Skip to content

Accord de Sous-Traitance (DPA)

Version : v1.0 — Dernière mise à jour : 1er mai 2026

Le présent Accord de Sous-Traitance (le « DPA ») est conclu en application de l’article 28 du Règlement (UE) 2016/679 (le « RGPD ») entre DECALAB, société à responsabilité limitée à associé unique (EURL), exploitant le service Elron sur le domaine elron.aiDECALAB », « Decalab » ou le « Sous-Traitant »), et le ClientClient » ou le « Responsable de Traitement ») ayant souscrit un abonnement au Service Elron. Il fait partie intégrante du contrat formé entre les parties par l’acceptation des CGU et des CGV.

En cas de contradiction entre le présent DPA et les CGU/CGV, le DPA prévaut s’agissant des questions de protection des données personnelles.

1. Définitions

Les termes en majuscule non définis ci-dessous ont le sens qui leur est donné par le RGPD et / ou par les CGU.

  • « Données » : les données à caractère personnel traitées par Decalab pour le compte du Client dans le cadre du Service.
  • « Sous-Traitant Ultérieur » : tout sous-traitant auquel Decalab fait appel pour exécuter tout ou partie du traitement des Données pour le compte du Client.
  • « Personne Concernée » : toute personne physique identifiée ou identifiable dont les Données sont traitées (notamment locataires, propriétaires, prestataires, contacts du Client).

2. Objet, nature et finalité du traitement

Decalab traite les Données pour le compte du Client aux fins de fournir le Service Elron, dans les conditions décrites aux CGU, notamment :

  • Réception, classification et indexation des emails entrants ;
  • Génération assistée de réponses, brouillons, résumés, synthèses, plans d’action ;
  • Suivi des tickets, contacts, propriétés, et historique de la relation ;
  • Envoi d’emails sortants après validation par un utilisateur du Client ;
  • Recherche sémantique sur la base de connaissance constituée par le Client.

3. Catégories de Données et de Personnes Concernées

Catégorie de DonnéesCatégories de Personnes Concernées
Identité (nom, prénom)Locataires, propriétaires, prestataires, contacts professionnels du Client
Coordonnées (email, téléphone, adresse postale)Idem
Données contractuelles et patrimoniales (référence de bail, n° de lot, montants de loyer, situation locative)Locataires, propriétaires
Communications (emails entrants et sortants, pièces jointes, journaux d'échange)Idem
Données opérationnelles (tickets, plans d'action, statuts d'intervention, notes)Idem
Données techniques (identifiants OAuth, métadonnées Gmail, identifiants conversationnels)Utilisateurs du Client

Données sensibles : Decalab ne sollicite pas de catégories particulières de données au sens de l’article 9 du RGPD (santé, opinions, orientation, etc.). Si de telles données apparaissent passivement (par exemple dans le corps d’un email entrant), elles font l’objet des mêmes mesures de sécurité que les autres Données. Le Client veillera à limiter le traitement de telles données au strict nécessaire et conformément à la loi.

4. Durée du traitement

Le traitement court pendant toute la durée du contrat liant le Client à Decalab et se poursuit pendant le délai de suppression / restitution prévu à l’article 11.

5. Obligations du Client (Responsable de Traitement)

Le Client garantit :

  • Disposer d’une base juridique appropriée pour collecter et traiter les Données qu’il transmet à Decalab ;
  • Avoir informé les Personnes Concernées du recours à Decalab en qualité de sous-traitant et, le cas échéant, recueilli leur consentement dans les conditions requises ;
  • Tenir à jour son registre des activités de traitement ;
  • Émettre des instructions documentées (au-delà de l’utilisation standard du Service) lorsque cela est nécessaire ;
  • Veiller à la pertinence et à la légalité des Données transmises à Decalab.

