conformément à l'art. 28 du RGPD
Version : avril 2026
La présente traduction est fournie à titre purement informatif. Seule la version allemande fait juridiquement foi. Vers la version allemande
Le présent accord de sous-traitance (ci-après « AVV ») précise les obligations des parties contractantes en matière de protection des données, telles qu'elles résultent du contrat d'utilisation de la plateforme RIKE conclu entre elles (ci-après « Contrat principal »). Il s'applique à toutes les activités dans le cadre desquelles la Vegvísir GmbH (ci-après « le Sous-traitant ») traite des données à caractère personnel du client (ci-après « le Donneur d'ordre » ou « le Responsable du traitement ») pour le compte de celui-ci.
(1) L'objet de la sous-traitance est la mise à disposition de la plateforme SaaS cloud RIKE pour la gestion des membres, des événements, des documents, de la communication et d'autres processus liés à la vie associative ou de club, conformément au Contrat principal.
(2) La durée de la sous-traitance correspond à la durée du Contrat principal. Elle commence avec la mise à disposition de la Plateforme et prend fin avec la fin du contrat, au plus tard toutefois avec la suppression définitive de toutes les données du Donneur d'ordre conformément au § 10 du présent AVV.
Nature du traitement : collecte, enregistrement, structuration, adaptation, consultation, transmission, effacement, limitation et autres opérations liées à la mise à disposition de la Plateforme.
Finalité du traitement : permettre au Donneur d'ordre d'utiliser la plateforme RIKE conformément au contrat, aux fins de l'organisation et de la gestion de son club ou de son association.
Types de données à caractère personnel :
Catégories de personnes concernées :
Les catégories particulières de données à caractère personnel au sens de l'art. 9 du RGPD ne font pas l'objet de la sous-traitance. Le Donneur d'ordre est tenu de ne pas introduire de telles données dans la Plateforme sans concertation préalable et sans sécurisation technique complémentaire.
(1) Le Sous-traitant traite les données à caractère personnel exclusivement dans le cadre des accords conclus et sur instruction documentée du Donneur d'ordre, à moins qu'il ne soit légalement tenu de procéder à un autre traitement. Dans un tel cas, le Sous-traitant informe le Donneur d'ordre de ces exigences juridiques avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d'intérêt public.
(2) Le Sous-traitant informe sans délai le Donneur d'ordre s'il estime qu'une instruction constitue une violation de dispositions relatives à la protection des données. Le Sous-traitant est en droit de suspendre l'exécution de l'instruction concernée jusqu'à ce qu'elle soit confirmée ou modifiée par le Donneur d'ordre.
(3) Le Sous-traitant garantit que les personnes autorisées à traiter les données se sont engagées à respecter la confidentialité ou sont soumises à une obligation légale appropriée de confidentialité.
(4) Le Sous-traitant met en œuvre les mesures techniques et organisationnelles décrites au § 5 conformément à l'art. 32 du RGPD et les maintient pendant la durée du contrat.
(5) Le Sous-traitant assiste le Donneur d'ordre, dans la mesure de ses possibilités, dans le traitement des demandes et des droits des personnes concernées conformément au chapitre III du RGPD ainsi que dans le respect des obligations visées aux art. 32 à 36 du RGPD.
(6) Le Sous-traitant a désigné un délégué à la protection des données externe, dans la mesure où la loi l'exige. Ses coordonnées sont communiquées au Donneur d'ordre sur demande.
(1) Dans le cadre du présent contrat, le Donneur d'ordre est seul responsable du respect des dispositions légales en matière de protection des données, en particulier de la licéité de la transmission des données au Sous-traitant ainsi que de la licéité du traitement des données (« Responsable du traitement » au sens de l'art. 4, point 7 du RGPD).
(2) Le Donneur d'ordre donne en principe ses instructions par écrit ou sous forme textuelle (p. ex. par e-mail à support@rike.club). Les instructions orales doivent être confirmées sans délai par écrit ou sous forme textuelle.
(3) Le Donneur d'ordre désigne auprès du Sous-traitant les personnes habilitées à donner des instructions. En cas de doute, les utilisateurs enregistrés comme administrateurs dans le système sont réputés habilités à donner des instructions.
(4) Le Donneur d'ordre informe sans délai le Sous-traitant s'il constate des erreurs ou des irrégularités en rapport avec le traitement de données à caractère personnel effectué par le Sous-traitant.
Conformément à l'art. 32 du RGPD, le Sous-traitant garantit la sécurité du traitement au moyen de mesures techniques et organisationnelles appropriées. Celles-ci comprennent notamment :
1. Confidentialité
2. Intégrité
3. Disponibilité et résilience
4. Procédures de vérification, d'analyse et d'évaluation régulières
La version actuelle des TOM est mise à la disposition du Donneur d'ordre sur demande, sous forme détaillée. Le Sous-traitant est en droit d'adapter les TOM dans le cadre de l'évolution technique, à condition que le niveau de protection convenu dans l'AVV ne soit pas abaissé.
(1) Le Donneur d'ordre consent au recours aux sous-traitants ultérieurs mentionnés ci-après :
| Nom | Siège | Prestation |
|---|---|---|
| Vercel Inc. | USA (centres de données UE à Francfort) | Hébergement web, distribution edge |
| Supabase Inc. | Singapour (centres de données UE à Francfort) | Base de données, authentification, stockage de fichiers |
| Stripe Payments Europe, Ltd. | Irlande | Traitement des paiements |
| Resend, Inc. | USA | E-mails transactionnels |
| Anthropic PBC | USA | Assistant IA (uniquement dans le tarif Platin) |
(2) Le Sous-traitant a conclu avec tous les sous-traitants ultérieurs mentionnés des contrats conformes à l'art. 28 du RGPD, garantissant un niveau de protection comparable à celui du présent AVV. Pour les transferts vers des pays tiers, des clauses contractuelles types de la Commission européenne conformément à l'art. 46 du RGPD ainsi que des garanties complémentaires sont en place.
