⚠ Cette traduction est générée par IA et fournie à titre informatif uniquement. La version anglaise officielle prévaut en cas de divergence.

Addendum de Traitement de Données (ATD) de CarFai — B2B

Date d'entrée en vigueur : La date à laquelle cet ATD est signé par les deux parties ou, s'il est accepté électroniquement via le tableau de bord d'administration de CarFai, la date de son acceptation.

1. Parties

Cet Addendum de Traitement de Données (« ATD ») est conclu entre :

Client (« vous » ou le « Responsable du traitement ») — l'entité identifiée dans le contrat d'abonnement CarFai.
CarFai — CarFai (« nous » ou le « Sous-traitant »), situé à l'adresse disponible sur demande via [email protected].

2. Champ d'application et applicabilité

Cet ATD s'applique dans la mesure où CarFai traite des Données Personnelles (telles que définies par les Lois sur la Protection des Données applicables) pour le compte du Client dans le cadre du service CarFai (le « Service »). Il complète les Conditions d'Utilisation de CarFai et y est incorporé.

En cas de conflit entre cet ATD et les Conditions d'Utilisation, cet ATD prévaut en ce qui concerne le traitement des Données Personnelles.

3. Définitions

« Lois sur la Protection des Données » — le GDPR (UE 2016/679), le GDPR du Royaume-Uni, la LPD suisse, les lois sur la protection de la vie privée applicables des États américains (CCPA/CPRA, VCDPA, CTDPA, etc.), la PDPL des Émirats arabes unis, et toute autre loi sur la protection de la vie privée ou des données applicable au traitement des Données Personnelles en vertu de cet ATD.
« Données Personnelles », « Responsable du traitement », « Sous-traitant », « Traitement », « Personne Concernée » — tels que définis dans le GDPR ou par le terme équivalent dans les Lois sur la Protection des Données applicables.
« Sous-traitant ultérieur » — tout tiers engagé par CarFai pour traiter des Données Personnelles.

4. Rôles des parties

Le Client est le Responsable du traitement des Données Personnelles téléversées sur le Service.
CarFai est le Sous-traitant, agissant sur les instructions documentées du Client (qui incluent l'utilisation du Service conformément aux Conditions d'Utilisation).
Chaque partie doit se conformer aux obligations qui lui incombent en vertu des Lois sur la Protection des Données.

5. Détails du traitement

Élément	Description
Objet	Fourniture du Service CarFai (gestion de véhicules et de documents, conseil par IA, intégration OBD2, fonctionnalités multi-véhicules/flotte)
Durée	La durée de l'abonnement, plus 30 jours après la résiliation pour la suppression des données
Nature et finalité	Tel que décrit dans les Conditions d'Utilisation : hébergement, affichage, traitement, transmission et analyse des données que le Client téléverse ou génère au sein du Service
Catégories de Personnes Concernées	Utilisateurs autorisés du Client (employés, chauffeurs, sous-traitants, gestionnaires de flotte, membres de la flotte)
Catégories de Données Personnelles	Informations de compte, données de véhicule et de document, historique des conversations avec l'IA, données OBD2, journaux d'utilisation (voir la section 1 de la Politique de Confidentialité pour une liste détaillée)
Catégories particulières	Aucune n'est prévue. Le Client s'engage à ne pas téléverser de données de catégories particulières (santé, biométriques, etc.) sans en informer CarFai par écrit

6. Obligations de CarFai en tant que Sous-traitant

CarFai s'engage à :

Traiter les Données Personnelles uniquement sur les instructions documentées du Client, y compris les instructions implicites dans l'utilisation du Service par le Client conformément aux Conditions d'Utilisation. CarFai informera le Client s'il estime qu'une instruction enfreint les Lois sur la Protection des Données.
Assurer la confidentialité — Le personnel de CarFai ayant accès aux Données Personnelles est tenu par des obligations de confidentialité.
Mettre en œuvre des mesures techniques et organisationnelles appropriées (« MTO ») pour protéger les Données Personnelles, telles que décrites à l'Annexe 2 ci-dessous.
Engager des Sous-traitants ultérieurs uniquement tel qu'autorisé en vertu de la Section 7.
Assister le Client pour :
- Répondre aux demandes d'exercice des droits des Personnes Concernées (via les flux d'Exportation et de Suppression dans l'application ; pour les demandes inhabituelles, via le support direct).
- Mener des Analyses d'Impact relatives à la Protection des Données (AIPD) — en fournissant de la documentation sur le traitement effectué par le Service.
- Communiquer avec les autorités de contrôle.
- Notifier les violations de Données Personnelles (conformément à la Section 8).
Au choix du Client, restituer ou supprimer les Données Personnelles à la fin du contrat, sauf lorsque la conservation est requise par la loi (par exemple, l'historique des abonnements pour la conformité fiscale — anonymisé après la période de conservation légale).
Mettre à disposition les informations nécessaires pour démontrer la conformité avec cet ATD, y compris les rapports d'audit des contrôles de CarFai. Lorsque CarFai dispose de rapports d'audit de tiers indépendants (par exemple SOC 2, ISO 27001), ceux-ci peuvent être fournis au lieu d'autoriser des audits sur site, sauf si la loi l'exige.