6. Obligations de Decalab (Sous-Traitant)

Decalab s’engage à :

6.1 Traitement conforme aux instructions

Traiter les Données uniquement sur instructions documentées du Client, y compris en matière de transferts hors UE, sauf obligation légale contraire à laquelle Decalab serait soumis. Dans ce dernier cas, Decalab informe le Client préalablement, sauf interdiction légale.

L’utilisation standard des fonctionnalités du Service par le Client constitue une instruction documentée.

Si Decalab estime qu’une instruction enfreint le RGPD ou toute autre disposition de droit relative à la protection des données, il en informe le Client sans délai.

6.2 Confidentialité

Garantir que les personnes autorisées à traiter les Données s’engagent à respecter la confidentialité ou sont soumises à une obligation légale appropriée de confidentialité.

6.3 Sécurité (article 32 RGPD)

Mettre en œuvre les mesures techniques et organisationnelles appropriées détaillées en Annexe 2.

6.4 Sous-traitance ultérieure

Recourir à des Sous-Traitants Ultérieurs dans les conditions de l’article 9 ci-dessous.

6.5 Assistance

Assister le Client, dans la mesure du possible, par des mesures techniques et organisationnelles appropriées, pour permettre à celui-ci :

  • De donner suite aux demandes des Personnes Concernées exerçant leurs droits (articles 15 à 22 RGPD) ;
  • De respecter ses obligations en matière de sécurité, de notification de violation, d’analyse d’impact (AIPD) et de consultation préalable de l’autorité de contrôle (articles 32 à 36 RGPD).

6.6 Notification de violation de Données

Notifier au Client toute violation de Données dans un délai maximal de 72 heures à compter de sa découverte, en lui communiquant toutes les informations utiles raisonnablement disponibles pour permettre au Client d’effectuer, le cas échéant, sa propre notification à l’autorité de contrôle conformément à l’article 33 du RGPD.

6.7 Suppression / restitution

À l’issue du contrat, supprimer ou restituer les Données dans les conditions de l’article 11.

6.8 Audit

Mettre à disposition du Client toutes les informations nécessaires pour démontrer le respect des obligations du présent DPA et permettre, à la demande du Client, la réalisation d’audits dans les conditions de l’article 10.

7. Demandes des Personnes Concernées

Lorsqu’une Personne Concernée s’adresse directement à Decalab pour exercer ses droits sur des Données traitées pour le compte du Client, Decalab transmet sans délai cette demande au Client et n’y répond pas directement, sauf instruction expresse du Client.

Pour ses propres outils de gestion des demandes (par exemple, suppression d’un compte utilisateur du Client, export de ses propres données), Decalab fournit au Client des fonctionnalités self-service ou une assistance dédiée.

8. Transferts internationaux

Lorsqu’un transfert hors de l’Union européenne est nécessaire, Decalab s’engage à mettre en œuvre les garanties appropriées prévues par les articles 44 à 49 du RGPD, notamment :

  • Les Clauses Contractuelles Types (CCT) adoptées par la Commission européenne le 4 juin 2021 ;
  • Le cas échéant, le Data Privacy Framework (DPF) UE-États-Unis pour les organismes certifiés ;
  • Des mesures complémentaires techniques et organisationnelles (chiffrement, pseudonymisation, redaction PII).

Le Client autorise Decalab, par la signature du présent DPA, à effectuer les transferts nécessaires à l’exécution du Service vers les Sous-Traitants Ultérieurs identifiés en Annexe 3 ou à https://elron.ai/sous-traitants.

9. Sous-Traitants Ultérieurs

9.1 Autorisation générale

Le Client autorise Decalab, par la signature du présent DPA, à recourir aux Sous-Traitants Ultérieurs listés en Annexe 3 ou à https://elron.ai/sous-traitants.

9.2 Mise à jour de la liste

Decalab informe le Client de toute évolution prévue de la liste (ajout, remplacement, retrait) au moins 15 jours avant sa prise d’effet, par email à l’adresse de contact du Client et / ou par notification in-app.

