Dernière mise à jour : 30 juin 2025
Le présent Accord de Traitement des Données (ci-après « DPA ») est conclu en application de l’article 28 du Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel (ci-après « RGPD »).
Il complète les Conditions Générales de Vente et d’Utilisation (ci-après « CGVU ») et fait partie intégrante de la relation contractuelle entre les parties.
1. Parties#
Responsable de traitement (ci-après « le Client ») :
Toute personne morale ou physique agissant à titre professionnel ayant souscrit aux services de la plateforme yannick.services.
Sous-traitant (ci-après « le Prestataire ») :
Yannick TOCQUET
Micro-entrepreneur — SIRET : 948 551 932 00031
Email : contact@yannick.services
2. Objet et périmètre#
Le présent DPA définit les conditions dans lesquelles le Prestataire traite des données à caractère personnel pour le compte du Client dans le cadre de l’exécution des services souscrits.
Le Prestataire agit en qualité de sous-traitant au sens de l’article 28 du RGPD uniquement pour les données personnelles que le Client soumet aux services. Pour les données collectées dans le cadre de la gestion du compte client (email, identifiant, historique de facturation), le Prestataire agit en qualité de responsable de traitement.
3. Description des traitements#
3.1 Finalités#
Le Prestataire traite les données personnelles du Client aux seules fins suivantes :
- exécution des services souscrits tels que décrits dans les CGVU ;
- fourniture des résultats de traitement au Client.
3.2 Nature des opérations#
| Service | Nature des opérations | Données concernées | Catégories de personnes |
|---|---|---|---|
| Validation Email & Téléphone | Vérification syntaxique, DNS, existence de boîtes email ; normalisation et validation de numéros de téléphone | Adresses email, numéros de téléphone, noms (si présents dans le CSV) | Contacts professionnels du Client |
| RagWeb | Indexation de contenus web, stockage vectoriel, génération de réponses | Toute donnée personnelle figurant dans les pages indexées (noms, emails, téléphones de contacts publiés) | Personnes mentionnées dans les contenus web du Client |
| ClicPlus | Redirection d’URLs, collecte de statistiques de clics | Adresses IP des visiteurs (collectées automatiquement via les statistiques de clics) | Visiteurs des liens raccourcis du Client |
3.3 Durée du traitement#
Le traitement des données dure pendant toute la durée de la relation contractuelle entre les parties, augmentée des périodes de conservation prévues à l’article 9 du présent DPA.
4. Obligations du Sous-traitant#
Conformément à l’article 28, paragraphe 3, du RGPD, le Prestataire s’engage à :
4.1 Instructions documentées#
Traiter les données à caractère personnel uniquement sur instruction documentée du Client, y compris en ce qui concerne les transferts de données vers un pays tiers ou à une organisation internationale, à moins d’y être tenu en vertu du droit de l’Union ou du droit de l’État membre auquel le Prestataire est soumis. Dans ce cas, le Prestataire informera le Client de cette obligation juridique avant le traitement, sauf si le droit en question interdit une telle information.
Les présentes CGVU et le présent DPA constituent les instructions documentées du Client au sens du RGPD.
4.2 Confidentialité#
Veiller à ce que les personnes autorisées à traiter les données à caractère personnel s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.
Le Prestataire étant un micro-entrepreneur exerçant seul, il est la seule personne physique ayant accès aux données dans le cadre de l’administration des services.
4.3 Sécurité#
Mettre en œuvre les mesures techniques et organisationnelles appropriées conformément à l’article 32 du RGPD pour assurer un niveau de sécurité adapté au risque, y compris :
- Chiffrement : données chiffrées en transit (TLS 1.2+) et au repos (SSE-S3 pour les fichiers stockés, chiffrement natif DynamoDB) ;
- Pseudonymisation : les clés API sont stockées sous forme de hash SHA-256 ;
- Contrôle d’accès : authentification multi-facteur (OTP), jetons JWT à durée limitée, clés API révocables ;
- Isolation : restriction géographique (AWS WAF, France uniquement), règles de pare-feu applicatif ;
- Disponibilité : infrastructure AWS multi-AZ, Point-in-Time Recovery (PITR) activé sur les tables critiques ;
- Tests : revue régulière des configurations de sécurité.
4.4 Sous-traitants ultérieurs#
Ne pas recruter un autre sous-traitant (sous-traitant ultérieur) sans l’autorisation écrite préalable, générale ou spécifique, du Client.
