Tourvia Tourvia
Docs Request a 30-day trial
← Retour au site

Accord de Traitement des Données (DPA)

Data Processing Agreement | RGPD | Version 2.1 | 29 juin 2026

L’Éditeur : SKZ Consulting, société par actions simplifiée unipersonnelle (SASU) au capital de 1 000 €
Siège social : 14 rue Bausset, 75015 Paris, RCS Paris 102 154 879, SIRET : 102 154 879 00013
Domiciliataire : HIWAY (RCS 801 666 074)
Représentée par Mathieu Szymkiewicz, Président, contact@routeforce.app

Article 1: Objet et contexte

Le présent accord définit les engagements des Parties en matière de protection des données à caractère personnel dans le cadre de l’utilisation du Logiciel Tourvia.

Tourvia, anciennement RouteForce, est un Managed Package Salesforce installé dans l’organisation Salesforce du Client. Les enregistrements métier du Client restent dans Salesforce. Pour fournir le service, l'Éditeur traite uniquement les catégories de données décrites ci-dessous.

L'Éditeur traite des données à caractère personnel dans trois cas limités : (a) calcul d'itinéraires à partir de coordonnées géographiques et de contraintes temporelles ; (b) gestion administrative de la licence ; (c) journaux techniques nécessaires à la sécurité et au diagnostic.

Article 2: Description des traitements

2.1 Service de Routing (traitement transitoire)

ÉlémentDescription
FinalitéCalcul d'itinéraires optimisés
Données transmisesCoordonnées géographiques, durées de visite, fenêtres horaires, horaires de travail et autres contraintes temporelles nécessaires au calcul
Données NON transmisesNoms, adresses postales, téléphones, emails; ces données restent dans Salesforce
Nature du traitementTransitoire: calcul en mémoire, aucun stockage
Durée de conservationZéro: les coordonnées ne sont pas enregistrées
HébergementOVHcloud SAS, datacenter Gravelines (France)
Qualification RGPDLes coordonnées géographiques peuvent constituer des données à caractère personnel lorsqu'elles se rapportent directement ou indirectement à une personne. Le Client agit comme responsable du traitement et SKZ Consulting comme sous-traitant pour ce calcul.

2.2 Données d'administration de licence

ÉlémentDescription
FinalitéGestion de la relation commerciale, facturation, support
Données traitéesNom de l'entreprise, nom et email du contact principal, identifiant de facturation
Base légaleExécution du contrat (art. 6.1.b RGPD)
StockageBase PostgreSQL sur VPS OVHcloud, Gravelines (France)
Durée de conservationDurée du contrat + 30 jours

2.3 Logs techniques

ÉlémentDescription
DonnéesAdresses IP, timestamps, URLs appelées, user-agent
FinalitéSécurité, débogage, détection d'abus
Durée de conservation14 jours (rotation automatique)
Base légaleIntérêt légitime (art. 6.1.f RGPD)

Article 3: Mesures de sécurité

Article 4: Sous-traitants techniques

PrestataireRôleLocalisationGaranties
OVHcloud SASHébergement VPSFrance (Gravelines)ISO 27001, HDS, DPA OVH
GitHub (Microsoft)Sauvegardes chiffréesUSADonnées chiffrées GPG, SCCs, SOC 2
StripeFacturationUSA/UEPCI-DSS, SCCs, DPA Stripe
Brevo (ex-Sendinblue)Emails transactionnelsFrance/UEDPA Brevo, hébergement UE
TailscaleAccès d'administration sécuriséUSA/UEAccès privé administrateur, pas d'usage comme hébergeur principal des données client
UptimeRobotMonitoring disponibilitéUSA/UEAucune donnée personnelle transmise

L'Éditeur informe le Client de tout changement de sous-traitant. Le Client dispose de trente (30) jours pour s'opposer.

Article 5: Transferts hors UE

Les données d'administration et les logs sont hébergés en France (OVHcloud, Gravelines). Les sauvegardes chiffrées GPG sont stockées sur GitHub (Microsoft, USA) sous couvert des SCCs du DPA Microsoft; GitHub n'accède pas aux données en clair. Stripe opère sous les SCCs pour les données aux USA. Le Service de Routing ne transfère aucune donnée hors UE.

Article 6: Rôles, instructions et droits des personnes

Pour les données métier et les données transmises au Service de Routing, le Client agit comme responsable du traitement et SKZ Consulting comme sous-traitant. SKZ Consulting agit séparément comme responsable du traitement pour la relation commerciale, la facturation, le support et l'administration de licence.

SKZ Consulting traite les données confiées pour le compte du Client uniquement sur instruction documentée de celui-ci, y compris pour les transferts éventuels, sauf obligation légale contraire. Si une instruction paraît contraire au RGPD ou au droit applicable, SKZ Consulting en informe le Client sans délai.

Les personnes autorisées à traiter les données sont soumises à une obligation de confidentialité. SKZ Consulting aide le Client, dans la mesure du possible et compte tenu de la nature du traitement, à répondre aux demandes d'exercice des droits et à respecter ses obligations relatives à la sécurité, aux violations de données, aux analyses d'impact et aux consultations préalables.

Les sous-traitants ultérieurs sont soumis à des obligations de protection des données au moins équivalentes à celles du présent accord. SKZ Consulting demeure responsable envers le Client de l'exécution de leurs obligations dans les conditions prévues par le droit applicable.

Pour les données d'administration traitées par SKZ Consulting comme responsable du traitement, toute demande d'accès, rectification, effacement ou portabilité peut être adressée à contact@routeforce.app.

Article 7: Notification de violation

En cas de violation de sécurité, l'Éditeur notifie le Client dans un délai de 48 heures et coopère pour la notification à la CNIL (72h réglementaires) si nécessaire.

Article 8: Sort des données en fin de contrat

Les données métier Salesforce restent dans l'environnement Salesforce du Client. À la fin du contrat, SKZ Consulting restitue ou supprime, au choix du Client, les données traitées pour son compte, puis supprime les copies existantes sauf obligation légale de conservation. Les données d'administration sont supprimées dans les trente (30) jours, sous réserve des durées légales applicables, notamment aux factures. L'Éditeur certifie la suppression par écrit sur demande.

Article 9: Droit d'audit

Le Client dispose d'un droit d'audit annuel (préavis de 30 jours). L'audit peut prendre la forme d'un questionnaire, d'une visioconférence ou d'une inspection. Les frais sont à la charge du Client.

Annexe: Synthèse des traitements

TraitementResponsableDonnéesLocalisationRétention
Données CRMClientDonnées métierSalesforce du ClientContrôlée par le Client
Calcul d'itinérairesClient responsable; SKZ Consulting sous-traitantCoordonnées géographiques et contraintes temporellesOVH Gravelines (FR)Traitement transitoire en mémoire
Administration licenceÉditeurNom entreprise, email, ID StripeOVH Gravelines (FR)Durée contrat + 30j
Logs techniquesÉditeurIP, timestamps, URLsOVH Gravelines (FR)14 jours
Sauvegardes adminÉditeurDump chiffré GPGOVH (FR) + GitHub (US, chiffré)30 jours glissants
Emails transactionnelsÉditeur (via Brevo)Adresses emailBrevo (FR/UE)Selon politique Brevo