Data Processing Agreement (DPA)

Préambule

Le Commerçant (ci-après « le Responsable de traitement » ou « le Tenant ») souscrit à la plateforme SaaS de gestion de boutique en ligne fournie par SaaSimple (Ibrahim Cissé, Entreprise Individuelle, SIRET 910 866 144 00025, ci-après « le Sous-traitant » ou « SaaSimple »).

Dans ce cadre, SaaSimple est amené à traiter des données personnelles pour le compte du Tenant. Le présent DPA définit les conditions dans lesquelles SaaSimple effectue ces traitements, conformément à l'article 28 du Règlement (UE) 2016/679 du 27 avril 2016 (RGPD).

Article 1 — Description du traitement

1.1 Nature du traitement

SaaSimple est autorisé à traiter, pour le compte du Tenant, les données personnelles nécessaires à la fourniture du service de boutique en ligne :

• Hébergement et opération de la boutique en ligne
• Stockage des données clients et commandes
• Envoi d'emails et SMS transactionnels via sous-traitants ultérieurs
• Traitement des paiements via prestataires tiers (Stripe, PayPal)
• Génération de factures, livre de recettes et exports comptables
• Sauvegardes et archivage

1.2 Finalités du traitement

• Fourniture du service SaaS souscrit par le Tenant
• Maintenance technique et amélioration continue du service
• Sauvegarde et continuité d'activité
• Conformité aux obligations légales (factures, archivage, fiscalité)

1.3 Catégories de données traitées

• Données d'identification : nom, prénom, email, téléphone
• Données de connexion : identifiants, mots de passe chiffrés (bcrypt), logs de connexion
• Données de commande : produits commandés, montants, adresses de livraison
• Données de paiement : informations de transaction. Les données bancaires sont traitées exclusivement par Stripe ou PayPal, jamais par SaaSimple.
• Données techniques : adresse IP, type de navigateur, données de navigation

1.4 Catégories de personnes concernées

• Clients du Tenant (visiteurs et acheteurs de la boutique)
• Utilisateurs administrateurs désignés par le Tenant

1.5 Durée du traitement

Le traitement est effectué pendant toute la durée du contrat SaaS conclu entre les Parties.

Article 2 — Obligations du Sous-traitant

Conformément à l'article 28 du RGPD, SaaSimple s'engage à :

2.1 Agir uniquement sur instruction documentée

Traiter les données uniquement sur instruction documentée du Tenant, y compris en cas de transfert hors UE. Toute instruction est réputée donnée par les paramétrages effectués par le Tenant dans son espace administrateur SaaSimple, ainsi que par les présentes clauses.

2.2 Garantir la confidentialité

S'assurer que les personnes autorisées à traiter les données sont soumises à une obligation de confidentialité contractuelle ou légale.

2.3 Mettre en œuvre des mesures de sécurité appropriées

• Chiffrement TLS de toutes les communications (certificats Let's Encrypt)
• Authentification renforcée (MFA TOTP obligatoire pour les comptes administrateurs)
• Chiffrement des mots de passe (bcrypt ou équivalent)
• Hébergement en France (OVH, Roubaix)
• Sauvegardes régulières des bases de données
• Logs de sécurité et surveillance des accès
• Accès aux données limité au strict besoin opérationnel
• Mises à jour de sécurité régulières du système d'exploitation et des dépendances applicatives

2.4 Sous-traitance ultérieure (sous-sous-traitants)

SaaSimple est autorisé à recourir aux sous-sous-traitants suivants pour la fourniture du service :

SaaSimple s'engage à imposer à chaque sous-sous-traitant les mêmes obligations de protection des données que celles fixées dans le présent DPA, par voie contractuelle.

Le Tenant est informé par email préalablement à tout ajout ou remplacement de sous-sous-traitant, avec un délai de 30 jours pendant lequel il peut s'opposer pour motif légitime. À défaut d'opposition dans ce délai, le changement est réputé accepté.

2.5 Assistance au Responsable de traitement

SaaSimple assiste le Tenant, dans la mesure du possible, pour répondre aux obligations suivantes :

• Réponse aux demandes d'exercice des droits des personnes concernées (accès, rectification, effacement, limitation, portabilité, opposition) : mise à disposition d'outils dans l'interface SaaSimple
• Notification de violations de données (cf. article 4 ci-après)
• Analyses d'impact relatives à la protection des données (AIPD / DPIA), le cas échéant
• Consultations préalables auprès de la CNIL, le cas échéant

2.6 Suppression ou retour des données

À la fin de la prestation, SaaSimple s'engage, au choix du Tenant, à :

• Restituer toutes les données personnelles sous format exploitable (export SQL + archive R2)
• Ou supprimer toutes les copies des données personnelles, sauf disposition légale imposant la conservation

La suppression intervient dans un délai maximum de 30 jours suivant la fin de contrat, sauf disposition légale contraire (notamment obligations comptables 10 ans pour les factures et le livre de recettes).

