← Politique de Confidentialité

Accord de Traitement des Données

Data Processing Agreement (DPA) — Article 28 RGPD

Dernière mise à jour : 13 juin 2026

Le présent accord complète les CGU et les CGV et s'applique dès lors que l'Utilisateur professionnel traite, via Bernie, des données personnelles de tiers (clients, propriétaires d'animaux, etc.). Il peut être personnalisé et signé sur demande à jeremy@bernie.pet.

1. Parties et rôles

Le présent Accord de Traitement des Données (ci-après l'« Accord ») est conclu entre :

  • Le Responsable de traitement : l'Utilisateur professionnel (pension canine, pet-sitter, hôtel pour animaux, etc.) qui souscrit au Service Bernie et détermine les finalités et les moyens du traitement des données personnelles de ses clients finaux (ci-après le « Responsable »).
  • Le Sous-traitant : Marine Tchaban, Entrepreneur Individuel, éditrice du service Bernie, SIRET 921 166 310 00026, dont le siège social est situé au 6 rue de la Fontaine Saint-Martin, 95240 Cormeilles-en-Parisis (ci-après « Bernie » ou le « Sous-traitant »).

Conformément à l'article 28 du Règlement (UE) 2016/679 (ci-après le « RGPD »), Bernie traite des données personnelles uniquement pour le compte du Responsable, dans les limites définies par le présent Accord.

2. Objet et durée

Le présent Accord a pour objet de définir les conditions dans lesquelles Bernie traite, en qualité de sous-traitant, les données personnelles confiées par le Responsable dans le cadre de l'utilisation du Service Bernie (gestion des réservations, fiches animaux, portail client, documents de séjour, messagerie, journal de séjour).

L'Accord entre en vigueur à compter de la création du Compte Bernie et demeure en vigueur pendant toute la durée de l'abonnement, puis jusqu'à l'expiration du délai de conservation prévu à l'article 9.

3. Données traitées

3.1 Catégories de personnes concernées

  • Clients finaux du Responsable (propriétaires d'animaux de compagnie)
  • Contacts d'urgence des clients
  • Vétérinaires référencés par les clients

3.2 Catégories de données

  • Données d'identité : nom, prénom
  • Données de contact : adresse email, numéro de téléphone, adresse postale
  • Données relatives aux animaux : nom, race, date de naissance, poids, sexe, état de santé, antécédents médicaux, vaccinations, numéro d'identification (puce / tatouage), photos
  • Données de réservation : dates de séjour, tarifs, statut de la réservation, notes de séjour
  • Documents : contrats signés, certificats vétérinaires, journaux de séjour (texte et photos)
  • Communications : messages échangés via le portail client

3.3 Finalités du traitement

  • Gestion des réservations et du planning de la pension
  • Suivi des séjours et communication avec les clients
  • Génération et conservation des documents contractuels
  • Envoi de notifications par email aux clients (statut de réservation, journal de séjour, etc.)
  • Fourniture du portail client permettant aux propriétaires d'animaux de suivre le séjour

4. Obligations du Sous-traitant

Bernie s'engage à :

  • Traiter sur instruction documentée : traiter les données personnelles uniquement pour les finalités décrites à l'article 3.3 et selon les instructions du Responsable, matérialisées par la configuration du Service. Toute instruction allant au-delà du périmètre du Service fera l'objet d'un accord écrit préalable.
  • Confidentialité : veiller à ce que les personnes autorisées à traiter les données soient soumises à une obligation de confidentialité appropriée. Bernie ne communique les données à aucun tiers non autorisé.
  • Sécurité : mettre en œuvre les mesures techniques et organisationnelles décrites à l'Annexe A afin de garantir un niveau de sécurité adapté au risque.
  • Sous-traitants ultérieurs : n'avoir recours à des sous-traitants ultérieurs qu'avec l'accord général préalable du Responsable, matérialisé par l'acceptation du présent Accord. La liste des sous-traitants ultérieurs figure à l'Annexe B. Tout changement est notifié avec un préavis de trente (30) jours.
  • Assistance droits des personnes : aider le Responsable, dans la mesure du possible et compte tenu de la nature du traitement, à donner suite aux demandes d'exercice de droits des personnes concernées (accès, rectification, effacement, portabilité, opposition, limitation) dans un délai raisonnable.
  • Assistance sécurité et violations : notifier le Responsable sans délai injustifié (et au plus tard dans les 72 heures suivant sa prise de connaissance) de toute violation de données personnelles susceptible d'engendrer un risque pour les droits et libertés des personnes concernées, avec toutes les informations nécessaires à la notification à la CNIL.
  • Audit : mettre à la disposition du Responsable toutes les informations nécessaires pour démontrer le respect des obligations du présent Accord et permettre la réalisation d'audits, sous réserve d'un préavis de trente (30) jours et de la signature d'un accord de confidentialité.
  • Traitement hors instruction : informer immédiatement le Responsable si Bernie estime qu'une instruction constitue une violation du RGPD ou de toute autre disposition légale applicable.

