Data Processing Agreement (DPA)
Annexe RGPD art. 28 aux CGV ResaByBicabi v1.0
Date d'entrée en vigueur : 22/04/2026 Version : 1.0 Document contractuel annexé aux CGV ResaByBicabi
Préambule
Le présent Accord de Traitement des Données Personnelles (ci-après « DPA ») est conclu entre :
- Le Client (ci-après « le Responsable de Traitement » ou « RT ») : le Transporteur professionnel ayant souscrit aux Services de la Plateforme ResaByBicabi, tel qu'identifié dans les CGV ;
et
- SAS BICABI (ci-après « le Sous-Traitant » ou « ST »), société par actions simplifiée au capital de 5 000 €, SIREN 883 359 697, dont le siège social est situé 11 rue Marie Curie, 33320 Eysines, représentée par son Président.
Ensemble dénommées « les Parties ».
Le présent DPA constitue l'annexe contractuelle obligatoire imposée par l'article 28 du Règlement (UE) 2016/679 (ci-après « RGPD ») encadrant les traitements de données personnelles effectués par le Sous-Traitant pour le compte du Responsable de Traitement dans le cadre de l'exécution des CGV.
Le présent DPA entre en vigueur automatiquement dès l'acceptation des CGV et le demeure pendant toute la durée de la relation contractuelle. Il constitue un document contractuel à part entière et prévaut sur les CGV en cas de contradiction sur les aspects relatifs à la protection des données personnelles.
Article 1 — Définitions
Les termes suivants ont, dans le présent DPA, le sens que leur donne l'article 4 du RGPD :
- Donnée à caractère personnel : toute information se rapportant à une personne physique identifiée ou identifiable (ci-après « Personne Concernée »).
- Traitement : toute opération ou ensemble d'opérations effectuées sur des Données Personnelles.
- Responsable du Traitement (RT) : la personne qui détermine les finalités et les moyens du traitement — en l'espèce, le Transporteur.
- Sous-Traitant (ST) : la personne qui traite les Données Personnelles pour le compte du RT — en l'espèce, SAS BICABI.
- Sous-traitant ultérieur : tiers auquel le Sous-Traitant confie une partie du Traitement (liste en Annexe 3).
- Violation de Données Personnelles : violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès à des Données Personnelles.
- Personne Concernée : personne physique dont les Données Personnelles sont traitées (Passager, Invité, Chauffeur, Partenaire, etc.).
- Plateforme : l'ensemble des services numériques fournis par BICABI sous la marque ResaByBicabi (site web, application mobile iOS/Android, API).
Article 2 — Objet
Le présent DPA a pour objet de définir les conditions dans lesquelles le Sous-Traitant s'engage à effectuer, pour le compte du Responsable de Traitement, les opérations de traitement de Données Personnelles décrites en Annexe 1.
Il vise à garantir que le Traitement est effectué dans le respect du RGPD, de la Loi Informatique et Libertés (Loi 78-17 modifiée) et de toute autre réglementation applicable à la protection des Données Personnelles.
Article 3 — Rôles et qualifications
3.1 Le Client est Responsable de Traitement pour les Données Personnelles qu'il collecte et traite via la Plateforme, notamment celles des Passagers, Invités, Partenaires et Chauffeurs de son tenant. À ce titre, il est seul responsable du respect des obligations de licéité, loyauté, transparence, minimisation et limitation des finalités prévues à l'article 5 du RGPD.
3.2 BICABI est Sous-Traitant pour ces mêmes données. Il agit exclusivement sur instruction documentée du Responsable de Traitement, matérialisée par les fonctionnalités de la Plateforme et par le présent DPA.
3.3 BICABI est Responsable de Traitement pour certaines catégories spécifiques de données qui lui sont propres (authentification des Utilisateurs Transporteurs, logs techniques, facturation de l'abonnement, sécurité et prévention de fraude). Ces traitements, régis par la Politique de Confidentialité de la Plateforme, ne relèvent pas du présent DPA.
