Accord de sous-traitance des données personnelles (DPA)

Name: TransVivo
Rating: 4.8 (127 reviews)

Dernière mise à jour : 22 mars 2026

Le présent accord de sous-traitance (ci-après « DPA ») est conclu conformément à l'article 28 du Règlement (UE) 2016/679 relatif à la protection des données personnelles (RGPD). Il définit les obligations respectives du Responsable de traitement et du Sous-traitant concernant le traitement des données personnelles dans le cadre de l'utilisation de la plateforme TransVivo.

Article 1 — Identité des parties

Sous-traitant (Processor) :TransVivo SAS, société par actions simplifiée, dont le siège social est situé en France. Contact DPO : dpo@transvivo.fr

Responsable de traitement (Controller) :Le Client, tel qu'identifié dans le contrat de service (ci-après « le Client »), qui détermine les finalités et les moyens du traitement des données personnelles via la plateforme TransVivo.

Article 2 — Objet et finalités du traitement

TransVivo traite les données personnelles pour le compte du Client dans le cadre des finalités suivantes :

Gestion des transports animaliers (planification, suivi GPS, traçabilité)
Gestion de la relation client (contacts, devis, facturation)
Gestion des documents réglementaires (certificats sanitaires, TRACES NT)
Gestion des conducteurs et véhicules (autorisations, formations)
Communication par email et notifications
Production de statistiques anonymisées et agrégées sur le transport d'animaux vivants (Baromètre TransVivo)

Traitement spécifique : Données agrégées et anonymisées

Finalité :Production de statistiques anonymisées et agrégées sur le marché du transport d'animaux vivants en France (volumes, corridors, indices tarifaires, scores de bien-être animal).
Base légale :Intérêt légitime (article 6.1.f RGPD) et anonymisation irréversible (considérant 26 RGPD). Les données publiées ne permettent en aucun cas l'identification directe ou indirecte d'une personne physique ou morale.
Conservation :Les données agrégées sont conservées sans limitation de durée, car elles constituent des données anonymes hors du champ d'application du RGPD.
Droit d'opposition :Tout Client peut s'opposer à l'inclusion de ses données dans les jeux de données agrégés en contactant dpo@transvivo.fr.

Article 3 — Catégories de données traitées

Données d'identification : nom, prénom, email, téléphone, adresse
Données professionnelles : SIRET, numéro d'autorisation de transport, qualifications
Données de géolocalisation : coordonnées GPS des véhicules en cours de transport
Données animales : identification, espèce, santé, certificats vétérinaires
Données de facturation : adresse de facturation, historique des paiements (hors données bancaires)
Données de connexion : logs d'accès, adresses IP, user-agent

Article 4 — Personnes concernées

Utilisateurs de la plateforme (employés du Client)
Conducteurs de véhicules de transport
Clients finaux (propriétaires d'animaux)
Vétérinaires et professionnels de santé animale
Contacts commerciaux et partenaires

Article 5 — Mesures de sécurité

TransVivo met en oeuvre les mesures techniques et organisationnelles suivantes :

Chiffrement des données au repos (AES-256) et en transit (TLS 1.3)
Authentification par JWT avec rotation des tokens et contrôle d'accès basé sur les rôles (RBAC)
Architecture multi-tenant avec isolation des données par tenant_id
Hébergement exclusivement en Union Européenne (OVH, datacenters France)
Sauvegardes automatisées quotidiennes avec rétention de 30 jours
Journalisation des accès et des modifications (audit logs)
Suppression logique (soft delete) avec politique de rétention paramétrable
Surveillance des erreurs et alertes via Sentry
Protection contre les attaques OWASP Top 10

Article 6 — Sous-traitants ultérieurs

Le Client autorise TransVivo à faire appel aux sous-traitants ultérieurs suivants :

Sous-traitant	Finalité	Localisation
OVH SAS	Hébergement serveur (VPS, base de données)	France (UE)
Vercel Inc.	Hébergement frontend (CDN, Edge Functions)	UE (région fra1)
Cloudflare Inc.	DNS, CDN, protection DDoS	Global (UE pour données)
Resend Inc.	Envoi d'emails transactionnels	UE
Sentry (Functional Software Inc.)	Monitoring et suivi d'erreurs	UE
Pennylane SAS	Facturation et comptabilité (Factur-X)	France (UE)

TransVivo informera le Client de tout ajout ou remplacement de sous-traitant ultérieur avec un préavis de 30 jours. Le Client dispose d'un droit d'opposition dans ce délai.

Article 7 — Droits des personnes concernées

TransVivo s'engage à assister le Client dans le traitement des demandes d'exercice des droits des personnes concernées :

Droit d'accès (article 15 RGPD)
Droit de rectification (article 16 RGPD)
Droit à l'effacement (article 17 RGPD)
Droit à la limitation du traitement (article 18 RGPD)
Droit à la portabilité des données (article 20 RGPD)
Droit d'opposition (article 21 RGPD)

La plateforme TransVivo permet l'export des données au format JSON/CSV et la suppression de compte en self-service. Pour toute demande, contacter dpo@transvivo.fr.

Article 8 — Notification de violation de données

En cas de violation de données personnelles, TransVivo s'engage à :

Notifier le Client dans un délai maximum de 24 heuresaprès la prise de connaissance de la violation
Fournir toutes les informations nécessaires conformément à l'article 33 du RGPD (nature de la violation, catégories de données, nombre de personnes concernées, mesures correctives)
Assister le Client dans sa notification à la CNIL (dans les 72 heures) et aux personnes concernées si nécessaire
Documenter toute violation dans un registre interne, incluant les faits, les effets et les mesures correctives prises

Article 9 — Durée et fin du traitement

Le présent DPA est en vigueur pendant toute la durée du contrat de service. À la fin du contrat, TransVivo s'engage à restituer l'ensemble des données personnelles au format exploitable (export JSON/CSV/SQL) et à supprimer les données dans un délai de 30 jours, sauf obligation légale de conservation. Un certificat de destruction sera fourni sur demande.

Article 10 — Audit

Le Client dispose d'un droit d'audit annuel pour vérifier la conformité de TransVivo au présent DPA. L'audit peut être réalisé par le Client ou un tiers mandaté, sous réserve d'un préavis de 30 jours et d'un accord de confidentialité. TransVivo met à disposition les logs d'audit, la documentation de sécurité et les rapports de tests de pénétration sur demande.

Pour toute question relative au présent accord, contactez notre Délégué à la Protection des Données (DPO) à l'adresse dpo@transvivo.fr.