Accord de traitement des données personnelles (DPA)

Conforme à l'article 28 du Règlement (UE) 2016/679 (RGPD)

Dernière mise à jour : Juillet 2026

  • Objet et champ d'application
  • Définitions
  • Description du traitement
  • Obligations du sous-traitant
  • Obligations du responsable de traitement
  • Droits des personnes concernées
  • Mesures de sécurité (Article 32 du RGPD)
  • Sous-traitants ultérieurs
  • Droit d'audit
  • Notification de violation de données
  • Transferts internationaux
  • Restitution et suppression des données
  • Responsabilité
  • Durée et résiliation
  • Droit applicable et juridiction
  • Contact

ENTRE :

Autlu Sàrl, société à responsabilité limitée de droit luxembourgeois, , dont le siège social est situé au 6, rue principale, L-5240 Sandweiler, Luxembourg, ci-après dénommée le « Sous-traitant » ;

ET

Le Client, personne physique ou morale ayant créé un compte sur la plateforme Autlu, agissant en qualité de responsable de traitement, ci-après dénommé le « Responsable de traitement ».

1. Objet et champ d'application

Le présent Accord de traitement des données (ci-après « DPA ») définit les obligations des Parties en matière de protection des données personnelles, conformément à l’article 28 du RGPD, dans le cadre de l’utilisation par le Responsable de traitement de la plateforme Autlu.

Le présent DPA fait partie intégrante des Conditions générales d’utilisation d’Autlu et de la Politique de confidentialité.

En cas de conflit entre le présent DPA et les Conditions générales, les dispositions du DPA prévalent pour ce qui concerne la protection des données personnelles.

2. Définitions

Les termes utilisés dans le présent DPA ont la signification qui leur est attribuée par le RGPD, notamment :

  • « Données personnelles » : toute information se rapportant à une personne physique identifiée ou identifiable ;
  • « Traitement » : toute opération effectuée sur des données personnelles ;
  • « Personne concernée » : la personne physique dont les données sont traitées ;
  • « Violation de données » : une violation de la sécurité entraînant la destruction, la perte, l’altération ou la divulgation non autorisée de données personnelles.

3. Description du traitement

Objet du traitement

Le Sous-traitant fournit une plateforme SaaS permettant la création, l’édition, la signature électronique et l’archivage d’états des lieux immobiliers.

Durée du traitement

Le traitement dure pendant toute la durée de la relation contractuelle entre les Parties. À la fin de la relation, les dispositions de l’article 12 s’appliquent.

Nature et finalité du traitement

  • Création et génération de documents d’états des lieux
  • Stockage sécurisé des documents, photographies et pièces jointes
  • Traitement par intelligence artificielle (transcription audio, assistance à la rédaction)
  • Signature électronique des documents par les parties prenantes
  • Envoi de notifications et documents par email aux parties prenantes
  • Archivage temporaire des documents finalisés

Types de données personnelles traitées

  • Données d’identification : noms, prénoms des locataires, propriétaires et occupants
  • Coordonnées : adresses email, numéros de téléphone
  • Adresses : adresses des biens immobiliers
  • Photographies : photographies des logements (pouvant contenir des éléments personnels visibles)
  • Données techniques : relevés de compteurs (eau, électricité, gaz)
  • Signatures : signatures manuscrites électroniques
  • Contenu textuel : observations et remarques saisies par les parties
  • Enregistrements audio : le cas échéant, pour transcription par IA

Catégories de personnes concernées

  • Locataires (entrants et sortants)
  • Propriétaires et bailleurs
  • Occupants et co-locataires
  • Mandataires et représentants

4. Obligations du sous-traitant

Le Sous-traitant s’engage à :

Traiter les données personnelles uniquement sur instruction documentée du Responsable de traitement, y compris en ce qui concerne les transferts de données vers un pays tiers, sauf obligation légale.

Garantir que les personnes autorisées à traiter les données personnelles se sont engagées à respecter la confidentialité ou sont soumises à une obligation légale appropriée de confidentialité.