Autorisation générale : le Client autorise de manière générale le Prestataire à recourir aux sous-traitants ultérieurs listés à l’Annexe A du présent DPA. Le Prestataire informera le Client de tout changement prévu concernant l’ajout ou le remplacement de sous-traitants ultérieurs au moins trente (30) jours avant la mise en œuvre, donnant ainsi au Client la possibilité d’émettre des objections.
Le Prestataire veille à ce que chaque sous-traitant ultérieur soit soumis aux mêmes obligations de protection des données que celles prévues dans le présent DPA.
4.5 Droits des personnes concernées#
Aider le Client, dans la mesure du possible, à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées (accès, rectification, effacement, limitation, portabilité, opposition) conformément aux articles 15 à 22 du RGPD.
4.6 Assistance à la conformité#
Aider le Client à garantir le respect des obligations prévues aux articles 32 à 36 du RGPD (sécurité, notification de violation, analyse d’impact), compte tenu de la nature du traitement et des informations à la disposition du Prestataire.
4.7 Notification de violation#
Notifier le Client dans les meilleurs délais, et en tout état de cause dans un délai maximal de 72 heures après en avoir pris connaissance, de toute violation de données à caractère personnel au sens de l’article 33 du RGPD. Cette notification comprendra :
- la nature de la violation ;
- les catégories et le nombre approximatif de personnes concernées ;
- les catégories et le nombre approximatif d’enregistrements touchés ;
- les conséquences probables de la violation ;
- les mesures prises ou proposées pour remédier à la violation.
4.8 Audit#
Mettre à la disposition du Client toutes les informations nécessaires pour démontrer le respect des obligations prévues à l’article 28 du RGPD et permettre la réalisation d’audits, y compris des inspections, par le Client ou un auditeur mandaté par celui-ci.
Compte tenu du statut de micro-entrepreneur du Prestataire, les audits seront réalisés sous forme de questionnaires écrits et d’échanges documentés, sauf circonstances exceptionnelles justifiant une inspection sur site.
5. Obligations du Responsable de traitement (Client)#
Le Client s’engage à :
- fournir au Prestataire des instructions licites et documentées concernant le traitement des données ;
- s’assurer de la licéité des traitements qu’il demande au Prestataire d’effectuer ;
- garantir qu’il dispose d’une base légale valide (article 6 du RGPD) pour la collecte des données soumises au Prestataire ;
- informer les personnes concernées du traitement de leurs données conformément aux articles 13 et 14 du RGPD ;
- répondre aux demandes d’exercice des droits des personnes concernées, avec l’assistance du Prestataire le cas échéant.
6. Transferts de données hors UE/EEE#
6.1 Principe#
Les données personnelles sont traitées et stockées au sein de l’Union européenne (région AWS eu-west-1, Dublin, Irlande).
6.2 Sous-traitants ultérieurs hors UE#
Certains sous-traitants ultérieurs (cf. Annexe A) peuvent traiter des données en dehors de l’EEE. Dans ce cas, le transfert est encadré par :
- une décision d’adéquation de la Commission européenne (article 45 RGPD) ; ou
- des clauses contractuelles types (CCT) adoptées par la Commission européenne (article 46 RGPD) ; ou
- des règles d’entreprise contraignantes (BCR) du sous-traitant ultérieur.
Le Prestataire privilégie systématiquement les régions de traitement au sein de l’UE lorsque cela est techniquement possible.
7. Sort des données en fin de contrat#
7.1 Restitution#
À l’issue de la relation contractuelle, et sur demande du Client formulée dans un délai de trente (30) jours suivant la résiliation, le Prestataire restituera au Client l’ensemble des données à caractère personnel traitées pour son compte, dans un format structuré, couramment utilisé et lisible par machine.
7.2 Suppression#
À l’expiration du délai de trente (30) jours suivant la résiliation (période de grâce), le Prestataire procédera à la suppression définitive de toutes les données à caractère personnel traitées pour le compte du Client, sauf obligation légale de conservation.
7.3 Certificat de suppression#
Sur demande du Client, le Prestataire attestera par écrit de la suppression effective des données.
8. Registre des activités de traitement#
Conformément à l’article 30, paragraphe 2, du RGPD, le Prestataire tient un registre des catégories d’activités de traitement effectuées pour le compte du Client, comprenant :
- les coordonnées du Client et du Prestataire ;
- les catégories de traitements effectués pour le compte du Client ;
- les transferts de données vers des pays tiers, le cas échéant ;
- une description générale des mesures de sécurité techniques et organisationnelles.
