NutriCertRetour à l'accueil

Accord de traitement de données (DPA)

Dernière mise à jour : 2026-05-08 — Version 1.0.0

Le présent Accord de Traitement de Données (Data Processing Agreement, ci-après le « DPA ») est conclu entre __TODO_RAISON_SOCIALE__ (ci-après le « Sous-traitant ») et le Client professionnel ayant souscrit un abonnement à la Plateforme NutriCert (ci-après le « Responsable de traitement »). Il fait partie intégrante des CGV.

1. Définitions

Les termes utilisés dans le présent DPA ont la signification qui leur est donnée par le Règlement (UE) 2016/679 (RGPD), notamment : « données à caractère personnel », « traitement », « responsable du traitement », « sous-traitant », « personne concernée », « violation de données à caractère personnel ».

2. Objet et durée

Le présent DPA encadre le traitement par __TODO_RAISON_SOCIALE__, en qualité de Sous-traitant, des données à caractère personnel pour le compte du Client. Il prend effet à la souscription de l'abonnement et reste en vigueur pendant toute la durée des CGV. Les obligations de confidentialité et de sécurité survivent à la résiliation.

3. Description du traitement

ÉlémentDescription
Nature et finalitéHébergement, stockage, traitement et restitution des données saisies par le Client sur la Plateforme NutriCert, en vue de la fourniture du service de transparence nutritionnelle.
Catégories de personnes concernéesCollaborateurs du Client (utilisateurs administrateurs), clients finaux du Client (consommateurs consultant les menus publics — données anonymisées).
Catégories de donnéesIdentité, coordonnées professionnelles, identifiants de connexion, logs techniques, données de facturation. Aucune donnée sensible au sens de l'article 9 RGPD n'est traitée.
DuréeDurée de l'abonnement + 30 jours d'export après résiliation.

4. Obligations du Sous-traitant

__TODO_RAISON_SOCIALE__ s'engage à :

  1. ne traiter les données que sur instruction documentée du Responsable de traitement, conformément au présent DPA et aux CGV ;
  2. garantir que les personnes autorisées à traiter les données sont soumises à une obligation de confidentialité ;
  3. mettre en œuvre les mesures techniques et organisationnelles appropriées prévues à l'article 32 du RGPD (cf. article 7 ci-dessous) ;
  4. aider le Responsable de traitement, dans la mesure du possible, à répondre aux demandes d'exercice des droits des personnes concernées ;
  5. aider le Responsable de traitement à remplir ses obligations en matière de notification de violation de données, d'analyses d'impact et de consultation préalable ;
  6. notifier toute violation de données dans les meilleurs délais et au plus tard 48 heures après en avoir pris connaissance ;
  7. mettre à disposition du Responsable de traitement, sur demande, toutes les informations nécessaires pour démontrer le respect du présent DPA et permettre la réalisation d'audits.

5. Obligations du Responsable de traitement

Le Client s'engage à :

  • ne saisir sur la Plateforme que des données dont il est en droit de disposer ;
  • informer ses propres personnes concernées (collaborateurs notamment) de la finalité, de la base légale et des modalités du traitement ;
  • recueillir le consentement requis lorsque la base légale du traitement l'exige ;
  • tenir un registre de ses activités de traitement, conformément à l'article 30 du RGPD, incluant le traitement effectué par __TODO_RAISON_SOCIALE__ ;
  • répondre lui-même aux demandes d'exercice des droits de ses personnes concernées.

6. Sous-traitance ultérieure

Le Client autorise __TODO_RAISON_SOCIALE__ à recourir aux sous-traitants ultérieurs listés ci-dessous, sous réserve :

  • de leur imposer des obligations contractuelles de protection des données équivalentes à celles du présent DPA ;
  • d'informer le Client de tout changement de sous-traitant ultérieur, lui laissant un délai raisonnable pour s'y opposer ;
  • de demeurer pleinement responsable, vis-à-vis du Client, du respect des obligations par ses sous-traitants ultérieurs.

