📋 1. Parties et Définitions
1.1 Parties
Sous-traitant
BADOU SOLUTIONS (nom commercial : BadouBoard)
Société par Actions Simplifiée à associé unique (SASU)
Capital social : 1 000,00 €
Siège social : 22 impasse René Descartes, 85180 Les Sables-d'Olonne
RCS : 101 128 601 R.C.S. La Roche-sur-Yon
DPO : dpo@badouboard.com
Responsable de traitement : Le Client (ci-après « le Client »), personne physique ou morale ayant souscrit un abonnement à BadouBoard et utilisant le Service pour gérer les données de ses employés.
1.2 Définitions
| Terme | Définition |
|---|---|
| Données personnelles | Toute information se rapportant à une personne physique identifiée ou identifiable, au sens de l'article 4(1) du RGPD |
| Traitement | Toute opération effectuée sur des données personnelles (collecte, enregistrement, stockage, consultation, modification, suppression, etc.) |
| Sous-traitant | BADOU SOLUTIONS, qui traite des données personnelles pour le compte du Client |
| Responsable de traitement | Le Client, qui détermine les finalités et les moyens du traitement des données de ses employés |
| Sous-traitant ultérieur | Tout tiers auquel BADOU SOLUTIONS fait appel pour réaliser des activités de traitement pour le compte du Client |
🎯 2. Objet et Périmètre du Traitement
2.1 Objet
Le présent DPA a pour objet de définir les conditions dans lesquelles BADOU SOLUTIONS s'engage à traiter les données personnelles pour le compte du Client, conformément à l'article 28 du RGPD.
2.2 Nature du traitement
BADOU SOLUTIONS réalise pour le compte du Client les opérations de traitement suivantes :
- Collecte et stockage des données saisies par le Client
- Organisation et structuration des plannings et horaires
- Consultation et affichage des données via l'interface web
- Génération de synthèses et rapports
- Sauvegarde et restauration des données
- Suppression des données en fin de contrat
2.3 Finalités du traitement
Les données sont traitées exclusivement pour les finalités suivantes, sur instruction documentée du Client :
- Gestion des horaires et plannings de travail
- Suivi du temps de travail des employés
- Gestion des congés et absences
- Génération de rapports d'activité
2.4 Durée du traitement
Le traitement est effectué pendant toute la durée du contrat d'abonnement entre le Client et BADOU SOLUTIONS, et pendant la période de conservation des données après résiliation (30 jours pour permettre l'export).
📊 3. Types de Données et Personnes Concernées
3.1 Catégories de données personnelles traitées
| Catégorie | Données | Durée de conservation |
|---|---|---|
| Données d'identification des employés | Nom, prénom | Durée du contrat + 30 jours |
| Données de planification | Horaires de travail, plannings, postes | Durée du contrat + 30 jours |
| Données d'absence | Congés, absences, types d'absence | Durée du contrat + 30 jours |
| Données de synthèse | Heures travaillées, rapports générés | Durée du contrat + 30 jours |
3.2 Catégories de personnes concernées
- Employés du Client : personnes dont les horaires et plannings sont gérés via BadouBoard
- Utilisateurs du Service : personnes disposant d'un accès à l'application (employeurs, managers)
🔐 4. Obligations de BADOU SOLUTIONS (Sous-traitant)
4.1 Instructions documentées
BADOU SOLUTIONS s'engage à traiter les données personnelles uniquement sur instruction documentée du Client, y compris en ce qui concerne les transferts vers un pays tiers. Le présent DPA et les CGU constituent les instructions documentées du Client.
