Article 1 — Objet et champ
Le présent DPA encadre les traitements qu'inzo réalise pour le compte du Propriétaire lorsque celui-ci saisit ou téléverse dans la Plateforme des données personnelles concernant ses locataires, candidats locataires, garants ou occupants. Il fait partie intégrante du contrat formé par les CGU et prévaut sur celles-ci pour les traitements concernés.
Article 2 — Définitions
Les termes « données personnelles », « traitement », « responsable de traitement », « sous-traitant », « violation de données » ont le sens que leur donne le règlement (UE) 2016/679 (RGPD). Le « Responsable » désigne le Propriétaire ; le « Sous-traitant » désigne inzo.
Article 3 — Description du traitement
| Élément | Description |
|---|---|
| Nature | Hébergement, structuration, génération de documents (quittances, avis, états des lieux), envoi d'emails, mise à disposition d'un espace locataire |
| Finalité | Gestion locative des biens du Responsable |
| Personnes concernées | Locataires, colocataires, garants, occupants |
| Catégories de données | Identité, coordonnées, données du bail (loyer, charges, dates), situation d'occupation, aides au logement, documents et signatures |
| Durée | Durée d'utilisation de la Plateforme par le Responsable, puis suppression selon la Politique de conservation |
Article 4 — Instructions du Responsable
inzo ne traite les données que sur instruction documentée du Responsable, matérialisée par l'usage des fonctionnalités de la Plateforme et son paramétrage (automatisations, modèles d'emails, destinataires). inzo informe le Responsable si une instruction lui paraît contraire au RGPD.
Article 5 — Obligations d'inzo
- garantir la confidentialité des données et n'y donner accès qu'aux personnes habilitées, soumises à une obligation de confidentialité ;
- mettre en œuvre les mesures techniques et organisationnelles décrites dans la Politique de sécurité (chiffrement, cloisonnement par règles de sécurité, journalisation, sauvegardes) ;
- aider le Responsable à répondre aux demandes d'exercice de droits des personnes concernées ;
- notifier au Responsable toute violation de données dans les meilleurs délais et au plus tard 48 heures après en avoir eu connaissance, avec les informations utiles à sa propre notification à la CNIL ;
- assister le Responsable, à sa demande raisonnable, pour les analyses d'impact éventuelles ;
- au terme du contrat, supprimer ou restituer les données selon le choix du Responsable, dans les conditions de la Politique de suppression des comptes.
Article 6 — Obligations du Responsable
Le Responsable garantit qu'il dispose d'une base légale pour les données qu'il saisit, qu'il informe ses locataires du traitement (l'exécution du bail en constitue le cadre habituel) et qu'il n'introduit dans la Plateforme aucune donnée excessive ou sans lien avec la gestion locative, notamment aucune donnée dite « sensible » au sens de l'article 9 du RGPD.
Article 7 — Sous-traitants ultérieurs
Le Responsable autorise de manière générale le recours aux sous-traitants ultérieurs suivants : Supabase (base de données, authentification, stockage — UE), Vercel (exécution applicative), Resend (emails), Cloudflare (anti-robots). inzo informera le Responsable de tout changement au moins trente (30) jours à l'avance ; à défaut d'accord, le Responsable pourra résilier sans frais. inzo impose à ses sous-traitants des obligations équivalentes au présent DPA.
Article 8 — Transferts hors UE
Les données sont stockées dans l'Union européenne. Les transferts résiduels vers des prestataires américains (acheminement d'emails, protection anti-robots, exécution applicative) sont encadrés par des clauses contractuelles types et, le cas échéant, le Data Privacy Framework.
Article 9 — Audit
inzo met à disposition la documentation nécessaire pour démontrer sa conformité (Trust Center, Politique de sécurité, présent DPA). Le Responsable peut, au plus une fois par an et moyennant un préavis de trente (30) jours, adresser un questionnaire d'audit raisonnable ; un audit sur site ne peut être exigé qu'en cas de manquement avéré, aux frais du Responsable et sans accès aux données d'autres clients.
Article 10 — Responsabilité et durée
Chaque partie répond des dommages causés par sa méconnaissance du RGPD selon la répartition prévue à l'article 82 du RGPD. Le DPA s'applique tant que le Responsable utilise la Plateforme et survit le temps nécessaire à la suppression des données.
Conclusion
Le présent DPA est réputé accepté par le Propriétaire lors de la création de son compte ou de la première saisie de données d'un locataire. Contact : contact@inzo.immo.