Naar inhoud
StippaStippa
FonctionnalitésTarifsFAQContact
Se connecterCommencer

Accord de sous-traitance

Dernière mise à jour: 21 juin 2026

Le présent accord de sous-traitance (ci-après : l'« Accord de sous-traitance ») fait partie intégrante des conditions générales conclues entre De Rechter Software et le Client (ci-après : le « Contrat »). Il fixe les modalités du traitement des données à caractère personnel que De Rechter Software effectue pour le compte du Client dans le cadre de la fourniture de Stippa, conformément à l'article 28 du Règlement général sur la protection des données (RGPD).

1. Parties et rôles

  • Responsable de traitement : le Client, qui détermine les finalités et les moyens du traitement des données à caractère personnel de ses clients finaux.
  • Sous-traitant : De Rechter Software, entreprise individuelle de droit néerlandais établie Molenwater 20, 4511 BN Breskens, Pays-Bas, numéro KvK 98466402, numéro de TVA NL005332100B80, exploitant de Stippa, qui traite les données à caractère personnel uniquement au nom et pour le compte du Client.

2. Objet, nature, durée et finalité du traitement

Le Sous-traitant traite les données à caractère personnel uniquement aux fins de la fourniture du service Stippa : une plateforme de gestion et de réservation de rendez-vous, de gestion des clients et des collaborateurs, d'envoi de notifications et de traitement des paiements. Le traitement perdure tant que le Contrat est en vigueur et prend fin conformément à la section 10.

3. Catégories de données et personnes concernées

Le traitement porte sur les catégories de personnes concernées et de données à caractère personnel suivantes :

  • Personnes concernées : les clients finaux du Client et les collaborateurs du Client.
  • Données : nom, adresse électronique, numéro de téléphone, données de rendez-vous (date, heure, prestation, collaborateur, notes) et données liées aux paiements (via Stripe ; aucune donnée complète de carte bancaire).

Le Sous-traitant ne traite aucune catégorie particulière de données à caractère personnel, sauf si le Client en saisit lui-même ; le Client en est alors responsable et garantit l'existence d'une base légale licite.

4. Obligations du Sous-traitant

  • Le Sous-traitant traite les données à caractère personnel uniquement sur la base d'instructions documentées du Client, y compris le Contrat, notamment en ce qui concerne les transferts vers un pays tiers, sauf obligation légale contraire ; dans ce cas, le Sous-traitant en informe le Client au préalable, sauf si cette législation l'interdit.
  • Le Sous-traitant informe immédiatement le Client si, selon lui, une instruction constitue une violation du RGPD ou d'autres règles applicables en matière de protection des données.
  • Le Sous-traitant veille à ce que les personnes autorisées à accéder aux données à caractère personnel soient soumises à une obligation de confidentialité.
  • Le Sous-traitant met en œuvre des mesures techniques et organisationnelles appropriées (voir section 5).
  • Le Sous-traitant prête au Client une coopération raisonnable pour répondre aux demandes des personnes concernées (accès, rectification, effacement, limitation, portabilité et opposition) et pour respecter ses obligations au titre des articles 32 à 36 du RGPD (sécurité, notification des violations de données, analyses d'impact relatives à la protection des données et consultation préalable de l'autorité de contrôle).
  • Le Sous-traitant n'utilise pas les données à caractère personnel à ses propres fins et ne les vend jamais.

5. Mesures de sécurité

Le Sous-traitant met en œuvre au minimum les mesures suivantes :

  • Le chiffrement des données en transit (TLS 1.2 ou supérieur) et au repos ;
  • Le chiffrement des jetons sensibles avec AES-256-GCM avant stockage ;
  • Une gestion des accès fondée sur les rôles avec sécurité au niveau des lignes (row-level security) dans la base de données ;
  • La journalisation des modifications (journaux d'audit) à des fins de sécurité et de traçabilité ;
  • L'évaluation régulière de l'efficacité des mesures.

6. Sous-traitants ultérieurs

Le Client donne au Sous-traitant une autorisation générale de recourir aux sous-traitants ultérieurs énumérés ci-dessous :

  • Supabase Inc. pour l'hébergement de la base de données (hébergé dans l'UE)
  • Vercel Inc. pour l'hébergement de l'application
  • Upstash, Inc. pour la limitation de débit et la prévention des abus (traitement temporaire d'adresses IP)
  • Cloudflare, Inc. pour la protection anti-bot et anti-abus (Turnstile)
  • Sentry (Functional Software, Inc.) pour la surveillance des erreurs et la stabilité de l'application
  • Inngest, Inc. pour l'exécution de tâches en arrière-plan, comme l'envoi de rappels
  • Grafana Labs pour la gestion des journaux (Loki), uniquement si activé
  • Stripe Payments Europe Ltd. et Mollie B.V. pour le traitement des paiements (Mollie hébergé dans l'UE)
  • Resend, Inc. pour l'envoi d'e-mails transactionnels (confirmations, rappels et notifications)
  • Twilio Inc. / WhatsApp Business pour des services de messagerie optionnels
  • PostHog pour l'analyse produit