3.4 Absence de co-responsabilité entre les Parties : Les Parties excluent expressément toute qualification de co-responsables de traitement au sens de l'article 26 du RGPD dans le cadre de la relation bilatérale BICABI ↔ Responsable de Traitement. Chacune assume ses obligations respectives selon les rôles ci-dessus définis. Cette exclusion ne concerne pas la configuration particulière de la marketplace inter-professionnelle décrite à l'article 3.5, qui fait l'objet de stipulations spécifiques sans créer de co-responsabilité entre deux Transporteurs.
3.5 Sous-traitance simultanée dans le cadre de la marketplace inter-professionnelle
Lorsque deux Transporteurs — l'un émetteur d'une course, l'autre récepteur de la course sous-traitée — utilisent simultanément la fonctionnalité de marketplace inter-professionnelle, BICABI agit en qualité de sous-traitant simultané des deux Transporteurs pour l'ensemble des opérations de transmission des données opérationnelles strictement nécessaires à l'exécution de la course (statut opérationnel du chauffeur, position GPS en temps réel, nom du chauffeur, numéro de téléphone, informations du véhicule).
Cette sous-traitance simultanée est strictement encadrée :
a) Activation : L'accès à la marketplace est soumis à un opt-in explicite de chaque Transporteur participant. Cet opt-in vaut consentement à la configuration de sous-traitance simultanée décrite au présent article. Un Transporteur peut à tout moment révoquer son opt-in, ce qui empêche toute nouvelle course sous-traitée sans affecter les courses en cours.
b) Durée : La sous-traitance simultanée est strictement limitée à la durée d'exécution effective d'une course sous-traitée, depuis l'acceptation par le Transporteur Récepteur jusqu'à la clôture de la course (dépose confirmée, annulation, ou classement sans suite). En dehors de cette période, BICABI retrouve sa qualité de sous-traitant unique de chaque Transporteur vis-à-vis des données propres à chacun.
c) Instructions convergentes : Lorsque les instructions des deux Transporteurs sont convergentes (ce qui est le principe en marketplace), BICABI exécute ces instructions sans difficulté. En cas de divergence d'instructions :
- les données provenant du Transporteur Émetteur (identité du Client final, adresses, préférences de service) suivent les instructions du Transporteur Émetteur (RT d'origine de la donnée) ;
- les données provenant du Transporteur Récepteur (chauffeur, véhicule, position GPS) suivent les instructions du Transporteur Récepteur (RT d'origine de la donnée) ;
- en cas de conflit résiduel, BICABI applique le principe de minimisation et sursoit à toute action non consensuelle jusqu'à clarification documentée par les deux Parties ; le cas est porté à la connaissance du DPO (dpo@bicabi.fr).
d) Absence de co-responsabilité entre les deux Transporteurs : Les deux Transporteurs demeurent responsables de traitement indépendants pour leurs données propres. La marketplace ne crée pas de co-responsabilité au sens de l'article 26 RGPD entre eux. Chaque Transporteur est seul garant, vis-à-vis des personnes concernées dont il est RT, des obligations d'information, de base juridique, de gestion des droits, et de notification de violation.
e) Journalisation : Chaque échange est consigné dans un registre d'audit inter-tenants (voir Annexe 2, §A2.6) accessible aux deux Transporteurs pour les courses où ils sont parties.
f) Purge des données de géolocalisation : Les coordonnées GPS transmises au Transporteur Émetteur sont purgées dès la dépose confirmée ou l'annulation de la course. Aucune conservation post-course n'est autorisée.
g) Violation de données en marketplace : En cas de violation affectant des données partagées dans le cadre d'une course marketplace, BICABI notifie les deux Transporteurs simultanément selon les modalités de l'article 5, et assiste chacun d'eux dans ses obligations vis-à-vis de ses personnes concernées.
Article 4 — Obligations du Sous-Traitant (art. 28.3 RGPD)
4.1 (a) Traitement sur instruction documentée
Le Sous-Traitant traite les Données Personnelles uniquement sur instruction documentée du Responsable de Traitement. Ces instructions sont constituées par :
- les fonctionnalités de la Plateforme activées par le Responsable de Traitement,
- les paramètres de configuration de son tenant,
- les CGV et le présent DPA,
- toute instruction complémentaire transmise par écrit à dpo@bicabi.fr.
Si le Sous-Traitant estime qu'une instruction constitue une violation du RGPD ou de toute autre disposition applicable, il en informe immédiatement le Responsable de Traitement par écrit et peut refuser d'exécuter l'instruction.
