Data Processing Agreement (DPA)

Les termes « données à caractère personnel », « traitement », « responsable de traitement », « sous-traitant », « personne concernée », « violation de données » et « autorité de contrôle » ont le sens défini à l'article 4 du RGPD.

Le Sous-traitant est autorisé à traiter, pour le compte du Responsable de traitement, les données personnelles nécessaires à l'exécution des services suivants :

• hébergement des comptes utilisateurs (clients, collaborateurs, invités) ;
• gestion de projets, briefs, shoot plans, livraisons ;
• facturation et recouvrement côté tenant (sub-facturation client final) ;
• assistance IA Leeza — Niveau 1 (mémoire compte) et Niveau 2 (apprentissage anonymisé opt-in, k-anonymité ≥ 5) ;
• analytics produit (PostHog EU Cloud) sous réserve du consentement des utilisateurs finaux ;
• signature électronique de documents via Yousign ;
• notifications email transactionnelles (Resend).

La finalité globale est la mise à disposition du service SaaS SYNAPTIIK conformément aux CGV. Le Sous-traitant ne traite les données que sur instruction documentée du Responsable de traitement.

L'Accord prend effet à la date de souscription au service et demeure en vigueur pendant toute la durée de l'abonnement.

Catégories de personnes concernées :

• utilisateurs professionnels (photographes, vidéastes, opérateurs drone, administrateurs tenant) ;
• collaborateurs internes des tenants (siège salarié, invités freelances) ;
• clients finaux (personnes morales et/ou physiques récipiendaires des prestations) ;
• invités ponctuels (portail guest, liens magiques).

Catégories de données :

• identification (nom, email, téléphone) ;
• données professionnelles (SIRET, rôle, entreprise, portfolio) ;
• contenus produits (photos, vidéos, documents, métadonnées EXIF) ;
• données de facturation (prestations, montants, moyens de paiement tokenisés côté Stripe) ;
• données techniques (logs, adresses IP, user-agent, device ID) ;
• interactions IA Leeza (requêtes, réponses, feedback).

Le Responsable de traitement autorise le Sous-traitant à recourir aux sous-traitants ultérieurs listés dans la Politique de confidentialité §4 (Vercel, Supabase, Stripe, Backblaze, Anthropic, Resend, PostHog, Better Stack, Yousign, Brevo, Cloudflare, Google Workspace, reCAPTCHA/hCaptcha).

Tout changement de sous-traitant ultérieur est notifié au Responsable de traitement au moins 30 jours avant sa mise en œuvre effective, par publication sur la page de confidentialité et email pour les plans Agence et Agence Scale. Le Responsable de traitement peut émettre une objection motivée dans ce délai ; à défaut, la modification est réputée acceptée.

Le Sous-traitant s'engage à :

• traiter les données uniquement selon les instructions documentées du Responsable de traitement (les présentes CGV et l'usage normal de la plateforme constituant lesdites instructions) ;
• veiller à ce que les personnes autorisées à traiter les données s'engagent à la confidentialité (engagement de confidentialité signé par les collaborateurs SYNAPTIIK) ;
• prendre toutes les mesures techniques et organisationnelles appropriées (art. 32 RGPD), détaillées à l'article 7 du présent Accord ;
• assister le Responsable de traitement dans l'accomplissement de ses obligations (réponses aux droits des personnes, analyses d'impact, consultation préalable autorité, notification de violation) ;
• mettre à disposition du Responsable de traitement les informations nécessaires pour démontrer la conformité aux obligations art. 28 ;
• appliquer une règle de k-anonymité ≥ 5 sur toute donnée agrégée potentiellement transmise à un sous-traitant ultérieur pour l'amélioration produit, et ce en sus des opérations de pseudonymisation standard.

• chiffrement TLS 1.2+ en transit ;
• chiffrement AES-256 au repos (BDD, storage objets, backups) ;
• authentification multi-facteur optionnelle Solo/Studio, obligatoire Agence ;
• contrôle d'accès RBAC, Row-Level Security Supabase tenant-scoped ;
• journalisation des accès admin avec rétention 12 mois ;
• sauvegardes automatiques avec restauration testée trimestriellement ;
• tests d'intrusion périodiques (annuel minimum) ;
• veille vulnérabilités CVE et patch management SLA interne 72h (critical) / 7j (high).

Le Sous-traitant apporte son assistance technique et organisationnelle au Responsable de traitement pour répondre aux demandes d'exercice des droits (art. 15 à 22 RGPD). Un endpoint /api/legal/export-rgpd permet l'export structuré des données (JSON + CSV + médias binaires).

Lorsque le Sous-traitant reçoit directement une demande d'une personne concernée, il la transmet au Responsable de traitement sans délai (48 h maximum).

À la résiliation de l'abonnement, le Sous-traitant conserve les données 90 jours à titre de délai de sécurité (possibilité de réactivation, recours). Passé ce délai, les données sont supprimées, sauf obligation légale (factures conservées 10 ans par le comptable / fisc).

Le Responsable de traitement dispose d'un droit d'export complet des données à tout moment et pendant les 90 jours suivant la résiliation, dans un format structuré lisible par machine.

En cas de violation de données personnelles, le Sous-traitant notifie le Responsable de traitement dans les 48 heures suivant la prise de connaissance, afin de permettre à ce dernier de notifier l'autorité de contrôle dans le délai de 72 heures imposé par l'art. 33 RGPD.

La notification comprend : nature de la violation, catégories et nombre approximatif de personnes concernées, catégories et volume approximatif de données, conséquences probables, mesures prises ou proposées.

Le Sous-traitant a mis en place un plan de continuité documenté couvrant notamment :

• l'indisponibilité temporaire ou définitive de son dirigeant (mandat de protection future notarié art. 477 C. civ.) ;
• la sauvegarde et la restauration des accès critiques via escrow notarié (secrets infra, code source, backups) ;
• la désignation d'une personne de confiance habilitée à poursuivre l'exploitation ou à organiser la cession à un repreneur.

En cas d'événement majeur compromettant la continuité du service pour plus de 30 jours consécutifs, le Sous-traitant s'engage à :

• notifier le Responsable de traitement dans les 72 heures ;
• permettre l'export complet des données sous 15 jours ouvrés ;
• assurer la suppression sécurisée des données conformément à l'article 9 si le service ne peut reprendre.

Le Responsable de traitement dispose d'un droit de résiliation sans préavis ni pénalité en cas d'incapacité confirmée du Sous-traitant à maintenir le service.

Synthèse publique du plan : /legal/continuity.

Le Responsable de traitement dispose d'un droit d'audit du respect de l'Accord par le Sous-traitant. L'audit est exercé une fois par an au maximum, par un auditeur indépendant, sur la base d'un préavis de 30 jours, à ses frais, et de façon à ne pas perturber l'exploitation.

Les rapports de certifications tiers existants (SOC 2 des sous-traitants clés, certifications RGPD, pentests récents) peuvent être fournis en lieu et place d'un audit on-site, à l'appréciation du Responsable de traitement.

Les transferts en dehors de l'Union européenne sont encadrés par les clauses contractuelles types (décision 2021/914) et, lorsque le sous-traitant est certifié, par le Data Privacy Framework UE-US (décision 2023/1795). Des mesures supplémentaires (chiffrement, pseudonymisation) sont systématiquement appliquées.

Le présent Accord est régi par le droit français. Tout litige relatif à son interprétation ou exécution relève, à défaut de résolution amiable, de la compétence exclusive des tribunaux de Bourg-en-Bresse.