Accord de Traitement des Données (DPA)

Annexe aux Conditions Générales de Vente — Article 28 du RGPD (UE 2016/679)

Version 1.0 — 20 mai 2026

Relecture juriste recommandée avant signature de gros contrats. Ce document est un modèle conforme aux exigences de l'art. 28 RGPD, pré-rempli avec les informations de l'éditeur. Suffisant pour un démarrage commercial.

1. Parties

Le Responsable de traitement : la salle de sport cliente (ci-après « le Client »), qui détermine les finalités et moyens du traitement des données de ses adhérents.

Le Sous-traitant : SARL Devil Performance, société à responsabilité limitée, SIRET 984 167 247 00019, sise 32 rue Alexis Jaubert, 19100 Brive-la-Gaillarde, France, éditrice de la plateforme Binguo (ci-après « Binguo »), représentée par son gérant Charly, contact contact@binguo.fr, qui traite les données pour le compte du Client.

2. Objet

Le présent accord encadre le traitement par Binguo, en qualité de sous-traitant, des données à caractère personnel des adhérents et prospects du Client, dans le cadre de la fourniture du service Binguo CRM / Coach / Resa.

3. Nature et finalités du traitement

ÉlémentDescription
FinalitéGestion des adhérents, planning et réservations de cours, facturation, prélèvements SEPA, suivi des performances sportives, communication transactionnelle.
Catégories de personnesAdhérents, prospects, coachs et personnel du Client.
Catégories de donnéesIdentité (nom, email, téléphone, date de naissance, adresse), données de paiement (IBAN masqué, références mandats — l'IBAN complet est hébergé par GoCardless), données de santé déclaratives (objectifs, notes, contre-indications), données d'activité (réservations, présences, performances).
DuréePendant la durée du contrat. En fin de contrat : suppression sous 30 jours, sauf données comptables conservées 10 ans (obligation légale, art. L123-22 C. com.) sous forme anonymisée.

4. Obligations de Binguo (sous-traitant)

5. Sous-traitants ultérieurs autorisés

Le Client autorise Binguo à recourir aux sous-traitants suivants, présentant des garanties RGPD :

Sous-traitantRôleLocalisation données
SupabaseBase de données + authentificationUE (région EU)
VercelHébergement applicatif / serverlessUE / mondiale (CDN) — clauses contractuelles types
StripePaiement de l'abonnement de la salleUE / USA — DPF + CCT
GoCardlessPrélèvements SEPA des adhérentsUE / UK — clauses contractuelles types
ResendEnvoi des emails transactionnelsUE / USA — CCT

Toute modification de cette liste sera notifiée au Client, qui peut s'y opposer pour motif légitime.

6. Mesures de sécurité

7. Transferts hors UE

Les données sont hébergées prioritairement dans l'Union européenne. Les transferts éventuels vers des sous-traitants hors UE (Vercel, Stripe, Resend) sont encadrés par des Clauses Contractuelles Types de la Commission européenne et/ou le Data Privacy Framework.

8. Responsabilité et durée

Le présent DPA prend effet à la souscription et reste en vigueur pendant toute la durée du contrat principal. En cas de contradiction, les dispositions du présent DPA priment sur les CGV pour ce qui concerne la protection des données.

Dernière mise à jour : 20 mai 2026 · CGV · Politique de confidentialité · Mentions légales