(3) Le Sous-traitant informe le Donneur d'ordre en temps utile, sous forme textuelle, avant l'ajout ou le remplacement d'un sous-traitant ultérieur (p. ex. par e-mail à l'adresse d'administrateur enregistrée ou par notification dans la Plateforme). Le Donneur d'ordre peut s'opposer à la modification, sous forme textuelle, pour un motif important relevant du droit de la protection des données, dans un délai de 14 jours à compter de la réception de la notification.
(4) Si le Donneur d'ordre s'oppose de manière justifiée, le Sous-traitant est en droit de résilier le contrat moyennant un préavis de 30 jours, dans la mesure où aucune solution amiable ne peut être trouvée.
(5) Ne constituent pas des relations de sous-traitance ultérieure au sens de la présente disposition les prestations que le Sous-traitant sollicite auprès de tiers à titre de prestations purement accessoires (p. ex. services de télécommunications, services postaux et de transport, nettoyage, personnel de maintenance).
(1) Le Sous-traitant assiste le Donneur d'ordre, dans la mesure du possible, au moyen de mesures techniques et organisationnelles appropriées, dans l'exécution des droits des personnes concernées conformément aux art. 12 à 22 du RGPD (accès, rectification, effacement, limitation, portabilité des données, opposition).
(2) Si une personne concernée s'adresse directement au Sous-traitant pour exercer ses droits, le Sous-traitant transmet cette demande sans délai au Donneur d'ordre.
(3) Le Donneur d'ordre dispose de manière autonome des fonctions d'accès, de rectification et d'effacement dans l'administration de la Plateforme et les utilise lui-même pour le traitement des droits des personnes concernées.
(1) Le Sous-traitant informe le Donneur d'ordre sans délai, au plus tard toutefois dans les 48 heures suivant la prise de connaissance, de toute violation de la protection des données à caractère personnel du Donneur d'ordre (art. 33 du RGPD).
(2) La notification contient au minimum :
(3) Le Sous-traitant assiste le Donneur d'ordre dans l'exécution de ses obligations de notification auprès de l'autorité de contrôle (art. 33 du RGPD) et de communication aux personnes concernées (art. 34 du RGPD).
(1) Le Donneur d'ordre a le droit de s'assurer du respect par le Sous-traitant des obligations découlant du présent AVV. À cette fin, le Sous-traitant met à la disposition du Donneur d'ordre, sur demande, les informations nécessaires, en particulier :
(2) Si, de l'avis du Donneur d'ordre, la présentation des documents susmentionnés ne suffit pas, le Donneur d'ordre peut faire réaliser, une fois par an ou pour un motif particulier, un contrôle sur place par un tiers expert qu'il désigne. Ce tiers ne doit pas être un concurrent du Sous-traitant et doit être soumis à une obligation de confidentialité.
(3) Les contrôles doivent être annoncés sous forme textuelle avec un préavis d'au moins 30 jours et se dérouler pendant les heures ouvrables habituelles, sans perturber de manière disproportionnée le fonctionnement de l'entreprise.
(4) Les frais du contrôle sont à la charge du Donneur d'ordre. Le Sous-traitant est en droit de facturer une rémunération appropriée pour sa propre charge de travail.
(1) À l'issue de la sous-traitance – au plus tard à la fin du Contrat principal – le Sous-traitant met à la disposition du Donneur d'ordre, pendant 30 jours et via la Plateforme, un export de ses données dans un format courant et lisible par machine (p. ex. JSON/CSV).
(2) À l'expiration du délai d'export, le Sous-traitant supprime, de manière conforme à la protection des données et irrévocable, l'ensemble des données à caractère personnel traitées dans le cadre du Contrat principal, y compris les éventuelles copies détenues par les sous-traitants ultérieurs, sauf si des obligations légales de conservation s'opposent à la suppression.
(3) Les données de sauvegarde sont supprimées dans le cadre de la rotation habituelle des sauvegardes, au plus tard toutefois dans les 90 jours suivant la fin du contrat.
(4) La suppression est confirmée au Donneur d'ordre sur demande, par écrit ou sous forme textuelle.
La responsabilité des parties est régie par les dispositions du Contrat principal, applicables par analogie, sauf disposition contraire du présent AVV. L'art. 82 du RGPD demeure inchangé.
(1) Le présent AVV complète le Contrat principal. Si certaines dispositions du présent AVV sont ou deviennent invalides, la validité des autres dispositions n'en est pas affectée. La disposition invalide est réputée remplacée par la disposition valide qui se rapproche le plus du sens et de la finalité de la disposition invalide.
(2) En cas de contradiction entre le présent AVV et le Contrat principal, les dispositions du présent AVV prévalent dans la mesure où elles concernent des questions de protection des données.
(3) Le droit de la République fédérale d'Allemagne s'applique. Le for exclusif est Hambourg.
Le présent AVV devient automatiquement partie intégrante du contrat lors de la conclusion du Contrat principal (commande d'un tarif payant via la plateforme rike.club). Une signature séparée n'est pas requise ; le Donneur d'ordre accepte le présent AVV de manière tacite par la conclusion du Contrat principal.
Sur demande, le Sous-traitant met à disposition une version du présent AVV signée séparément. Les demandes à ce sujet sont à adresser à support@rike.club.
Vegvísir GmbH
Ballindamm 27
20095 Hamburg
Allemagne
Gérant : Mark C. Reinold
HRB 178193, Amtsgericht Hamburg
N° de TVA : DE357182449