Contrat de traitement des données (DPA)

Le présent contrat de traitement des données (ci-après le « DPA ») est conclu en application de l'article 28 du Règlement Général sur la Protection des Données (RGPD, Règlement (UE) 2016/679) entre :

• PermisAPI, édité par Evan Caroux (micro-entrepreneur, France), ci-après le « Sous-traitant »,
• Le Client Enterprise ayant souscrit au plan correspondant (1 999 EUR par mois ou plus), ci-après le « Responsable de traitement ».

Il vient compléter les Conditions Générales d'Utilisation de PermisAPI et s'applique à tous les traitements de données à caractère personnel effectués par PermisAPI pour le compte du Client.

Les termes utilisés dans le présent DPA ont le sens qui leur est donné à l'article 4 du RGPD. En particulier :

• Données personnelles : toute information se rapportant à une personne physique identifiée ou identifiable.
• Traitement : toute opération effectuée sur des données personnelles.
• Violation de données personnelles : violation de la sécurité entraînant accès, perte, destruction, altération ou divulgation non autorisée.
• Sous-traitant ultérieur : prestataire tiers auquel PermisAPI confie une partie du traitement (hébergeur, fournisseur d'email, etc.).

Le présent DPA a pour objet d'encadrer le traitement des données personnelles que PermisAPI effectue pour le compte du Client dans le cadre de la fourniture du service PermisAPI (API REST de consultation des permis de construire de France, enrichissements et alertes).

Sa durée est calée sur celle de l'abonnement Enterprise au service. Il prend fin de plein droit à la résiliation de l'abonnement, sous réserve des obligations post-contractuelles (suppression des données, audit en cours, etc.).

Nature du traitement : consultation, recherche, enrichissement et redistribution de données publiques relatives aux permis de construire, permis d'aménager, permis de démolir et déclarations préalables publiés par les autorités françaises compétentes.

Finalités : permettre au Client d'exploiter ces données dans son activité (veille foncière, prospection commerciale, analyse de marché, conseil, devoir d'information, etc.).

Catégories de personnes concernées : (i) les demandeurs de permis (particuliers ou personnes morales) dont le nom est publié au registre public Sitadel par le SDES ; (ii) les utilisateurs finaux du Client lorsque celui-ci leur donne accès à PermisAPI dans le cadre d'un compte d'équipe.

Catégories de données traitées : (a) données issues de Sitadel et redistribuées sous Licence Etalab : numéro de permis, adresse du terrain, nom et SIREN du demandeur, type, surface, date d'autorisation, etc. ; (b) données d'authentification et d'usage du Client : email, clé API hachée, journal des requêtes, configuration de scope géographique, paramètres de branding, identifiants des membres d'équipe.

Durée de conservation : les données Sitadel sont conservées tant qu'elles sont publiées par le SDES. Les données du Client sont conservées pendant la durée de l'abonnement, puis supprimées dans un délai de 30 jours après résiliation (cf. article 10), sauf obligations légales de conservation pour les journaux d'audit (7 ans, cf. notre engagement de service).

PermisAPI s'engage à :

• Confidentialité : ne traiter les données personnelles que sur instructions documentées du Responsable de traitement (à l'exception des obligations légales).
• Sécurité : mettre en œuvre les mesures techniques et organisationnelles appropriées, notamment : chiffrement TLS 1.3 en transit, chiffrement AES-256 au repos, hachage Argon2 des identifiants sensibles, contrôle d'accès par clé API unique avec hash SHA-256 déterministe, journal d'audit append-only avec hash chaîné, séparation des environnements de dev / staging / production, rotation des secrets, accès à la production limité au seul fondateur, authentification multi-facteurs sur les outils critiques.
• Notification de violation : notifier toute violation de données personnelles au Responsable de traitement dans un délai de 48 heures suivant sa découverte (en deçà du seuil légal CNIL de 72 heures pour permettre au Client de notifier à son tour ses propres autorités dans les délais).
• Droits des personnes : assister le Responsable de traitement dans l'exécution des demandes d'exercice des droits (accès, rectification, effacement, opposition, portabilité) sous 7 jours ouvrés.
• Registre des traitements : tenir et mettre à disposition du Responsable de traitement le registre des activités de traitement effectuées pour son compte, conformément à l'article 30 du RGPD.
• Délégué à la protection des données (DPO) : à défaut d'obligation légale de désigner un DPO, PermisAPI fournit un référent unique joignable à l'adresse evan@permisapi.fr.

