Data Processing Agreement (DPA)

Accord de sous-traitance de données personnelles conclu entre le Propriétaire (responsable de traitement) et inzo (sous-traitant) — article 28 RGPD.

Version 1.0 — en vigueur au 7 juillet 2026

Article 1 — Objet et champ

Le présent DPA encadre les traitements qu'inzo réalise pour le compte du Propriétaire lorsque celui-ci saisit ou téléverse dans la Plateforme des données personnelles concernant ses locataires, candidats locataires, garants ou occupants. Il fait partie intégrante du contrat formé par les CGU et prévaut sur celles-ci pour les traitements concernés.

Article 2 — Définitions

Les termes « données personnelles », « traitement », « responsable de traitement », « sous-traitant », « violation de données » ont le sens que leur donne le règlement (UE) 2016/679 (RGPD). Le « Responsable » désigne le Propriétaire ; le « Sous-traitant » désigne inzo.

Article 3 — Description du traitement

ÉlémentDescription
NatureHébergement, structuration, génération de documents (quittances, avis, états des lieux), envoi d'emails, mise à disposition d'un espace locataire
FinalitéGestion locative des biens du Responsable
Personnes concernéesLocataires, colocataires, garants, occupants
Catégories de donnéesIdentité, coordonnées, données du bail (loyer, charges, dates), situation d'occupation, aides au logement, documents et signatures
DuréeDurée d'utilisation de la Plateforme par le Responsable, puis suppression selon la Politique de conservation

Article 4 — Instructions du Responsable

inzo ne traite les données que sur instruction documentée du Responsable, matérialisée par l'usage des fonctionnalités de la Plateforme et son paramétrage (automatisations, modèles d'emails, destinataires). inzo informe le Responsable si une instruction lui paraît contraire au RGPD.

Article 5 — Obligations d'inzo

  • garantir la confidentialité des données et n'y donner accès qu'aux personnes habilitées, soumises à une obligation de confidentialité ;
  • mettre en œuvre les mesures techniques et organisationnelles décrites dans la Politique de sécurité (chiffrement, cloisonnement par règles de sécurité, journalisation, sauvegardes) ;
  • aider le Responsable à répondre aux demandes d'exercice de droits des personnes concernées ;
  • notifier au Responsable toute violation de données dans les meilleurs délais et au plus tard 48 heures après en avoir eu connaissance, avec les informations utiles à sa propre notification à la CNIL ;
  • assister le Responsable, à sa demande raisonnable, pour les analyses d'impact éventuelles ;
  • au terme du contrat, supprimer ou restituer les données selon le choix du Responsable, dans les conditions de la Politique de suppression des comptes.

Article 6 — Obligations du Responsable

Le Responsable garantit qu'il dispose d'une base légale pour les données qu'il saisit, qu'il informe ses locataires du traitement (l'exécution du bail en constitue le cadre habituel) et qu'il n'introduit dans la Plateforme aucune donnée excessive ou sans lien avec la gestion locative, notamment aucune donnée dite « sensible » au sens de l'article 9 du RGPD.

Article 7 — Sous-traitants ultérieurs

Le Responsable autorise de manière générale le recours aux sous-traitants ultérieurs suivants : Supabase (base de données, authentification, stockage — UE), Vercel (exécution applicative), Resend (emails), Cloudflare (anti-robots). inzo informera le Responsable de tout changement au moins trente (30) jours à l'avance ; à défaut d'accord, le Responsable pourra résilier sans frais. inzo impose à ses sous-traitants des obligations équivalentes au présent DPA.

Article 8 — Transferts hors UE

Les données sont stockées dans l'Union européenne. Les transferts résiduels vers des prestataires américains (acheminement d'emails, protection anti-robots, exécution applicative) sont encadrés par des clauses contractuelles types et, le cas échéant, le Data Privacy Framework.

Article 9 — Audit

inzo met à disposition la documentation nécessaire pour démontrer sa conformité (Trust Center, Politique de sécurité, présent DPA). Le Responsable peut, au plus une fois par an et moyennant un préavis de trente (30) jours, adresser un questionnaire d'audit raisonnable ; un audit sur site ne peut être exigé qu'en cas de manquement avéré, aux frais du Responsable et sans accès aux données d'autres clients.

Article 10 — Responsabilité et durée

Chaque partie répond des dommages causés par sa méconnaissance du RGPD selon la répartition prévue à l'article 82 du RGPD. Le DPA s'applique tant que le Responsable utilise la Plateforme et survit le temps nécessaire à la suppression des données.

Conclusion

Le présent DPA est réputé accepté par le Propriétaire lors de la création de son compte ou de la première saisie de données d'un locataire. Contact : contact@inzo.immo.