Accord de traitement des données

1. Définitions

• « Données personnelles » désigne toute information se rapportant à une personne physique identifiée ou identifiable (« Personne concernée »), telle que définie à l'article 4(1) du GDPR.
• « Traitement » désigne toute opération ou ensemble d'opérations effectuées sur des Données personnelles, automatisées ou non, y compris la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion, l'effacement ou la destruction.
• « Sous-traitant ultérieur » désigne tout tiers engagé par le Sous-traitant pour traiter des Données personnelles pour le compte du Responsable du traitement.
• « Personne concernée » désigne la personne physique identifiée ou identifiable à laquelle se rapportent les Données personnelles.
• « GDPR » désigne le Règlement général sur la protection des données (UE) 2016/679 du Parlement européen et du Conseil.
• « Clauses contractuelles types » (CCT) désigne les clauses contractuelles approuvées par la Commission européenne pour le transfert de Données personnelles vers des pays tiers.

2. Portée et finalité

Le Sous-traitant traite les Données personnelles pour le compte du Responsable du traitement uniquement aux fins suivantes :

• Fourniture du service INCI API, y compris l'analyse d'ingrédients, la recherche de produits, le scoring de sécurité, la détection d'allergènes et l'analyse de compatibilité cutanée
• Gestion du compte, authentification et autorisation
• Suivi de l'utilisation, limitation de débit et facturation
• Amélioration du service, surveillance des performances et analyse
• Support client et communication

Le Sous-traitant ne traitera pas les Données personnelles à des fins autres que celles spécifiées dans le présent DPA ou documentées par écrit par le Responsable du traitement.

3. Types de données personnelles traitées

• Données de compte : nom, adresse e-mail, mot de passe haché
• Données d'utilisation de l'API : journaux de requêtes, horodatages, adresses IP, endpoints utilisés, codes de réponse, identifiants de clés d'API
• Données de facturation : niveau d'abonnement, métadonnées du moyen de paiement (les données de paiement complètes sont traitées exclusivement par Stripe et ne sont jamais stockées sur nos serveurs)
• Données techniques : type de navigateur, informations sur l'appareil, système d'exploitation, URL de référence (collectées via l'analytique pour l'amélioration du service)

Le Sous-traitant ne traite pas de catégories particulières de Données personnelles (article 9 du GDPR) ni de Données personnelles relatives aux condamnations pénales (article 10 du GDPR).

4. Catégories de personnes concernées

Les Données personnelles traitées dans le cadre du présent DPA concernent les catégories suivantes de Personnes concernées :

• Employés et prestataires du Client qui accèdent à INCI API et l'utilisent
• Utilisateurs finaux des applications du Client intégrées à INCI API (dans la mesure où leurs données sont transmises via les requêtes API)

5. Obligations du Sous-traitant

Le Sous-traitant s'engage à :

1. Traiter les Données personnelles uniquement sur instructions documentées du Responsable du traitement, y compris en ce qui concerne les transferts de Données personnelles vers un pays tiers, sauf obligation découlant du droit de l'Union ou d'un État membre
2. Veiller à ce que les personnes autorisées à traiter les Données personnelles s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité
3. Mettre en œuvre des mesures techniques et organisationnelles appropriées conformément à l'article 32 du GDPR pour garantir un niveau de sécurité adapté au risque
4. Ne pas engager d'autre sous-traitant sans l'autorisation écrite préalable, spécifique ou générale, du Responsable du traitement. En cas d'autorisation écrite générale, le Sous-traitant informe le Responsable du traitement de toute modification prévue concernant l'ajout ou le remplacement de sous-traitants ultérieurs, donnant ainsi au Responsable la possibilité d'émettre des objections
5. Compte tenu de la nature du traitement, aider le Responsable du traitement, par des mesures techniques et organisationnelles appropriées, dans la mesure du possible, à s'acquitter de son obligation de répondre aux demandes d'exercice des droits de la Personne concernée
6. Aider le Responsable du traitement à garantir le respect des obligations prévues aux articles 32 à 36 du GDPR, compte tenu de la nature du traitement et des informations dont dispose le Sous-traitant
7. Au choix du Responsable du traitement, supprimer ou retourner toutes les Données personnelles au Responsable au terme de la prestation de services, et supprimer les copies existantes, sauf si le droit de l'Union ou d'un État membre exige la conservation
8. Mettre à la disposition du Responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues à l'article 28 du GDPR et permettre la réalisation d'audits, y compris des inspections, par le Responsable ou un autre auditeur mandaté par lui, et y contribuer

6. Mesures de sécurité

Le Sous-traitant met en œuvre les mesures techniques et organisationnelles suivantes pour protéger les Données personnelles conformément à l'article 32 du GDPR :

• Chiffrement en transit : Toutes les données transmises entre les clients et les serveurs sont chiffrées via TLS 1.2 ou supérieur (HTTPS)
• Chiffrement au repos : Le stockage de la base de données utilise le chiffrement au repos de MongoDB pour toutes les Données personnelles stockées
• Contrôles d'accès : Authentification via jetons JWT et clés d'API ; contrôles d'accès basés sur les rôles ; principe du moindre privilège
• Sécurité des mots de passe : Les mots de passe utilisateur sont stockés via le hachage bcrypt avec des facteurs de coût appropriés ; les clés d'API sont stockées sous forme de hachages sécurisés
• Sécurité de l'infrastructure : Infrastructure protégée par pare-feu (UFW avec ports restreints), mises à jour de sécurité et correctifs réguliers
• Localisation du serveur : Infrastructure DigitalOcean (actuellement basée aux États-Unis ; migration vers un centre de données UE/EEE prévue)
• Données de paiement : Aucun stockage de données de carte bancaire sur nos serveurs. Tout le traitement des paiements est assuré par Stripe, qui maintient la conformité PCI DSS Niveau 1
• Surveillance : Surveillance, journalisation et alertes automatisées pour les événements de sécurité et anomalies

