Accord de traitement des données personnelles (DPA)

Préambule

Le présent Accord de traitement des données personnelles (ci-après « DPA » pour Data Processing Agreement) a pour objet de définir les conditions dans lesquelles les sous-traitants de Vincent CAHART traitent des données personnelles pour le compte de ce dernier, en sa qualité de responsable du traitement, dans le cadre de la fourniture du service Fatoom.

Le présent DPA est conclu conformément à l'article 28 du Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après « RGPD »), qui impose au responsable du traitement de ne faire appel qu'à des sous-traitants présentant des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées pour que le traitement réponde aux exigences du RGPD.

Le présent DPA complète et précise les dispositions de la Politique de confidentialité et des Conditions Générales d'Utilisation du service Fatoom en ce qui concerne les relations entre Vincent CAHART, responsable du traitement, et ses sous-traitants.

Article 1 - Définitions

Au sens du présent DPA, les termes suivants ont la signification qui leur est attribuée ci-après :

Article 2 - Objet et portée du traitement

2.1. Objet du traitement

Les Sous-traitants traitent des données personnelles pour le compte du Responsable du traitement exclusivement aux fins de fournir les services d'infrastructure technique, d'hébergement, de stockage, d'authentification, de paiement et de vérification d'identité nécessaires au fonctionnement du service Fatoom, conformément aux instructions documentées du Responsable du traitement.

2.2. Nature et finalités du traitement

Les traitements de données personnelles réalisés par les Sous-traitants pour le compte du Responsable du traitement concernent les opérations suivantes :

• Hébergement du site internet et de l'application mobile Fatoom
• Hébergement et gestion des bases de données (Cloud Firestore)
• Stockage des fichiers téléversés par les utilisateurs (Cloud Storage)
• Authentification des utilisateurs (Firebase Authentication)
• Exécution de fonctions automatisées (Cloud Functions)
• Collecte de données d'analyse et de statistiques d'utilisation (Firebase Analytics)
• Détection et journalisation des erreurs et anomalies (Firebase Crashlytics, App Check)
• Envoi de notifications push (Cloud Messaging)
• Traitement des paiements en ligne (Stripe Payments)
• Vérification d'identité des utilisateurs (Stripe Identity)

2.3. Type de données personnelles traitées

Les Sous-traitants sont susceptibles de traiter les catégories de données personnelles suivantes :

• Données d'identification et de contact (nom, prénom, adresse électronique, date de naissance, lieu de naissance)
• Données d'authentification (identifiants de compte, mots de passe hachés, tokens d'authentification)
• Contenus téléversés par les utilisateurs (photos, vidéos, documents)
• Documents d'identité et données biométriques (traités exclusivement par Stripe Identity)
• Données de connexion et d'utilisation (adresse IP, logs, identifiants d'appareil)
• Métadonnées de paiement (montant, date, statut des transactions)
• Données relatives aux Destinataires (adresses électroniques)

2.4. Catégories de personnes concernées

Les personnes concernées par les traitements réalisés par les Sous-traitants sont :

• Les utilisateurs du service Fatoom (personnes physiques ayant créé un compte)
• Les Destinataires désignés par les utilisateurs pour recevoir les fichiers en cas d'envoi post-mortem

2.5. Durée du traitement

Le traitement des données personnelles par les Sous-traitants est réalisé pendant toute la durée de la relation contractuelle entre le Responsable du traitement et les Sous-traitants, tant que le service Fatoom est en exploitation, et se poursuit jusqu'à la suppression définitive des données conformément aux instructions du Responsable du traitement et aux durées de conservation définies dans la Politique de confidentialité.

Article 3 - Obligations du Responsable du traitement

Le Responsable du traitement s'engage à :

• Traiter les données personnelles conformément à la réglementation applicable en matière de protection des données personnelles, notamment le RGPD et la loi Informatique et Libertés ;
• Fournir aux Sous-traitants des instructions documentées claires et licites concernant le traitement des données personnelles ;
• Veiller à ce que les personnes autorisées à traiter les données personnelles s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ;
• Informer les personnes concernées de l'identité des Sous-traitants et des traitements réalisés, conformément aux articles 13 et 14 du RGPD ;
• Répondre aux demandes d'exercice de droits des personnes concernées (droits d'accès, de rectification, d'effacement, de limitation, de portabilité, d'opposition) en sollicitant, le cas échéant, l'assistance des Sous-traitants.

