1. Portée et rôles – et comment vous y entrez
Lorsque votre écurie exécute ses activités sur Nose, vous (l'écurie) êtes le contrôleur des données pour les données du cavalier et les données opérationnelles que vous saisissez, et horsenose est votre sous-traitant — nous ne traitons ces données que selon vos instructions documentées. Le présent Accord de traitement des données (DPA) est le contrat de l'article 28 du RGPD qui régit cette relation.
Le DPA fait partie de vos Conditions d'utilisation : vous y adhérez automatiquement en acceptant les Conditions, et il n'y a rien de distinct à signer. Pour votre propre compte et vos coordonnées, les données de notre site vitrine, les analyses fondées sur le consentement et les données de sécurité, horsenose est le responsable du traitement à part entière (voir Politique de confidentialité → Qui est responsable).
2. Ce que nous faisons avec vos données — uniquement selon vos instructions
Nous traitons les données personnelles de vos membres pour fournir le Service, et pour cela seulement : créer et isoler votre locataire ; créer en votre nom les fiches des cavaliers, clients et participants ; planifier les séances et enregistrer les présences ; gérer les cartes de séances et les bons cadeaux ; enregistrer les étiquettes de suivi des paiements (espèces / carte de séances / bon / BLIK — de simples étiquettes, non des paiements) ; calculer les gains des moniteurs ; envoyer les annonces à sens unique que vous déclenchez ; donner à chaque membre une vue en libre-service de ses propres réservations ; et assurer le support, la prévention des abus et la journalisation d'audit nécessaires à tout cela.
Nous n'utilisons pas vos données à nos propres fins, ne les vendons ni ne les partageons à des fins publicitaires, et ne les utilisons pas pour entraîner des modèles d'IA ou d'apprentissage automatique.
Vous confirmez disposer d'une base légale au titre de l'article 6 du RGPD (et, le cas échéant, de l'article 9 ou de l'article 8 du RGPD) pour chaque instruction que vous nous donnez et chaque donnée personnelle que vous saisissez dans Nose, avoir communiqué à vos membres les informations exigées par les articles 13 et 14 du RGPD, et que vos instructions ne nous conduiront pas à enfreindre la loi.
3. Enfants
Les centres équestres enseignent aux enfants, c'est pourquoi Nose est conçu pour conserver les données des enfants en votre nom — généralement un enfant inscrit comme participant à un cours par un parent qui est votre client. Vous êtes responsable de la base légale et de tout consentement ou autorité parentale requis, y compris en vertu de l'article 8 du RGPD ; lorsque vous comptez sur le consentement d’un enfant, vous confirmez que vous avez déployé des efforts raisonnables pour vérifier l’autorité parentale. Nous réduisons au minimum ce qui est détenu à propos d'un enfant (généralement un nom et les leçons suivies) et ne commercialisons ni ne ciblons jamais le Service sur les enfants.
4. Confidentialité, sécurité et sous-traitants
Toute personne ayant accès à vos données est tenue à la confidentialité, et nous appliquons les mesures techniques et organisationnelles décrites sur notre page Sécurité et confiance — notamment une sécurité au niveau des lignes imposée par la base de données, cantonnant les données de chaque écurie à cette écurie, le chiffrement TLS en transit, le chiffrement au repos, et un journal d'audit en écriture seule (append-only).
Nous faisons appel à un nombre restreint de sous-traitants vérifiés pour exécuter le Service ; la liste actuelle, avec l'objet, la région et le mécanisme de transfert de chacun, figure sur la page Sous-traitants et dans la Politique de confidentialité → Partage — sous-traitants. Avant d'en ajouter ou d'en remplacer un, nous donnons un préavis d'au moins 15 jours (par e-mail à l'adresse du compte de l'écurie ou dans l'application) — plus tôt uniquement lorsque la sécurité ou la continuité du service l'exige véritablement, auquel cas nous vous en informons dès que raisonnablement possible et vous pouvez toujours vous y opposer dans les 15 jours suivant cette notification. Si vous vous y opposez et que nous ne parvenons pas à résoudre la difficulté, vous pouvez mettre fin à la partie du Service concernée — ou à l'ensemble du contrat si ce sous-traitant lui est essentiel — avec un remboursement au prorata des frais prépayés pour la période non utilisée. Nous imposons à chaque sous-traitant des obligations de protection des données au moins aussi strictes que le présent DPA, et nous demeurons pleinement responsables envers vous de leur exécution.
L'essentiel du traitement a lieu au sein de l'EEE. Pour les rares composants ayant une dimension hors EEE (le réseau mondial de Cloudflare ; Google OAuth), les transferts s'appuient sur les Clauses contractuelles types de l'UE et sur le cadre de confidentialité des données UE-États-Unis (Data Privacy Framework), avec l'International Data Transfer Addendum britannique lorsque le UK GDPR s'applique, comme indiqué sur la page Sous-traitants.