Liste des sous-traitants ultérieurs autorisés

Sous-traitantFinalitéLocalisation
Vercel Inc.Hébergement frontendUSA (clauses contractuelles types UE)
Salesforce / HerokuHébergement APIUSA (clauses contractuelles types UE)
Supabase Inc.Base de données PostgreSQL + stockage fichiersSingapour (clauses contractuelles types UE)
Stripe Payments Europe Ltd.Traitement des paiements et facturationIrlande (UE)
ResendEnvoi d'emails transactionnelsUSA (clauses contractuelles types UE)
Functional Software Inc. (Sentry)Monitoring d'erreurs applicativesUSA (clauses contractuelles types UE)

7. Mesures de sécurité (art. 32 RGPD)

  • Chiffrement TLS 1.3 pour tous les flux entrants/sortants ;
  • Chiffrement AES-256 des données au repos ;
  • Hachage des mots de passe (Argon2 / bcrypt) avec sel unique par utilisateur ;
  • Authentification forte (MFA) pour les comptes administrateurs ;
  • Contrôle d'accès basé sur les rôles (RBAC), principe du moindre privilège ;
  • Protection CSRF, validation des entrées, protection contre les injections (Zod, Prisma) ;
  • Journalisation des accès, supervision Sentry, alertes sur incidents ;
  • Sauvegardes quotidiennes chiffrées, rétention 30 jours, tests de restauration périodiques ;
  • Plan de continuité d'activité et de reprise après sinistre ;
  • Formation sécurité du personnel, gestion des accès et révocation rapide ;
  • Audits de sécurité réguliers (OWASP Top 10, tests de charge).

8. Transferts hors Union européenne

Lorsqu'un transfert de données vers un pays tiers est nécessaire (par exemple via les sous-traitants ultérieurs établis aux USA ou à Singapour), il est encadré par les Clauses Contractuelles Types adoptées par la Commission européenne (Décision 2021/914) et, le cas échéant, par le Data Privacy Framework pour les destinataires américains certifiés.

9. Notification de violation de données

En cas de violation de données affectant le Client, __TODO_RAISON_SOCIALE__ notifiera le Client dans les meilleurs délais et au plus tard 48 heures après en avoir pris connaissance. La notification précisera :

  • la nature de la violation ;
  • les catégories et le volume approximatif de personnes et de données concernées ;
  • les conséquences probables ;
  • les mesures prises ou proposées pour y remédier et en atténuer les effets.

Le Client demeure responsable de la notification éventuelle à la CNIL (art. 33 RGPD) et, le cas échéant, aux personnes concernées (art. 34 RGPD).

10. Audit

Le Client peut, sous réserve d'un préavis raisonnable de 30 jours, demander à __TODO_RAISON_SOCIALE__ des informations permettant de vérifier le respect du présent DPA. __TODO_RAISON_SOCIALE__ pourra satisfaire à cette demande par la mise à disposition de rapports d'audit indépendants existants (ISO 27001, SOC 2 le cas échéant) ou de questionnaires sécurité. Les audits sur site, lorsqu'ils sont strictement nécessaires, sont réalisés à la charge du Client et dans le respect de la confidentialité.

11. Sort des données en fin de contrat

À la résiliation du contrat, le Client dispose de 30 jours pour exporter ses données via l'interface dédiée. Passé ce délai, __TODO_RAISON_SOCIALE__ procédera à la suppression sécurisée des données, à l'exception des données soumises à une obligation légale de conservation (factures, données comptables, logs réglementaires). Une attestation de suppression peut être fournie sur demande.

12. Responsabilité

Chaque partie est responsable de l'exécution des obligations qui lui incombent au titre du RGPD et du présent DPA. La répartition de la responsabilité entre Responsable de traitement et Sous-traitant est régie par l'article 82 du RGPD.

Les limitations de responsabilité prévues dans les CGV s'appliquent au présent DPA, dans la mesure compatible avec la réglementation impérative.

13. Loi applicable et juridiction

Le présent DPA est régi par le Droit français. Tout litige relève de la compétence exclusive du __TODO_TRIBUNAL__.

14. Contact

Délégué à la protection des données : __TODO_dpo@nutricert.fr__