Accord de Traitement des Données
ACCORD DE TRAITEMENT DES DONNÉES (ATD)
Date : 23 novembre 2025
Version : 1.3
1. Définitions et Applicabilité
1.1. Cet Accord de Traitement des Données (ci-après : l'« ATD ») fait partie intégrante des Conditions Générales entre le Sous-traitant et la partie utilisant le service SaaS Snapsale (ci-après : le « Client » ou le « Responsable du Traitement »).
1.2. Le Client est la partie responsable du traitement licite des photos téléchargées. Le Sous-traitant est Westcube B.V., opérant sous le nom de Snapsale, situé Entrada 100, Amsterdam et enregistré à la Chambre de Commerce sous le numéro 75657457 (ci-après collectivement : le « Sous-traitant »).
1.3. En acceptant les Conditions Générales, le Client accepte explicitement et irrévocablement les dispositions de cet ATD, établissant ainsi légalement l'accord entre les Parties.
1.4. Les termes utilisés dans cet ATD ont la signification qui leur est attribuée dans le Règlement Général sur la Protection des Données (RGPD).
2. Nature, Finalité et Catégories de Traitement
| Sujet | Spécification |
|---|---|
| Objet du Traitement | Édition numérique de photos immobilières (intérieurs). |
| Durée du Traitement | Pour la durée de la licence SaaS (abonnement) du Client. |
| Nature du Traitement | Hébergement, stockage, mise en cache, édition technique (à l'aide de préréglages, styles et LLMs) et mise à disposition des photos éditées pour téléchargement. |
| Finalité du Traitement | Exclusivement fournir la fonctionnalité du service SaaS Snapsale au Client. |
| Catégories de Données Personnelles | Données relatives à l'Immobilier, y compris les photos d'intérieur, les métadonnées (p. ex., données de localisation lors du téléchargement). Aucune catégorie particulière de données personnelles n'est traitée. |
| Catégories de Personnes Concernées | Le Client, les employés du Client, et potentiellement les tiers dont les photos sont traitées (p. ex., propriétaires/résidents du bien photographié). |
3. Obligations du Sous-traitant (Westcube B.V. / Snapsale)
Le Sous-traitant ne traitera les données personnelles que selon les instructions écrites du Client, sauf si une disposition légale l'exige autrement.
3.1. Confidentialité
Le Sous-traitant et son personnel garderont confidentiels les photos téléchargées et les données personnelles qu'elles contiennent et ne les traiteront pas à des fins autres que l'exécution du Service.
3.2. Sécurité
Le Sous-traitant mettra en œuvre des mesures techniques et organisationnelles appropriées (MTOs) pour protéger les données personnelles contre la perte, le traitement illicite et l'accès non autorisé.
Ces mesures comprennent au minimum :
- Contrôles d'accès physiques et logiques
- Pseudonymisation et chiffrement le cas échéant
- Stockage sécurisé des données au sein de l'Espace Économique Européen (EEE)
Les mesures mises en œuvre comprennent dans tous les cas :
- Chiffrement des données en transit (TLS 1.2+) et si possible au repos
- Authentification multifacteur pour l'accès aux systèmes de production
- Contrôles d'accès stricts basés sur les rôles (RBAC)
- Journalisation et surveillance des tentatives d'accès
- Mises à jour de sécurité périodiques et analyses de vulnérabilités
- Séparation entre les environnements de développement, de test et de production
- Politique de sauvegarde avec stockage chiffré au sein de l'EEE
3.3. Suppression et Durée de Conservation (Instruction)
Le Sous-traitant garantit que :
- Les photos téléchargées et les résultats édités sont conservés pendant un maximum de 7 jours après le téléchargement ou l'édition.
- Après cette période, les photos sont automatiquement et définitivement supprimées.
- Les copies de sauvegarde sont supprimées dès que le calendrier de sauvegarde les écrase.
- Les fichiers journaux contenant des données personnelles sont supprimés au plus tard après 90 jours, sauf si une conservation plus longue est nécessaire pour une enquête de sécurité.
3.4. Violations de Données
Le Sous-traitant informera le Client sans délai après la découverte d'une violation de données (suspectée). Le Client est responsable des notifications à l'Autorité de Protection des Données et aux Personnes Concernées.
3.5. Assistance
Le Sous-traitant fournit — dans la mesure du raisonnablement possible et moyennant des frais conformes au marché — une assistance au Client pour remplir ses obligations RGPD.
3.6. Audit et Obligation d'Information
Sur demande, le Sous-traitant fournira toutes les informations pour démontrer la conformité au RGPD.
Le Client peut effectuer (ou faire effectuer) un audit maximum une fois par an avec un préavis de 14 jours, à condition que cela ne perturbe pas déraisonnablement les opérations commerciales.
Les coûts sont à la charge du Client, sauf si des manquements importants sont identifiés.
3.7. Assistance pour les AIPD
Le Sous-traitant soutient le Client dans la mesure du raisonnablement possible pour les Analyses d'Impact relatives à la Protection des Données (AIPD) et les consultations préalables, dans la mesure où celles-ci concernent le Service et ses activités de traitement.
4. Sous-traitants Ultérieurs
4.1. Autorisation Générale
Le Client accorde une autorisation générale pour l'engagement de Sous-traitants Ultérieurs (tels que l'hébergement et les modèles LLM).
4.2. Sous-traitants Ultérieurs
Le Sous-traitant conclut des accords écrits avec tous les Sous-traitants Ultérieurs avec au moins les mêmes obligations que cet ATD.
4.3. Finalités d'Entraînement
Le Sous-traitant garantit que les modèles LLM et autres outils n'utilisent pas les photos à des fins d'entraînement ou pour leurs propres besoins.
4.4. Notification des Modifications Prévues
Le Client est informé des modifications concernant les Sous-traitants Ultérieurs et peut s'y opposer si la modification est déraisonnablement contraignante.
4.5. Transferts Internationaux
Les données personnelles ne sont traitées en dehors de l'EEE que si des garanties appropriées sont appliquées conformément aux articles 44–49 du RGPD (telles que les CCT).
Le Sous-traitant informe le Client à l'avance de tout transfert en dehors de l'EEE.
5. Obligations du Responsable du Traitement (Client)
5.1. Le Client assume la responsabilité ultime du traitement licite des données personnelles.
5.2. Le Client garantit que les photos et la manière d'utilisation sont conformes au RGPD et à la législation applicable.
5.3. Le Client est responsable de l'information des Personnes Concernées.
6. Dispositions Finales
6.1. Le droit néerlandais s'applique.
6.2. L'acceptation des Conditions Générales de Snapsale signifie l'acceptation de cet ATD.
6.3. Préséance
En cas de conflit entre cet ATD et les Conditions Générales, cet ATD prévaut pour les questions de confidentialité et de traitement des données.
Dernière mise à jour : 01-01-2025