Tout transfert de Données Personnelles hors Union Européenne n'est effectué que dans les cadres prévus en Annexe 3 (sous-traitants ultérieurs avec Clauses Contractuelles Types 2021/914) ou sur instruction expresse documentée du Responsable de Traitement.
4.2 (b) Confidentialité du personnel
Le Sous-Traitant veille à ce que les personnes autorisées à traiter les Données Personnelles :
- s'engagent contractuellement à respecter la confidentialité (clauses de confidentialité dans les contrats de travail et contrats de prestation) ;
- soient soumises à une obligation légale appropriée de confidentialité ;
- reçoivent la formation nécessaire à la protection des Données Personnelles (formation RGPD initiale puis annuelle) ;
- n'aient accès qu'aux Données Personnelles strictement nécessaires à l'exercice de leurs missions (principe du moindre privilège).
4.3 (c) Sécurité du traitement
Le Sous-Traitant met en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, conformément à l'article 32 du RGPD. Ces mesures sont détaillées en Annexe 2.
4.4 (d) Sous-traitance ultérieure
Le Sous-Traitant est autorisé à recourir à des Sous-traitants ultérieurs aux conditions suivantes :
a) La liste des Sous-traitants ultérieurs autorisés au jour de la signature est fournie en Annexe 3. Cette liste vaut autorisation générale préalable du Responsable de Traitement.
b) Ajout ou remplacement d'un Sous-traitant ultérieur : le Sous-Traitant informe le Responsable de Traitement de tout projet d'ajout ou de remplacement avec un préavis minimum de 30 jours calendaires (par email à l'adresse de contact du tenant et publication sur la Plateforme). Le Responsable de Traitement dispose de ce délai pour formuler une objection motivée. En cas d'objection légitime et non résolue, le Responsable de Traitement peut résilier le contrat sans pénalité.
c) Le Sous-Traitant impose à chaque Sous-traitant ultérieur les mêmes obligations de protection des données que celles du présent DPA, notamment par la conclusion d'un Data Processing Agreement spécifique ou l'adhésion à des Clauses Contractuelles Types (CCT 2021/914) pour les transferts hors UE.
d) Le Sous-Traitant demeure pleinement responsable devant le Responsable de Traitement de l'exécution de ses obligations par le Sous-traitant ultérieur.
4.5 (e) Assistance aux demandes des Personnes Concernées
Le Sous-Traitant met à disposition du Responsable de Traitement, dans la mesure du possible, les moyens techniques et organisationnels pour répondre aux demandes d'exercice des droits des Personnes Concernées (articles 15 à 22 RGPD) :
- droit d'accès, de rectification, d'effacement, de limitation, de portabilité, d'opposition ;
- droit relatif aux décisions automatisées.
Lorsqu'une Personne Concernée adresse directement une demande au Sous-Traitant, celui-ci la transmet sans délai au Responsable de Traitement et ne répond qu'avec son accord, sauf obligation légale contraire.
Les fonctionnalités d'export, de rectification et de suppression des Données Personnelles sont intégrées à la Plateforme (tableau de bord, API, support).
4.6 (f) Assistance aux obligations du RT
Le Sous-Traitant aide le Responsable de Traitement à garantir le respect de ses obligations, notamment :
- Sécurité du traitement (art. 32) : documentation des mesures en Annexe 2, audits réguliers ;
- Notification de violation à l'autorité de contrôle (art. 33) : information dans les délais prévus à l'article 5 du présent DPA ;
- Communication de violation aux Personnes Concernées (art. 34) : assistance technique et communicationnelle si nécessaire ;
- Analyse d'Impact relative à la Protection des Données — AIPD (art. 35) : fourniture des informations techniques sur le traitement ;
- Consultation préalable de l'autorité de contrôle (art. 36) : assistance documentaire.
4.7 (g) Sort des données à la fin du traitement
À la fin de la relation contractuelle, le Sous-Traitant, au choix du Responsable de Traitement :
- Restitue l'ensemble des Données Personnelles dans un format structuré, couramment utilisé et lisible par machine (JSON, CSV), téléchargeable depuis le tableau de bord pendant une période de 30 jours suivant la résiliation ; ou
- Supprime toutes les Données Personnelles et en fournit confirmation écrite.
