Accord de traitement des données

1. Objet et durée

L'objet du traitement est la fourniture au Responsable du traitement de la plateforme de décharges de responsabilité numériques WaiverKit. Le traitement se poursuit tant que le Responsable du traitement maintient un compte actif, ainsi que pendant toute période de conservation postérieure à la résiliation applicable, décrite à la Section 11.

2. Nature et finalité du traitement

Le Sous-traitant traite les données à caractère personnel dans le seul but d'héberger, fournir, sécuriser et prendre en charge le service WaiverKit : collecte et stockage des décharges signées, génération de PDF, envoi d'e-mails transactionnels, authentification des utilisateurs, traitement des paiements et production d'analyses pour le compte du Responsable du traitement.

3. Types de données à caractère personnel et catégories de personnes concernées

Les données à caractère personnel traitées peuvent inclure :

• Données d'identification du signataire (nom, date de naissance, adresse, e-mail, téléphone)
• Images de signature et signatures saisies
• Données du tuteur pour les signataires mineurs
• Données de compte des utilisateurs professionnels (nom, e-mail, identifiants d'authentification, adresse IP)

Les catégories de personnes concernées incluent : les participants qui signent des décharges, les tuteurs des participants mineurs, ainsi que les employés ou utilisateurs autorisés du Responsable du traitement.

4. Obligations et droits du Responsable du traitement

Le Responsable du traitement est responsable de la licéité de la collecte et du traitement des données à caractère personnel, de l'obtention des consentements nécessaires auprès des personnes concernées, de l'exactitude des instructions données au Sous-traitant et de la conformité à la loi applicable des modèles de décharge et des flux qu'il configure. Le Responsable du traitement conserve tous les droits sur les données à caractère personnel et peut à tout moment adresser au Sous-traitant des instructions documentées.

5. Sous-traitants ultérieurs

Le Responsable du traitement autorise le Sous-traitant à faire appel aux sous-traitants ultérieurs suivants pour la fourniture du service :

• Clerk (authentification, gestion des sessions et annuaire des utilisateurs).
• Stripe (traitement des paiements et facturation des abonnements).
• Resend (envoi d'e-mails transactionnels).
• Cloudflare R2 (stockage objet pour les images de signature et les fichiers PDF).
• Vercel (hébergement applicatif, réseau edge et routage des requêtes).
• Neon (Postgres) (hébergement de la base de données Postgres managée pour les données structurées).

Le Sous-traitant informera le Responsable du traitement de tout projet d'ajout ou de remplacement d'un sous-traitant ultérieur, en lui laissant un délai raisonnable pour s'y opposer sur des motifs légitimes.

6. Mesures de sécurité

Le Sous-traitant met en œuvre des mesures techniques et organisationnelles appropriées pour protéger les données à caractère personnel, notamment :

• Chiffrement en transit (TLS 1.2+) et au repos pour la base de données et le stockage objet
• Contrôles d'accès basés sur les rôles et IAM au moindre privilège sur l'infrastructure
• Isolation des locataires appliquée au niveau applicatif et au niveau des requêtes
• Journalisation d'audit des actions administratives et des accès aux données personnelles
• Sauvegardes régulières, analyse automatisée des dépendances et procédures de réponse aux incidents

7. Droits des personnes concernées

Compte tenu de la nature du traitement, le Sous-traitant assistera le Responsable du traitement par des mesures techniques et organisationnelles appropriées, afin de lui permettre de répondre à son obligation de donner suite aux demandes des personnes concernées exerçant leurs droits d'accès, de rectification, d'effacement, de limitation, de portabilité et d'opposition au titre des articles 15 à 22 du RGPD.

8. Notification des violations de données

Le Sous-traitant notifiera au Responsable du traitement, sans retard injustifié et en tout état de cause dans les 72 heures suivant la prise de connaissance, toute violation de données à caractère personnel affectant les données du Responsable du traitement. La notification décrira la nature de la violation, ses conséquences probables, les mesures prises ou proposées, ainsi qu'un point de contact pour toute information complémentaire.

9. Transferts internationaux

Lorsque des données à caractère personnel sont transférées en dehors de l'Espace économique européen, du Royaume-Uni ou de la Suisse, vers un pays ne bénéficiant pas d'une décision d'adéquation, ces transferts sont encadrés par les Clauses contractuelles types (CCT) de la Commission européenne et, le cas échéant, par l'Addendum au transfert international de données du Royaume-Uni et l'addendum suisse, ainsi que par toute mesure supplémentaire requise par l'évaluation d'impact du transfert.

10. Droits d'audit

Le Sous-traitant mettra à la disposition du Responsable du traitement toutes les informations raisonnablement nécessaires pour démontrer le respect du présent DPA et permettra la réalisation d'audits, y compris des inspections, conduits par le Responsable du traitement ou par un auditeur qu'il mandate, sous réserve d'obligations de confidentialité raisonnables et au maximum une fois par année civile, sauf en cas d'incident de sécurité documenté ou de demande réglementaire.

11. Résiliation, restitution et suppression

À la résiliation du contrat, le Sous-traitant, au choix du Responsable du traitement, supprimera ou restituera toutes les données à caractère personnel traitées pour le compte du Responsable du traitement, et supprimera les copies existantes, sauf si la loi applicable exige un stockage prolongé. Les sauvegardes contenant des données à caractère personnel seront supprimées au cours normal du cycle de rétention des sauvegardes.