Accord de Traitement des Données

1. Définitions

Dans le présent DPA, les termes suivants ont les significations indiquées ci-dessous. Les termes non définis ici ont les significations données dans le RGPD ou les Conditions Générales d'Utilisation.

• « Responsable du traitement » désigne le client abonné à la plateforme BakeWind qui détermine les finalités et les moyens du traitement des Données à caractère personnel
• « Sous-traitant » désigne Nicolás di Rago, operating as BakeWind, qui traite les Données à caractère personnel pour le compte du Responsable du traitement
• « Données à caractère personnel » désigne toute information relative à une personne physique identifiée ou identifiable traitée par le Sous-traitant pour le compte du Responsable du traitement via le Service
• « Traitement » désigne toute opération effectuée sur des Données à caractère personnel, y compris la collecte, le stockage, la modification, la consultation, l'utilisation, la divulgation, l'effacement ou la destruction
• « Personne concernée » désigne la personne physique identifiée ou identifiable à laquelle se rapportent les Données à caractère personnel
• « Sous-traitant ultérieur » désigne tout tiers engagé par le Sous-traitant pour traiter des Données à caractère personnel pour le compte du Responsable du traitement
• « Violation de données » désigne une violation de la sécurité entraînant la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès, de manière accidentelle ou illicite, à des Données à caractère personnel

2. Objet et durée

Le présent DPA s'applique à tout traitement de Données à caractère personnel par le Sous-traitant pour le compte du Responsable du traitement dans le cadre de la fourniture de la plateforme de gestion de boulangerie BakeWind.

La durée du présent DPA est liée à l'abonnement du Responsable du traitement au Service. Le présent DPA reste en vigueur tant que le Sous-traitant traite des Données à caractère personnel pour le compte du Responsable du traitement, y compris toute période de conservation post-résiliation spécifiée dans les Conditions Générales d'Utilisation.

3. Nature et finalité du traitement

Le Sous-traitant traite les Données à caractère personnel uniquement dans le but de fournir la plateforme de gestion de boulangerie BakeWind, notamment :

• Gestion des dossiers clients (noms, coordonnées, adresses de livraison, préférences de commande)
• Traitement et exécution des commandes de boulangerie, y compris la logistique de livraison
• Gestion des dossiers du personnel et des employés au sein de l'organisation du Responsable du traitement
• Génération d'analyses commerciales et de rapports opérationnels
• Envoi de communications transactionnelles (confirmations de commande, notifications, alertes)
• Maintien de la sécurité des comptes et de l'authentification
• Fourniture de services d'assistance client

4. Types de Données à caractère personnel

Les catégories suivantes de Données à caractère personnel peuvent être traitées dans le cadre du présent DPA :

• Données d'identité : noms, adresses e-mail, numéros de téléphone
• Données de contact : adresses postales, adresses de livraison
• Données de compte : identifiants de connexion (mots de passe hachés), préférences de compte
• Données de transaction : historique des commandes, références de paiement, registres de livraison
• Données d'emploi : noms du personnel, postes, affectations de département, horaires de travail
• Données d'utilisation : horodatages de connexion, schémas d'utilisation des fonctionnalités, informations de session
• Données techniques : adresses IP, type de navigateur, informations sur l'appareil

5. Catégories de personnes concernées

Les Données à caractère personnel traitées dans le cadre du présent DPA concernent les catégories suivantes de personnes concernées :

• Les clients de la boulangerie du Responsable du traitement (personnes qui passent des commandes)
• Les employés et le personnel du Responsable du traitement
• Les contacts commerciaux et fournisseurs du Responsable du traitement
• Les utilisateurs du compte BakeWind du Responsable du traitement (gestionnaires, administrateurs)

6. Obligations du Sous-traitant

Le Sous-traitant s'engage à :