5. Audits
Sur demande, nous vous fournirons, dans un premier temps, ce dont vous avez besoin pour démontrer notre conformité à l'article 28 du RGPD — notre page Sécurité et confiance, le présent DPA, les rapports pertinents de tiers émanant de nos sous-traitants lorsque nous sommes autorisés à les partager, et des réponses écrites à des questionnaires raisonnables de sécurité et de traitement. Si cela ne suffit pas, nous conviendrons avec vous de la portée, du calendrier et des modalités d'un audit ou d'une inspection complémentaire — moyennant un préavis d'au moins 30 jours (plus court uniquement après un incident de sécurité ou une injonction d'une autorité de contrôle), pas plus d'une fois par année civile (sauf après une violation affectant vos données ou lorsqu'une autorité de contrôle l'exige), pendant nos heures d'ouverture habituelles, et sans perturbation déraisonnable du Service pour les autres écuries. Vous prenez en charge le coût raisonnable de cet audit complémentaire, sauf s'il révèle un manquement substantiel de notre part au présent DPA, auquel cas nous prenons en charge nos propres frais de coopération.
6. Droits de vos membres et violations de données
Si l'un de vos membres exerce un droit prévu par le RGPD (accès, rectification, suppression, etc.), c'est vous qui décidez de la réponse — vous êtes son responsable du traitement. Nous vous assistons et vous transmettons toute demande qui nous parvient ; nous ne la tranchons pas nous-mêmes (article 28, paragraphe 3, point e), du RGPD).
Si nous avons connaissance d'une violation de données personnelles affectant vos données, nous vous en informons sans retard injustifié afin que vous puissiez remplir vos propres obligations au titre des articles 33 et 34 du RGPD.
Si une instruction que vous nous donnez enfreindrait, selon nous, le RGPD ou une autre législation sur la protection des données, nous vous en informerons avant de l'exécuter. Compte tenu de la nature du traitement et des informations dont nous disposons, nous vous apporterons également une assistance raisonnable pour les analyses d'impact relatives à la protection des données et les consultations préalables d'une autorité de contrôle (articles 35 et 36 du RGPD) concernant le traitement effectué sur Nose.
7. Conservation, restitution et suppression de vos données
Nous conservons vos données pendant toute la durée de vie de votre compte actif, car une écurie a besoin de son propre historique pour fonctionner. Lorsqu'un membre est effacé individuellement, nous supprimons ses identifiants directs après un délai de grâce réversible de 30 jours (pseudonymisation au sens de l'article 4, paragraphe 5, du RGPD), en conservant dans vos livres les lignes financières et pédagogiques désidentifiées afin qu'elles se réconcilient.
L'archivage ou la fermeture d'une écurie déclenche automatiquement une fenêtre de transition réversible de 90 jours. Pendant cette période, l'écurie peut être restaurée et une exportation complète est disponible sur demande ; à son terme, vos données sont conservées 90 jours maximum au total, puis supprimées automatiquement. Vos propres registres légaux (par exemple les registres comptables/TVA polonais sur cinq ans) vous appartiennent — horsenose n'a aucune obligation indépendante de conserver les données personnelles des cavaliers pendant cinq ans ; exportez donc ce dont vous avez besoin avant la fermeture de la fenêtre.
8. Responsabilité, ordre de priorité et survie
Notre responsabilité au titre du présent DPA suit les plafonds et exclusions prévus dans vos Conditions d'utilisation, sauf dans la mesure où la loi n'autorise pas leur limitation — y compris les articles 82 à 83 du RGPD. En cas de conflit entre le présent DPA et vos Conditions concernant la manière dont les données personnelles sont traitées, le présent DPA prévaut ; en cas de conflit entre le présent DPA et les Clauses contractuelles types sur lesquelles nous nous appuyons pour un transfert, les Clauses contractuelles types prévalent. Le présent DPA s'applique aussi longtemps que nous traitons vos données pour votre compte ; les dispositions qui doivent continuer à s'appliquer au-delà — la confidentialité, la notification des violations découvertes ultérieurement, la conservation/restitution/suppression de vos données, les audits portant sur la période précédant votre départ, et la présente section — survivent à sa fin.
9. Ce qui compose ce DPA
Cette page énonce les termes opérationnels du DPA. Associée à la page Sécurité et confiance (nos mesures techniques et organisationnelles), à la page Sous-traitants (la liste des sous-traitants autorisés) et aux détails du traitement décrits ci-dessus, elle constitue l'accord complet de traitement des données entre votre écurie et horsenose — il n'y a rien de distinct à signer. Lorsqu'un transfert hors de l'EEE l'exige, les Clauses contractuelles types de l'UE intégrées aux contrats de nos sous-traitants s'appliquent. Si vous avez besoin d'une copie contresignée ou d'un registre de traitement détaillé pour votre propre documentation de conformité, écrivez à support@horsenose.eu et nous vous en fournirons un.