Par défaut et sauf instruction contraire du Responsable de Traitement dans un délai de 30 jours après résiliation, les Données Personnelles sont supprimées de manière sécurisée et irréversible, à l'exception :
- des données de facturation conservées 10 ans conformément à l'article L123-22 du Code de commerce,
- des données nécessaires à la défense de droits en justice en cas de litige en cours.
Les sauvegardes chiffrées contenant ces données sont conservées 90 jours maximum après leur suppression en production, puis détruites.
4.8 (h) Information et audit
Le Sous-Traitant met à la disposition du Responsable de Traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues au présent article.
Le Responsable de Traitement peut réaliser, au maximum une fois par an civil et sous réserve d'un préavis écrit de 30 jours calendaires, un audit de conformité portant exclusivement sur les traitements objets du présent DPA. L'audit peut être :
- documentaire (questionnaire, remise de rapports de sécurité type SOC 2, ISO 27001, PCI-DSS) ;
- ou sur site, à la charge du Responsable de Traitement, dans le respect de la confidentialité des tiers et de la continuité d'activité du Sous-Traitant.
Les audits réalisés par un tiers mandaté par le Responsable de Traitement ne peuvent être confiés à un concurrent direct du Sous-Traitant. L'auditeur signe préalablement un engagement de confidentialité.
Les coûts d'audit sont à la charge du Responsable de Traitement. Les audits supplémentaires demandés en cas de violation de données avérée sont toutefois à la charge du Sous-Traitant.
Article 5 — Violation de Données Personnelles
5.1 En cas de Violation de Données Personnelles affectant les Données Personnelles traitées pour le compte du Responsable de Traitement, le Sous-Traitant notifie le Responsable de Traitement sans délai injustifié et au plus tard 24 heures après en avoir pris connaissance.
5.2 La notification est adressée par email à l'adresse de contact désignée par le Responsable de Traitement dans son tenant (à défaut, à l'adresse de l'Owner), avec copie à l'équipe sécurité BICABI (security@bicabi.fr). Elle contient, dans la mesure des informations disponibles :
- la nature de la Violation,
- les catégories et le nombre approximatif de Personnes Concernées,
- les catégories et le nombre approximatif d'enregistrements concernés,
- les conséquences probables de la Violation,
- les mesures prises ou envisagées pour remédier à la Violation et en limiter les effets négatifs,
- les coordonnées du Délégué à la Protection des Données (dpo@bicabi.fr) pour obtenir des informations supplémentaires.
5.3 Le Sous-Traitant fournit des mises à jour au minimum toutes les 48 heures jusqu'à la clôture de l'incident, puis un rapport post-mortem final documenté.
5.4 Le Sous-Traitant assiste le Responsable de Traitement dans la notification à la CNIL (délai légal 72 heures, art. 33 RGPD) et, le cas échéant, aux Personnes Concernées (art. 34 RGPD).
5.5 Le canal officiel de signalement de vulnérabilité de sécurité est security@bicabi.fr. Le Sous-Traitant maintient un registre interne de toutes les violations, mis à disposition du Responsable de Traitement et des autorités compétentes sur demande motivée.
Article 6 — Obligations du Responsable de Traitement
Le Responsable de Traitement s'engage à :
6.1 Disposer d'une base juridique licite pour chaque traitement confié au Sous-Traitant (contrat, consentement, obligation légale, intérêt légitime — art. 6 RGPD).
6.2 Informer les Personnes Concernées des traitements conformément aux articles 13 et 14 du RGPD (identité du responsable, finalités, destinataires, durée de conservation, droits, existence de sous-traitants y compris ceux listés en Annexe 3).
6.3 Veiller à la mise à jour et à l'exactitude des Données Personnelles saisies dans la Plateforme par ses Utilisateurs.
6.4 Utiliser la Plateforme conformément aux CGV, au présent DPA et à la réglementation applicable.
6.5 Maintenir à jour les comptes de ses Utilisateurs (désactivation des comptes inactifs, révocation des accès en cas de départ).
6.6 Notifier le Sous-Traitant par écrit (à dpo@bicabi.fr) avec un préavis raisonnable de tout changement substantiel de finalité ou de périmètre du traitement.
