Projet — non signé. Aperçu rempli avec les informations saisies dans Ma Vigne. La signature électronique se fait dans l'application.
Contrat de sous-traitance (DPA) — au sens de l'article 28 du Règlement (UE) 2016/679.
Le présent accord encadre les traitements de données à caractère personnel réalisés par GUERETTECH
pour le compte du Client dans le cadre de la fourniture du logiciel Ma Vigne. Il complète les Conditions
Générales et prévaut sur celles-ci pour tout ce qui concerne la protection des données personnelles.
Article 1 — Parties
| Qualité | Partie |
Responsable de traitement (le « Client ») |
[Dénomination du domaine viticole — à compléter] SIRET : [•] · Adresse : [•] Représenté par : [•] · Contact : [•]— SIRET : — · Adresse : — Représenté(e) par : — · Fonction : — |
Sous-traitant (le « Prestataire ») |
GUERETTECH — Nicolas GUÉRET (entreprise individuelle) SIRET : 982 148 116 00014 · Adresse : 68 rue Henri CHALLAND, 21700 NUITS-SAINT-GEORGES Contact / point de contact données : ngdevpro@gmail.com |
L'identité complète du Client (dénomination, SIRET, adresse du siège, représentant habilité) est renseignée et confirmée par l'administrateur du domaine lors de son acceptation dans l'application, à la première ouverture.
Article 2 — Objet et cadre
Le Prestataire met à disposition du Client, en mode SaaS, l'application Ma Vigne de gestion viticole. Dans ce cadre, il est amené à traiter, pour le compte et sur instruction du Client, des données à caractère personnel dont le Client est responsable de traitement. Le présent DPA définit les conditions dans lesquelles le Prestataire s'engage à effectuer ces opérations, conformément à l'article 28 du RGPD.
En cas de contradiction entre le présent DPA et les Conditions Générales sur un point relatif aux données personnelles, le présent DPA prévaut.
Article 3 — Description des traitements
Nature et finalité
Hébergement, stockage, structuration, consultation et sauvegarde de données saisies par le Client dans le cadre de la gestion de son exploitation viticole : parcellaire et travaux, sessions de tracteur, traitements phytosanitaires, gestion des membres d'équipe et planning du personnel, suivi de cave. Le traitement est réalisé exclusivement pour rendre le service Ma Vigne.
Durée
Le traitement est réalisé pour toute la durée du contrat SaaS. Les données sont ensuite conservées et supprimées selon l'article 7 ci-dessous et les Conditions Générales.
Catégories de données à caractère personnel
- Données d'identification : nom, prénom, adresse e-mail des utilisateurs (administrateur, ouvriers, tractoristes, saisonniers) ;
- Données relatives à la vie professionnelle : rôle, affectations, heures travaillées, planning, congés et récupérations, acomptes / avances sur salaire ;
- Données de connexion et de sécurité : identifiants techniques, journaux d'accès.
Aucune donnée relevant de l'article 9 du RGPD (données « sensibles ») n'est requise par le service. Le Client s'engage à ne pas en saisir.
Catégories de personnes concernées
Salariés permanents et saisonniers du Client, dirigeants et contacts de l'exploitation cliente.
Article 4 — Obligations du Prestataire (sous-traitant)
Le Prestataire s'engage à :
- Instructions documentées — traiter les données uniquement sur instruction documentée du Client (le contrat, le paramétrage du service et toute instruction écrite ultérieure), y compris pour les transferts ; il informe le Client si une instruction lui paraît contraire au RGPD ou à la loi Informatique et Libertés ;
- Confidentialité — veiller à ce que les personnes autorisées à traiter les données s'engagent à la confidentialité ;
- Sécurité (art. 32) — mettre en œuvre les mesures techniques et organisationnelles décrites en Annexe 2 ;
- Sous-traitance ultérieure — recourir uniquement aux sous-traitants listés en Annexe 3, dans le cadre d'une autorisation générale ; informer le Client de tout changement envisagé et lui permettre de s'y opposer ;
- Droits des personnes — aider le Client, par des mesures techniques et organisationnelles appropriées, à répondre aux demandes d'exercice des droits (accès, rectification, effacement, limitation, portabilité, opposition) ; l'export JSON intégré facilite l'accès et la portabilité ;
- Assistance — aider le Client à respecter ses obligations au titre des articles 32 à 36 (sécurité, notification de violation, analyse d'impact, consultation préalable), compte tenu de la nature du traitement et des informations à disposition du Prestataire ;
- Violation de données — notifier au Client, dans les meilleurs délais après en avoir pris connaissance, toute violation de données à caractère personnel, en précisant la nature de la violation, les catégories et le volume approximatif de données et de personnes concernées, les conséquences probables et les mesures prises ou proposées ;
- Sort des données — au terme du contrat, au choix du Client, restituer les données (export JSON) puis les supprimer ; supprimer les copies existantes, sauf obligation légale de conservation ;
- Documentation et audit — mettre à la disposition du Client les informations nécessaires pour démontrer le respect de ses obligations, et permettre la réalisation d'audits, dans des conditions raisonnables (préavis, confidentialité, une fois par an au maximum sauf incident) ;
- Registre — tenir un registre des catégories d'activités de traitement effectuées pour le compte du Client (art. 30.2) ;
- Point de contact — désigner Nicolas GUÉRET (ngdevpro@gmail.com) comme point de contact pour toute question relative aux données.