Article 4 - Obligations des Sous-traitants

4.1. Traitement conforme aux instructions

Les Sous-traitants s'engagent à traiter les données personnelles uniquement sur instruction documentée du Responsable du traitement, y compris en ce qui concerne les transferts de données personnelles vers un pays tiers ou une organisation internationale, à moins qu'ils ne soient tenus d'y procéder en vertu du droit de l'Union ou du droit de l'État membre auquel ils sont soumis. Dans ce cas, les Sous-traitants informent le Responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d'intérêt public.

4.2. Confidentialité

Les Sous-traitants s'engagent à garantir que les personnes autorisées à traiter les données personnelles pour leur compte s'engagent à respecter la confidentialité ou sont soumises à une obligation légale appropriée de confidentialité. Les Sous-traitants veillent à ce que l'accès aux données personnelles soit strictement limité aux personnes qui ont besoin d'y accéder dans le cadre de l'exécution de leurs fonctions.

4.3. Mesures de sécurité

Les Sous-traitants s'engagent à mettre en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, conformément à l'article 32 du RGPD. Ces mesures comprennent notamment :

• La pseudonymisation et le chiffrement des données personnelles ;
• Des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;
• Des moyens permettant de rétablir la disponibilité des données personnelles et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique ;
• Une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

Pour Google Cloud Platform / Firebase : Les données sont chiffrées au repos (AES-256) et en transit (TLS 1.2+), stockées exclusivement dans des centres de données situés dans l'Union européenne, protégées par des règles de sécurité strictes (Firebase Security Rules), et surveillées en continu par des outils de détection d'anomalies (App Check).

Pour Stripe : Les données de paiement sont traitées conformément aux exigences de sécurité PCI-DSS niveau 1. Les données de vérification d'identité sont chiffrées et traitées dans des environnements sécurisés conformes aux standards de l'industrie.

4.4. Sous-traitance ultérieure

Les Sous-traitants ne peuvent pas recruter un autre sous-traitant (« sous-traitant ultérieur ») sans l'autorisation écrite préalable, spécifique ou générale, du Responsable du traitement. Dans le cas d'une autorisation écrite générale, les Sous-traitants informent le Responsable du traitement de tout changement prévu concernant l'ajout ou le remplacement de sous-traitants ultérieurs, donnant ainsi au Responsable du traitement la possibilité d'émettre des objections à l'encontre de ces changements.

Lorsque les Sous-traitants recourent à un sous-traitant ultérieur pour mener des activités de traitement spécifiques pour le compte du Responsable du traitement, les mêmes obligations en matière de protection des données que celles fixées dans le présent DPA sont imposées à ce sous-traitant ultérieur par contrat. Les Sous-traitants demeurent pleinement responsables devant le Responsable du traitement de l'exécution par le sous-traitant ultérieur de ses obligations.

4.5. Assistance au Responsable du traitement

Les Sous-traitants aident le Responsable du traitement, par des mesures techniques et organisationnelles appropriées, dans toute la mesure du possible, à s'acquitter de son obligation de donner suite aux demandes dont les personnes concernées les saisissent en vue d'exercer leurs droits prévus au chapitre III du RGPD (droits d'accès, de rectification, d'effacement, de limitation, de portabilité, d'opposition).

Les Sous-traitants aident le Responsable du traitement à garantir le respect des obligations prévues aux articles 32 à 36 du RGPD (sécurité du traitement, notification de violation de données personnelles, analyse d'impact relative à la protection des données, consultation préalable de l'autorité de contrôle), compte tenu de la nature du traitement et des informations à la disposition des Sous-traitants.

4.6. Notification des violations de données personnelles

En cas de violation de données personnelles, les Sous-traitants notifient cette violation au Responsable du traitement dans les meilleurs délais après en avoir pris connaissance, et en tout état de cause dans un délai maximum de 48 heures. Cette notification comprend au minimum les informations suivantes :

• La nature de la violation de données personnelles ;
• Les catégories et le nombre approximatif de personnes concernées et d'enregistrements de données personnelles concernés ;
• Les conséquences probables de la violation de données personnelles ;
• Les mesures prises ou que les Sous-traitants proposent de prendre pour remédier à la violation de données personnelles et pour en atténuer les éventuelles conséquences négatives.

4.7. Suppression ou restitution des données

Au terme de la prestation de services relatifs au traitement, les Sous-traitants s'engagent, au choix du Responsable du traitement, à supprimer toutes les données personnelles ou à les renvoyer au Responsable du traitement, et à détruire les copies existantes, sauf si le droit de l'Union ou le droit de l'État membre exige la conservation des données personnelles.

