Contrat de traitement des données à caractère personnel (AVV) conformément à l'art. 28 RGPD
État : 30 avril 2026
Préambule
Bienvenue chez Campcruisers GmbH ! Nous sommes ravis que vous ayez choisi Campsite OS et que vous nous fassiez confiance pour soutenir la gestion numérique de votre camping. La protection des données et la sécurité des données sont pour nous un critère de qualité central de notre logiciel.
Ce contrat de traitement des données à caractère personnel (AVV) constitue la base juridique transparente et équitable pour le traitement des données à caractère personnel pour votre compte.
Parties contractantes
Responsable (Client) : Vos données d'entreprise résultent du contrat principal (abonnement pour Campsite OS).
Sous-traitant : Campcruisers GmbH, Berliner Str. 21B, 14612 Falkensee, Allemagne. Daniel Bosch (CEO), Philipp André Marschall (fondé de pouvoir). Tribunal d'instance de Potsdam, HRB 40180 P. Numéro de TVA : DE368000447.
Délégué à la protection des données : Non désigné (§ 38 BDSG non rempli).
§ 1 Objet, durée et spécification
1.1
Ce contrat régit le traitement des données à caractère personnel dans le cadre de la fourniture de Campsite OS. Complément aux CGV et au contrat principal.
1.2
La durée est déterminée par le contrat principal. Les obligations de confidentialité et de suppression persistent.
1.3
Le traitement comprend : la collecte, le stockage, la modification, la lecture, la transmission (par ex. à un Channel Manager), la suppression. Serveurs : Pays-Bas (IP : 34.91.84.25).
§ 2 Responsabilité
2.1
Vous êtes le responsable (art. 4 n° 7 RGPD). Vous décidez des finalités et des moyens.
2.2
Nous sommes le sous-traitant (art. 4 n° 8 RGPD). Traitement uniquement selon vos instructions. Aucune utilisation propre, aucune vente.
§ 3 Nature et finalité du traitement
Finalité : Fourniture de Campsite OS. Comprend : réservation et gestion des réservations, gestion des clients (y compris la fiche de déclaration § 29 BMG), comptabilité (ZUGFeRD), gestion des canaux, envoi d'e-mails, IoT & Smart Camp.
§ 4 Nature des données à caractère personnel
4.1 Catégories de données
Données de base (nom, date de naissance, nationalité) | Données de contact (adresse, e-mail, téléphone) | Données de réservation (période, catégorie, extras) | Données KYC/déclaration (numéros de pièce d'identité) | Données de véhicule (plaque d'immatriculation) | Données de paiement (tokenisées via Stripe) | Données de communication (tickets, e-mails) | Données système (IP, fichiers journaux, sessions)
4.2 Personnes concernées
Clients/consommateurs finaux et leurs compagnons de voyage | Vos employés (utilisateurs du logiciel) | Prestataires/fournisseurs
§ 5 Obligations du sous-traitant
5.1 Respect du RGPD, BDSG, TDDDG. | 5.2 Limitation de la finalité et obligation de suivre les instructions. | 5.3 Information en cas d'instructions illégales. | 5.4 Traitement dans l'UE (Pays-Bas). Pays tiers uniquement avec art. 44 et suiv. RGPD.
§ 6 Pouvoir d'instruction
6.1 Instructions définies par le contrat et le contrat principal. | 6.2 Forme écrite (e-mail à support@campsite-os.de) ou configuration du logiciel. | 6.3 Documentation de toutes les instructions.
§ 7 Confidentialité et personnel
7.1 Obligation de confidentialité pour tous les employés (art. 28 al. 3 lit. b RGPD). | 7.2 Formations régulières. | 7.3 Principe du besoin d'en connaître.
§ 8 Mesures techniques et organisationnelles (MTO)
8.1 Mesures conformément à l'art. 32 RGPD. | 8.2 Chiffrement (TLS, AES-256), MFA, RBAC, journalisation, SLA à 99 %, sauvegardes, protection DDoS. | 8.3 Adaptation en cas de progrès technique. Détails en annexe 1.
§ 9 Sous-traitance
9.1 Autorisation générale (art. 28 al. 2 RGPD). | 9.2 Sous-traitants actuels en annexe 2. | 9.3 Information 14 jours avant modification. Droit d'opposition. | 9.4 Mêmes obligations pour les sous-traitants.
§ 10 Droits des personnes concernées
10.1 Assistance pour les art. 15-22 RGPD (self-service dans Campsite OS). | 10.2 Les demandes directes sont renvoyées à vous.
§ 11 Obligations de notification
11.1 Notification des violations de données dans les 48 heures. | 11.2 Contenu : type de violation, personnes concernées, conséquences, mesures prises. | 11.3 Assistance pour l'AIPD (art. 35/36 RGPD).
§ 12 Droits de contrôle et audits
12.1 Droit de vérification. | 12.2 Documentation/certificats en premier lieu ; audit sur site avec préavis de 30 jours. | 12.3 Les coûts sont à la charge du client (sauf en cas de violation).
§ 13 Suppression et restitution
13.1 Portabilité des données : délai d'exportation de 30 jours (CSV, XML, JSON). | 13.2 Suppression définitive après 30 jours. | 13.3 Confirmation sur demande.
§ 14 Responsabilité
14.1 Responsabilité conformément à l'art. 82 RGPD. En relation interne uniquement en cas de violation des obligations du RGPD ou des instructions. | 14.2 Limitation à la cotisation annuelle en cas de négligence légère.
§ 15 Dispositions finales
15.1 Forme écrite pour les modifications. | 15.2 Clause de sauvegarde. | 15.3 Droit allemand, tribunal compétent Falkensee.
Annexe 1 : Mesures techniques et organisationnelles (MTO)
1. Confidentialité
Contrôle d'accès : Serveurs dans des centres de données aux Pays-Bas (IP : 34.91.84.25). Service de sécurité 24/7, contrôles d'accès biométriques, vidéosurveillance.
Contrôle d'accès logique : Mots de passe complexes, MFA, protection contre les attaques par force brute, VPN.
Contrôle d'accès : RBAC dans Campsite OS, principe du besoin d'en connaître, destruction des documents selon DIN 66399.
Contrôle de séparation : Séparation logique des clients. Séparation développement/test/production.
2. Intégrité
Contrôle de transmission : TLS 1.2/1.3, AES-256 au repos, clés API et authentification par jeton.
Contrôle d'entrée : Audit-Trail dans Campsite OS, journalisation centrale des serveurs.
3. Disponibilité
Sauvegardes quotidiennes (géoredondantes, chiffrées), onduleurs, protection DDoS, WAF, SLA à 99 %.
4. Évaluation
Audits réguliers, scans de vulnérabilités, plan de réponse aux incidents (notification sous 48h), Privacy by Default.
Annexe 2 : Sous-traitants agréés
| Prestataire | Siège | Finalité | Transfert vers un pays tiers |
|---|---|---|---|
| Stripe Payments Europe, Ltd. | Irlande (UE) | Traitement des paiements | UE ; le cas échéant SCC en cas de transfert interne aux États-Unis |
| Resend, Inc. | États-Unis | Envoi d'e-mails transactionnels | Clauses contractuelles types de l'UE (SCC) |
| Google Ireland Limited | Irlande (UE) | Analytics & Ads | Principalement UE |
| Biscotti CMP | Allemagne (UE) | Gestion des cookies/consentements | Exclusivement UE |
| Fournisseur d'hébergement | Pays-Bas (UE) | Infrastructure serveur (IP : 34.91.84.25) | Exclusivement UE |