7. Sous-traitants ultérieurs

7.1 Le Client autorise CarFai à engager des Sous-traitants ultérieurs. La liste actuelle à la date d'entrée en vigueur se trouve à l'Annexe 1.

7.2 CarFai notifiera le Client de tout changement de Sous-traitants ultérieurs au moins 30 jours à l'avance (par courriel au contact administratif enregistré ou via un avis dans l'application). Le Client peut s'y opposer pour des motifs raisonnables ; si les parties ne parviennent pas à résoudre l'objection, le Client peut résilier la partie concernée du Service pour manquement grave.

7.3 CarFai impose à ses Sous-traitants ultérieurs des obligations en matière de protection des données qui ne sont pas moins protectrices que celles de cet ATD.

7.4 CarFai demeure responsable envers le Client de l'exécution des obligations de ses Sous-traitants ultérieurs en matière de protection des données.

8. Violations de Données Personnelles

CarFai s'engage à :

Notifier le Client sans retard injustifié (et en tout cas dans les 48 heures suivant la prise de connaissance d'une violation de Données Personnelles affectant les Données Personnelles du Client).
Fournir les informations raisonnablement requises par le Client pour se conformer à ses obligations de notification de violation (la nature de la violation, les catégories et le nombre approximatif de Personnes Concernées et d'enregistrements concernés, les conséquences probables, les mesures d'atténuation prises).
Coopérer de bonne foi à la réponse du Client.

9. Transferts internationaux de données

Si CarFai transfère des Données Personnelles en dehors de l'EEE / du Royaume-Uni / de la Suisse vers un pays ne bénéficiant pas d'une décision d'adéquation, les parties conviennent que :

Les Clauses Contractuelles Types (CCT) de la Commission européenne (2021/914) s'appliquent, avec le Module 2 (Responsable du traitement à Sous-traitant) et le Module 3 (Sous-traitant à Sous-traitant) le cas échéant.
L'Addendum du Royaume-Uni aux CCT s'applique pour les transferts depuis le Royaume-Uni.
L'évaluation équivalente à la LPD suisse s'applique pour les transferts depuis la Suisse.
Les deux parties mettront en œuvre des mesures supplémentaires appropriées (par exemple, le chiffrement, les contrôles d'accès conformément à l'Annexe 2).

10. Droits des Personnes Concernées

CarFai, en tenant compte de la nature du traitement, fournira une assistance raisonnable au Client pour l'aider à remplir ses obligations de réponse aux demandes des Personnes Concernées :

Le Service inclut des flux en libre-service Exporter mes données et Supprimer le compte qui traitent directement la plupart des demandes des Personnes Concernées.
Pour les demandes que CarFai reçoit directement, CarFai redirigera la Personne Concernée vers le Client (le Responsable du traitement) et en informera le Client.
Pour les demandes inhabituelles ou escaladées, CarFai répondra aux instructions du Client dans des délais raisonnables.

11. Audits

11.1 Pas plus d'une fois par an (et en plus en réponse à une violation de Données Personnelles documentée), le Client peut auditer la conformité de CarFai avec cet ATD, sous réserve de :

Un préavis écrit de 30 jours ;
Une portée et une durée raisonnables convenues à l'avance ;
Obligations de confidentialité ;
Mené aux frais du Client par le Client ou par un auditeur tiers mutuellement convenu ;
Mené pendant les heures de bureau et d'une manière qui ne perturbe pas les opérations de CarFai.

11.2 CarFai peut satisfaire à ses obligations d'audit en fournissant des rapports d'audit de tiers indépendants couvrant la même période (lorsque CarFai obtiendra de telles certifications ; la feuille de route actuelle se trouve dans l'annexe Feuille de route ci-dessous).

Annexe Feuille de route — jalons de l'infrastructure de sécurité (à titre informatif, non contractuel)

Les ajouts d'infrastructure suivants sont prévus mais ne sont pas actuellement en place. Ils sont listés ici par souci de transparence ; ils ne constituent PAS une obligation contractuelle et peuvent être modifiés en fonction des priorités opérationnelles.

Jalon	Cible
Vérification des antécédents du personnel	Lors de l'embauche du premier employé non-fondateur de CarFai
Certification SOC 2 Type II / ISO 27001	À venir, en fonction de la demande des clients
Bannière de consentement aux cookies du site marketing	Avant la première activation du trafic UE

12. Responsabilité

Les dispositions relatives à la responsabilité des Conditions d'Utilisation s'appliquent à cet ATD, sous réserve de toute responsabilité légale non excluable au titre du GDPR ou de la législation équivalente sur la protection des données dans la juridiction du Client.