En pratique, lors de la suppression du compte d'un utilisateur, les données sont supprimées définitivement des systèmes de Google Cloud Platform / Firebase dans un délai de 30 jours. Les métadonnées de paiement et de vérification d'identité conservées par Stripe le sont conformément aux obligations légales de conservation et à la politique de conservation de Stripe.

4.8. Audit et contrôle

Les Sous-traitants mettent à la disposition du Responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues par le présent article et le RGPD, et pour permettre la réalisation d'audits, y compris des inspections, par le Responsable du traitement ou un autre auditeur qu'il a mandaté, et contribuer à ces audits. Dans la pratique, ces informations sont accessibles via les documentations publiques de sécurité et de conformité de Google Cloud Platform et Stripe, ainsi que leurs certifications (ISO 27001, SOC 2, PCI-DSS, etc.).

Article 5 - Transferts de données en dehors de l'Union européenne

Les données personnelles des utilisateurs du service Fatoom sont stockées et traitées exclusivement dans des centres de données situés dans l'Union européenne, conformément aux exigences du RGPD et aux engagements pris par Vincent CAHART.

Les Sous-traitants (Google Ireland Limited et Stripe Payments Europe, Ltd.) sont établis dans l'Union européenne (Irlande) et utilisent des infrastructures situées dans l'Union européenne pour le traitement des données personnelles des utilisateurs de Fatoom.

Dans l'hypothèse où un transfert de données personnelles vers un pays tiers ou une organisation internationale s'avérerait nécessaire, ce transfert ne serait réalisé qu'en présence de garanties appropriées conformément aux articles 44 à 49 du RGPD (décision d'adéquation de la Commission européenne, clauses contractuelles types approuvées par la Commission européenne, règles d'entreprise contraignantes, ou dérogations pour des situations particulières). Le Responsable du traitement serait informé préalablement de tout transfert envisagé.

Article 6 - Responsabilité et indemnisation

Conformément à l'article 82 du RGPD, toute personne ayant subi un dommage matériel ou moral du fait d'une violation du RGPD a le droit d'obtenir du Responsable du traitement ou du Sous-traitant réparation du préjudice subi.

Le Sous-traitant n'est tenu responsable du dommage causé par le traitement que s'il n'a pas respecté les obligations prévues par le RGPD qui incombent spécifiquement aux sous-traitants ou s'il a agi en dehors des instructions licites du Responsable du traitement ou contrairement à celles-ci.

Lorsque plusieurs responsables du traitement ou sous-traitants, ou un responsable du traitement et un sous-traitant, prennent part au même traitement et sont responsables d'un dommage causé par le traitement, chaque responsable du traitement ou sous-traitant est tenu responsable pour l'intégralité du dommage, afin de garantir à la personne concernée une réparation effective. La répartition de la responsabilité entre les responsables du traitement et les sous-traitants est déterminée conformément aux dispositions de l'article 82 du RGPD.

Les Sous-traitants (Google Ireland Limited et Stripe Payments Europe, Ltd.) disposent de leurs propres limitations de responsabilité définies dans leurs conditions générales de service respectives. En tout état de cause, le Responsable du traitement (Vincent CAHART) demeure responsable vis-à-vis des personnes concernées de la conformité du traitement au RGPD.

Article 7 - Durée et résiliation

Le présent DPA entre en vigueur à la date de souscription du premier contrat de service entre le Responsable du traitement et les Sous-traitants, et demeure en vigueur tant que les Sous-traitants traitent des données personnelles pour le compte du Responsable du traitement.

Le présent DPA prendra fin automatiquement en cas de cessation définitive de la relation contractuelle entre le Responsable du traitement et les Sous-traitants, ou en cas de cessation définitive de l'activité du service Fatoom.

En cas de résiliation ou d'expiration du présent DPA, les Sous-traitants s'engagent à supprimer ou restituer toutes les données personnelles conformément à l'article 4.7 du présent DPA.

Article 8 - Droit applicable et juridiction compétente

Le présent DPA est régi par le droit français. Tout litige relatif à l'interprétation ou à l'exécution du présent DPA relève de la compétence exclusive des tribunaux français.

En cas de litige, les tribunaux compétents du ressort de Marseille seront seuls compétents pour connaître du litige.

Article 9 - Contact

Pour toute question relative au présent DPA ou au traitement des données personnelles, vous pouvez contacter le Responsable du traitement :