Le Client s'engage à :

• Fournir à PermisAPI des instructions documentées (acceptation des CGU et du présent DPA suffit).
• Disposer d'une base légale valide (article 6 RGPD) pour traiter les données qu'il consulte via le service.
• Informer ses propres utilisateurs et les personnes concernées par les traitements qu'il effectue à partir des données fournies par PermisAPI.
• Coopérer avec PermisAPI pour toute demande émanant des personnes concernées ou des autorités de contrôle.
• Ne pas effectuer d'opérations de réidentification ou de croisement des données fournies en violation de la Licence Ouverte Etalab v2.0.

Le Client autorise expressément PermisAPI à recourir aux sous-traitants ultérieurs listés ci-dessous. Toute modification de cette liste sera notifiée par courrier électronique au Client avec un préavis de 30 jours, durant lequel le Client peut formuler une objection motivée.

Les données du Client sont stockées en priorité dans l'Union européenne (base PostgreSQL Neon hébergée à Frankfurt, Allemagne). Certains traitements ponctuels peuvent transiter par des sous-traitants ultérieurs basés hors UE (cf. article 7).

Pour tout transfert hors UE, PermisAPI s'appuie sur les Clauses Contractuelles Types adoptées par la Commission européenne (Décision (UE) 2021/914 du 4 juin 2021), avec application des mesures supplémentaires recommandées par la jurisprudence Schrems II : chiffrement de bout en bout, minimisation des données transférées, évaluation de l'impact de transfert (Transfer Impact Assessment) documentée et fournie sur demande.

Le Client peut, à ses frais et avec un préavis raisonnable (minimum 30 jours), demander à PermisAPI tout document attestant des mesures techniques et organisationnelles mises en œuvre, et notamment :

• Le registre des activités de traitement (article 30 RGPD).
• La politique de sécurité interne et les procédures de réponse aux incidents.
• Le journal d'audit (audit logs) couvrant l'activité du compte du Client sur 7 ans, accessible via l'API à l'endpoint GET /v1/audit-logs et exportable en CSV à la demande.
• Les contrats de sous-traitance signés avec les sous-traitants ultérieurs (extraits caviardés sur les clauses commerciales sensibles).

Un audit sur site peut être organisé une fois par an maximum, à la charge financière du Client, sous réserve d'un préavis de 60 jours et d'un encadrement contractuel de confidentialité.

À la résiliation de l'abonnement Enterprise, et au plus tard dans un délai de 30 jours, PermisAPI procède à la suppression définitive des données personnelles du Client (configuration, branding, membres d'équipe, alertes, clés API) de tous ses systèmes actifs, y compris les sauvegardes (purgées dans le cycle de rotation standard de 30 jours).

Sur demande explicite du Client formulée avant ou pendant le préavis de résiliation, une restitution complète des données est effectuée sous format CSV ou JSON dans le même délai de 30 jours.

Exception : les journaux d'audit sont conservés 7 ans après la fin du contrat conformément aux obligations légales applicables (article L. 102 B du Livre des procédures fiscales, ordonnance bancaire). Ils sont stockés sous forme chiffrée et inaccessibles en dehors d'une obligation légale.

En cas de manquement substantiel de PermisAPI à ses obligations RGPD, le Client peut adresser une mise en demeure par courrier recommandé électronique (LRE) avec accusé de réception. PermisAPI dispose alors de 30 jours pour remédier au manquement. À défaut, le Client peut résilier l'abonnement Enterprise sans pénalité ni préavis, et obtenir le remboursement au prorata des sommes versées d'avance pour la période postérieure à la résiliation.

En cas de violation grave constituant un manquement irrémédiable (par exemple : transfert non autorisé de données hors UE, fuite de données par négligence manifeste), la résiliation peut intervenir avec effet immédiat sans mise en demeure préalable.

Le présent DPA est régi par le droit français. Tout différend relatif à son interprétation ou à son exécution sera soumis aux tribunaux compétents de Paris, après tentative préalable de résolution amiable par courrier électronique adressé à evan@permisapi.fr.