Aller au contenu

Accord de Traitement des Données (DPA)

Sommaire

Dernière mise à jour : 30 juin 2025

Le présent Accord de Traitement des Données (ci-après « DPA ») est conclu en application de l’article 28 du Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel (ci-après « RGPD »).

Il complète les Conditions Générales de Vente et d’Utilisation (ci-après « CGVU ») et fait partie intégrante de la relation contractuelle entre les parties.


1. Parties
#

Responsable de traitement (ci-après « le Client ») :
Toute personne morale ou physique agissant à titre professionnel ayant souscrit aux services de la plateforme yannick.services.

Sous-traitant (ci-après « le Prestataire ») :
Yannick TOCQUET
Micro-entrepreneur — SIRET : 948 551 932 00031
Email :


2. Objet et périmètre
#

Le présent DPA définit les conditions dans lesquelles le Prestataire traite des données à caractère personnel pour le compte du Client dans le cadre de l’exécution des services souscrits.

Le Prestataire agit en qualité de sous-traitant au sens de l’article 28 du RGPD uniquement pour les données personnelles que le Client soumet aux services. Pour les données collectées dans le cadre de la gestion du compte client (email, identifiant, historique de facturation), le Prestataire agit en qualité de responsable de traitement.


3. Description des traitements
#

3.1 Finalités
#

Le Prestataire traite les données personnelles du Client aux seules fins suivantes :

  • exécution des services souscrits tels que décrits dans les CGVU ;
  • fourniture des résultats de traitement au Client.

3.2 Nature des opérations
#

ServiceNature des opérationsDonnées concernéesCatégories de personnes
Validation Email & TéléphoneVérification syntaxique, DNS, existence de boîtes email ; normalisation et validation de numéros de téléphoneAdresses email, numéros de téléphone, noms (si présents dans le CSV)Contacts professionnels du Client
RagWebIndexation de contenus web, stockage vectoriel, génération de réponsesToute donnée personnelle figurant dans les pages indexées (noms, emails, téléphones de contacts publiés)Personnes mentionnées dans les contenus web du Client
ClicPlusRedirection d’URLs, collecte de statistiques de clicsAdresses IP des visiteurs (collectées automatiquement via les statistiques de clics)Visiteurs des liens raccourcis du Client

3.3 Durée du traitement
#

Le traitement des données dure pendant toute la durée de la relation contractuelle entre les parties, augmentée des périodes de conservation prévues à l’article 9 du présent DPA.


4. Obligations du Sous-traitant
#

Conformément à l’article 28, paragraphe 3, du RGPD, le Prestataire s’engage à :

4.1 Instructions documentées
#

Traiter les données à caractère personnel uniquement sur instruction documentée du Client, y compris en ce qui concerne les transferts de données vers un pays tiers ou à une organisation internationale, à moins d’y être tenu en vertu du droit de l’Union ou du droit de l’État membre auquel le Prestataire est soumis. Dans ce cas, le Prestataire informera le Client de cette obligation juridique avant le traitement, sauf si le droit en question interdit une telle information.

Les présentes CGVU et le présent DPA constituent les instructions documentées du Client au sens du RGPD.

4.2 Confidentialité
#

Veiller à ce que les personnes autorisées à traiter les données à caractère personnel s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.

Le Prestataire étant un micro-entrepreneur exerçant seul, il est la seule personne physique ayant accès aux données dans le cadre de l’administration des services.

4.3 Sécurité
#

Mettre en œuvre les mesures techniques et organisationnelles appropriées conformément à l’article 32 du RGPD pour assurer un niveau de sécurité adapté au risque, y compris :

  • Chiffrement : données chiffrées en transit (TLS 1.2+) et au repos (SSE-S3 pour les fichiers stockés, chiffrement natif DynamoDB) ;
  • Pseudonymisation : les clés API sont stockées sous forme de hash SHA-256 ;
  • Contrôle d’accès : authentification multi-facteur (OTP), jetons JWT à durée limitée, clés API révocables ;
  • Isolation : restriction géographique (AWS WAF, France uniquement), règles de pare-feu applicatif ;
  • Disponibilité : infrastructure AWS multi-AZ, Point-in-Time Recovery (PITR) activé sur les tables critiques ;
  • Tests : revue régulière des configurations de sécurité.

