la responsabilité.

Art. 14 — Obligations du Responsable

Le Responsable garantit avoir obtenu tous les consentements nécessaires et disposer d'une base juridique valable pour le traitement des données personnelles des voyageurs. Le Responsable s'engage à fournir des instructions conformes à la réglementation en vigueur.

Art. 15 — Dispositions finales

Le présent DPA est régi par la loi italienne. Pour tout litige découlant du présent accord, la juridiction exclusivement compétente est celle de Modène (Italie).