Retour

RGPD — Engagement et liste des sous-traitants

Synthèse des engagements RGPD de Codbip dans l'exploitation du SaaS BTPBip, complémentaire à la politique de confidentialité et au contrat de sous-traitance (DPA).

Dernière mise à jour : 22 avril 2026

Notre engagement

Codbip applique les principes du Règlement (UE) 2016/679 (RGPD) et de la loi française Informatique et Libertés : finalité, proportionnalité, minimisation, exactitude, durée limitée, intégrité et confidentialité.

BTPBip étant un SaaS B2B, Codbip intervient le plus souvent en qualité de sous-traitant(article 28 RGPD) pour le compte des entreprises clientes, lesquelles sont responsables de traitement des données qu'elles introduisent sur la plateforme.

Contrat de sous-traitance (DPA)

Codbip met à disposition des entreprises clientes un modèle d'accord de sous-traitance (Data Processing Agreement) couvrant :

  • l'objet et la durée du traitement ;
  • la nature et la finalité du traitement ;
  • les catégories de données et de personnes concernées ;
  • les obligations de Codbip en tant que sous-traitant ;
  • les sous-traitants ultérieurs autorisés ;
  • les mesures techniques et organisationnelles de sécurité ;
  • l'assistance aux droits des personnes et à la notification de violation ;
  • le sort des données à la fin du contrat.

Le DPA peut être signé par échange d'emails, par signature électronique ou par avenant papier. Demande à [email protected].

Liste des sous-traitants ultérieurs

Dans le cadre de l'exploitation de BTPBip, Codbip fait appel aux sous-traitants suivants. Cette liste est tenue à jour ; toute modification substantielle est notifiée aux entreprises clientes avec un préavis raisonnable leur permettant, le cas échéant, d'exprimer une objection.

Sous-traitantFinalitéLocalisation
Hostinger International LtdHébergement physique de l'infrastructure (serveur VPS/Cloud)Chypre (UE)
Codbip (infrastructure)Exploitation Next.js + Directus + Redis via Dokploy sur serveur HostingerUnion européenne
Cloudflare R2Stockage des sauvegardes chiffrées (buckets juridiction « EU »)Société US (CCT)
SentrySupervision des erreurs applicativesUE / US (garanties SCC)
CloudflareTurnstile anti-bot + (le cas échéant) protection DNS/CDNRéseau mondial (SCC)
OpenStreetMap FoundationTuiles cartographiques et géocodage NominatimUE (Royaume-Uni)

Durées de conservation

  • données métier pendant l'abonnement + 1 an après résiliation, sauf obligation légale ;
  • journaux de sécurité : 12 mois ;
  • sauvegardes techniques : purge sous 90 jours après suppression.

Droits des personnes

Les personnes dont les données sont traitées dans BTPBip bénéficient des droits RGPD (accès, rectification, effacement, limitation, opposition, portabilité).

  • Pour les données saisies par une entreprise cliente (salariés, clients BTP, fournisseurs, chantiers) : contacter l'entreprise cliente concernée. Codbip l'assiste dans le traitement des demandes.
  • Pour les données collectées directement par Codbip (compte, facturation) :[email protected].

Recours auprès de la CNIL en cas de désaccord.

Notification de violation de données

En cas de violation de données susceptibles d'engendrer un risque pour les droits et libertés des personnes, Codbip notifie l'entreprise cliente concernée sans délaiet au plus tard dans les 72 heures suivant la prise de connaissance, conformément à l'article 33 RGPD. La notification précise la nature de la violation, les catégories et volumes de données concernées, les conséquences probables et les mesures correctrices.

Délégué à la protection des données (DPO)

Codbip n'est pas soumise à l'obligation de désigner un DPO au sens de l'article 37 RGPD, mais a désigné un référent protection des données joignable à [email protected]. Ce référent assure l'interface avec les entreprises clientes, les personnes concernées et la CNIL.