Routa
Essai 30 jours

Mentions légales

Accord de traitement des données (DPA)

Dernière mise à jour : 11 mai 2026

Le présent document constitue l'accord de sous-traitance entre Routa(« le sous-traitant ») et le client (« le responsable de traitement ») au sens de l'article 28 du Règlement (UE) 2016/679 (RGPD). Il fait partie intégrante des Conditions Générales d'Utilisation du service Routa.

1. Objet et durée

Routa traite des données personnelles pour le compte du responsable de traitement aux seules fins d'exécuter le service souscrit (gestion de flotte, suivi des tournées, paie, facturation). Le présent DPA prend effet à la souscription et reste en vigueur pendant toute la durée du contrat, et 30 jours après sa résiliation pour la restitution ou la suppression des données.

2. Nature et finalité du traitement

  • Catégories de données : identité (nom, prénom, email), données salariales (bulletins, primes), géolocalisation de véhicules, documents véhicules (cartes grises, photos), permis et attestations de formation chauffeurs.
  • Catégories de personnes : employés du responsable de traitement (chauffeurs, dispatchers, comptables), clients finaux des tournées (destinataires des livraisons).
  • Finalité : exécution opérationnelle du service de gestion de flotte, conformément aux instructions documentées du responsable.

3. Obligations du sous-traitant

  • Ne traiter les données que sur instruction documentée du responsable.
  • Garantir que les personnes autorisées à traiter les données sont soumises à une obligation de confidentialité.
  • Mettre en œuvre les mesures techniques et organisationnelles appropriées (voir Politique de confidentialité) : chiffrement au repos (AES-256), chiffrement en transit (TLS 1.3), isolation multi-tenant au niveau base de données, audit log forensique, authentification à deux facteurs disponible, sauvegardes chiffrées quotidiennes.
  • Assister le responsable pour répondre aux demandes d'exercice des droits des personnes concernées (accès, rectification, effacement, portabilité, limitation).
  • Notifier le responsable de toute violation de données dans les 24h suivant la prise de connaissance.
  • Au choix du responsable, restituer ou supprimer les données à la fin du contrat (sauf obligations légales de conservation — ex. archivage 5 ans des lettres de voiture / factures).
  • Permettre les audits annuels du responsable, à ses frais, avec un préavis de 30 jours.

4. Sous-traitants ultérieurs

Routa tient à jour la liste publique de ses sous-traitants à l'adresse /sous-traitants. Tout ajout ou changement est notifié au moins 30 jours avant son activation. Le responsable peut s'opposer à un nouveau sous-traitant, ce qui ouvrira un droit de résiliation sans pénalité.

5. Transferts hors UE

Lorsqu'un traitement implique un transfert hors UE, Routa s'assure de l'encadrement par les clauses contractuelles types (Décision d'exécution UE 2021/914). Les sous-traitants concernés et le type de données transférées sont listés sur la page sous-traitants.

6. Sécurité des données

Les mesures techniques et organisationnelles mises en œuvre incluent :

  • Chiffrement AES-256-GCM au repos pour les credentials d'intégrations externes
  • TLS 1.3 obligatoire en transit (HSTS preload activé)
  • Authentification multi-facteur TOTP optionnelle pour chaque compte
  • Authentification multi-tenant avec isolation au niveau base de données
  • Audit log immuable des opérations critiques (création/modification/suppression)
  • Sauvegardes chiffrées quotidiennes avec test de restauration mensuel
  • Backup off-site (zone géographique distincte) avec rétention 12 mois
  • Mise à jour de sécurité du système d'exploitation automatisée (unattended-upgrades)

7. Notification des violations

En cas de violation de données personnelles, Routa notifiera le responsable de traitement dans un délai de 24 heures suivant la prise de connaissance, par email à l'administrateur du compte avec toutes les informations exigées par l'article 33§3 du RGPD.

8. Restitution et suppression

À la résiliation du contrat, le responsable de traitement peut, dans un délai de 30 jours, demander un export complet de ses données au format JSON ou CSV. Passé ce délai, toutes les données sont supprimées des systèmes de production sous 7 jours. Les sauvegardes chiffrées suivent la politique de rétention standard (12 mois) après quoi elles sont définitivement détruites.

9. Signature

Pour signer le DPA, contactez dpo@routa.fr. Le document complet vous sera transmis pour signature électronique qualifiée (eIDAS).