Accord de traitement des données (DPA)
Dernière mise à jour : 10 mars 2026
Le présent Accord de Traitement des Données (ci-après « DPA ») est conclu entre le Client (ci-après « le Responsable du traitement ») et la société PISKEE, éditrice de SEEGEA (ci-après « le Sous-traitant »), conformément à l'article 28 du Règlement Général sur la Protection des Données (RGPD).
Ce DPA fait partie intégrante des Conditions Générales d'Utilisation et des Conditions Générales de Vente du Service SEEGEA.
1. Définitions
- Données à caractère personnel : toute information relative à une personne physique identifiée ou identifiable, au sens de l'article 4 du RGPD.
- Traitement : toute opération effectuée sur des données personnelles (collecte, enregistrement, stockage, modification, consultation, transmission, suppression).
- Responsable du traitement : le Client qui détermine les finalités et les moyens du traitement des données de sa boutique e-commerce.
- Sous-traitant : PISKEE/SEEGEA, qui traite les données pour le compte du Responsable du traitement dans le cadre du Service.
2. Objet et portée du traitement
2.1 Nature du traitement
Dans le cadre du Service SEEGEA, le Sous-traitant effectue les traitements suivants pour le compte du Responsable du traitement :
- Importation et synchronisation des données du catalogue e-commerce
- Stockage temporaire des données produits, collections et variantes
- Affichage et édition des données via l'interface utilisateur
- Transmission des modifications vers le CMS du Client
- Versioning et historique des modifications
- Export de données au format CSV
2.2 Types de données traitées
| Catégorie | Types de données |
|---|---|
| Données du catalogue | Titres, descriptions, prix, SKU, images, métafields, variantes, collections |
| Données des commandes | Numéros de commande, montants, statuts (lecture seule) |
| Données de la boutique | Nom de la boutique, URL, devise, paramètres |
| Données d'accès | Tokens OAuth (chiffrés) |
2.3 Personnes concernées
Les données traitées concernent principalement les données commerciales du Client (catalogue produits). Elles peuvent accessoirement contenir des données personnelles de clients finaux dans les commandes (noms, adresses) consultées en lecture seule.
3. Obligations du Sous-traitant
Le Sous-traitant s'engage à :
- Traiter les données uniquement sur instruction documentée du Responsable du traitement, sauf obligation légale contraire
- Garantir la confidentialité : veiller à ce que les personnes autorisées à traiter les données s'engagent à respecter la confidentialité
- Mettre en oeuvre les mesures de sécurité appropriées conformément à l'article 32 du RGPD (voir section 5)
- Ne pas faire appel à un autre sous-traitant sans autorisation préalable écrite du Responsable du traitement (voir section 4)
- Assister le Responsable du traitement dans le respect de ses obligations (droits des personnes, analyses d'impact, notification de violations)
- Supprimer ou restituer toutes les données à la fin de la prestation, au choix du Responsable du traitement
- Mettre à disposition toutes les informations nécessaires pour démontrer le respect des obligations et permettre la réalisation d'audits
4. Sous-traitants ultérieurs
Le Responsable du traitement autorise le Sous-traitant à faire appel aux sous-traitants ultérieurs suivants :
| Sous-traitant | Traitement | Localisation | Garanties |
|---|---|---|---|
| Supabase Inc. | Base de données, auth, stockage | UE (Frankfurt) | DPA Supabase, chiffrement au repos |
| Vercel Inc. | Hébergement application | US (CDN mondial) | DPA Vercel, Data Privacy Framework |
| Stripe Inc. | Paiement | US / UE | PCI DSS, DPA Stripe |
| Resend Inc. | Emails transactionnels | US | DPA Resend, clauses contractuelles types |
En cas d'ajout ou de remplacement d'un sous-traitant ultérieur, le Responsable du traitement sera informé par email au moins 30 jours à l'avance et pourra s'y opposer pour des motifs légitimes.
5. Mesures de sécurité
Le Sous-traitant met en oeuvre les mesures techniques et organisationnelles suivantes :
5.1 Mesures techniques
- Chiffrement en transit (TLS 1.2+) et au repos (AES-256)
- Tokens d'accès CMS chiffrés en base de données
- Mots de passe hashés (bcrypt / argon2)
- Row Level Security (RLS) sur toutes les tables
- Isolation des données par compte (multi-tenant avec account_id)
- Sauvegardes automatiques quotidiennes
- Journalisation des accès et des modifications
5.2 Mesures organisationnelles
- Accès restreint aux données de production (principe du moindre privilège)
- Authentification forte pour les accès administrateurs
- Procédures de gestion des incidents de sécurité
- Formation du personnel à la protection des données
6. Notification de violation
En cas de violation de données personnelles, le Sous-traitant s'engage à :
- Notifier le Responsable du traitement dans un délai de 48 heures maximum après en avoir pris connaissance
- Fournir toutes les informations nécessaires : nature de la violation, catégories de données concernées, nombre de personnes affectées, mesures prises et proposées
- Coopérer avec le Responsable du traitement pour remédier à la violation
7. Transferts internationaux
Les données sont principalement hébergées dans l'Union européenne (Supabase EU). Pour les transferts vers les États-Unis (Vercel, Stripe, Resend), les garanties suivantes sont mises en place :
- EU-US Data Privacy Framework (pour les entités certifiées)
- Clauses contractuelles types de la Commission européenne (CCT)
- Mesures supplémentaires : chiffrement, pseudonymisation quand applicable
8. Droits des personnes concernées
Le Sous-traitant assiste le Responsable du traitement dans la gestion des demandes des personnes concernées (accès, rectification, effacement, portabilité, opposition, limitation). Les demandes reçues directement par le Sous-traitant sont transmises au Responsable du traitement dans un délai de 5 jours ouvrés.
9. Durée et fin du traitement
Le présent DPA est en vigueur pendant toute la durée d'utilisation du Service. À la fin de la relation contractuelle :
- Le Responsable du traitement dispose de 30 jours pour exporter ses données
- Passé ce délai, le Sous-traitant supprime l'ensemble des données dans un délai de 30 jours supplémentaires
- Un certificat de suppression peut être délivré sur demande
10. Audits
Le Responsable du traitement peut réaliser ou faire réaliser des audits pour vérifier le respect du présent DPA, sous réserve d'un préavis de 30 jours et dans le respect de la confidentialité. Les coûts de l'audit sont à la charge du Responsable du traitement.
11. Droit applicable
Le présent DPA est régi par le droit français et le RGPD. En cas de litige, les tribunaux de Compiègne sont seuls compétents.
12. Contact
Pour toute question relative au présent DPA :
dpo@seegea.com