ASSEMBLAGES

Accord de sous-traitance RGPD (DPA)

Article 28 RGPD — Version 1.1 — Entrée en vigueur le 7 mai 2026

Le présent Accord de Sous-Traitance des Données (« DPA », Data Processing Agreement) encadre les traitements effectués par Assemblages (le « Sous-Traitant ») pour le compte de ses clients professionnels (le « Responsable du Traitement ») au sens de l’article 28 du Règlement (UE) 2016/679 (RGPD). Il complète et fait partie intégrante des Conditions Générales d’Utilisation.

1. Objet

Lorsqu’un client professionnel (restaurateur, vigneron, caviste) utilise le Service, il peut être amené à confier au Sous-Traitant des données personnelles dont il est lui-même Responsable au sens de l’article 4-7 RGPD : par exemple les données de ses propres clients (carte avec QR code), de ses contacts commerciaux (CRM vigneron, échantillons), ou de ses prospects.

Le Sous-Traitant agit alors uniquement sur instruction documentée du Responsable, conformément à l’article 28-3-a RGPD.

2. Nature et durée du traitement

  • Nature des opérations : collecte, hébergement, stockage chiffré, restitution sur authentification, sauvegarde, suppression sur demande.
  • Finalité : fournir au Responsable les fonctionnalités du Service souscrit (carte publique, CRM, gestion d’échantillons, statistiques).
  • Durée : durée de l’abonnement actif du Responsable, prolongée de 90 jours après résiliation pour permettre l’export ou la récupération (art. 28-3-g).
  • Localisation des traitements : Union européenne (Irlande pour Supabase, Pays-Bas pour Hostinger). Tout transfert hors UE est encadré par CCT.

3. Catégories de personnes concernées

  • Clients finaux des restaurateurs (ayant scanné un QR code ou consulté la carte publique)
  • Contacts professionnels enregistrés par le Vigneron (acheteurs, restaurateurs, cavistes)
  • Prospects identifiés via le scan d’étiquette en mode caviste

4. Catégories de données traitées

  • Identifiants techniques : cookies de session, IP hachée, user-agent
  • Coordonnées professionnelles : nom, prénom, email, téléphone, raison sociale, SIRET, adresse postale
  • Données de carte restaurant : plats commandés, accords proposés, ratings éventuels
  • Données CRM vigneron : contacts clients, commandes, factures (vintage, prix, quantités)
  • Données de scan : domaines lus, géolocalisation approchée (ville)

Aucune donnée sensible au sens de l’article 9 RGPD (santé, opinions politiques, religieuses, syndicales, biométriques, génétiques) n’est traitée.

5. Obligations du Sous-Traitant (art. 28-3 RGPD)

  • a) Traiter les données uniquement sur instructions documentées du Responsable, y compris pour les transferts hors UE ;
  • b) Garantir la confidentialité par engagement écrit ou statutaire des collaborateurs ayant accès aux données ;
  • c) Mettre en œuvre les mesures techniques et organisationnelles appropriées (art. 32 RGPD) — détaillées en annexe A ;
  • d) Recourir à des sous-traitants ultérieurs (cf. § 7) avec autorisation préalable et obligations équivalentes ;
  • e) Assister le Responsable pour répondre aux demandes d’exercice des droits (art. 15-22) ;
  • f) Assister le Responsable dans la conduite d’analyses d’impact (AIPD, art. 35) et la consultation préalable de la CNIL (art. 36) ;
  • g) À la fin du contrat, supprimer ou retourner toutes les données au choix du Responsable, et détruire les copies existantes (sauf obligation légale de conservation) ;
  • h) Mettre à la disposition du Responsable toute information nécessaire pour démontrer le respect du présent DPA et permettre la réalisation d’audits.

6. Notifications de violation (art. 33-34)

En cas de violation de données affectant les données du Responsable, le Sous-Traitant notifie ce dernier sans délai indu et au plus tard 72 heuresaprès en avoir pris connaissance, par email à l’adresse de contact RGPD désignée par le Responsable. La notification comprend la nature de la violation, les catégories et nombres approchés de personnes et d’enregistrements concernés, les conséquences probables, et les mesures prises ou envisagées pour y remédier.

