Accord de Traitement des Données (DPA)

Dernière mise à jour : Janvier 2026

Préambule

Le présent Accord de traitement des données (« DPA ») fait partie intégrante du contrat conclu entre :

  • Le Responsable du traitement : le Client professionnel souscrivant aux services SEIDO (le « Responsable du traitement » ou « Client ») ;

et

  • Le Sous-traitant : UMUMENTUM SRL, Rue de Grand-Bigard 14, 1082 Berchem-Sainte-Agathe, Belgique — BCE 0775.691.974 — TVA BE0775691974, éditrice de la plateforme SEIDO (le « Sous-traitant » ou « SEIDO »).

Ci-après ensemble les « Parties ».

Le présent DPA encadre le traitement, par SEIDO en qualité de sous-traitant, des données personnelles dont le Client est responsable de traitement, dans le cadre de l'utilisation de la Plateforme. Il complète les CGU, les CGV et la Politique de Confidentialité.

Hiérarchie des documents contractuels. En cas de contradiction, les documents s'appliquent dans l'ordre de priorité décroissant suivant : (1) les Conditions Particulières / bon de commande signé (le cas échéant) ; (2) le présent DPA, pour tout ce qui concerne les données à caractère personnel ; (3) les CGV, pour le volet commercial ; (4) les CGU, pour le volet usage ; (5) les politiques (Confidentialité, Cookies). Le présent DPA prévaut ainsi sur les autres documents pour toute question relative au traitement des données à caractère personnel.

Article 1 — Définitions

Les termes « données à caractère personnel », « traitement », « responsable du traitement », « sous-traitant », « personne concernée », « violation de données » ont le sens que leur donne l'article 4 du RGPD. « RGPD » désigne le Règlement (UE) 2016/679.

Article 2 — Objet, durée, nature et finalité du traitement

  • Objet et nature : hébergement et traitement de données à caractère personnel nécessaires à la fourniture des services de gestion locative et d'orchestration des interventions de la Plateforme.
  • Finalité : permettre au Client de gérer son patrimoine, ses locataires, ses prestataires, ses contrats, ses loyers, ses interventions et les communications associées via la Plateforme.
  • Durée : le traitement dure aussi longtemps que le contrat de service, puis pendant les périodes de conservation prévues à l'article 9.

Le détail (catégories de données, catégories de personnes concernées) figure en Annexe 1.

Article 3 — Instructions documentées

SEIDO traite les données à caractère personnel uniquement sur la base d'instructions documentées du Client, y compris pour les transferts hors EEE, sauf obligation légale contraire — auquel cas SEIDO en informe le Client avant le traitement, sauf interdiction légale.

Les présentes, le contrat et l'utilisation des fonctionnalités de la Plateforme par le Client constituent les instructions documentées initiales. SEIDO informe le Client si, à son avis, une instruction constitue une violation du RGPD ou d'une autre disposition applicable en matière de protection des données.

Article 4 — Confidentialité

SEIDO veille à ce que les personnes autorisées à traiter les données à caractère personnel s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité, et reçoivent la formation nécessaire en matière de protection des données.

Article 5 — Sécurité du traitement (art. 32 RGPD)

SEIDO met en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque. Ces mesures sont détaillées en Annexe 3.

Article 6 — Sous-traitants ultérieurs

Le Client autorise SEIDO à faire appel à des sous-traitants ultérieurs pour l'exécution des services. La liste des sous-traitants ultérieurs autorisés figure en Annexe 2.

SEIDO impose à chaque sous-traitant ultérieur, par contrat, des obligations de protection des données équivalentes à celles du présent DPA, et demeure pleinement responsable envers le Client de l'exécution par ces sous-traitants de leurs obligations.

SEIDO informe le Client de tout changement prévu concernant l'ajout ou le remplacement de sous-traitants ultérieurs au moins trente (30) jours à l'avance, donnant ainsi au Client la possibilité d'émettre des objections motivées. En cas d'objection motivée, les Parties recherchent de bonne foi une solution alternative raisonnable ; à défaut, le Client peut résilier le service concerné, sans pénalité, pour la partie affectée par le changement.

Article 7 — Assistance au Responsable du traitement

Compte tenu de la nature du traitement, SEIDO aide le Client, par des mesures techniques et organisationnelles appropriées, dans la mesure du possible, à :

  • répondre aux demandes d'exercice des droits des personnes concernées (art. 12 à 23 RGPD), notamment via les fonctionnalités d'export et de suppression de la Plateforme ;
  • assurer le respect des obligations de sécurité (art. 32), de notification des violations (art. 33-34), d'analyse d'impact relative à la protection des données / AIPD (art. 35) et de consultation préalable (art. 36).