Les intégrations suivantes ne sont activées que lorsque vous ou un membre du personnel les connectez : Google LLC pour la synchronisation d'agenda (voir la politique de confidentialité) et Moneybird B.V. pour une intégration comptable.

Le Sous-traitant impose à chaque sous-traitant ultérieur, par contrat, les mêmes obligations de protection des données que celles prévues dans le présent Accord de sous-traitance. Le Sous-traitant demeure pleinement responsable envers le Client de l'exécution des obligations par le sous-traitant ultérieur.

En cas de modification ou d'ajout envisagé d'un sous-traitant ultérieur, le Sous-traitant en informe le Client au moins 30 jours à l'avance. Le Client peut, dans ce délai, s'opposer à la modification pour des motifs raisonnables ; les parties se concertent alors. À défaut de solution, le Client peut résilier le service concerné ou le Contrat.

7. Transferts en dehors de l'EEE

Dans la mesure où des données à caractère personnel sont transférées à un sous-traitant ultérieur situé en dehors de l'Espace économique européen, ce transfert n'a lieu que sur la base d'une garantie appropriée conformément au chapitre V du RGPD : pour les transferts vers les États-Unis, principalement sur le fondement du cadre de protection des données UE-États-Unis (EU-US Data Privacy Framework ; décision d'adéquation de la Commission européenne du 10 juillet 2023) pour les parties certifiées à ce titre, et, à titre de garantie complémentaire ou de repli, sur le fondement des clauses contractuelles types de la Commission européenne (Standard Contractual Clauses, décision d'exécution (UE) 2021/914).

8. Violations de données

Le Sous-traitant informe le Client sans retard injustifié, et au plus tard dans un délai de 48 heures, après avoir pris connaissance d'une violation de données à caractère personnel. Le Sous-traitant fournit alors les informations dont le Client a raisonnablement besoin pour satisfaire à son éventuelle obligation de notification à l'autorité de contrôle compétente et aux personnes concernées.

9. Audits

Le Sous-traitant met à la disposition du Client, sur demande, les informations nécessaires pour démontrer le respect des obligations prévues à l'article 28 du RGPD. Le Client peut, moyennant un préavis raisonnable et au plus une fois par an, faire réaliser un audit par lui-même ou par un auditeur indépendant mandaté par lui. Les coûts raisonnables de cet audit sont à la charge du Client, sauf si l'audit révèle un manquement substantiel du Sous-traitant.

10. Restitution et suppression

À la fin du Contrat, le Sous-traitant, au choix du Client, soit met l'ensemble des données à caractère personnel à la disposition du Client sous forme d'export de données, soit les supprime, et supprime les copies existantes, sauf obligation légale de conservation contraire (telle que l'obligation fiscale de conservation des données de paiement). À défaut de choix exercé dans le délai de 30 jours mentionné dans les conditions générales, les données sont supprimées.

11. Responsabilité et droit applicable

Les dispositions relatives à la responsabilité et au droit applicable figurant dans les conditions générales s'appliquent au présent Accord de sous-traitance. En cas de contradiction entre le présent Accord de sous-traitance et les conditions générales, le présent Accord de sous-traitance prévaut pour ce qui concerne le traitement des données à caractère personnel.

12. Contact

Pour toute question relative au présent Accord de sous-traitance, ou pour obtenir un exemplaire signé, vous pouvez nous contacter à support@stippa.nl.

StippaStippa

La prise de rendez-vous, sans tracas.

Pour qui

  • Pour coiffeurs
  • Instituts de beauté
  • Kinésithérapeutes
  • Coachs
  • Coachs sportifs

Fonctionnalités

  • Widget de réservation
  • Paiements en ligne
  • Rappels
  • Prévention des no-shows
  • Agenda en ligne
  • Gestion des clients

Produit

  • Fonctionnalités
  • Tarifs
  • FAQ
  • Contact

Mentions légales

  • Politique de confidentialité
  • Conditions d'utilisation
  • Accord de traitement des données

© 2026 Stippa. Tous droits réservés.

De Rechter Software · Molenwater 20, 4511 BN Breskens · KvK 98466402 · btw NL005332100B80

······