9. Durées de conservation#
| Données | Durée de conservation | Justification |
|---|---|---|
| Fichiers CSV soumis (Validation) | 24 heures | Traitement puis suppression automatique |
| Résultats de validation (CSV/XLSX) | 7 jours | Disponibilité au téléchargement |
| Pages indexées (RagWeb) | Durée de l’abonnement + 30 jours | Exécution du service + période de grâce |
| Documents uploadés (RagWeb) | Durée de l’abonnement + 30 jours | Exécution du service + période de grâce |
| Statistiques de clics (ClicPlus) | 90 jours | Fourniture des analytics |
| Liens raccourcis supprimés (ClicPlus) | 30 jours (soft-delete) | Possibilité de restauration |
10. Droit applicable et juridiction#
Le présent DPA est régi par le droit français. Tout litige sera soumis à la compétence exclusive du Tribunal de Commerce de Paris, conformément aux CGVU.
Annexe A — Liste des sous-traitants ultérieurs#
Le Client autorise de manière générale le recours aux sous-traitants ultérieurs suivants :
| Sous-traitant | Pays / Siège | Finalité | Données traitées | Garanties transferts |
|---|---|---|---|---|
| Amazon Web Services EMEA SARL | Luxembourg (traitement : Irlande, UE) | Infrastructure, stockage, calcul, envoi d’email (SES), IA (Bedrock), authentification (Cognito) | Toutes les données des services | Traitement intra-UE |
| Stripe Payments Europe, Ltd. | Irlande, UE | Paiements, facturation, gestion abonnements | Nom, email, adresse de facturation, numéro TVA | Traitement intra-UE |
| Firecrawl (Mendable Inc.) | États-Unis | Extraction de contenus web (RagWeb, modération ClicPlus) | URLs, contenus de pages web | CCT de la Commission européenne |
| SilverLining.Cloud | Autriche, UE | Raccourcissement d’URL, QR codes, validation email, requêtes DNS | URLs, adresses email, adresses IP | Traitement intra-UE |
| Wraps | France, UE | Envoi d’emails transactionnels | Adresses email des destinataires, contenu des emails | Traitement intra-UE |
| ScreenshotOne | États-Unis | Captures d’écran pour modération de contenu (ClicPlus) | URLs des pages capturées | CCT de la Commission européenne |
| Hetzner Online GmbH | Allemagne, UE | Hébergement analytics (Umami) | Données anonymisées de navigation (aucune donnée personnelle) | Traitement intra-UE |
Annexe B — Mesures de sécurité techniques et organisationnelles#
Mesures techniques#
| Catégorie | Mesure |
|---|---|
| Chiffrement en transit | TLS 1.2+ sur toutes les communications |
| Chiffrement au repos | SSE-S3 (fichiers), chiffrement natif DynamoDB, KMS pour les OTP Cognito |
| Contrôle d’accès | IAM AWS (least privilege), JWT Cognito, clés API hashées (SHA-256) |
| Isolation réseau | AWS WAF (geo-restriction France, rate limiting, protection XSS/SQLi) |
| Détection d’intrusion | AWS Managed Rules (AWSCommonRuleSet, AWSKnownBadInputs) |
| Journalisation | CloudTrail (audit API), structured logging Lambda |
| Sauvegarde | Point-in-Time Recovery (PITR) sur tables DynamoDB critiques |
| Protection contre la suppression | Deletion Protection activée sur les tables contenant des données clients |
| Pseudonymisation | Clés API stockées sous forme de hash SHA-256, jamais en clair |
| Suppression automatique | TTL DynamoDB pour purge automatique des données temporaires |
Mesures organisationnelles#
| Catégorie | Mesure |
|---|---|
| Accès limité | Micro-entrepreneur exerçant seul — aucun employé, aucun accès tiers non autorisé |
| Formation | Veille réglementaire RGPD et sécurité continue |
| Gestion des incidents | Procédure de notification dans les 72h (article 33 RGPD) |
| Revue | Revue régulière des configurations de sécurité et des accès |
| Documentation | Registre des activités de traitement tenu à jour |
Contact#
Pour toute question relative au présent DPA ou pour exercer vos droits :
Email : contact@yannick.services