Mettre en œuvre les mesures techniques et organisationnelles appropriées conformément à l’article 7 du présent DPA.

Respecter les conditions pour recruter un autre sous-traitant conformément à l’article 8 du présent DPA.

Aider le Responsable de traitement, par des mesures techniques et organisationnelles appropriées, à s’acquitter de son obligation de donner suite aux demandes d’exercice de droits des personnes concernées (article 6 du présent DPA).

Aider le Responsable de traitement à garantir le respect des obligations prévues aux articles 32 à 36 du RGPD (sécurité, notification de violation, analyse d’impact).

Au choix du Responsable de traitement, supprimer ou restituer toutes les données personnelles à la fin de la prestation, conformément à l’article 12 du présent DPA.

Mettre à la disposition du Responsable de traitement toutes les informations nécessaires pour démontrer le respect des obligations et pour permettre la réalisation d’audits (article 9 du présent DPA).

Informer immédiatement le Responsable de traitement si, selon lui, une instruction constitue une violation du RGPD ou d’autres dispositions relatives à la protection des données.

5. Obligations du responsable de traitement

Le Responsable de traitement s’engage à :

Garantir la licéité du traitement des données personnelles saisies dans la plateforme et disposer d’une base légale appropriée.

Informer les personnes concernées (locataires, propriétaires) de l’utilisation d’Autlu comme outil de création d’états des lieux et du traitement de leurs données, conformément aux articles 13 et 14 du RGPD, y compris de tout enregistrement audio réalisé lors de l’état des lieux et susceptible de capter leur voix.

Répondre aux demandes d’exercice de droits des personnes concernées et collaborer avec le Sous-traitant le cas échéant.

Fournir au Sous-traitant des instructions de traitement conformes au RGPD.

Ne pas saisir de catégories particulières de données (article 9 du RGPD) dans les états des lieux, sauf nécessité justifiée et base légale appropriée.

6. Droits des personnes concernées

Le Sous-traitant aide le Responsable de traitement à répondre aux demandes d’exercice de droits (accès, rectification, effacement, limitation, portabilité, opposition) dans les meilleurs délais.

Si le Sous-traitant reçoit directement une demande d’une personne concernée, il en informera le Responsable de traitement dans les meilleurs délais et n’y répondra pas directement, sauf instruction contraire ou obligation légale.

Le Responsable de traitement dispose d’une fonctionnalité d’export de données dans l’application (Paramètres > Confidentialité > Exporter mes données) conforme au droit à la portabilité.

Le Responsable de traitement peut supprimer les données des états des lieux qu’il a créés directement via la plateforme. La suppression de compte et de toutes les données associées peut être demandée à [email protected].

7. Mesures de sécurité (Article 32 du RGPD)

Le Sous-traitant met en œuvre les mesures de sécurité techniques et organisationnelles suivantes :

Chiffrement

  • Chiffrement en transit : TLS/HTTPS sur toutes les communications
  • Chiffrement au repos : chiffrement natif de la base de données (Supabase/PostgreSQL)
  • Hachage des mots de passe : algorithme bcrypt

Contrôle d'accès

  • Authentification par email/mot de passe avec support de l’authentification multi-facteurs (MFA)
  • Row-Level Security (RLS) sur toutes les tables de la base de données
  • Séparation des rôles : les opérations administratives sont exécutées exclusivement côté serveur avec un rôle de service dédié (service_role)
  • URLs signées avec expiration pour l’accès aux fichiers stockés
  •  

Journalisation et audit

  • Journal d’audit administratif (admin_audit_log) enregistrant : l’identité de l’administrateur, l’action effectuée, la ressource concernée, les détails de l’opération et l’horodatage de chaque accès
  • Le journal d’audit est protégé par Row-Level Security et accessible uniquement au niveau serveur
  • Limitation du débit : 30 lectures/minute et 10 écritures/minute par administrateur
  •  