7. Sous-traitants ultérieurs

Le Responsable autorise le Sous-Traitant à recourir aux sous-traitants ultérieurs listés dans la Politique de confidentialité(Supabase, Stripe, Hostinger, Anthropic, Resend, Vercel, Apple/Google).

Toute modification substantielle de cette liste (ajout d’un sous-traitant ou changement de localisation) est notifiée au Responsable par email avec un préavis de 30 jours. Le Responsable peut s’y opposer pour motif sérieux relatif à la protection des données. À défaut d’accord, le Responsable peut résilier le contrat sans frais ni pénalité.

8. Transferts hors UE (art. 44-49)

Les transferts hors Union européenne (notamment vers les États-Unis pour Anthropic et Stripe) sont encadrés par les Clauses Contractuelles Types (CCT) de la Commission européenne (Décision 2021/914) ainsi que, lorsque le sous-traitant est certifié, par le Data Privacy Framework UE-USA. Des mesures techniques supplémentaires sont mises en œuvre : chiffrement en transit, pseudonymisation, absence d’envoi de données identifiantes à l’IA Anthropic.

9. Audit (art. 28-3-h)

Le Responsable peut, sous réserve d’un préavis raisonnable de 30 jours et à ses frais, faire réaliser un audit des mesures de sécurité par un tiers indépendant soumis à un engagement de confidentialité. Le Sous-Traitant peut, par exception, refuser un auditeur concurrent direct ou présentant un risque sérieux pour la sécurité du Service.

À défaut d’audit physique, le Sous-Traitant fournit sur demande : rapports d’audit de ses propres sous-traitants (Supabase SOC 2, Stripe PCI-DSS), descriptions des contrôles techniques (annexe A), et résultats des tests de sécurité internes.

10. Responsabilité et indemnités

Chaque partie est responsable des dommages causés par tout traitement non conforme au RGPD ou au présent DPA, dans les conditions de l’article 82 RGPD. Les sanctions administratives (art. 83) sont à la charge de la partie défaillante.

Le Sous-Traitant indemnisera le Responsable des préjudices directs prouvés résultant d’un manquement à ses obligations au titre du présent DPA, dans la limite du plafond prévu à l’article 9 des CGU (sommes effectivement versées au cours des 12 derniers mois). Cette limite ne s’applique pas en cas de faute lourde ou intentionnelle du Sous-Traitant, ni aux sanctions infligées par la CNIL au Responsable du fait du Sous-Traitant.

11. Acceptation

Pour les clients professionnels d’Assemblages, le présent DPA est réputé acceptélors de la souscription à un abonnement payant ou lors du premier traitement de données appartenant au Responsable, et constitue, avec les CGU, l’intégralité de l’accord relatif à la sous-traitance des données. Une signature manuscrite distincte peut être fournie sur demande à rgpd@assemblages-app.compour les clients soumis à exigence interne d’un contrat papier.

12. Loi applicable

Le présent DPA est régi par le droit français et le RGPD. Tout litige relève exclusivement des juridictions françaises compétentes.

Annexe A — Mesures techniques et organisationnelles (art. 32)

  • Chiffrement : TLS 1.3 en transit ; chiffrement au repos par Supabase (AES-256)
  • Authentification : hachage bcrypt des mots de passe ; cookies session HttpOnly ; tokens JWT signés HS256
  • Cloisonnement : Row Level Security Postgres pour isoler les données par compte client
  • Contrôle d’accès : principe du moindre privilège, comptes admin séparés, MFA pour les comptes internes
  • Audit logs : journalisation des accès admin avec IP hachée, rétention 1 an
  • Sauvegardes : chiffrées, quotidiennes, rétention 30 jours, restauration testée mensuellement
  • Vulnérabilités : scans dépendances à chaque build, politique de divulgation responsable, patch sous 7 jours pour les CVE critiques
  • Formation : sensibilisation RGPD du personnel ayant accès aux données, engagement de confidentialité signé
  • Suppression : suppression irréversible sur demande, purge des sauvegardes sous 30 jours