4.2 Confidentialité
BADOU SOLUTIONS s'engage à ce que les personnes autorisées à traiter les données personnelles :
- S'engagent à respecter la confidentialité ou soient soumises à une obligation légale de confidentialité
- Reçoivent la formation nécessaire en matière de protection des données personnelles
- N'accèdent qu'aux données strictement nécessaires à l'exercice de leurs fonctions
4.3 Sécurité du traitement
Conformément à l'article 32 du RGPD, BADOU SOLUTIONS met en œuvre les mesures techniques et organisationnelles appropriées :
- Chiffrement SSL/TLS de toutes les communications
- Hachage des mots de passe avec algorithmes sécurisés (bcrypt)
- Protection CSRF contre les attaques cross-site
- Anti-brute force avec limitation des tentatives de connexion
- Journalisation des accès pour la traçabilité
- Sauvegardes régulières et chiffrées
- Contrôle d'accès basé sur les rôles
- Hébergement sécurisé chez OVH en France
4.4 Notification des violations
En cas de violation de données personnelles, BADOU SOLUTIONS s'engage à :
- Notifier le Client dans les meilleurs délais et au plus tard dans les 48 heures suivant la prise de connaissance de la violation
- Fournir au Client toutes les informations nécessaires pour que celui-ci puisse notifier la CNIL dans le délai de 72 heures prévu à l'article 33 du RGPD
- Fournir une description de la nature de la violation, des catégories de données et de personnes concernées, des conséquences probables et des mesures prises pour y remédier
4.5 Assistance au Client
BADOU SOLUTIONS assiste le Client dans :
- La réponse aux demandes d'exercice des droits des personnes concernées (accès, rectification, effacement, portabilité, etc.)
- La réalisation d'analyses d'impact relatives à la protection des données (AIPD), si nécessaire
- La consultation préalable de la CNIL, le cas échéant
- La garantie du respect des obligations de sécurité, de notification des violations et d'analyses d'impact
🔄 5. Sous-traitants Ultérieurs
5.1 Autorisation générale
Le Client autorise BADOU SOLUTIONS à faire appel aux sous-traitants ultérieurs listés ci-dessous. BADOU SOLUTIONS informera le Client de tout ajout ou remplacement de sous-traitant ultérieur au moins 30 jours avant la mise en œuvre du changement.
5.2 Liste des sous-traitants ultérieurs
| Sous-traitant | Finalité | Localisation | Garanties |
|---|---|---|---|
| OVH SAS | Hébergement et infrastructure | France (UE) | RGPD, ISO 27001 |
| Stripe, Inc. | Paiements par carte bancaire | États-Unis | EU-US DPF, PCI-DSS |
5.3 Droit d'opposition
Le Client peut s'opposer à l'ajout ou au remplacement d'un sous-traitant ultérieur dans un délai de 15 jours suivant la notification. En cas d'opposition justifiée et si aucune solution alternative ne peut être trouvée, le Client pourra résilier son abonnement sans frais.
5.4 Obligations des sous-traitants ultérieurs
BADOU SOLUTIONS s'assure que chaque sous-traitant ultérieur présente des garanties suffisantes et est lié par un contrat imposant les mêmes obligations en matière de protection des données que celles prévues au présent DPA.
🌍 6. Transferts de Données hors UE
Les données applicatives (plannings, horaires, données des employés) sont stockées exclusivement sur des serveurs OVH situés en France.
Seules les données de paiement sont transférées vers les États-Unis via Stripe, Inc. Ce transfert est encadré par :
- Le EU-US Data Privacy Framework (décision d'adéquation de la Commission européenne du 10 juillet 2023)
- Les clauses contractuelles types (CCT) adoptées par la Commission européenne, en complément
🔒 Engagement
BADOU SOLUTIONS s'engage à ne pas transférer les données applicatives du Client (plannings, horaires, données des employés) en dehors de l'Union Européenne sans l'accord préalable écrit du Client et sans avoir mis en place les garanties appropriées au sens des articles 46 à 49 du RGPD.
🔍 7. Droit d'Audit
7.1 Droit d'audit du Client
Le Client dispose du droit de réaliser des audits, y compris des inspections, afin de vérifier le respect par BADOU SOLUTIONS de ses obligations au titre du présent DPA. Ces audits pourront être réalisés :
- Par le Client lui-même ou par un auditeur tiers mandaté par le Client
- Après notification écrite préalable d'au moins 30 jours
- Pendant les heures ouvrables et sans perturber le fonctionnement du Service
- Au maximum une fois par an, sauf en cas de violation avérée ou suspectée
7.2 Coopération
BADOU SOLUTIONS s'engage à coopérer pleinement et à fournir au Client toutes les informations nécessaires pour démontrer le respect de ses obligations au titre de l'article 28 du RGPD.