Sécurité applicative

  • Vérification des signatures de webhooks
  • Validation et assainissement des entrées utilisateur
  • Protection contre les injections SQL via ORM et requêtes paramétrées
  • En-têtes de sécurité HTTP (CSP, HSTS, X-Frame-Options)

Sécurité de l'infrastructure

  • Hébergement en Union européenne (Hetzner DE, Supabase EU Francfort)
  • Sauvegardes automatiques de la base de données
  • Séparation des environnements (développement, production)

Mesures organisationnelles

  • Accès administratif limité au personnel autorisé sur la base du besoin d’en connaître
  • Obligations de confidentialité pour le personnel
  • Procédures de réponse aux incidents de sécurité

8. Sous-traitants ultérieurs

Le Responsable de traitement autorise de manière générale le Sous-traitant à recruter des sous-traitants ultérieurs pour l’exécution du présent DPA.

Liste des sous-traitants ultérieurs

Sous-traitantFinalitéLocalisation
Hetzner Online GmbHHébergement serveur (inclut n8n et OnlyOffice auto-hébergé)Allemagne (UE)
Supabase, Inc.Base de données, authentification, stockageUE (Francfort)
Railway CorporationHébergement applicatifÉtats-Unis*
Stripe, Inc.Traitement des paiementsÉtats-Unis*
Google LLCAutocomplétion d’adresses (Google Maps), notifications push mobiles (Firebase Cloud Messaging)États-Unis*
OpenAI, Inc.Traitement par intelligence artificielleÉtats-Unis*
Anthropic, PBCTraitement par intelligence artificielleÉtats-Unis*
Deepgram, Inc.Transcription audioÉtats-Unis*
Resend, Inc.Email transactionnelÉtats-Unis*
Cloudflare, Inc.DNS, CDN et protection DDoS (app.autlu.com, docs.autlu.com) ; stockage de sauvegardes chiffrées (R2)États-Unis*
IPinfo (ipinfo.io)Géolocalisation approximative des sessions actives (adresse IP)États-Unis*

(*) Transferts encadrés par des Clauses Contractuelles Types (CCT) de la Commission européenne et/ou le EU-US Data Privacy Framework, le cas échéant.

Le Sous-traitant informera le Responsable de traitement de tout ajout ou remplacement de sous-traitant ultérieur avec un préavis d’au moins trente (30) jours avant la date prévue du changement, par notification dans l’application ou par email.

Le Responsable de traitement peut s’opposer à un nouveau sous-traitant ultérieur dans un délai de quinze (15) jours suivant la notification. En cas d’opposition justifiée, les Parties se concertent de bonne foi pour trouver une solution. À défaut d’accord, le Responsable de traitement peut résilier le contrat avec effet à la date de mise en œuvre du nouveau sous-traitant.

Le Sous-traitant impose à ses sous-traitants ultérieurs, par contrat, les mêmes obligations de protection des données que celles prévues au présent DPA. Le Sous-traitant reste pleinement responsable devant le Responsable de traitement de l’exécution des obligations de ses sous-traitants ultérieurs.

9. Droit d'audit

Le Sous-traitant met à disposition du Responsable de traitement les informations nécessaires pour démontrer le respect des obligations du présent DPA.

Le Responsable de traitement peut mener, ou faire mener par un auditeur tiers, des audits, y compris des inspections, sous réserve :

  • D’un préavis écrit d’au moins trente (30) jours
  • Que l’audit soit mené pendant les heures ouvrables normales
  • Que l’auditeur tiers soit soumis à des obligations de confidentialité appropriées
  • Que l’audit ne perturbe pas de manière déraisonnable les activités du Sous-traitant

Les frais de l’audit sont à la charge du Responsable de traitement, sauf si l’audit révèle un manquement substantiel du Sous-traitant à ses obligations.

Le Sous-traitant peut satisfaire aux demandes d’audit en fournissant des rapports de certification, d’audit ou d’évaluation existants pertinents d’un tiers indépendant.