5. Obligations du Responsable

Le Responsable s'engage à :

  • disposer d'une base légale valide pour l'ensemble des traitements confiés à Bernie (consentement, exécution d'un contrat, intérêt légitime, etc.) et avoir informé les personnes concernées conformément aux articles 13 et 14 du RGPD ;
  • ne confier à Bernie que des données strictement nécessaires aux finalités décrites, et n'utiliser le Service qu'à des fins légales et conformes à la réglementation en vigueur ;
  • répondre aux demandes d'exercice de droits des personnes concernées et informer Bernie de toute demande ou réclamation ayant une incidence sur les traitements confiés ;
  • informer Bernie sans délai de toute modification des instructions relative aux traitements.

6. Transferts hors Union européenne

Les données opérationnelles sont hébergées par Supabase sur des serveurs situés en Allemagne (Union européenne) et ne font l'objet d'aucun transfert hors UE à ce titre.

Certains sous-traitants ultérieurs peuvent traiter des données hors UE (Vercel, Resend — voir Annexe B). Ces transferts sont encadrés par les Clauses Contractuelles Types(CCT) adoptées par la Commission européenne (décision du 4 juin 2021), constituant une garantie appropriée au sens de l'article 46 du RGPD.

Bernie veille à ce que tout nouveau sous-traitant hors UE présente des garanties équivalentes avant tout transfert.

7. Durée de conservation et sort des données

À l'expiration de l'abonnement ou sur instruction du Responsable, Bernie procède, dans un délai de trente (30) jours, à la suppression de l'ensemble des données personnelles confiées par le Responsable, sous réserve des durées de conservation légalement imposées (notamment dix ans pour les données comptables et contractuelles).

À la demande du Responsable formulée avant l'expiration de ce délai, Bernie peut fournir un export des données dans un format structuré et lisible par machine (JSON/CSV).

8. Responsabilité

Chaque partie est responsable du respect de ses propres obligations au titre du RGPD. En cas de manquement du Sous-traitant à ses obligations spécifiques, sa responsabilité est engagée dans les limites prévues aux CGU et CGV. Le Responsable demeure seul responsable vis-à-vis des personnes concernées et des autorités de contrôle pour les traitements dont il détermine les finalités et les moyens.

9. Modification et droit applicable

Le présent Accord peut être modifié par Bernie avec un préavis de trente (30) jours notifié par email. Le Responsable qui n'accepte pas les modifications peut résilier son abonnement avant leur entrée en vigueur.

Le présent Accord est soumis au droit français. Tout litige relatif à son interprétation ou son exécution sera soumis aux tribunaux compétents du ressort de Pontoise (95).

Annexe A — Mesures de sécurité techniques et organisationnelles

Bernie met en œuvre les mesures suivantes, conformément à l'article 32 du RGPD :

Contrôle des accès

  • Authentification par email/mot de passe chiffré (bcrypt via Supabase Auth)
  • Isolation des données par tenant (Row Level Security — RLS — au niveau de la base de données)
  • Rôles distincts par profil (pension_admin, client, master_admin) avec périmètre d'accès restreint
  • Sessions authentifiées avec token JWT à durée limitée

Chiffrement et transport

  • Toutes les communications client-serveur chiffrées via HTTPS/TLS 1.2+
  • Données au repos chiffrées par Supabase (AES-256) sur les serveurs de stockage
  • Mots de passe hachés, jamais stockés en clair

Disponibilité et continuité

  • Sauvegardes automatiques quotidiennes de la base de données (Supabase)
  • Infrastructure hébergée sur des fournisseurs avec certifications ISO 27001 / SOC 2
  • Surveillance des erreurs applicatives en production

Organisation et gouvernance

  • Accès aux données de production restreint aux personnes strictement habilitées
  • Aucune donnée client utilisée à des fins de test ou de développement
  • Notification de violation dans les 72 heures conformément à l'art. 33 RGPD

Annexe B — Liste des sous-traitants ultérieurs

Dernière mise à jour : 13 juin 2026. Tout ajout ou remplacement est notifié avec un préavis de 30 jours.

Sous-traitantPaysFinalitéGarantie transfert
Supabase Inc.Allemagne (UE)Base de données, stockage fichiers, authentificationHébergement UE — pas de transfert hors UE
Vercel Inc.États-UnisHébergement de l'application web (Next.js)Clauses Contractuelles Types (CCT)
Resend Inc.États-UnisEnvoi d'emails transactionnelsClauses Contractuelles Types (CCT)