Conforme à l'article 28 du Règlement (UE) 2016/679 (RGPD). À signer entre VerifBail (sous-traitant) et votre agence (responsable de traitement) lors de la souscription d'un abonnement.
Le présent accord de sous-traitance (ci-après "DPA") est conclu entre :
Il définit les conditions dans lesquelles le Sous-traitant traite, pour le compte du Responsable de traitement, les données personnelles nécessaires à l'analyse des dossiers locatifs.
| Personne concernée | Les candidats locataires (et leurs garants éventuels) dont les pièces sont analysées par le Logiciel |
|---|---|
| Responsable de traitement | L'Agence immobilière cliente, qui collecte légitimement les pièces du dossier locatif au titre de la loi n° 89-462 du 6 juillet 1989 et du décret du 5 novembre 2015 |
| Sous-traitant | VerifBail, qui fournit le Logiciel d'analyse pour le compte du Responsable de traitement |
Analyse de l'authenticité des pièces fournies par les candidats locataires aux fins de détection des falsifications documentaires, dans le cadre de la sélection des locataires par le Responsable de traitement.
Le Sous-traitant met à disposition du Responsable de traitement un Logiciel installé sur le poste de travail de ce dernier, permettant l'analyse forensique des documents PDF (fiches de paie, avis d'imposition, RIB, justificatifs de domicile, quittances, Kbis, etc.) en vue de détecter d'éventuelles modifications ou falsifications.
Dans le cadre de l'analyse, les types de données personnelles suivants peuvent être traités par le Logiciel :
Le Logiciel ne traite aucune catégorie particulière de données au sens de l'article 9 du RGPD (santé, opinions, origine, etc.).
Le traitement est effectué pendant la durée de l'analyse uniquement, soit quelques secondes à quelques minutes par dossier. Aucun document fiscal du candidat n'est conservé par le Sous-traitant après l'analyse.
Le Logiciel conserve uniquement, sur le poste local du Responsable de traitement, un historique chiffré (AES-256) des analyses effectuées, contenant les scores, alertes et empreintes cryptographiques (hash SHA-256) des documents analysés. Cet historique est sous le contrôle exclusif du Responsable de traitement.
Le Sous-traitant ne traite les données personnelles que sur instruction documentée du Responsable de traitement, telles que résultant du présent DPA et du contrat de souscription. Toute instruction supplémentaire fera l'objet d'un avenant.
Le Sous-traitant garantit que les personnes autorisées à traiter les données personnelles s'engagent à respecter la confidentialité. Compte tenu de la structure du Sous-traitant (SASU à associé unique), seul le président peut accéder aux éventuelles données techniques du serveur de licence, lequel ne traite aucune donnée personnelle de candidat locataire.
Le Sous-traitant met en œuvre les mesures techniques et organisationnelles appropriées suivantes :
Le Sous-traitant a recours, pour la seule hébergement de son serveur de validation de licence (lequel ne traite aucune donnée de candidat locataire), au sous-traitant ultérieur suivant :
| Sous-traitant ultérieur | OVH SAS |
|---|---|
| Activité | Hébergement du serveur de validation de licence |
| Lieu de traitement | France |
| Données traitées | Numéro de licence, empreinte matérielle du poste, journaux techniques. Aucune donnée personnelle de candidat locataire. |
Tout recours à un nouveau sous-traitant ultérieur sera notifié au Responsable de traitement avec un préavis de 30 jours. Le Responsable de traitement pourra émettre des objections motivées dans ce délai.
Le Sous-traitant assiste le Responsable de traitement, dans la mesure du possible, pour répondre aux demandes des personnes concernées (droit d'accès, rectification, effacement, etc.).
Compte tenu de l'architecture du Logiciel (traitement local, absence de stockage côté Sous-traitant des documents analysés), la plupart des demandes seront traitées directement par le Responsable de traitement sur son poste, sans intervention du Sous-traitant.
Le Sous-traitant notifie au Responsable de traitement toute violation de données personnelle dans un délai de 24 heures après en avoir pris connaissance, permettant au Responsable de traitement de satisfaire à sa propre obligation de notification à la CNIL dans un délai de 72 heures (article 33 RGPD).
Le Sous-traitant aide le Responsable de traitement, à sa demande, à conduire les analyses d'impact relatives à la protection des données (article 35 RGPD) et les consultations préalables à la CNIL (article 36 RGPD).
Au terme de l'abonnement, le Sous-traitant supprime, sur demande du Responsable de traitement, toutes les données techniques liées à sa licence (numéro de licence, empreinte matérielle, journaux). Le Sous-traitant ne détient aucune donnée de candidat locataire, qui restent intégralement sur le poste local du Responsable de traitement.
Le Sous-traitant met à disposition du Responsable de traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues au présent article.
Le Responsable de traitement peut diligenter, à ses frais, un audit du respect par le Sous-traitant de ses obligations, sur préavis raisonnable de 30 jours, et dans des conditions ne perturbant pas l'activité du Sous-traitant.
Le Responsable de traitement s'engage à :
Aucun transfert de données personnelles hors de l'Union européenne n'est effectué dans le cadre du présent DPA.
Le présent DPA prend effet à la date de souscription de l'abonnement et reste en vigueur pendant toute la durée du contrat de souscription, y compris en cas de renouvellement.
Le présent DPA est régi par le droit français. Tout litige relatif à son interprétation ou à son exécution relève de la compétence exclusive du Tribunal de commerce de Brest.
Dernière mise à jour du DPA : mai 2026. Version distribuée aux clients lors de la souscription.