10. Notification de violation de données

En cas de violation de données personnelles au sens de l’article 4(12) du RGPD, le Sous-traitant notifiera le Responsable de traitement dans les meilleurs délais et, dans la mesure du possible, dans un délai de quarante-huit (48) heures après en avoir pris connaissance.

Cette notification comprendra, dans la mesure du possible :

  • La nature de la violation, y compris les catégories et le nombre approximatif de personnes concernées et d’enregistrements de données concernés
  • Le nom et les coordonnées du point de contact
  • Les conséquences probables de la violation
  • Les mesures prises ou proposées pour remédier à la violation et atténuer ses effets

Le Sous-traitant documentera toute violation de données et coopérera avec le Responsable de traitement pour ses obligations de notification auprès de l’autorité de contrôle et des personnes concernées (articles 33 et 34 du RGPD).

11. Transferts internationaux

Certains sous-traitants ultérieurs sont situés en dehors de l’Espace économique européen (EEE), principalement aux États-Unis (voir article 8.2).

Ces transferts sont encadrés par :

  • Les Clauses Contractuelles Types (CCT) adoptées par la Commission européenne (Décision d’exécution 2021/914)
  • Et/ou le EU-US Data Privacy Framework, lorsque le sous-traitant ultérieur est certifié

Le Sous-traitant s’engage à évaluer régulièrement l’adéquation des garanties de transfert et à informer le Responsable de traitement de tout changement matériel affectant le niveau de protection.

12. Restitution et suppression des données

À la fin de la relation contractuelle, le Sous-traitant, au choix du Responsable de traitement :

  • Restitue l’ensemble des données personnelles et supprime les copies existantes ; ou
  • Supprime l’ensemble des données personnelles et certifie cette suppression.

La restitution peut être effectuée par le Responsable de traitement via la fonctionnalité d’export de données de la plateforme (Paramètres > Confidentialité > Exporter mes données).

En l’absence d’instruction du Responsable de traitement dans un délai de trente (30) jours suivant la fin du contrat, le Sous-traitant procédera à la suppression des données conformément aux durées de rétention en vigueur :

  • Documents finalisés : 5 ans après la création
  • Brouillons : 30 jours
  • Données de compte et profil : conservées pendant la durée de votre compte, puis supprimées immédiatement des systèmes actifs lors de la suppression du compte
  • Fichiers sources (enregistrements audio, photos téléversées) : supprimés automatiquement après la génération du document ; les prestataires d’IA ne conservent pas les données après traitement

Les copies de sauvegarde chiffrées expirent automatiquement dans un délai maximum de trente (30) jours suivant la suppression et ne sont pas utilisées pour restaurer des données supprimées, sauf en cas de restauration après sinistre, auquel cas les suppressions sont ré-appliquées.

Le Sous-traitant conserve les données de facturation pendant dix (10) ans conformément aux obligations légales luxembourgeoises. Ces données ne contiennent pas le contenu des états des lieux.

13. Responsabilité

Chaque Partie est responsable des dommages causés par un traitement non conforme au RGPD ou au présent DPA, conformément à l’article 82 du RGPD.

La responsabilité du Sous-traitant est limitée conformément aux Conditions générales d’utilisation d’Autlu.

14. Durée et résiliation

Le présent DPA entre en vigueur à la date de création du compte du Responsable de traitement sur la plateforme Autlu et reste en vigueur tant que le Sous-traitant traite des données personnelles pour le compte du Responsable de traitement.

Les obligations de confidentialité et de sécurité survivent à la résiliation du présent DPA.

15. Droit applicable et juridiction

Le présent DPA est régi par le droit luxembourgeois.

Tout litige relatif au présent DPA sera soumis aux tribunaux compétents du Luxembourg.

16. Contact

Pour toute question relative au présent DPA ou à la protection des données, contactez-nous par email à [email protected], ou par courrier à Autlu Sàrl, 6, rue principale, L-5240 Sandweiler, Luxembourg.