Accord de traitement des données (DPA)

1. Définitions

Dans le présent DPA :

• Responsable de traitement : le Client identifié aux CGU, qui détermine les finalités et les moyens du traitement de données personnelles relatives à ses propres clients.
• Sous-traitant : Fara Digital — SASU, qui traite les données personnelles pour le compte du Responsable de traitement.
• Personnes concernées : les clients finaux du Responsable de traitement, destinataires des messages envoyés via YER Avis.
• Données personnelles, traitement, violation : selon les définitions de l'article 4 RGPD.

2. Objet et durée du traitement

Le Sous-traitant traite les données pour le compte du Responsable de traitement aux fins exclusives de la fourniture du service YER Avis tel que défini aux CGU. La durée du traitement est celle des CGU. Au-delà, les obligations de confidentialité, de sécurité et de suppression des données subsistent.

3. Nature et finalité du traitement

Le traitement consiste à :

• héberger les données du Responsable de traitement (nom de l'entreprise, identifiants techniques, paramètres de personnalisation),
• héberger les données des Personnes concernées (prénom, numéro de téléphone, statut d'envoi, retour privé éventuel),
• générer et acheminer les messages SMS / WhatsApp pré-remplis (le déclenchement final reste à l'initiative du Responsable de traitement, qui clique manuellement sur l'envoi),
• collecter les retours privés depuis le formulaire de contact de la smart page,
• envoyer au Responsable de traitement des notifications email lors de la réception d'un retour privé.

4. Types de données et catégories de personnes

Personnes concernées (clients finaux du Responsable) : prénom, nom (optionnel), numéro de téléphone, statut d'envoi, contenu d'un retour privé éventuel (catégories cochées + texte libre).

Représentants du Responsable de traitement : email, mot de passe haché, nom, téléphone professionnel.

Aucune donnée sensible au sens de l'article 9 RGPD n'est traitée.

5. Obligations du Sous-traitant

Le Sous-traitant s'engage à :

• Ne traiter les données que sur instruction documentée du Responsable de traitement, et exclusivement pour les finalités des CGU.
• Garantir la confidentialité des données par toute personne autorisée à les traiter.
• Mettre en œuvre les mesures techniques et organisationnelles appropriées (article 32 RGPD) : chiffrement TLS 1.3 en transit, chiffrement AES-256 au repos, hashage bcrypt des mots de passe, Row Level Security, journal d'audit, sauvegardes quotidiennes, hébergement Union européenne uniquement.
• Tenir un registre des traitements côté sous-traitance (article 30.2 RGPD).
• Apporter au Responsable de traitement, dans la mesure du possible, l'assistance nécessaire pour répondre aux demandes d'exercice des droits des Personnes concernées (articles 15 à 22 RGPD).
• Notifier au Responsable de traitement toute violation de données dans un délai maximum de 48 heures après en avoir pris connaissance (article 33 RGPD).
• Mettre à disposition du Responsable de traitement, sur demande, toutes les informations nécessaires pour démontrer le respect des obligations prévues à l'article 28 RGPD, et permettre la réalisation d'audits.
• À l'issue des CGU, supprimer ou restituer les données personnelles selon le choix du Responsable, et détruire les copies existantes — sauf obligation légale de conservation.

6. Obligations du Responsable de traitement

• Ne fournir au Sous-traitant que des données collectées de manière licite, dans le respect du RGPD.
• Avoir préalablement informé les Personnes concernées du traitement et, le cas échéant, recueilli leur consentement (article 13 RGPD).
• Documenter sa propre base légale (intérêt légitime, consentement, exécution de contrat) et tenir une trace du consentement éventuel.
• Ne pas envoyer via l'outil de messages à des destinataires ayant exercé leur droit d'opposition.
• Répondre lui-même aux demandes des Personnes concernées dont il est le Responsable de traitement, le cas échéant assisté par le Sous-traitant.

7. Sous-sous-traitance autorisée

Le Responsable de traitement autorise par avance les sous-traitants ultérieurs suivants :

• Supabase Inc. — hébergement base de données + authentification — UE (Francfort, Allemagne)
• Vercel Inc. — hébergement applicatif — infrastructure UE (Frankfurt)
• Resend Inc. — envoi d'emails transactionnels — infrastructure UE

Toute modification de cette liste sera notifiée au Responsable de traitement par email avec un préavis de 30 jours, lui permettant de s'opposer pour motif légitime.

8. Transferts hors UE

Aucun transfert de données vers un pays tiers hors UE n'est effectué dans le fonctionnement normal du service. Toute évolution future fera l'objet d'une notification préalable et de la mise en place d'un mécanisme de transfert conforme (clauses contractuelles types ou décision d'adéquation).

9. Durée de conservation

• Comptes professionnels : durée des CGU + 3 ans après résiliation.
• Données des Personnes concernées : 2 ans maximum après la dernière interaction (purge automatique mensuelle).
• Journal d'audit : 6 mois.
• Désinscriptions : tant que le Responsable de traitement reste actif (pour respecter le droit d'opposition).

10. Fin du contrat

À la résiliation des CGU, le Sous-traitant procède à la suppression des données du Responsable de traitement dans un délai de 30 jours pour les données primaires, et 90 jours pour les éventuelles copies de sauvegarde. Sur demande écrite du Responsable, un export portable des données peut être fourni avant suppression.