13. Durée et résiliation

Cet ATD reste en vigueur aussi longtemps que CarFai traite des Données Personnelles pour le compte du Client. Les sections 6 (Obligations du Sous-traitant), 8 (Notification de violation), 9 (Transferts), 10 (Droits des Personnes Concernées) et 11 (Audits) survivront à la résiliation tant que CarFai conservera des Données Personnelles du Client.

14. Modifications

CarFai peut mettre à jour cet ATD pour refléter des changements dans la loi applicable ou dans ses pratiques de traitement. Les modifications substantielles seront notifiées au Client avec un préavis d'au moins 30 jours. La poursuite de l'utilisation du Service par le Client après la date d'entrée en vigueur constitue une acceptation.

15. Droit applicable

Cet ATD est régi par les lois du Québec, Canada, dans la mesure où elles sont compatibles avec les Lois sur la Protection des Données applicables. Les dispositions impératives des Lois sur la Protection des Données prévalent sur le choix de la loi applicable lorsqu'elles s'appliquent.

Annexe 1 — Sous-traitants ultérieurs (au 2026-05-20)

Sous-traitant ultérieur	Service fourni	Région	Lien vers la politique de confidentialité
Anthropic, PBC	Traitement par IA (Claude)	États-Unis	https://www.anthropic.com/legal/privacy
Supabase Inc.	Base de données, authentification, stockage	États-Unis (région us-east à la date d'entrée en vigueur)	https://supabase.com/privacy
RevenueCat, Inc.	État de l'abonnement	États-Unis	https://www.revenuecat.com/privacy
Resend Inc.	Courriels transactionnels	États-Unis	https://resend.com/legal/privacy-policy
Apple Inc.	Distribution iOS + Achat In-App	États-Unis	https://www.apple.com/legal/privacy/
Google LLC	Distribution Android + Facturation Play + OAuth	États-Unis	https://policies.google.com/privacy
Microsoft Corp.	OAuth (si utilisé)	États-Unis	https://privacy.microsoft.com

Annexe 2 — Mesures techniques et organisationnelles (MTO)

CarFai met en œuvre les MTO suivantes pour protéger les Données Personnelles :

Chiffrement

En transit — TLS 1.2+ pour toutes les communications client-serveur
Au repos — Chiffrement AES-256 (géré par le fournisseur via Supabase)

Contrôle d'accès

Contrôle d'accès basé sur les rôles (RBAC) pour les organisations B2B, appliqué au niveau de la base de données via des politiques de sécurité au niveau des lignes (RLS)
Accès à la production par le personnel de CarFai journalisé et audité
Authentification multifacteur requise pour tous les comptes administrateur de CarFai

Ségrégation des données

Architecture multi-locataire avec isolation par organisation appliquée par RLS
Accès inter-organisationnel bloqué au niveau de la couche de requêtes de la base de données

Sécurité du réseau

Pare-feu applicatif web (WAF) en périphérie de réseau
Limitation du débit par utilisateur et par point de terminaison
Vérification de la signature des webhooks pour tous les webhooks entrants (RevenueCat, etc.)

Sécurité applicative

Analyse des secrets avant commit (Gitleaks)
Analyse des vulnérabilités des dépendances (Dependabot, npm audit) sur chaque PR
Revue de sécurité manuelle au regard des contrôles OWASP Mobile et ASVS applicables au Service
Défenses contre l'injection de prompts IA : séparation des prompts système/utilisateur, marquage du contenu non fiable, validation des sorties, mise en quarantaine du contenu de recherche web

Surveillance et réponse aux incidents

Rapports de plantage et d'erreurs
Journalisation des événements de sécurité
Manuel de réponse aux incidents documenté
Engagement de notification de violation sous 48 heures conformément à la Section 8

Personnel

Obligations de confidentialité pour tout le personnel
Formation annuelle de sensibilisation à la sécurité

Sauvegarde et récupération

Récupération à un point dans le temps (PITR) sur la base de données de production
Sauvegardes quotidiennes conservées pendant 30 jours
Procédures de reprise après sinistre documentées

Gestion des risques tiers

La sélection des sous-traitants ultérieurs inclut un examen de la protection des données
Les sous-traitants ultérieurs sont liés par des obligations de protection des données non moins protectrices que celles de cet ATD

Signatures

Client : Nom : __________________________ Titre : __________________________ Date : __________________________ Signature : __________________________

CarFai : Nom : __________________________ Titre : __________________________ Date : __________________________ Signature : __________________________

Historique des révisions

Version	Date	Notes
v1	2026-05-20	Publication initiale.