6.7 Coopérer de bonne foi avec le Sous-Traitant en cas de demande d'exercice de droits ou de Violation de Données Personnelles.
Article 7 — Durée et fin du DPA
Le présent DPA est conclu pour la durée des CGV et prend fin automatiquement à la résiliation du contrat, quelle qu'en soit la cause.
Les obligations de confidentialité et de sécurité survivent à la fin du DPA pendant toute la durée de conservation légale des Données Personnelles.
Article 8 — Modification du DPA
Le Sous-Traitant peut modifier le présent DPA pour refléter les évolutions législatives, réglementaires, jurisprudentielles ou organisationnelles. Toute modification substantielle est notifiée au Responsable de Traitement par email et publication sur la Plateforme avec un préavis de 30 jours avant entrée en vigueur.
Le Responsable de Traitement peut, en cas d'objection légitime aux modifications, résilier le contrat sans pénalité pendant la période de préavis.
Les versions successives du DPA sont conservées et accessibles avec leur date d'entrée en vigueur respective.
Article 9 — Droit applicable et juridiction
Le présent DPA est régi par le droit français et par le RGPD (Règlement UE 2016/679).
Tout litige relatif à son interprétation ou à son exécution relève de la compétence exclusive des tribunaux de Bordeaux, sauf disposition d'ordre public contraire.
ANNEXE 1 — Description du traitement
A1.1 Nature et finalité du traitement
| Élément | Description |
|---|---|
| Nature du traitement | Collecte, enregistrement, organisation, structuration, conservation, consultation, utilisation, communication par transmission, diffusion ou toute autre forme de mise à disposition, rapprochement, limitation, effacement ou destruction des Données Personnelles dans le cadre de l'exécution des fonctionnalités de la Plateforme. |
| Finalité principale | Permettre au Responsable de Traitement de gérer son activité professionnelle de transport via la Plateforme : réception et gestion des réservations, affectation des chauffeurs, suivi d'exécution des courses, facturation, communication aux Passagers, marketplace inter-professionnelle (voir article 3.5 pour la qualification de sous-traitance simultanée dans ce cas). |
| Finalités secondaires | Sécurité et prévention de la fraude, support technique, amélioration anonymisée de la Plateforme. |
A1.2 Catégories de Données Personnelles
| Catégorie | Données concernées |
|---|---|
| Identification Passagers / Invités | Nom, prénom, email, téléphone |
| Adresses de réservation | Adresse de départ, adresse d'arrivée, coordonnées GPS des points d'intérêt |
| Données de réservation | Dates, heures, options (accessibilité, bagages, animaux), prix, statut |
| Données de paiement | Référence de transaction Stripe (token, pas de numéro de carte complet stocké) |
| Données Chauffeurs du tenant | Identité, contact, rôle, position GPS en temps réel pendant la course uniquement (purgée immédiatement à la dépose) |
| Données Partenaires et Passagers Partenaires | Identité de contact, jetons d'accès, données des Passagers Partenaires (isolées, jamais fusionnées avec les comptes Utilisateurs) |
| Données techniques | Adresse IP, User-Agent, cookies de session, logs d'audit |
| Données Invités (sans compte) | Email, téléphone, lien d'accès chiffré unique (64 caractères) valide jusqu'à 24h après l'heure prévue de prise en charge |
Aucune donnée sensible au sens de l'article 9 RGPD (origine raciale, opinion, santé, etc.) n'est traitée par le Sous-Traitant, sauf indication de Passager transmise volontairement dans une préférence de service (ex. besoin d'accessibilité) pour laquelle le Responsable de Traitement a recueilli le consentement explicite.
A1.3 Catégories de Personnes Concernées
- Passagers du Responsable de Traitement (clients finaux du service de transport)
- Invités (Passagers sans compte, accès par lien chiffré unique)
- Chauffeurs employés ou mandatés par le Responsable de Traitement
- Utilisateurs Transporteurs internes du Responsable de Traitement (Owner, Supervisor, Driver, Client, Partner)
- Partenaires et leurs Passagers Partenaires
- Chauffeurs du Transporteur Récepteur d'une course sous-traitée via la marketplace (position GPS temps réel, coordonnées opérationnelles, pendant la durée de la course uniquement ; BICABI agit alors en sous-traitant simultané des deux Transporteurs concernés, voir article 3.5)
A1.4 Durée du traitement
Le Traitement dure pendant toute la durée de la relation contractuelle entre le Sous-Traitant et le Responsable de Traitement, augmentée d'une période de 30 jours calendaires suivant la résiliation (pour export des données).
