AtlasSwift - logiciel COD pour commandes, livraisons et encaissementsAtlasSwift

Accord de Traitement des Données (DPA)

Dernière mise à jour :19 août 2025

Le présent DPA fait partie intégrante des CGU AtlasSwift. Il s’applique lorsque le Marchand (responsable de traitement) confie des données personnelles de ses clients à AtlasSwift (sous-traitant) pour l’exécution des Services. Il complète la Politique de confidentialité.

1) Objet champ d’application

Ce DPA encadre le traitement de données personnelles réalisé par AtlasSwift pour le compte du Marchand dans le cadre des Services décrits aux CGU, en conformité avec le UK GDPR, la Data Protection Act 2018 et, le cas échéant, le RGPD (UE) et les autres lois locales applicables.

2) Rôles définitions

Le Marchand agit en qualité de responsable de traitement : il détermine les finalités et moyens du traitement. AtlasSwift agit en qualité de sous-traitant : il traite les données sur instructions documentées du Marchand. Les termes « données personnelles », « traitement », « violation de données » s’entendent au sens du UK GDPR et, selon le contexte, du RGPD (UE).

3) Description du traitement

3.1 Catégories de personnes concernées

Clients finaux du Marchand, prospects ayant passé commande, personnels du Marchand utilisateurs de la Plateforme.

3.2 Catégories de données

  • Données d’identification : nom, prénom, téléphone, email, adresse.
  • Données de commande : produits, quantités, valeur, statuts (confirmation, livraison, encaissement).
  • Données de preuve/logs : photos, codes OTP, signatures, journaux d’exécution, horodatages.
  • Données techniques : identifiants de compte, événements d’accès, métadonnées nécessaires au support.

3.3 Finalités du traitement

Exécution des commandes, logistique, suivi et preuve d’exécution, facturation/reversements, prévention de fraude, assistance et obligations légales.

3.4 Durée

Pendant la durée des Services, puis selon les délais de conservation légale applicables (cf. section 12).

Le Marchand détermine la base légale et les informations à fournir aux personnes concernées.

4) Instructions documentées

AtlasSwift traite les données uniquement sur la base des instructions écrites du Marchand (CGU, bons de commande, tickets support). Si une instruction est manifestement illicite, AtlasSwift en informe le Marchand sans délai.

5) Sécurité des données

AtlasSwift met en œuvre des mesures techniques et organisationnelles appropriées, comprenant notamment :
  • Chiffrement des données en transit et au repos lorsque pertinent.
  • Contrôles d’accès basés sur les rôles, MFA pour les accès sensibles.
  • Journalisation, détection d’incidents et procédures de réponse.
  • Segmentation des environnements, sauvegardes régulières et tests de restauration.
  • Revue de sécurité des fournisseurs critiques et clauses contractuelles adéquates.

Obligation de moyens : les mesures sont adaptées au risque et à l’état de l’art au moment du traitement.

6) Confidentialité

Les personnes autorisées par AtlasSwift à traiter les données sont soumises à une obligation de confidentialité contractuelle et reçoivent une formation adaptée à la protection des données.

7) Sous-traitants ultérieurs

Le Marchand autorise AtlasSwift à recourir à des sous-traitants ultérieurs (hébergeurs, support, paiements, messagerie, transport) présentant des garanties équivalentes. AtlasSwift demeure pleinement responsable vis-à-vis du Marchand des obligations des sous-traitants.

AtlasSwift notifiera préalablement toute nouvelle sous-traitance ou changement significatif et offrira un droit d’objection raisonnable dans un délai de 10 jours ouvrés lorsque cela est possible sans interrompre le Service.

8) Localisation transferts internationaux

Les données sont traitées principalement dans l’UE/EEE/Royaume-Uni. Tout transfert vers un pays tiers s’effectue avec des garanties appropriées (p. ex. Clauses Contractuelles Types mises à jour, mesures complémentaires, décisions d’adéquation) et information du Marchand lorsque requis.

9) Assistance en matière de protection des données

AtlasSwift assiste le Marchand, dans la mesure du raisonnable, pour les analyses d’impact (AIPD), consultations préalables et évaluations de risques liées aux traitements réalisés via la Plateforme.

10) Violations de données

AtlasSwift notifie le Marchand sans retard injustifié et, dans la mesure du possible, dans les 72 heures après avoir eu connaissance d’une violation de données personnelles affectant les données traitées pour son compte, en communiquant la nature de l’incident, les catégories de données concernées, les mesures prises ou proposées.

Le Marchand demeure responsable des notifications aux autorités/sujets si la loi l’exige, AtlasSwift apportant son assistance.

11) Droits des personnes concernées

AtlasSwift met en œuvre des moyens raisonnables pour aider le Marchand à répondre aux demandes d’exercice de droits (accès, rectification, effacement, opposition, portabilité, limitation) lorsque ces demandes portent sur des données traitées via la Plateforme.

12) Conservation, retour suppression

À l’issue des Services ou sur instruction du Marchand, AtlasSwift supprime ou anonymise les données personnelles traitées pour son compte, sauf obligation légale de conservation (ex. comptabilité, prévention de la fraude). Sur demande, un retour des données dans un format structuré, couramment utilisé, peut être fourni.

13) Audits attestations

Le Marchand peut faire réaliser, à ses frais, un audit raisonnable par un tiers indépendant, au maximum une fois par période de douze (12) mois, pendant les heures ouvrées, avec un préavis écrit de 30 jours, et sans perturber de manière significative l’exploitation d’AtlasSwift. AtlasSwift peut fournir des rapports/attestations (p. ex. ISO/SOC, tests de pénétration) pour réduire le besoin d’audits sur site.

Les informations confidentielles divulguées dans le cadre d’un audit restent soumises à la NDA/CGU.

14) Documentation coopération

AtlasSwift tient les registres de ses activités de traitement en lien avec les Services et met à disposition du Marchand les informations nécessaires pour démontrer la conformité au présent DPA et aux exigences applicables. Les Parties coopèrent de bonne foi avec les autorités de contrôle.

15) Responsabilité limitation

Sous réserve des dispositions impératives, la responsabilité d’AtlasSwift au titre du présent DPA est alignée sur la clause « Responsabilité limitation » des CGU. Aucun plafond ne s’applique en cas d’exclusion légale (p. ex. faute intentionnelle) dans la juridiction compétente.

16) Prévalence, langue modifications

En cas de contradiction entre les documents contractuels relatifs au traitement des données, l’ordre de prévalence est le suivant : (i) Contrat/Bon de commande signé, (ii) présent DPA, (iii) CGU, (iv) Politique de confidentialité. La version anglaise fait foi. Des traductions peuvent être fournies à titre informatif. AtlasSwift peut proposer des mises à jour du DPA pour conformité légale ; elles seront notifiées au Marchand.

17) Entrée en vigueur durée

Le présent DPA entre en vigueur à l’acceptation des CGU par le Marchand et demeure applicable pendant toute la durée des Services et jusqu’à la suppression/anonymisation des données par AtlasSwift, conformément à la section 12.

18) Contacts protection des données

Ces adresses constituent les moyens de contact valides pour les questions liées au DPA.