MetaMasterRetour à l'accueil

Accord de traitement des données (DPA)

Dernière mise à jour : 21 mai 2026

1. Parties

  • Le Responsable de traitement : le tenant client, personne morale utilisant MetaMaster pour gérer son activité CEE (ci-après "le Tenant").
  • Le Sous-traitant: l'éditeur de MetaMaster (ci-après "MetaMaster").

2. Objet de la sous-traitance

MetaMaster traite, pour le compte du Tenant, les données personnelles suivantes :

  • Bénéficiaires des travaux CEE: nom, prénom, adresse postale, email, téléphone, situation de précarité, revenus déclarés, copie de pièces d'identité, RIB.
  • Personnes physiques chez les acteurs métier (installateurs, visiteurs, auditeurs, mandataires, fournisseurs) : nom, prénom, coordonnées professionnelles, certifications, casquettes attribuées.
  • Pièces jointes aux dossiers : CNI, justificatifs de domicile, factures, attestations COFRAC, photos de chantier.

3. Finalités du traitement

Les données sont traitées exclusivement pour les finalités suivantes, définies par le Tenant :

  • Gestion administrative et opérationnelle des dossiers CEE (prospection, visite, devis, pose, dépôt).
  • Suivi de la facturation et des règlements financiers liés aux dossiers.
  • Transmission aux mandataires CEE pour valorisation des certificats.
  • Production des documents contractuels et réglementaires (devis, attestations, bons de retour).

MetaMaster s'interdit tout traitement à des fins propres autre que la fourniture du service technique convenu.

4. Obligations de MetaMaster (sous-traitant)

Conformément à l'article 28.3 du RGPD, MetaMaster s'engage à :

  • Ne traiter les données que sur instruction documentée du Tenant (les présentes CGU et DPA valant instruction générale).
  • Garantir que ses employés autorisés à accéder aux données sont soumis à une obligation de confidentialité.
  • Mettre en œuvre les mesures techniques et organisationnelles appropriées (cf. article 7 ci-dessous).
  • Ne recourir qu'à des sous-traitants ultérieurs identifiés et présentant des garanties suffisantes (cf. article 5).
  • Assister le Tenant pour répondre aux demandes d'exercice des droits des personnes concernées (accès, rectification, effacement, portabilité, opposition).
  • Notifier au Tenant toute violation de données dans un délai maximum de 72 heures après en avoir pris connaissance.
  • Mettre à disposition du Tenant toutes les informations nécessaires pour démontrer le respect des obligations RGPD, et permettre la réalisation d'audits (article 28.3.h).
  • À la fin de la prestation, supprimer ou restituer l'ensemble des données traitées, au choix du Tenant.

5. Sous-traitants ultérieurs

Pour la fourniture du service, MetaMaster recourt aux sous-traitants ultérieurs suivants. Le Tenant en accepte la liste lors de l'adhésion au service. MetaMaster s'engage à informer préalablement le Tenant de tout changement et à lui permettre de s'y opposer.

5.1 Hébergement et base de données

  • Supabase Inc. — base de données PostgreSQL, stockage de fichiers, authentification. Région UE (Francfort, Allemagne).
  • Vercel Inc. — hébergement applicatif. États-Unis, sous Clauses Contractuelles Types.

5.2 Emails transactionnels

  • Resend Inc. — envoi des emails (invitations, notifications, reset MdP). États-Unis, sous CCT.

5.3 Intelligence artificielle (optionnelle, opt-in)

  • Anthropic PBC(Claude API) — utilisée uniquement si activée explicitement par le Tenant, pour l'extraction assistée de documents (factures, attestations) ou la suggestion de fiches CEE. États-Unis, sous CCT. Aucune donnée n'est envoyée à Anthropic sans activation préalable du tenant.

6. Localisation et transferts hors UE

Les données métier (dossiers, bénéficiaires, documents) sont stockées physiquement dans l'Union européenne (Francfort). Certains traitements techniques (rendu applicatif, envoi d'emails) sont opérés par des sous-traitants situés aux États-Unis, qui se sont engagés via les Clauses Contractuelles Types adoptées par la Commission européenne à garantir un niveau de protection équivalent.

7. Mesures de sécurité

Conformément à l'article 32 du RGPD, MetaMaster met en œuvre les mesures suivantes :

  • Chiffrement TLS 1.3 pour toutes les communications entre le client et les serveurs.
  • Chiffrement at-rest (AES-256) des bases de données et stockages.
  • Isolation stricte des données entre tenants par Row Level Security PostgreSQL — chaque requête est filtrée par tenant_id.
  • Authentification multi-couche, mots de passe stockés sous forme de hash bcrypt.
  • Journalisation immuable des actions sensibles (audit trail) pour assurer la traçabilité et la non-répudiation.
  • Sauvegardes quotidiennes des bases de données, conservées 30 jours dans une infrastructure redondante.
  • Tests de restauration réguliers pour valider l'intégrité des sauvegardes.
  • Accès limité par le principe du moindre privilège — seuls les opérateurs MetaMaster strictement habilités peuvent accéder aux données tenant, et uniquement après traçabilité de l'intervention.

8. Durée et fin du contrat

Le présent DPA est conclu pour toute la durée d'utilisation du service par le Tenant. À la fin du contrat :

  • Le Tenant peut demander une extraction complète de ses données dans un format structuré (export JSON/CSV/PDF selon les types).
  • Une période de conservation tampon de 30 jours permet au Tenant de récupérer ses données après résiliation.
  • Passé ce délai, l'ensemble des données est supprimé définitivement, sauf obligation légale de conservation (par exemple pièces de facturation conservées 10 ans).

9. Audit et contrôle

Le Tenant a le droit, à ses frais et avec un préavis raisonnable (minimum 15 jours ouvrés), de réaliser ou faire réaliser par un tiers indépendant un audit des mesures de sécurité mises en œuvre par MetaMaster, dans la limite d'un audit par an. MetaMaster s'engage à coopérer de bonne foi et à fournir toutes informations utiles à la conduite de l'audit.

10. Notification d'incident

En cas de violation de données personnelles (perte, accès non autorisé, divulgation), MetaMaster s'engage à notifier le Tenant dans un délai maximum de 72 heures après en avoir pris connaissance, en lui transmettant :

  • La nature de la violation et les catégories de données concernées.
  • Le volume approximatif de personnes et d'enregistrements touchés.
  • Les conséquences probables.
  • Les mesures prises pour y remédier et en limiter l'impact.

Cette notification permet au Tenant d'assumer ses propres obligations vis-à-vis de la CNIL (notification sous 72h) et des personnes concernées (information sans délai en cas de risque élevé).

11. Litiges

Tout litige relatif à l'exécution du présent DPA est régi par le droit français et relève de la compétence des tribunaux français, conformément aux CGU.