Article 8 — Notification des violations de données

SEIDO notifie au Client toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance, et au plus tard quarante-huit (48) heures après en avoir pris connaissance, en fournissant les informations raisonnablement disponibles (art. 33.3 RGPD : nature de la violation, catégories et nombre approximatif de personnes et d'enregistrements concernés, conséquences probables, mesures prises) pour permettre au Client de satisfaire à ses propres obligations de notification (art. 33-34 RGPD).

Article 9 — Sort des données en fin de traitement

Au choix du Client et à l'expiration ou la résiliation du contrat, SEIDO supprime ou restitue toutes les données à caractère personnel et détruit les copies existantes, sauf obligation légale de conservation. La restitution s'effectue dans un format structuré, couramment utilisé et lisible par machine, dans un délai de trente (30) jours suivant la fin du contrat ; la suppression des données des systèmes actifs intervient à l'issue de ce délai, et la purge des sauvegardes chiffrées dans un délai maximal de quatre-vingt-dix (90) jours (cycle de rotation des sauvegardes).

Article 10 — Audits

SEIDO met à la disposition du Client toutes les informations nécessaires pour démontrer le respect des obligations de l'article 28 RGPD et permet la réalisation d'audits, y compris des inspections, par le Client ou un auditeur mandaté, dans les conditions suivantes : moyennant un préavis raisonnable (au moins 30 jours), au maximum une fois par an (sauf incident de sécurité avéré ou demande d'une autorité), pendant les heures ouvrables, sans perturber les opérations de SEIDO et dans le respect de la confidentialité. SEIDO peut satisfaire à cette obligation en fournissant un rapport de certification ou d'audit indépendant récent (par ex. ISO 27001 / SOC 2) en lieu et place d'un audit sur site. Les coûts d'un audit sur site demandé par le Client sont à sa charge, sauf manquement avéré de SEIDO.

Article 11 — Transferts hors Union européenne

Tout transfert de données à caractère personnel vers un pays tiers est effectué dans le respect du chapitre V du RGPD, sur la base d'une décision d'adéquation ou de garanties appropriées (notamment les clauses contractuelles types de la Commission européenne), assorties le cas échéant de mesures supplémentaires.

Les transferts en cours sont identifiés en Annexe 2 (colonne « localisation / base de transfert »).

Article 12 — Responsabilité et droit applicable

La responsabilité des Parties au titre du présent DPA est régie par les CGU/CGV et le contrat. Le présent DPA est soumis au droit belge ; tout litige relève des tribunaux de l'arrondissement de Bruxelles.

Annexe 1 — Description du traitement

Catégories de personnes concernées

  • Locataires et occupants des biens gérés par le Client ;
  • Propriétaires (bailleurs) ;
  • Fournisseurs de service / prestataires ;
  • Collaborateurs et utilisateurs du compte du Client (gestionnaires).

Catégories de données à caractère personnel

  • Données d'identification (nom, prénom, adresse, téléphone, e-mail) ;
  • Données de communication (messages, photos, documents échangés) ;
  • Données d'intervention (rapports, évaluations, historique des actions) ;
  • Données de géolocalisation (lorsque nécessaires aux interventions) ;
  • Données contractuelles et locatives (baux, loyers, états des lieux) ;
  • Données financières et de transaction (montants, références de paiement, données bancaires liées au rapprochement des loyers).

Catégories particulières de données (art. 9 RGPD)

Le service n'est pas destiné au traitement de catégories particulières de données. Le Client (Responsable du traitement) s'engage à ne pas téléverser ni saisir, via la Plateforme, de données relevant de l'article 9 RGPD (notamment des données de santé) au-delà de ce qui est strictement nécessaire, et demeure seul responsable de l'identification de la base juridique appropriée (art. 9.2 RGPD) le cas échéant. SEIDO ne traite ces données, si elles transparaissent (ex. dans une demande d'intervention), que sur instruction documentée du Client et dans le cadre de l'hébergement.

Opérations de traitement

Collecte, enregistrement, organisation, structuration, conservation, consultation, utilisation, communication, hébergement, effacement.

Annexe 2 — Liste des sous-traitants ultérieurs

Supabase, Inc. (région UE)

  • Finalité : BDD, authentification, stockage de fichiers
  • Pays : Union européenne
  • Base de transfert (chap. V RGPD) : Intra-EEE — pas de transfert

Vercel Inc.