A1.5 Durées de conservation
Conformément à la Politique de Confidentialité ResaByBicabi (section 8) :
| Catégorie | Durée | Justification |
|---|---|---|
| Données Passagers — réservation active | Durée de la réservation + 6 mois | Contrat, support post-réservation |
| Données Passagers — archivage | 3 ans après clôture du compte | Contentieux potentiel |
| Données de facturation | 10 ans | Code de commerce art. L123-22 |
| Logs de sécurité | 1 an | Sécurité, détection de fraude |
| Logs d'assistance support (R27) | 1 an | Traçabilité accès super-admin |
| Position GPS Chauffeurs (coordonnées) | Purge immédiate à la dépose du passager | Minimisation, géolocalisation limitée au besoin |
| Jeton opérationnel Chauffeurs (sans coordonnées) | 24 h consultation + purge < 48 h | Consultation de mission |
| Logs techniques et API | 6 mois | Audit |
| Cookies de session | Session + 30 jours | Sécurité, CSRF |
ANNEXE 2 — Mesures Techniques et Organisationnelles (TOM)
Conformément à l'article 32 RGPD, le Sous-Traitant met en œuvre les mesures suivantes, régulièrement revues et mises à jour :
A2.1 Sécurité des transmissions
- Chiffrement TLS 1.3 minimum sur toutes les connexions (HTTP → HTTPS obligatoire, HSTS)
- Certificats Let's Encrypt avec renouvellement automatique
- En-têtes de sécurité (CSP, X-Frame-Options, Referrer-Policy, etc.)
A2.2 Sécurité du stockage
- Chiffrement au repos AES-256 des bases de données sensibles et sauvegardes (OVH Disk Encryption)
- Mots de passe hashés avec bcrypt coût 12 (jamais stockés en clair)
- Tokens API, secrets et clés de chiffrement stockés dans un coffre-fort sécurisé
A2.3 Authentification et contrôle d'accès
- Multi-Factor Authentication (MFA) via TOTP, disponible pour tous les Utilisateurs Transporteurs
- Authentification biométrique locale sur l'application mobile (Face ID, empreinte), données biométriques traitées exclusivement par l'OS, jamais transmises au Sous-Traitant
- Rate limiting : 5 tentatives de connexion par IP sur 15 minutes, verrouillage automatique
- Sessions : JWT courts (15 min) + refresh tokens avec rotation (24 h)
- Verrouillage automatique de l'application mobile après 5 minutes d'inactivité en arrière-plan
A2.4 Isolation multi-tenant
- Architecture multi-tenant stricte : chaque tenant (Transporteur) dispose d'un identifiant unique qui cloisonne ses données ; ce cloisonnement est appliqué automatiquement à toutes les opérations de lecture et d'écriture.
- Contrôles d'accès applicatifs interdisant tout accès cross-tenant, à l'exception des cas explicitement prévus par la marketplace inter-professionnelle (échange limité et journalisé pendant la course).
- Tests automatisés vérifiant l'isolation, exécutés en continu dans la chaîne d'intégration.
A2.5 Contrôle d'accès
- RBAC à 5 rôles (Owner, Supervisor, Driver, Client, Partner) avec matrice de permissions centralisée.
- Principe du moindre privilège : chaque rôle a uniquement les permissions strictement nécessaires.
- Accès support : toute intervention de l'équipe support de BICABI sur l'espace d'un Transporteur nécessite une autorisation explicite préalable de l'Owner ou d'un Supervisor (valable 1 heure, révocable à tout moment). Chaque ouverture et fermeture de session déclenche un email automatique aux responsables du tenant. L'intégralité des actions effectuées (page consultée, modification, adresse IP, intervenant) est journalisée et consultable depuis l'interface d'administration du tenant (section Assistance → Historique).
A2.6 Audit et traçabilité
- Logs structurés de tous les accès sensibles (authentification, paiement, actions d'administration).
