← Retour aux CGVLUAccord de Traitement des Données (DPA)
Entre : Le Client (ci-après le « Responsable de Traitement »), tel qu'identifié lors de la création de son compte sur la plateforme.
Et : SAINT-LÉGER Florian, Micro-entrepreneur, dont le siège social est situé à Saint-Paul (60650) (ci-après le « Sous-traitant »).
Article 1 : Objet
Le présent accord a pour objet de définir les conditions dans lesquelles le Sous-traitant s'engage à effectuer, pour le compte du Responsable de Traitement, les opérations de traitement de données à caractère personnel définies ci-après.
Article 2 : Description du traitement
Le Sous-traitant est autorisé à traiter les données nécessaires pour fournir le service de fidélisation digitale.
- Nature du traitement : Collecte, enregistrement, stockage, consultation et suppression.
- Finalités : Gestion du programme de fidélité, calcul des points, historique d'achat et communication marketing (si activée par le marchand).
- Type de données traitées : Nom, prénom, adresse e-mail, numéro de téléphone, date de naissance, historique d'achats, solde de points de fidélité.
- Catégories de personnes : Clients finaux du Responsable de Traitement (les consommateurs).
Article 3 : Obligations du Sous-traitant
Le Sous-traitant s'engage à :
- Instructions : Traiter les données uniquement sur instruction documentée du Responsable de Traitement.
- Confidentialité : Garantir que les personnes autorisées à traiter les données sont soumises à une obligation de confidentialité.
- Sécurité : Mettre en œuvre les mesures techniques appropriées (chiffrement, accès sécurisés).
- Assistance : Aider le Responsable de Traitement à répondre aux demandes d'exercice des droits des personnes concernées (accès, rectification, suppression).
Article 4 : Sous-traitance ultérieure
Le Responsable de Traitement autorise le Sous-traitant à faire appel à des sous-traitants ultérieurs pour l'hébergement des données.
- Hébergeur principal : Supabase (Infrastructure AWS/Azure), localisation des serveurs : Irlande, Union Européenne. Le Sous-traitant s'engage à informer le Client de tout changement concernant les sous-traitants ultérieurs.
Article 5 : Droits des personnes concernées
Il appartient au Responsable de Traitement (le marchand) de fournir l'information aux personnes concernées par les opérations de traitement au moment de la collecte des données (ex : via une affiche en magasin ou une mention sur le formulaire d'inscription).
Article 6 : Notification de violation de données
Le Sous-traitant notifiera au Responsable de Traitement toute violation de données à caractère personnel dans un délai maximum de 48 heures après en avoir pris connaissance.
Article 7 : Sort des données (fin du contrat)
Au terme de la relation contractuelle, le Sous-traitant s'engage à :
- Maintenir les données à disposition du Client pour extraction pendant un délai de 30 jours.
- À l'issue de ce délai, supprimer définitivement toutes les données à caractère personnel présentes sur ses serveurs (Supabase), sauf obligation légale de conservation.
Article 8 : Registre des activités
Le Sous-traitant déclare tenir par écrit un registre de toutes les catégories d'activités de traitement effectuées pour le compte du Responsable de Traitement.