• Traiter les Données à caractère personnel uniquement sur instructions documentées du Responsable du traitement, sauf si le droit de l'UE ou d'un État membre l'exige. Lorsque le Sous-traitant est contraint par la loi de traiter des Données à caractère personnel, il en informe le Responsable du traitement avant le traitement, sauf si la loi interdit une telle notification pour des motifs importants d'intérêt public.
• Veiller à ce que les personnes autorisées à traiter les Données à caractère personnel se soient engagées à respecter la confidentialité ou soient soumises à une obligation légale de confidentialité appropriée
• Mettre en oeuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, y compris, sans s'y limiter : le chiffrement des données sensibles au repos, le chiffrement TLS/HTTPS pour les données en transit, le hachage de mots de passe robuste, le contrôle d'accès basé sur les rôles et des évaluations de sécurité régulières. Les mesures techniques actuelles sont décrites dans l'Accord de Niveau de Service (Section 6) et peuvent être mises à jour à mesure que la technologie évolue, à condition que le niveau global de sécurité ne soit pas réduit.
• Ne pas engager un autre sous-traitant (Sous-traitant ultérieur) sans l'autorisation écrite générale préalable du Responsable du traitement, sous réserve de la procédure de notification et d'opposition prévue à la Section 7
• Aider le Responsable du traitement à assurer le respect des obligations relatives à la sécurité du traitement, à la notification des violations de données, aux analyses d'impact relatives à la protection des données et à la consultation préalable des autorités de contrôle
• Au choix du Responsable du traitement, supprimer ou restituer toutes les Données à caractère personnel après la fin de la prestation du Service, et supprimer les copies existantes sauf si le droit de l'UE ou d'un État membre en exige la conservation
• Mettre à la disposition du Responsable du traitement toutes les informations nécessaires pour démontrer le respect du présent DPA et permettre et contribuer à des audits et inspections
• Tenir un registre des activités de traitement effectuées pour le compte du Responsable du traitement conformément à l'Art. 30(2) du RGPD

Le Sous-traitant informe immédiatement le Responsable du traitement si, à son avis, une instruction du Responsable du traitement enfreint le RGPD ou d'autres dispositions de protection des données de l'UE ou des États membres.

7. Sous-traitants ultérieurs

Le Responsable du traitement accorde une autorisation générale au Sous-traitant pour engager des Sous-traitants ultérieurs. Le Sous-traitant utilise actuellement les Sous-traitants ultérieurs suivants :

• Hetzner Online GmbH (Falkenstein, Allemagne) — Hébergement d'infrastructure et stockage de données
• Stripe, Inc. (États-Unis / UE) — Traitement des paiements et facturation des abonnements
• Mailtrap / Railsware Products, Inc. (États-Unis) — Envoi d'e-mails transactionnels

Le Sous-traitant informera le Responsable du traitement par e-mail au moins 30 jours à l'avance de tout ajout ou remplacement prévu de Sous-traitants ultérieurs. La notification identifiera le nouveau Sous-traitant ultérieur, sa localisation et les activités de traitement concernées.

Le Responsable du traitement peut s'opposer au nouveau Sous-traitant ultérieur en fournissant une notification écrite dans les 30 jours suivant la réception de la notification. Si le Responsable du traitement s'oppose, le Sous-traitant fera des efforts raisonnables pour proposer un Sous-traitant ultérieur ou une configuration alternative évitant le recours au Sous-traitant ultérieur contesté. Si aucune alternative raisonnable n'est disponible, chaque partie peut résilier la partie concernée du Service moyennant un préavis écrit de 30 jours, sans pénalité. Si le Responsable du traitement ne s'oppose pas dans le délai de 30 jours, il est réputé avoir accepté le nouveau Sous-traitant ultérieur.

Le Sous-traitant imposera à tout Sous-traitant ultérieur les mêmes obligations de protection des données que celles prévues dans le présent DPA par voie de contrat écrit. Lorsqu'un Sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, le Sous-traitant reste pleinement responsable envers le Responsable du traitement de l'exécution des obligations de ce Sous-traitant ultérieur.

8. Transferts internationaux de données

Le traitement principal des Données à caractère personnel a lieu sur des serveurs situés au sein de l'Union européenne (Hetzner, Falkenstein, Allemagne).

Lorsque des Données à caractère personnel sont transférées à des Sous-traitants ultérieurs situés en dehors de l'UE/EEE, le Sous-traitant s'assure que des garanties appropriées sont en place conformément au Chapitre V du RGPD. Les mécanismes de transfert spécifiques par Sous-traitant ultérieur sont :

• Hetzner Online GmbH — Aucun transfert international. Toutes les données restent au sein de l'UE (Falkenstein, Allemagne).
• Stripe, Inc. — Stripe est certifié au titre du Cadre de protection des données UE-États-Unis (EU-US Data Privacy Framework, DPF). Les transferts sont en outre couverts par des Clauses Contractuelles Types (CCT, Décision d'exécution de la Commission 2021/914, Module 3 : sous-traitant à sous-traitant ultérieur). Stripe traite les données de paiement dans des installations au sein de l'UE et aux États-Unis.
• Mailtrap / Railsware Products, Inc. — Les transferts sont couverts par des Clauses Contractuelles Types (CCT, Module 3 : sous-traitant à sous-traitant ultérieur). Le contenu des e-mails transactionnels (adresse e-mail du destinataire, objet, corps du message) est transféré vers une infrastructure basée aux États-Unis pour l'envoi.

Le Sous-traitant surveille les évolutions réglementaires concernant les transferts internationaux de données et mettra en oeuvre des mesures supplémentaires complémentaires si les recommandations des autorités de contrôle ou les décisions de justice l'exigent.