- Registre d'audit inter-tenants pour tracer les échanges marketplace et les purges GPS associées.
- Audit des accès support conservé 1 an, purge automatique.
- Les logs ne contiennent jamais de données personnelles sensibles (mots de passe, numéros de carte, etc.).
A2.7 Purges automatiques
Des traitements automatisés quotidiens procèdent à la suppression physique des données dont la durée de conservation est échue, selon les délais précisés en Annexe 1.5 :
- logs d'assistance support après 1 an ;
- tenants marqués comme supprimés après 30 jours de grâce ;
- tenants non vérifiés après 48 heures ;
- jetons de statut chauffeur expirés ;
- liens d'accès Invité expirés ;
- historique des changements de sous-domaine après 6 mois.
Ces traitements sont journalisés et produisent un rapport quotidien consultable par l'équipe d'exploitation BICABI.
A2.8 Protection contre les attaques
- Protection applicative contre les attaques courantes (injections SQL, XSS, CSRF) via le framework utilisé et une couche de jetons anti-CSRF.
- CORS strict : seuls les domaines autorisés peuvent appeler les API.
- Content Security Policy (CSP) restrictive.
- Scans de sécurité réguliers : tests de pénétration, audits de code, suivi des CVE.
A2.9 Paiements
- Tokenisation Stripe Connect : aucune donnée de carte bancaire complète ne transite par les serveurs BICABI
- Conformité PCI-DSS niveau 1 déléguée à Stripe (certifié)
- Webhooks signés avec validation et idempotence
A2.10 Gouvernance des données
- Délégué à la Protection des Données (DPO) nommé et indépendant : dpo@bicabi.fr
- Data Protection Committee avec revues trimestrielles
- Privacy by Design & by Default : évaluation RGPD de chaque nouvelle fonctionnalité (AIPD si nécessaire)
- Formation RGPD initiale et annuelle pour tout le personnel
A2.11 Continuité et sauvegardes
- Sauvegardes chiffrées quotidiennes conservées 90 jours
- Tests de restauration réguliers
- Plan de continuité documenté (PCA / PRA)
- Plan de réponse aux incidents documenté (RASCC : Rapport, Arrêt, Sécurisation, Confinement, Communication)
A2.12 Gestion des incidents
- Canal dédié : security@bicabi.fr
- SLA de notification au Responsable de Traitement : 24 heures maximum après découverte
- Notification CNIL : 72 heures maximum (art. 33 RGPD)
- Post-mortem documenté et transmis au Responsable de Traitement
ANNEXE 3 — Liste des sous-traitants ultérieurs autorisés
Au jour de la signature du présent DPA, le Sous-Traitant a recours aux sous-traitants ultérieurs suivants. Cette liste vaut autorisation générale préalable du Responsable de Traitement.
| Sous-traitant ultérieur | Finalité du traitement | Localisation | Transfert hors UE | Base juridique du transfert | TIA réalisé |
|---|---|---|---|---|---|
| OVH SAS (424 761 419 RCS Lille Métropole) | Hébergement de l'infrastructure, bases de données, sauvegardes | France — datacenters Gravelines | Non | — | Non requis |
| Stripe Payments Europe Ltd | Traitement des paiements, facturation, réconciliation | Irlande / États-Unis | Oui (USA) | Clauses Contractuelles Types 2021/914 | Oui |
| Resend Inc. | Envoi d'emails transactionnels | États-Unis | Oui | Clauses Contractuelles Types 2021/914 | Oui |
| Google Ireland Ltd / Google LLC (Maps, Places API) | Géocodage des adresses, calcul d'itinéraires | Union Européenne / États-Unis | Oui (partiel) | Clauses Contractuelles Types 2021/914 | Oui |
| Google LLC (Firebase Cloud Messaging — FCM) | Acheminement des notifications push vers les applications mobiles (iOS/Android) | États-Unis | Oui | Clauses Contractuelles Types 2021/914 | Oui |
| Anthropic PBC (Claude API) | Analyse IA de devis, suggestions tarifaires, optimisation d'itinéraires | États-Unis | Oui | Clauses Contractuelles Types 2021/914 | Oui |
Chaque Sous-traitant ultérieur est lié au Sous-Traitant par un Data Processing Agreement (DPA) conforme à l'article 28 RGPD, incluant les engagements de confidentialité, de sécurité, de notification d'incident et de restitution/suppression des données.
