Accord de sous-traitance (DPA)

Préambule

Hoofbook est un service en ligne destiné aux maréchaux-ferrants. Lorsque vous, le Client, saisissez dans la plateforme des informations relatives à vos propres clients (propriétaires de chevaux, gestionnaires d’écuries, contacts associés), Hoofbook agit en qualité de sous-traitant au sens de l’article 4.8 du RGPD, et vous restez responsable de traitement.

Le présent accord, conforme à l’article 28 du RGPD, décrit les conditions dans lesquelles Hoofbook traite ces données pour votre compte. Il est accepté lors de la création de votre compte et peut évoluer dans les conditions prévues à la section 11.

1. Objet

Hoofbook traite, en qualité de sous-traitant, les données personnelles des tiers (clients du maréchal-ferrant, propriétaires d’écuries, contacts associés) que le Client saisit dans la plateforme go.hoofbook.app.

2. Durée

Le présent accord prend effet à la création du compte et reste applicable pendant toute la durée de l’abonnement, augmentée d’une période de 30 jours à compter de la résiliation, destinée à permettre au Client d’exporter ses données.

3. Nature des opérations

Les opérations effectuées sur les données comprennent : collecte (par saisie du Client), stockage, organisation, consultation, modification, suppression, export et transmission aux sous-traitants ultérieurs listés à la section 6.

4. Finalité

Permettre au Client de gérer son activité professionnelle de maréchal-ferrant : planning, fichier clients, suivi des soins prodigués aux chevaux, optimisation des tournées, comptabilité simplifiée.

5. Types de données et personnes concernées

Types de données traitées en sous-traitance

• — identité du client final : nom, prénom, téléphone, email éventuel ;
• — adresses postales et coordonnées GPS des écuries ;
• — données métier : noms et photos des chevaux, notes de soins, historique des visites, taux horaires ;
• — données de facturation client (montants et dates).

Catégories de personnes concernées

Les clients du Client (propriétaires de chevaux, gestionnaires d’écuries) et leurs contacts éventuels saisis par le Client.

Catégories particulières (article 9 RGPD)

Aucune par défaut. Le Client s’engage à ne pas saisir, dans la plateforme, de données de santé identifiables relatives à des personnes physiques, ni de données biométriques. Les données vétérinaires concernant les chevaux ne relèvent pas du RGPD (données animales).

6. Sous-traitants ultérieurs

Hoofbook recourt aux sous-traitants ultérieurs listés ci-dessous pour fournir le Service. Le Client donne par les présentes une autorisation générale à Hoofbook pour y recourir. Tout ajout ou remplacement fera l’objet d’un préavis de 30 jours par email, permettant au Client de s’y opposer pour motif légitime — auquel cas Hoofbook pourra résilier le contrat.

7. Obligations de Hoofbook (sous-traitant)

Hoofbook s’engage à :

• — traiter les données uniquement sur instruction documentée du Client. Les actions effectuées par le Client dans la plateforme constituent ses instructions ;
• — garantir la confidentialité du personnel ayant accès aux données et veiller à ce qu’il s’engage par contrat à respecter cette confidentialité ;
• — mettre en œuvre les mesures techniques et organisationnelles décrites en annexe (section 8), conformément à l’article 32 du RGPD ;
• — assister le Client dans le traitement des demandes d’exercice des droits des personnes concernées (accès, rectification, effacement, opposition, portabilité, limitation) ;
• — assister le Client dans les notifications de violation de données — préavis 72 heures (voir section 9) ;
• — assister le Client dans la réalisation des analyses d’impact relatives à la protection des données (AIPD), si applicables ;
• — restituer ou supprimer les données à la fin du contrat, au choix du Client (voir section 11) ;
• — tenir un registre des activités de sous-traitance, conformément à l’article 30.2 du RGPD.

8. Mesures de sécurité (annexe)

Hoofbook met en œuvre les mesures techniques et organisationnelles suivantes :

• — TLS 1.2 ou supérieur pour tous les transferts ;
• — chiffrement au repos AES-256 sur les bases Supabase ;
• — Row Level Security Postgres : isolation multi-tenant au niveau de la base de données, garantissant qu’un compte ne peut techniquement pas accéder aux données d’un autre ;
• — authentification par email et mot de passe avec vérification d’email obligatoire ;
• — sauvegardes quotidiennes Supabase avec rétention de 7 jours (point-in-time recovery disponible) ;
• — journal d’audit des connexions ;
• — plan de réponse aux incidents documenté ;
• — mises à jour de sécurité gérées de manière continue par Hoofbook et ses sous-traitants.

9. Notification de violation

Hoofbook notifie le Client dans les 72 heures de la prise de connaissance d’une violation de données personnelles. La notification est envoyée par email au contact RGPD du Client renseigné dans les paramètres du compte. Elle décrit :

• — la nature de la violation ;
• — les catégories et le nombre approximatif de personnes concernées ;
• — les conséquences probables ;
• — les mesures prises ou envisagées pour y remédier.

10. Audit

Le Client peut demander un audit une fois par an, sur rendez-vous et préavis raisonnable de 30 jours. Pour les audits techniques, Hoofbook peut fournir les rapports d’audit de ses propres sous-traitants (Supabase, Vercel, Paddle) en lieu et place d’un accès direct à l’infrastructure.

11. Fin du contrat

• — un export CSV intégral des données est disponible jusqu’à 30 jours après la résiliation ;
• — la suppression définitive intervient sous 90 jours après l’expiration du délai d’export, y compris dans les sauvegardes ;
• — une attestation de suppression peut être fournie sur demande écrite adressée à contact@hoofbook.app.

Contact

Pour toute question relative au présent accord, écrivez à contact@hoofbook.app . Les autres traitements de données effectués par Hoofbook sont décrits dans la politique de confidentialité .