2.7 Mise à disposition des informations

SaaSimple tient à disposition du Tenant toute information nécessaire pour démontrer le respect des obligations prévues à l'article 28 du RGPD et permettre la réalisation d'audits.

Article 3 — Obligations du Responsable de traitement

Le Tenant s'engage à :

• Documenter par écrit toute instruction concernant le traitement des données par SaaSimple
• Veiller au respect des obligations prévues par le RGPD, notamment l'information des personnes concernées
• Superviser le traitement et s'assurer de la conformité de SaaSimple
• Renseigner correctement les paramétrages de son espace administrateur (mentions légales, politique de confidentialité, CGV) afin d'informer ses propres clients

Article 4 — Violation de données personnelles

4.1 Notification au Responsable de traitement

En cas de violation de données personnelles, SaaSimple notifiera le Tenant dans les meilleurs délais après en avoir pris connaissance, et au plus tard dans un délai de 72 heures.

La notification sera envoyée à l'adresse email de contact renseignée par le Tenant dans son espace administrateur.

4.2 Contenu de la notification

La notification précisera, dans la mesure du possible :

• La nature de la violation
• Les catégories et le nombre approximatif de personnes concernées et de données concernées
• Les conséquences probables
• Les mesures prises ou proposées pour remédier à la violation et atténuer ses conséquences

Article 5 — Registre des activités de traitement

SaaSimple tient un registre écrit de toutes les catégories d'activités de traitement effectuées pour le compte du Tenant, conformément à l'article 30.2 du RGPD.

Ce registre est tenu à disposition de la CNIL en cas de demande.

Article 6 — Transferts internationaux de données

Lorsque des données personnelles sont transférées hors de l'Union Européenne via un sous-sous-traitant (Stripe, PayPal USA, Twilio, SendGrid, Cloudflare R2, Anthropic), SaaSimple garantit que ces transferts sont encadrés par :

• Des Clauses Contractuelles Types approuvées par la Commission Européenne, ou
• Un mécanisme équivalent reconnu (par exemple le Data Privacy Framework pour les sous-traitants américains certifiés).

SaaSimple met à disposition du Tenant, sur demande, la liste des sous-sous-traitants hors UE et les garanties applicables.

Article 7 — Audit

Le Tenant peut, dans la limite du raisonnable et moyennant un préavis de 30 jours, demander la communication d'informations et la réalisation d'audits (y compris par un tiers mandaté) pour vérifier le respect des obligations de SaaSimple au titre du présent DPA.

Les frais d'audit sont à la charge du Tenant, sauf si l'audit révèle une non-conformité substantielle imputable à SaaSimple.

Article 8 — Durée et fin du DPA

Le présent DPA prend effet à la date d'acceptation à la souscription et reste en vigueur pendant toute la durée du contrat SaaS conclu entre les Parties.

Il prend fin automatiquement à la fin du contrat SaaS, sans préjudice des obligations subsistant après la fin du contrat (notamment article 2.6 sur la restitution / suppression des données et obligations légales de conservation).

Article 9 — Responsabilité

Chaque Partie est responsable des dommages causés par le non-respect de ses obligations au titre du RGPD et du présent DPA.

Conformément à l'article 82 du RGPD, SaaSimple n'est responsable du dommage causé par le traitement que s'il n'a pas respecté les obligations du RGPD spécifiquement applicables aux sous-traitants, ou s'il a agi en dehors des instructions licites du Tenant.

Article 10 — Modifications du DPA

Le présent DPA peut être modifié à tout moment pour tenir compte d'évolutions légales, réglementaires ou techniques. Toute modification substantielle sera notifiée au Tenant avec un préavis de 30 jours avant son entrée en vigueur.

À défaut d'opposition motivée dans ce délai, la nouvelle version du DPA sera réputée acceptée.

Article 11 — Droit applicable et juridiction

Le présent DPA est régi par le droit français.

Tout litige relatif à l'interprétation ou à l'exécution du présent DPA sera, à défaut d'accord amiable, soumis aux tribunaux français compétents (cf. CGV article 15).

Article 12 — Acceptation du DPA

L'acceptation du présent DPA est matérialisée par la souscription au service SaaSimple et le cochage d'une case dédiée lors de la procédure d'inscription du Tenant via le formulaire de souscription.

L'horodatage de cette acceptation, ainsi que la version du document acceptée, sont conservés à des fins probatoires conformément à l'article 30.2 du RGPD. L'acceptation est expresse et engage le Tenant sans réserve.