4.4 Sous-traitants ultérieurs
#

Ne pas recruter un autre sous-traitant (sous-traitant ultérieur) sans l’autorisation écrite préalable, générale ou spécifique, du Client.

Autorisation générale : le Client autorise de manière générale le Prestataire à recourir aux sous-traitants ultérieurs listés à l’Annexe A du présent DPA. Le Prestataire informera le Client de tout changement prévu concernant l’ajout ou le remplacement de sous-traitants ultérieurs au moins trente (30) jours avant la mise en œuvre, donnant ainsi au Client la possibilité d’émettre des objections.

Le Prestataire veille à ce que chaque sous-traitant ultérieur soit soumis aux mêmes obligations de protection des données que celles prévues dans le présent DPA.

4.5 Droits des personnes concernées
#

Aider le Client, dans la mesure du possible, à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées (accès, rectification, effacement, limitation, portabilité, opposition) conformément aux articles 15 à 22 du RGPD.

4.6 Assistance à la conformité
#

Aider le Client à garantir le respect des obligations prévues aux articles 32 à 36 du RGPD (sécurité, notification de violation, analyse d’impact), compte tenu de la nature du traitement et des informations à la disposition du Prestataire.

4.7 Notification de violation
#

Notifier le Client dans les meilleurs délais, et en tout état de cause dans un délai maximal de 72 heures après en avoir pris connaissance, de toute violation de données à caractère personnel au sens de l’article 33 du RGPD. Cette notification comprendra :

  • la nature de la violation ;
  • les catégories et le nombre approximatif de personnes concernées ;
  • les catégories et le nombre approximatif d’enregistrements touchés ;
  • les conséquences probables de la violation ;
  • les mesures prises ou proposées pour remédier à la violation.

4.8 Audit
#

Mettre à la disposition du Client toutes les informations nécessaires pour démontrer le respect des obligations prévues à l’article 28 du RGPD et permettre la réalisation d’audits, y compris des inspections, par le Client ou un auditeur mandaté par celui-ci.

Compte tenu du statut de micro-entrepreneur du Prestataire, les audits seront réalisés sous forme de questionnaires écrits et d’échanges documentés, sauf circonstances exceptionnelles justifiant une inspection sur site.


5. Obligations du Responsable de traitement (Client)
#

Le Client s’engage à :

  • fournir au Prestataire des instructions licites et documentées concernant le traitement des données ;
  • s’assurer de la licéité des traitements qu’il demande au Prestataire d’effectuer ;
  • garantir qu’il dispose d’une base légale valide (article 6 du RGPD) pour la collecte des données soumises au Prestataire ;
  • informer les personnes concernées du traitement de leurs données conformément aux articles 13 et 14 du RGPD ;
  • répondre aux demandes d’exercice des droits des personnes concernées, avec l’assistance du Prestataire le cas échéant.

6. Transferts de données hors UE/EEE
#

6.1 Principe
#

Les données personnelles sont traitées et stockées au sein de l’Union européenne (région AWS eu-west-1, Dublin, Irlande).

6.2 Sous-traitants ultérieurs hors UE
#

Certains sous-traitants ultérieurs (cf. Annexe A) peuvent traiter des données en dehors de l’EEE. Dans ce cas, le transfert est encadré par :

  • une décision d’adéquation de la Commission européenne (article 45 RGPD) ; ou
  • des clauses contractuelles types (CCT) adoptées par la Commission européenne (article 46 RGPD) ; ou
  • des règles d’entreprise contraignantes (BCR) du sous-traitant ultérieur.

Le Prestataire privilégie systématiquement les régions de traitement au sein de l’UE lorsque cela est techniquement possible.


7. Sort des données en fin de contrat
#

7.1 Restitution
#

À l’issue de la relation contractuelle, et sur demande du Client formulée dans un délai de trente (30) jours suivant la résiliation, le Prestataire restituera au Client l’ensemble des données à caractère personnel traitées pour son compte, dans un format structuré, couramment utilisé et lisible par machine.

7.2 Suppression
#

À l’expiration du délai de trente (30) jours suivant la résiliation (période de grâce), le Prestataire procédera à la suppression définitive de toutes les données à caractère personnel traitées pour le compte du Client, sauf obligation légale de conservation.

7.3 Certificat de suppression
#

Sur demande du Client, le Prestataire attestera par écrit de la suppression effective des données.