7.3 Documentation
BADOU SOLUTIONS met à disposition du Client les documents suivants sur demande :
- Registre des activités de traitement
- Documentation des mesures de sécurité techniques et organisationnelles
- Liste à jour des sous-traitants ultérieurs
- Résultats des derniers audits de sécurité
📤 8. Sort des Données en Fin de Contrat
8.1 Restitution des données
À l'expiration ou à la résiliation du contrat, BADOU SOLUTIONS s'engage à :
- Maintenir l'accès aux données pendant 30 jours après la fin du contrat pour permettre au Client d'exporter ses données
- Fournir au Client, sur demande, une copie de l'ensemble de ses données dans un format structuré, couramment utilisé et lisible par machine (CSV, JSON)
8.2 Suppression des données
À l'issue du délai de 30 jours suivant la fin du contrat :
- BADOU SOLUTIONS procédera à la suppression définitive de l'ensemble des données personnelles du Client et de ses employés
- Cette suppression inclut les données stockées sur les serveurs principaux et les sauvegardes
- BADOU SOLUTIONS fournira au Client, sur demande, une attestation de suppression
8.3 Exceptions
BADOU SOLUTIONS pourra conserver certaines données au-delà de ce délai uniquement si une obligation légale l'impose (obligations comptables, fiscales, etc.), et uniquement pour les données et la durée strictement nécessaires.
⚖️ 9. Obligations du Client (Responsable de Traitement)
Le Client, en sa qualité de responsable de traitement, s'engage à :
- Informer ses employés dont les données sont traitées via BadouBoard, conformément aux articles 13 et 14 du RGPD
- Disposer d'une base légale pour le traitement des données de ses employés (exécution du contrat de travail, obligation légale, intérêt légitime, etc.)
- Documenter ses instructions de traitement et s'assurer qu'elles sont conformes à la réglementation applicable
- Ne pas saisir de données sensibles (article 9 du RGPD) dans BadouBoard
- Notifier BADOU SOLUTIONS de toute modification de ses instructions de traitement
- Répondre aux demandes d'exercice des droits des personnes concernées, avec l'assistance de BADOU SOLUTIONS si nécessaire
⚡ 10. Responsabilité
Chaque partie est responsable des dommages causés par un traitement non conforme au RGPD, dans les conditions prévues par les articles 82 et suivants du RGPD.
BADOU SOLUTIONS n'est responsable du dommage causé par le traitement que si elle n'a pas respecté les obligations prévues par le RGPD qui incombent spécifiquement aux sous-traitants, ou si elle a agi en dehors des instructions licites du Client ou contrairement à celles-ci.
📝 11. Dispositions Générales
11.1 Durée
Le présent DPA entre en vigueur à la date de souscription du Client à BadouBoard et reste applicable pendant toute la durée du contrat et jusqu'à la suppression complète des données personnelles.
11.2 Modification
Toute modification du présent DPA doit être notifiée au Client au moins 30 jours à l'avance. La poursuite de l'utilisation du Service après cette notification vaut acceptation des modifications.
11.3 Hiérarchie des documents
En cas de contradiction entre le présent DPA et les CGU ou CGV, les dispositions du présent DPA relatives à la protection des données personnelles prévalent.
11.4 Droit applicable
Le présent DPA est régi par le droit français et le Règlement Général sur la Protection des Données (RGPD).
11.5 Contact
📧 Contact DPO
Pour toute question relative au présent DPA ou à la protection des données :
Délégué à la Protection des Données : dpo@badouboard.com
Support : support@badouboard.com
Sécurité : securite@badouboard.com
📅 Dernière mise à jour : 16 février 2026
Version 1.0 - Première version du DPA
© 2026 BADOU SOLUTIONS (BadouBoard) - Tous droits réservés
Application professionnelle de gestion d'horaires