Accord de Traitement des Données Personnelles (DPA)

Préambule

Le présent Accord de Traitement des Données (ci-après « DPA ») est conclu entre :

• SYNAPTIIK SAS, société par actions simplifiée, immatriculée au RCS de Paris sous le numéro [À COMPLÉTER], ci-après désignée le « Sous-traitant » ;
• Et le Client professionnel souscrivant à un abonnement SYNAPTIIK, ci-après désigné le « Responsable de traitement ».

Cet accord complète les Conditions Générales d'Utilisation et s'applique dans la mesure où le Sous-traitant traite des données personnelles pour le compte du Responsable de traitement dans le cadre de la fourniture des services SYNAPTIIK.

1. Définitions

Les termes utilisés dans le présent DPA ont la signification définie par le RGPD :

• Données personnelles : toute information relative à une personne physique identifiée ou identifiable.
• Traitement : toute opération portant sur des données personnelles (collecte, stockage, consultation, communication, etc.).
• Responsable de traitement : le Client professionnel qui détermine les finalités et moyens du traitement.
• Sous-traitant : SYNAPTIIK SAS qui traite les données pour le compte du Responsable.
• Violation de données : violation de la sécurité entraînant la destruction, la perte, l'altération ou la divulgation non autorisée de données personnelles.

2. Objet et finalité du traitement

Le Sous-traitant traite les données personnelles suivantes pour le compte du Responsable :

2.1 Catégories de données traitées

• Données d'identification des clients du Responsable (nom, prénom, email, téléphone)
• Données de facturation et paiement (via Stripe, sans stockage direct des numéros de carte)
• Contenus visuels (photos, vidéos) téléversés par le Responsable
• Métadonnées EXIF des fichiers (date, lieu, appareil, paramètres)
• Communications (messages échangés via la plateforme)
• Données de projet (brief, planning, contrats, devis)
• Données de consentement (droit à l'image, autorisations)

2.2 Catégories de personnes concernées

• Clients finaux du Responsable (particuliers et entreprises)
• Collaborateurs et prestataires du Responsable
• Personnes photographiées/filmées (sujets des contenus)

2.3 Finalités du traitement

• Gestion de la relation client du Responsable (CRM)
• Facturation et encaissement pour le compte du Responsable
• Livraison de galeries et contenus aux clients finaux
• Communication entre le Responsable et ses clients
• Analyse IA pour optimiser le workflow du Responsable (avec consentement)

3. Obligations du Sous-traitant

SYNAPTIIK s'engage à :

• Traiter les données uniquement sur instructions documentées du Responsable ;
• Garantir que les personnes autorisées à traiter les données sont soumises à une obligation de confidentialité ;
• Prendre toutes les mesures de sécurité requises au titre de l'article 32 du RGPD ;
• Ne pas engager de sous-traitant ultérieur sans autorisation préalable (voir section 5) ;
• Aider le Responsable à répondre aux demandes d'exercice des droits des personnes concernées ;
• Aider le Responsable à garantir le respect des articles 32 à 36 du RGPD ;
• Au choix du Responsable, supprimer ou restituer les données au terme de la prestation ;
• Mettre à disposition du Responsable toutes les informations nécessaires pour démontrer le respect des obligations.

4. Mesures de sécurité

SYNAPTIIK met en œuvre les mesures techniques et organisationnelles suivantes :

4.1 Mesures techniques

• Chiffrement des données en transit (TLS 1.3) et au repos (AES-256)
• Authentification par token JWT avec refresh automatique
• Row-Level Security (RLS) sur toutes les tables Supabase
• Rate limiting sur toutes les API (Upstash Redis)
• Content Security Policy avec nonce dynamique
• Audit trail complet de toutes les opérations sensibles
• Sauvegardes automatiques quotidiennes
• Tests de sécurité réguliers

4.2 Mesures organisationnelles

• Accès aux données limité au strict nécessaire (principe du moindre privilège)
• Formation du personnel sur la protection des données
• Procédure documentée de gestion des violations de données
• Revue régulière des accès et permissions

5. Sous-traitants ultérieurs

Le Responsable autorise le Sous-traitant à recourir aux sous-traitants ultérieurs suivants. Toute modification de cette liste sera notifiée au Responsable avec un préavis de 30 jours.

6. Transferts hors UE

Certains sous-traitants ultérieurs sont localisés aux États-Unis (Stripe, Vercel, Anthropic, Upstash). Ces transferts sont encadrés par des Clauses Contractuelles Types (CCT) adoptées par la Commission européenne (Décision d'exécution 2021/914).

Le Responsable peut obtenir une copie des CCT applicables sur demande à dpo@synaptiik.fr.

7. Notification des violations

En cas de violation de données personnelles, SYNAPTIIK s'engage à notifier le Responsable dans un délai de 48 heures après en avoir pris connaissance. Cette notification comprendra :

• La nature de la violation
• Les catégories et le nombre approximatif de personnes concernées
• Les conséquences probables
• Les mesures prises ou proposées pour remédier à la violation

8. Droit d'audit

Le Responsable dispose d'un droit d'audit annuel pour vérifier le respect du présent DPA. L'audit sera réalisé avec un préavis de 30 jours, pendant les heures ouvrables, et ne devra pas perturber les opérations du Sous-traitant.

SYNAPTIIK met également à disposition un rapport de conformité annuel sur demande.

9. Durée et résiliation

Le présent DPA entre en vigueur à la date de souscription à un abonnement SYNAPTIIK et reste en vigueur tant que le Sous-traitant traite des données personnelles pour le compte du Responsable.

À la résiliation du contrat principal, SYNAPTIIK supprimera toutes les données personnelles dans un délai de 30 jours, sauf obligation légale de conservation. Le Responsable peut demander une exportation complète de ses données avant suppression.

10. Contact

Pour toute question relative au présent DPA, le Responsable peut contacter :

• DPO SYNAPTIIK : dpo@synaptiik.fr
• Support juridique : legal@synaptiik.fr