Accord de Traitement des Données (DPA)
Dernière mise à jour :
Le présent DPA fait partie intégrante des CGU AtlasSwift. Il s’applique lorsque le Marchand (responsable de traitement) confie des données personnelles de ses clients à AtlasSwift (sous-traitant) pour l’exécution des Services. Il complète la Politique de confidentialité.
1) Objet & champ d’application
Ce DPA encadre le traitement de données personnelles réalisé par AtlasSwift pour le compte du Marchand dans le cadre des Services décrits aux CGU, en conformité avec le RGPD/UK GDPR et les lois locales applicables.
2) Rôles & définitions
Le Marchand agit en qualité de responsable de traitement : il détermine les finalités et moyens du traitement. AtlasSwift agit en qualité de sous-traitant : il traite les données sur instructions documentées du Marchand. Les termes « données personnelles », « traitement », « violation de données » s’entendent au sens du RGPD/UK GDPR.
3) Description du traitement
3.1 Catégories de personnes concernées
Clients finaux du Marchand, prospects ayant passé commande, personnels du Marchand utilisateurs de la Plateforme.
3.2 Catégories de données
- Données d’identification : nom, prénom, téléphone, email, adresse.
- Données de commande : produits, quantités, valeur, statuts (confirmation, livraison, encaissement).
- Données de preuve/logs : photos, codes OTP, signatures, journaux d’exécution, horodatages.
- Données techniques : identifiants de compte, événements d’accès, métadonnées nécessaires au support.
3.3 Finalités du traitement
Exécution des commandes, logistique, suivi et preuve d’exécution, facturation/reversements, prévention de fraude, assistance et obligations légales.
3.4 Durée
Pendant la durée des Services, puis selon les délais de conservation légale applicables (cf. section 12).
Le Marchand détermine la base légale et les informations à fournir aux personnes concernées.
4) Instructions documentées
AtlasSwift traite les données uniquement sur la base des instructions écrites du Marchand (CGU, bons de commande, tickets support). Si une instruction est manifestement illicite, AtlasSwift en informe le Marchand sans délai.
5) Sécurité des données
AtlasSwift met en œuvre des mesures techniques et organisationnelles appropriées, comprenant notamment :
- Chiffrement des données en transit et au repos lorsque pertinent.
- Contrôles d’accès basés sur les rôles, MFA pour les accès sensibles.
- Journalisation, détection d’incidents et procédures de réponse.
- Segmentation des environnements, sauvegardes régulières et tests de restauration.
- Revue de sécurité des fournisseurs critiques et clauses contractuelles adéquates.
Obligation de moyens : les mesures sont adaptées au risque et à l’état de l’art au moment du traitement.
6) Confidentialité
Les personnes autorisées par AtlasSwift à traiter les données sont soumises à une obligation de confidentialité contractuelle et reçoivent une formation adaptée à la protection des données.
7) Sous-traitants ultérieurs
Le Marchand autorise AtlasSwift à recourir à des sous-traitants ultérieurs (hébergeurs, support, paiements, messagerie, transport) présentant des garanties équivalentes. AtlasSwift demeure pleinement responsable vis-à-vis du Marchand des obligations des sous-traitants.
AtlasSwift notifiera préalablement toute nouvelle sous-traitance ou changement significatif et offrira un droit d’objection raisonnable dans un délai de 10 jours ouvrés lorsque cela est possible sans interrompre le Service.
8) Localisation & transferts internationaux
Les données sont traitées principalement dans l’UE/EEE/Royaume-Uni. Tout transfert vers un pays tiers s’effectue avec des garanties appropriées (p. ex. Clauses Contractuelles Types mises à jour, mesures complémentaires, décisions d’adéquation) et information du Marchand lorsque requis.
9) Assistance RGPD au Marchand
AtlasSwift assiste le Marchand, dans la mesure du raisonnable, pour les analyses d’impact (AIPD), consultations préalables et évaluations de risques liées aux traitements réalisés via la Plateforme.
10) Violations de données
AtlasSwift notifie le Marchand sans retard injustifié et, dans la mesure du possible, dans les 72 heures après avoir eu connaissance d’une violation de données personnelles affectant les données traitées pour son compte, en communiquant la nature de l’incident, les catégories de données concernées, les mesures prises ou proposées.
Le Marchand demeure responsable des notifications aux autorités/sujets si la loi l’exige, AtlasSwift apportant son assistance.
11) Droits des personnes concernées
AtlasSwift met en œuvre des moyens raisonnables pour aider le Marchand à répondre aux demandes d’exercice de droits (accès, rectification, effacement, opposition, portabilité, limitation) lorsque ces demandes portent sur des données traitées via la Plateforme.
12) Conservation, retour & suppression
À l’issue des Services ou sur instruction du Marchand, AtlasSwift supprime ou anonymise les données personnelles traitées pour son compte, sauf obligation légale de conservation (ex. comptabilité, prévention de la fraude). Sur demande, un retour des données dans un format structuré, couramment utilisé, peut être fourni.
13) Audits & attestations
Le Marchand peut faire réaliser, à ses frais, un audit raisonnable par un tiers indépendant, au maximum une fois par période de douze (12) mois, pendant les heures ouvrées, avec un préavis écrit de 30 jours, et sans perturber de manière significative l’exploitation d’AtlasSwift. AtlasSwift peut fournir des rapports/attestations (p. ex. ISO/SOC, tests de pénétration) pour réduire le besoin d’audits sur site.
Les informations confidentielles divulguées dans le cadre d’un audit restent soumises à la NDA/CGU.
14) Documentation & coopération
AtlasSwift tient les registres de ses activités de traitement en lien avec les Services et met à disposition du Marchand les informations nécessaires pour démontrer la conformité au présent DPA et aux exigences applicables. Les Parties coopèrent de bonne foi avec les autorités de contrôle.
15) Responsabilité & limitation
Sous réserve des dispositions impératives, la responsabilité d’AtlasSwift au titre du présent DPA est alignée sur la clause « Responsabilité & limitation » des CGU. Aucun plafond ne s’applique en cas d’exclusion légale (p. ex. faute intentionnelle) dans la juridiction compétente.
16) Prévalence, langue & modifications
En cas de contradiction entre les documents contractuels relatifs au traitement des données, l’ordre de prévalence est le suivant : (i) Contrat/Bon de commande signé, (ii) présent DPA, (iii) CGU, (iv) Politique de confidentialité. La version française fait foi. Des traductions peuvent être fournies à titre informatif. AtlasSwift peut proposer des mises à jour du DPA pour conformité légale ; elles seront notifiées au Marchand.
17) Entrée en vigueur & durée
Le présent DPA entre en vigueur à l’acceptation des CGU par le Marchand et demeure applicable pendant toute la durée des Services et jusqu’à la suppression/anonymisation des données par AtlasSwift, conformément à la section 12.
18) Contacts protection des données
Toute demande relative au présent DPA, à la sécurité ou à la protection des données doit être adressée à : [email protected]. Pour le support opérationnel : [email protected].
Ces adresses constituent les moyens de contact valides pour les questions liées au DPA.