9.3 Droit d’opposition

Le Client peut, dans les 15 jours suivant la notification, formuler une opposition motivée et raisonnable à l’ajout d’un nouveau Sous-Traitant Ultérieur. Si Decalab ne peut proposer d’alternative satisfaisante, le Client pourra, à titre exceptionnel et au plus tard à la date d’effet du nouveau Sous-Traitant Ultérieur, résilier l’abonnement sans pénalité ni indemnité, avec remboursement de la quote-part payée d’avance non consommée.

9.4 Encadrement contractuel

Decalab s’assure que chaque Sous-Traitant Ultérieur présente des garanties suffisantes au regard du RGPD et conclut avec lui un contrat conforme à l’article 28 du RGPD. Decalab demeure pleinement responsable, vis-à-vis du Client, de l’exécution par les Sous-Traitants Ultérieurs de leurs obligations.

10. Audit

Le Client peut procéder, à ses frais, à un audit annuel destiné à vérifier le respect par Decalab du présent DPA, sous réserve d’un préavis écrit de 30 jours et de la signature d’un engagement de confidentialité approprié.

L’audit est conduit par le Client ou par un auditeur tiers indépendant agréé par Decalab (qui ne peut refuser sans motif raisonnable). Il est limité à ce qui est strictement nécessaire pour vérifier les obligations de Decalab et ne doit pas perturber l’exploitation du Service ni compromettre la confidentialité des autres clients.

À titre alternatif, Decalab pourra communiquer au Client, sous engagement de confidentialité, tout rapport d’audit ou certification en vigueur (par exemple SOC 2, ISO 27001, attestation d’audit de pénétration). Si ces rapports répondent aux questions du Client, ils tiennent lieu d’audit pour l’année en cours.

Les frais d’audit sont à la charge du Client. En cas de constat de manquement substantiel imputable à Decalab, ce dernier supportera les frais raisonnables de l’audit ainsi que les frais d’un éventuel ré-audit de remédiation.

11. Sort des Données en fin de contrat

À l’issue du contrat, et au plus tard dans un délai de 30 jours à compter de la résiliation effective :

  • Decalab procède à la suppression définitive des Données traitées pour le compte du Client, sauf obligation légale de conservation contraire ou demande expresse de restitution préalable formulée par le Client ;
  • Sur demande écrite formulée avant la résiliation, Decalab restitue au Client une copie des Données dans un format structuré, couramment utilisé, lisible par machine ;
  • Les sauvegardes contenant des Données suivent leur cycle naturel de rotation et sont définitivement effacées sous 35 jours maximum après la résiliation ;
  • Decalab fournit, sur demande, une attestation de suppression.

Les obligations légales de conservation pesant sur Decalab (notamment en matière de facturation, de comptabilité, de prévention de la fraude) demeurent applicables aux données concernées.

12. Responsabilité

La responsabilité de Decalab au titre du présent DPA s’apprécie dans les limites prévues à l’article 11 des CGU et à l’article 10 des CGV, sauf dispositions impératives contraires du RGPD.

Chaque partie supporte la responsabilité directe à laquelle elle est tenue en application du RGPD et des décisions des autorités de contrôle. Les actions récursoires entre parties sont possibles, sous réserve des plafonds applicables.

13. Hiérarchie

En cas de contradiction entre le présent DPA et tout autre document contractuel relatif au Service, le DPA prévaut s’agissant des questions de protection des Données.

13 bis. Intégrations tierces du Client

Lorsque le Client active une intégration entre Elron et un service tiers qu’il utilise (notamment outils de gestion de la relation client, logiciels de gestion locative ou de syndic, suites collaboratives, calendriers, et toute intégration future activée par l’Utilisateur), Decalab traite les Données qui transitent via cette intégration exclusivement pour fournir la fonctionnalité demandée par le Client.