8. Registre des activités de traitement
#

Conformément à l’article 30, paragraphe 2, du RGPD, le Prestataire tient un registre des catégories d’activités de traitement effectuées pour le compte du Client, comprenant :

  • les coordonnées du Client et du Prestataire ;
  • les catégories de traitements effectués pour le compte du Client ;
  • les transferts de données vers des pays tiers, le cas échéant ;
  • une description générale des mesures de sécurité techniques et organisationnelles.

9. Durées de conservation
#

DonnéesDurée de conservationJustification
Fichiers CSV soumis (Validation)24 heuresTraitement puis suppression automatique
Résultats de validation (CSV/XLSX)7 joursDisponibilité au téléchargement
Pages indexées (RagWeb)Durée de l’abonnement + 30 joursExécution du service + période de grâce
Documents uploadés (RagWeb)Durée de l’abonnement + 30 joursExécution du service + période de grâce
Statistiques de clics (ClicPlus)90 joursFourniture des analytics
Liens raccourcis supprimés (ClicPlus)30 jours (soft-delete)Possibilité de restauration

10. Droit applicable et juridiction
#

Le présent DPA est régi par le droit français. Tout litige sera soumis à la compétence exclusive du Tribunal de Commerce de Paris, conformément aux CGVU.


Annexe A — Liste des sous-traitants ultérieurs
#

Le Client autorise de manière générale le recours aux sous-traitants ultérieurs suivants :

Sous-traitantPays / SiègeFinalitéDonnées traitéesGaranties transferts
Amazon Web Services EMEA SARLLuxembourg (traitement : Irlande, UE)Infrastructure, stockage, calcul, envoi d’email (SES), IA (Bedrock), authentification (Cognito)Toutes les données des servicesTraitement intra-UE
Stripe Payments Europe, Ltd.Irlande, UEPaiements, facturation, gestion abonnementsNom, email, adresse de facturation, numéro TVATraitement intra-UE
Firecrawl (Mendable Inc.)États-UnisExtraction de contenus web (RagWeb, modération ClicPlus)URLs, contenus de pages webCCT de la Commission européenne
SilverLining.CloudAutriche, UERaccourcissement d’URL, QR codes, validation email, requêtes DNSURLs, adresses email, adresses IPTraitement intra-UE
WrapsFrance, UEEnvoi d’emails transactionnelsAdresses email des destinataires, contenu des emailsTraitement intra-UE
ScreenshotOneÉtats-UnisCaptures d’écran pour modération de contenu (ClicPlus)URLs des pages capturéesCCT de la Commission européenne
Hetzner Online GmbHAllemagne, UEHébergement analytics (Umami)Données anonymisées de navigation (aucune donnée personnelle)Traitement intra-UE

Annexe B — Mesures de sécurité techniques et organisationnelles
#

Mesures techniques
#

CatégorieMesure
Chiffrement en transitTLS 1.2+ sur toutes les communications
Chiffrement au reposSSE-S3 (fichiers), chiffrement natif DynamoDB, KMS pour les OTP Cognito
Contrôle d’accèsIAM AWS (least privilege), JWT Cognito, clés API hashées (SHA-256)
Isolation réseauAWS WAF (geo-restriction France, rate limiting, protection XSS/SQLi)
Détection d’intrusionAWS Managed Rules (AWSCommonRuleSet, AWSKnownBadInputs)
JournalisationCloudTrail (audit API), structured logging Lambda
SauvegardePoint-in-Time Recovery (PITR) sur tables DynamoDB critiques
Protection contre la suppressionDeletion Protection activée sur les tables contenant des données clients
PseudonymisationClés API stockées sous forme de hash SHA-256, jamais en clair
Suppression automatiqueTTL DynamoDB pour purge automatique des données temporaires

Mesures organisationnelles
#

CatégorieMesure
Accès limitéMicro-entrepreneur exerçant seul — aucun employé, aucun accès tiers non autorisé
FormationVeille réglementaire RGPD et sécurité continue
Gestion des incidentsProcédure de notification dans les 72h (article 33 RGPD)
RevueRevue régulière des configurations de sécurité et des accès
DocumentationRegistre des activités de traitement tenu à jour

Contact
#

Pour toute question relative au présent DPA ou pour exercer vos droits :
Email :