La liste actualisée est publiée dans la Politique de Confidentialité de la Plateforme, section 6.2. Toute modification fait l'objet d'un préavis de 30 jours calendaires conformément à l'article 4.4 b) du présent DPA.
ANNEXE 4 — Procédure de notification de Violation de Données Personnelles
A4.1 Déclenchement
Toute Violation de Données Personnelles suspectée ou avérée affectant les Données Personnelles traitées pour le compte du Responsable de Traitement doit être signalée par le Sous-Traitant dans un délai maximum de 24 heures après sa prise de connaissance.
A4.2 Canal
Email à l'adresse de contact principale du tenant (à défaut, l'Owner), avec copie à security@bicabi.fr. En cas d'urgence (violation massive, données sensibles exposées), contact téléphonique de l'Owner en complément.
A4.3 Contenu de la notification initiale
| Champ | Contenu |
|---|---|
| Date et heure de détection | Date et heure UTC de la prise de connaissance par le Sous-Traitant |
| Date et heure de la Violation (si connue) | Date et heure UTC des faits |
| Nature de la Violation | Destruction / Perte / Altération / Divulgation / Accès non autorisé |
| Cause suspectée | Erreur humaine / Attaque externe / Défaillance technique / Action d'un sous-traitant ultérieur |
| Catégories de Personnes Concernées | Passagers / Invités / Chauffeurs / Partenaires / Autres |
| Nombre approximatif de Personnes Concernées | Fourchette si non connu précisément |
| Catégories de Données Personnelles concernées | Identité / Contact / Géolocalisation / Paiement / Authentification / Autres |
| Nombre approximatif d'enregistrements | Fourchette si non connu précisément |
| Conséquences probables | Analyse du risque pour les droits et libertés des Personnes Concernées |
| Mesures immédiates prises | Containment, révocation d'accès, correctif déployé, etc. |
| Mesures envisagées | Plan d'action pour remédier et prévenir la récurrence |
| CNIL notifiée | Oui / Non (et date si oui) |
| Personnes Concernées notifiées | Oui / Non (et date si oui) |
| Contact DPO | dpo@bicabi.fr |
A4.4 Mises à jour
- Fréquence minimale : toutes les 48 heures jusqu'à la clôture de l'incident
- Contenu : évolution des connaissances, actions réalisées, mesures correctrices, résultats
A4.5 Rapport final (post-mortem)
Transmis au Responsable de Traitement dans un délai de 30 jours après clôture de l'incident. Contenu minimum :
- Chronologie détaillée
- Cause racine
- Impact réel confirmé
- Mesures correctives déployées
- Mesures préventives pour éviter la récurrence
- Enseignements tirés
A4.6 Assistance à la notification CNIL (art. 33 RGPD)
Le Sous-Traitant assiste le Responsable de Traitement dans la constitution du dossier de notification à la CNIL (délai légal 72 heures), en fournissant toutes les informations techniques nécessaires.
A4.7 Assistance à la communication aux Personnes Concernées (art. 34 RGPD)
Lorsque la Violation est susceptible d'engendrer un risque élevé pour les droits et libertés des Personnes Concernées, le Sous-Traitant assiste le Responsable de Traitement pour :
- Rédiger un message d'information clair, en langage simple
- Diffuser le message par email ou notification dans la Plateforme
- Fournir des conseils aux Personnes Concernées (changement de mot de passe, vigilance sur compte bancaire, etc.)
Acceptation du DPA
Le présent DPA est accepté par le Responsable de Traitement lors de la souscription aux CGV ResaByBicabi et fait partie intégrante du contrat conclu entre les Parties.
L'acceptation est horodatée et conservée par le Sous-Traitant à des fins de preuve, avec l'adresse IP et l'agent utilisateur de la personne ayant accepté pour le compte du Responsable de Traitement (Owner).
Document : Data Processing Agreement ResaByBicabi v1.0 Entrée en vigueur : 22 avril 2026 Édité par SAS BICABI — Tous droits réservés Contact DPO : dpo@bicabi.fr — Sécurité : security@bicabi.fr