  • Finalité : Hébergement applicatif, fonctions serveur
  • Pays : États-Unis
  • Base de transfert (chap. V RGPD) : EU-US Data Privacy Framework (entité certifiée — à confirmer)

Cloudflare, Inc.

  • Finalité : CDN, sécurité, pare-feu + sauvegardes chiffrées (R2)
  • Pays : États-Unis / réseau mondial
  • Base de transfert (chap. V RGPD) : EU-US DPF (entité certifiée — à confirmer)

Stripe Payments Europe, Ltd.

  • Finalité : Paiement, facturation (carte, Bancontact, SEPA)
  • Pays : Irlande
  • Base de transfert (chap. V RGPD) : Intra-EEE (flux éventuels vers Stripe, Inc. (US) : EU-US DPF)

GoCardless SAS (responsable distinct — hors art. 28, pour information)

  • Finalité : Agrégation bancaire (AISP régulé DSP2)
  • Pays : France
  • Base de transfert (chap. V RGPD) : Intra-EEE — pas de transfert

Resend, Inc.

  • Finalité : Envoi d'e-mails transactionnels
  • Pays : États-Unis
  • Base de transfert (chap. V RGPD) : EU-US DPF (entité certifiée — à confirmer)

Yousign SAS

  • Finalité : Signature électronique des contrats
  • Pays : France
  • Base de transfert (chap. V RGPD) : Intra-EEE — pas de transfert

Twilio Inc.

  • Finalité : Communications SMS / téléphonie / WhatsApp
  • Pays : États-Unis
  • Base de transfert (chap. V RGPD) : EU-US DPF (entité certifiée — à confirmer)

ElevenLabs, Inc.

  • Finalité : Assistant téléphonique vocal (voix de synthèse)
  • Pays : États-Unis
  • Base de transfert (chap. V RGPD) : EU-US DPF (entité certifiée — à confirmer)

Anthropic, PBC

  • Finalité : Assistance par IA (modèles Claude)
  • Pays : États-Unis
  • Base de transfert (chap. V RGPD) : CCT (art. 46.2.c) + TIA — Anthropic n'est PAS certifié EU-US DPF (transfert sur clauses contractuelles types, modules 2/3)

Google Ireland Ltd / Google LLC

  • Finalité : Mesure d'audience (Google Analytics)
  • Pays : Irlande / États-Unis
  • Base de transfert (chap. V RGPD) : EU-US DPF (Google LLC certifié)

Microsoft Corporation

  • Finalité : Mesure d'audience (Microsoft Clarity)
  • Pays : États-Unis
  • Base de transfert (chap. V RGPD) : EU-US DPF (périmètre Clarity à confirmer)

PostHog, Inc.

  • Finalité : Analyse produit
  • Pays : États-Unis
  • Base de transfert (chap. V RGPD) : EU-US DPF

Functional Software, Inc. (Sentry)

  • Finalité : Surveillance des erreurs / supervision technique
  • Pays : États-Unis
  • Base de transfert (chap. V RGPD) : EU-US DPF (à confirmer)

Annexe 3 — Mesures techniques et organisationnelles de sécurité (art. 32 RGPD)

Confidentialité et contrôle d'accès

  • Chiffrement des communications en transit (TLS/SSL) ;
  • Contrôle d'accès basé sur les rôles (RBAC) et cloisonnement des données par organisation/équipe (politiques de sécurité au niveau des lignes en base de données) ;
  • Authentification des utilisateurs (gérée par le fournisseur d'authentification, Supabase Auth) ; authentification à deux facteurs (MFA) en cours de déploiement ;
  • Engagements de confidentialité du personnel.

Intégrité et disponibilité

  • Sauvegardes chiffrées quotidiennes sur infrastructure externe ;
  • Pare-feu et protection contre les bots/abus ;
  • Journalisation et traçabilité des accès et opérations sensibles ;
  • Plan de continuité / reprise d'activité et objectifs RPO/RTO : [à compléter].

Chiffrement au repos

  • Chiffrement des données au repos de la base de données (PostgreSQL géré) et du stockage d'objets (fichiers, sauvegardes chiffrées), assuré par les infrastructures hébergeur (Supabase / Cloudflare R2).

Gestion des incidents

  • Procédure de détection, qualification et notification des violations de données (article 8).

Mesures organisationnelles

  • Sensibilisation et formation du personnel à la protection des données ;
  • Encadrement contractuel des sous-traitants ultérieurs ;
  • Revue périodique des mesures de sécurité.

UMUMENTUM SRL - SEIDO

Rue de Grand-Bigard 14, 1082 Berchem-Sainte-Agathe, Belgique

BCE : 0775.691.974 | TVA : BE0775691974