Les services tiers ainsi connectés ne sont pas des Sous-Traitants Ultérieurs de Decalab au sens du présent DPA : ils sont fournis directement au Client par leurs éditeurs respectifs, en vertu d’une relation contractuelle distincte entre le Client et ces éditeurs.

À ce titre :

  • Le Client garantit disposer du droit d’autoriser Decalab à se connecter à ces services et à traiter les Données qui en proviennent ;
  • Le Client est responsable de la conformité RGPD de la relation qu’il entretient avec ces éditeurs tiers (information, consentement, base légale, transferts internationaux) ;
  • Decalab applique aux Données issues de ces intégrations les mêmes mesures de sécurité et de confidentialité que celles décrites en Annexe 2.

14. Droit applicable et juridiction

Le présent DPA est régi par le droit français. Tout litige relèvera de la compétence exclusive du Tribunal de Commerce de Paris, sauf règle impérative contraire.

Annexe 1 — Description du traitement

NatureHébergement, traitement, indexation, transformation et restitution de Données pour le compte du Client
FinalitéFourniture des fonctionnalités du Service Elron
Catégories de DonnéesVoir article 3
Catégories de Personnes ConcernéesVoir article 3
DuréeVoir article 4

Annexe 2 — Mesures techniques et organisationnelles (article 32 RGPD)

Sécurité physique et logique de l’infrastructure

  • Hébergement sur Google Cloud Platform, en Union européenne. Datacenters certifiés ISO 27001, ISO 27017, ISO 27018, SOC 1/2/3, PCI-DSS.
  • Base de données PostgreSQL avec sauvegardes chiffrées et point-in-time recovery.
  • Réseau privé, pare-feu géré, exposition publique limitée aux endpoints HTTPS strictement nécessaires.
  • Intégration OAuth Gmail ayant passé un contrôle CASA Tier 2 (Cloud Application Security Assessment).

Chiffrement

  • En transit : TLS sur l’ensemble des communications.
  • Au repos : chiffrement géré par l’hébergeur cloud pour la base de données, le stockage objet et les sauvegardes.
  • Chiffrement applicatif des tokens OAuth des comptes connectés.

Contrôle d’accès et identités

  • Cloisonnement des données par organisation au niveau base de données.
  • Gestion des accès collaborateurs basée sur le principe du moindre privilège, revue périodique des droits.
  • Authentification des Utilisateurs via OAuth Google / Microsoft ou identifiants email / mot de passe (avec hashage robuste). Une option d’authentification à deux facteurs sera proposée prochainement.

Cloisonnement et résilience

  • Environnements de développement, pré-production et production strictement séparés.
  • Sauvegardes quotidiennes avec rétention limitée et tests de restauration périodiques.

Journalisation et supervision

  • Journaux d’accès et journaux applicatifs centralisés.
  • Monitoring des erreurs avec redaction des données personnelles dans les traces.
  • Alertes automatisées sur incidents de sécurité.

Organisation

  • Engagement de confidentialité signé par chaque collaborateur et prestataire.
  • Sensibilisation à la sécurité et à la protection des données pour les équipes.
  • Procédure de notification de violation de Données dans un délai cible de 72 heures.
  • Maintenance applicative régulière, mises à jour de sécurité priorisées.

Sous-Traitants Ultérieurs

  • Sélection sur la base de garanties RGPD documentées (DPA, certifications, transparence).
  • Privilège donné aux fournisseurs disposant d’une infrastructure et d’un traitement dans l’Union européenne.

Annexe 3 — Liste des Sous-Traitants Ultérieurs

La liste tenue à jour des Sous-Traitants Ultérieurs est consultable à https://elron.ai/sous-traitants et reproduite à la date de signature dans le document Sous-traitants.

Contact

Pour toute question relative au présent DPA :

  • privacy@elron.ai (demandes RGPD)
  • legal@elron.ai (notifications juridiques)

DECALAB EURL — 149 avenue du Maine, 75014 Paris, France