Article 5 — Obligations du Client (responsable de traitement)
- Fournir des instructions licites et documentées, et disposer d'une base légale pour les traitements confiés au Prestataire ;
- Informer ses personnes concernées (notamment ses salariés et saisonniers) du traitement de leurs données et de leurs droits ;
- Ne saisir dans le service aucune donnée sensible (art. 9 RGPD) ni donnée non pertinente ;
- Respecter ses propres obligations (registre art. 30.1, sécurité de ses accès, gestion des habilitations de ses utilisateurs).
Article 6 — Transferts hors Union européenne
Aucun transfert de données hors de l'Union européenne n'est réalisé dans le cadre nominal du service : les données sont hébergées dans la région europe-west1 (Belgique). Tout transfert éventuel (par ex. support technique impliquant un accès depuis un pays tiers) serait encadré par les clauses contractuelles types de la Commission européenne et des mesures supplémentaires appropriées.
Article 7 — Responsabilité, durée, droit applicable
Le présent DPA prend effet à l'acceptation et demeure en vigueur pour toute la durée du contrat SaaS. Chaque partie répond des dommages causés par un manquement à ses obligations au titre du RGPD. Le présent DPA est régi par le droit français ; tout litige relève des juridictions compétentes du ressort du siège du Prestataire, à défaut de résolution amiable.
Annexe 1 — Description détaillée du traitement
| Élément | Description |
| Finalité(s) | Fournir le service de gestion viticole Ma Vigne (parcellaire, travaux, tracteur, phytosanitaire, planning du personnel, cave). |
| Nature des opérations | Collecte (saisie par le Client), stockage, structuration, consultation, modification, sauvegarde, suppression. |
| Catégories de données | Identification (nom, prénom, e-mail) ; vie professionnelle (rôle, heures, planning, congés, acomptes) ; données de connexion et de sécurité. |
| Personnes concernées | Salariés permanents et saisonniers du Client ; dirigeants et contacts de l'exploitation. |
| Durée de conservation | Durée du contrat, puis restitution (export JSON) et suppression conformément aux Conditions Générales (sauf obligation légale). |
Annexe 2 — Mesures de sécurité (art. 32)
- Hébergement dans l'Union européenne — infrastructure Firebase / Google Cloud, région europe-west1 (Belgique).
- Chiffrement — en transit (HTTPS / TLS) et au repos (chiffrement natif de l'infrastructure).
- Isolation par domaine (multi-tenant) — chaque exploitation dispose d'un espace de données cloisonné, garanti par des règles d'accès serveur et des jetons d'identité inviolables (custom claims). Un domaine ne peut pas accéder aux données d'un autre.
- Contrôle d'accès — authentification individuelle ; gestion des rôles (administrateur, ouvrier, tractoriste, saisonnier, pilotage) avec droits en lecture seule le cas échéant.
- Protection anti-abus — App Check / reCAPTCHA v3 sur l'accès et les formulaires.
- Sauvegardes — sauvegardes quotidiennes chiffrées, avec durées de rétention et purge automatique ; possibilité de restauration ciblée.
- Journalisation et alertes — journalisation des accès sensibles et alertes de sécurité en cas d'anomalie.
- Garde anti-perte — mécanismes techniques empêchant l'écrasement de données par un état vide, et procédure de restauration documentée.
Annexe 3 — Sous-traitants ultérieurs autorisés
| Sous-traitant | Rôle | Localisation |
| Google Ireland Limited (Firebase / Google Cloud) | Hébergement, base de données, authentification, sécurité | UE — europe-west1 |
| Fournisseur d'acheminement e-mail (extension Firebase) | E-mails transactionnels et de support | UE — [à préciser] |
Le Prestataire informe le Client de toute modification de cette liste et lui permet de s'y opposer pour un motif légitime.
Signatures
Le présent DPA est accepté par voie électronique, dans l'application Ma Vigne, par l'administrateur habilité du domaine Client. L'acceptation est horodatée et journalisée (identifiant du signataire, empreinte du document, date et heure serveur) ; un reçu est adressé par e-mail et conservé comme preuve. Pour GUERETTECH, l'engagement résulte de la publication du présent document.
GUERETTECH · Nicolas GUÉRET · SIRET 982 148 116 00014 · 68 rue Henri CHALLAND, 21700 NUITS-SAINT-GEORGES ·
ngdevpro@gmail.com
Ma Vigne — service SaaS de gestion viticole · DPA v1.0 — Juillet 2026
✓ Accepté par voie électronique
| Pour le Client (Responsable de traitement) | — — représenté(e) par — |
| Date et heure (serveur) | — |
| Référence | — |
| Empreinte CGU (SHA-256) | — |
| Empreinte DPA (SHA-256) | — |
| Pour le Prestataire (Sous-traitant) | GUERETTECH — Nicolas GUÉRET · engagement par la publication du présent document |
Cet exemplaire reprend l'acceptation enregistrée dans Ma Vigne. La preuve horodatée (identifiant du signataire, empreintes des documents, date et heure serveur, adresse IP anonymisée) est conservée côté serveur et vaut preuve pour les deux parties.