DPA — Accord de sous-traitance
Dernière mise à jour : 18 mai 2026
1. Préambule
Le présent Accord de sous-traitance (« DPA », pour Data Processing Agreement) formalise les obligations de byArno SAS (« le Sous-traitant ») envers tout DJ utilisateur de MixOS (« le Responsable de traitement ») au sens de l'article 28 du Règlement (UE) 2016/679 (« RGPD »).
Il s'applique automatiquement à compter de la souscription au Service et fait partie intégrante des CGV.
2. Objet du traitement
Le DJ utilise MixOS pour gérer la relation commerciale et opérationnelle avec ses clients finaux (couples, particuliers, entreprises). À ce titre, il confie à MixOS le traitement de leurs données personnelles dans le cadre suivant :
| Catégorie | Détail |
|---|---|
| Nature des opérations | Collecte, stockage, modification, envoi d'emails contractuels, génération de PDF, push agenda, suppression sur demande. |
| Finalités | Pré-réservation, devis, contrat, encaissement, set list, planification, demande d'avis post-presta. |
| Catégories de personnes | Clients finaux du DJ (prospects, mariés, organisateurs d'événements). |
| Catégories de données | État civil, coordonnées (email, téléphone), informations sur l'événement (date, lieu, brief), montants payés. |
| Données sensibles | Aucune (le DJ s'engage à ne pas saisir de données spéciales art. 9 RGPD). |
| Durée | Durée du contrat principal entre byArno SAS et le DJ. |
3. Obligations du Sous-traitant (MixOS)
byArno SAS s'engage à :
- Ne traiter les données du DJ que sur instructions documentées de ce dernier, telles que matérialisées par l'usage des fonctionnalités du Service.
- Garantir la confidentialité des données : seules les personnes habilitées par byArno SAS, soumises à une obligation de confidentialité, y ont accès.
- Mettre en œuvre les mesures techniques et organisationnelles appropriées (TLS 1.3, chiffrement des sauvegardes, magic link sans mot de passe, 2FA TOTP optionnelle, isolation par tenant, rate limit, logs d'accès).
- Assister le DJ dans la mise en œuvre des droits des personnes concernées (accès, rectification, effacement, portabilité, opposition, limitation).
- Notifier toute violation de données dans un délai maximum de 72 heures après en avoir pris connaissance, par email au DJ concerné.
- Supprimer ou restituer toutes les données personnelles à la fin de la prestation (résiliation), au choix du DJ, et détruire les copies existantes (sous réserve des obligations légales de conservation).
4. Sous-traitants ultérieurs
Le DJ autorise byArno SAS à recourir aux sous-traitants ultérieurs listés ci-dessous. byArno SAS s'engage à informer le DJ de tout ajout ou remplacement avec un préavis raisonnable, lui permettant d'émettre des objections.
| Sous-traitant | Localisation | Finalité |
|---|---|---|
| OVHcloud SAS | France (Roubaix / Gravelines) | Hébergement base de données et stockage objet |
| Stripe, Inc. | Irlande / États-Unis (SCC) | Paiement de l'abonnement MixOS du DJ uniquement — aucune donnée prospect transmise |
| UniSend (byArno SAS) | France | Envoi d'emails transactionnels |
| Google LLC | Irlande | Synchronisation Google Calendar (opt-in DJ uniquement) |
5. Transferts hors UE
Aucun transfert systématique hors UE n'est effectué pour les données des clients finaux du DJ (prospects, devis, contrats, factures). Le seul transfert concerne Stripe (États-Unis), uniquement pour le paiement de l'abonnement MixOS du DJ — aucune donnée des clients finaux n'est partagée avec Stripe. Ce transfert est couvert par des Clauses Contractuelles Types (CCT) approuvées par la Commission européenne et la certification DPF de Stripe.
6. Droits des personnes concernées
Les clients finaux du DJ adressent leurs demandes RGPD au DJ(responsable de traitement). byArno SAS met à disposition les outils nécessaires pour répondre dans les délais légaux :
- Export des données d'un prospect via la fiche prospect.
- Modification directe depuis l'interface MixOS.
- Suppression individuelle (cascade automatique sur devis brouillons, messages non envoyés ; conservation des factures émises pour conformité fiscale).
- Demande exceptionnelle de suppression complète : rgpd@mixos.cloud.
7. Audit
Le DJ peut, à ses frais, sur préavis raisonnable et au plus une fois par an, demander un rapport d'audit des mesures de sécurité mises en œuvre, sous réserve de signature préalable d'un accord de confidentialité.
8. Durée et résiliation
Le présent DPA prend effet à la souscription au Service et reste applicable jusqu'à la suppression définitive des données par byArno SAS, conformément aux délais indiqués dans la politique de confidentialité.
9. Contact DPO
Pour toute question relative au présent DPA ou aux traitements opérés par MixOS : rgpd@mixos.cloud.