7. Sous-traitants ultérieurs

Le Responsable du traitement accorde au Sous-traitant l'autorisation générale d'engager les sous-traitants ultérieurs suivants. Le Sous-traitant notifie au Responsable toute modification prévue concernant l'ajout ou le remplacement de sous-traitants ultérieurs avec un préavis écrit d'au moins 30 jours, donnant ainsi la possibilité d'émettre des objections.

Si le Responsable du traitement s'oppose à un nouveau sous-traitant ultérieur pour des motifs raisonnables liés à la protection des données, les parties discuteront de la question de bonne foi. Si aucune solution n'est trouvée dans un délai de 30 jours, le Responsable peut résilier les services concernés sans pénalité.

8. Transferts de données

Les Données personnelles peuvent être transférées et traitées dans des pays en dehors de l'Union européenne et de l'Espace économique européen. Lorsque de tels transferts ont lieu, le Sous-traitant garantit la mise en place de garanties appropriées conformément au Chapitre V du GDPR, notamment :

• Clauses contractuelles types (CCT) approuvées par la Commission européenne (Décision d'exécution (UE) 2021/914)
• Décisions d'adéquation de la Commission européenne, le cas échéant
• Mesures techniques et organisationnelles complémentaires aux mécanismes de transfert si nécessaire, conformément à l'arrêt Schrems II (Affaire C-311/18)

9. Notification de violations de données

Le Sous-traitant notifie au Responsable du traitement, sans retard injustifié et en tout état de cause dans les 72 heures, toute violation de Données personnelles telle que définie à l'article 4(12) du GDPR. La notification comprend :

• Une description de la nature de la violation, y compris les catégories et le nombre approximatif de Personnes concernées et d'enregistrements concernés
• Le nom et les coordonnées du contact en matière de protection des données auprès duquel d'autres informations peuvent être obtenues
• Une description des conséquences probables de la violation
• Une description des mesures prises ou proposées pour remédier à la violation, y compris les mesures destinées à atténuer ses éventuelles conséquences négatives

Le Sous-traitant coopère avec le Responsable du traitement et prend des mesures commerciales raisonnables pour aider à l'enquête, à l'atténuation et à la correction de chaque violation.

10. Droits des personnes concernées

Le Sous-traitant aide le Responsable du traitement à s'acquitter de ses obligations de répondre aux demandes des Personnes concernées exerçant leurs droits au titre du Chapitre III du GDPR, y compris :

• Droit d'accès (article 15)
• Droit de rectification (article 16)
• Droit à l'effacement / droit à l'oubli (article 17)
• Droit à la limitation du traitement (article 18)
• Droit à la portabilité des données (article 20)
• Droit d'opposition (article 21)

Si le Sous-traitant reçoit une demande directement d'une Personne concernée, il en informe rapidement le Responsable du traitement et ne répond pas à la demande sans son autorisation écrite préalable, sauf obligation légale.

11. Droits d'audit

Le Responsable du traitement peut auditer la conformité du Sous-traitant au présent DPA. Les audits sont soumis aux conditions suivantes :

• Le Responsable du traitement fournit un préavis écrit d'au moins 30 jours
• Les audits sont effectués au maximum une fois par année civile, sauf exigence d'une autorité de contrôle ou suite à une violation
• Les audits sont effectués pendant les heures normales d'activité et ne doivent pas perturber de façon déraisonnable les opérations du Sous-traitant
• Le Responsable du traitement supporte les coûts de l'audit, sauf si l'audit révèle une non-conformité matérielle de la part du Sous-traitant
• Le Responsable du traitement peut engager un auditeur indépendant qualifié, sous réserve d'obligations raisonnables de confidentialité

12. Durée et résiliation

Le présent DPA reste en vigueur pendant la durée de l'accord de service entre les parties. À la résiliation de l'accord de service :

• Le Sous-traitant, au choix du Responsable du traitement, supprime ou retourne toutes les Données personnelles dans un délai de 30 jours à compter de la date de résiliation
• Le Sous-traitant supprime les copies existantes de Données personnelles, sauf si le droit de l'Union ou d'un État membre exige leur conservation (par exemple, registres fiscaux et financiers selon le droit espagnol)
• Le Sous-traitant fournit une certification écrite de la suppression à la demande du Responsable du traitement

13. Loi applicable

Le présent DPA est régi et interprété conformément aux lois du Royaume d'Espagne, sans tenir compte de ses dispositions en matière de conflit de lois. Le GDPR s'applique à toutes les questions relatives au traitement des Données personnelles. Tout litige relatif au présent DPA relève de la compétence exclusive des tribunaux des Îles Canaries, Espagne (Santa Cruz de Tenerife).

14. Contact

Pour toute question, préoccupation ou demande relative au présent Accord de traitement des données, contactez-nous :