9. Droits des personnes concernées

Le Sous-traitant aide le Responsable du traitement à répondre aux demandes des personnes concernées pour exercer leurs droits en vertu du RGPD, y compris le droit d'accès, de rectification, d'effacement, de limitation du traitement, de portabilité des données et le droit d'opposition.

Si le Sous-traitant reçoit une demande directement d'une personne concernée, il la transmet rapidement au Responsable du traitement et n'y répond pas sans les instructions écrites préalables du Responsable du traitement, sauf obligation légale.

10. Notification des violations de données

Le Sous-traitant notifie le Responsable du traitement sans retard injustifié, et en tout état de cause dans les 24 heures, après avoir pris connaissance d'une Violation de données affectant les Données à caractère personnel traitées au titre du présent DPA.

La notification comprend, dans la mesure du possible :

• Une description de la nature de la Violation de données, y compris les catégories et le nombre approximatif de personnes concernées et d'enregistrements de Données à caractère personnel affectés
• Le nom et les coordonnées du contact en matière de protection des données du Sous-traitant
• Une description des conséquences probables de la Violation de données
• Une description des mesures prises ou proposées pour remédier à la Violation de données, y compris les mesures visant à atténuer ses éventuels effets négatifs

Le Sous-traitant coopère avec le Responsable du traitement et prend des mesures raisonnables pour aider à l'investigation, à l'atténuation et à la remédiation de toute Violation de données.

11. Restitution et suppression des données

À l'expiration ou à la résiliation du contrat de service, le Sous-traitant, au choix du Responsable du traitement :

• Restituera toutes les Données à caractère personnel au Responsable du traitement dans un format structuré, couramment utilisé et lisible par machine (JSON ou CSV)
• Supprimera toutes les Données à caractère personnel et certifiera cette suppression par écrit

Le Responsable du traitement peut exporter les Données à caractère personnel via le tableau de bord du Service à tout moment pendant l'abonnement et pendant 30 jours après la résiliation. Après la période de conservation de 30 jours, toutes les Données à caractère personnel seront définitivement supprimées des systèmes actifs du Sous-traitant dans un délai de 90 jours. Les Données à caractère personnel peuvent persister dans les sauvegardes chiffrées jusqu'à leur rotation selon le cycle de rétention standard du Sous-traitant (7 sauvegardes quotidiennes, 4 hebdomadaires et 12 mensuelles), soit un maximum de 12 mois. Les sauvegardes sont chiffrées et leur accès est restreint, et les données qu'elles contiennent ne font l'objet d'aucun traitement actif.

Le Sous-traitant peut conserver les Données à caractère personnel dans la mesure requise par le droit applicable de l'UE ou d'un État membre, auquel cas le Sous-traitant garantit la confidentialité de ces données et ne les traite qu'aux fins requises par la loi.

12. Droits d'audit

Le Responsable du traitement a le droit d'auditer la conformité du Sous-traitant avec le présent DPA. Le Sous-traitant met à disposition toutes les informations nécessaires pour démontrer la conformité. En première option, le Sous-traitant peut satisfaire les demandes d'audit en fournissant une évaluation de sécurité indépendante à jour, un rapport de certification ou un résumé de conformité. Si cette documentation est insuffisante pour répondre aux préoccupations spécifiques du Responsable du traitement, celui-ci peut demander un audit sur site ou une inspection menée par le Responsable du traitement ou un auditeur indépendant mandaté par celui-ci.

Les audits sur site ou à distance sont limités à un par période de douze mois, sauf en cas de Violation de données ou si une autorité de contrôle demande un audit. Lorsque le Sous-traitant opère à distance, les audits peuvent être menés par vidéoconférence sécurisée et partage d'écran. Les audits sont réalisés avec un préavis raisonnable (au moins 30 jours), pendant les heures ouvrables normales et de manière à ne pas perturber de manière déraisonnable les opérations du Sous-traitant. Les frais d'audit sont à la charge du Responsable du traitement, sauf si l'audit révèle un manquement significatif de la part du Sous-traitant.

13. Modifications

Le Sous-traitant peut mettre à jour le présent DPA pour refléter les évolutions du droit de la protection des données, des recommandations réglementaires ou des dispositions relatives aux Sous-traitants ultérieurs. Les modifications substantielles seront communiquées au Responsable du traitement par e-mail au moins 30 jours avant leur entrée en vigueur. Si le Responsable du traitement n'accepte pas les modifications proposées, il peut résilier le Service conformément aux Conditions Générales d'Utilisation.

14. Droit applicable et contact

Le présent DPA est régi par le droit de la République fédérale d'Allemagne. En cas de conflit entre le présent DPA et les Conditions Générales d'Utilisation, le présent DPA prévaut en ce qui concerne les questions de protection des données.

Pour toute question relative au présent DPA, veuillez contacter :