← Retour à Deckstock

Accord de sous-traitance de données personnelles (DPA)

Version du 2 juillet 2026 · Annexe aux conditions générales

Le présent accord de sous-traitance (le « DPA ») est conclu en application de l'article 28 du Règlement (UE) 2016/679 (le « RGPD ») entre l'abonné professionnel au service Deckstock (le « Client », responsable de traitement) et Rodolphe Le Houx, entrepreneur individuel exerçant sous le nom commercial rodolphelehoux.com, éditeur du service Deckstock (le « Prestataire », sous-traitant), dont les coordonnées figurent dans les mentions légales. Il fait partie intégrante du contrat formé par les conditions générales de vente et d'utilisation (le « Contrat ») et s'applique automatiquement à tout Client professionnel, sans signature séparée ; un exemplaire signé peut être obtenu sur demande à contact@deckstock.fr.

1. Objet et champ d'application

Le DPA s'applique lorsque le Client enregistre dans le service des données personnelles concernant des tiers, notamment ses propres clients (par exemple le nom d'un acheteur associé à une vente ou à une réservation). Pour ces données (les « Données Client »), le Client est responsable de traitement et le Prestataire agit en qualité de sous-traitant, exclusivement pour fournir le service décrit au Contrat.

Le DPA ne s'applique pas aux données relatives au compte de l'abonné lui-même (identité, facturation, journaux) : pour celles-ci, le Prestataire est responsable de traitement et la politique de confidentialité s'applique.

Le Client garantit qu'il dispose d'une base légale pour traiter les Données Client, qu'il a informé les personnes concernées conformément aux articles 13 et 14 du RGPD et qu'il n'enregistre dans le service aucune donnée dite sensible au sens de l'article 9 du RGPD, le service n'étant pas conçu pour en accueillir.

2. Description du traitement

ÉlémentDescription
ObjetHébergement et mise à disposition des Données Client au sein de l'outil de gestion de stock Deckstock
DuréeDurée du Contrat, augmentée du délai de suppression prévu à l'article 9
NatureCollecte (saisie par le Client), enregistrement, conservation, consultation, mise à disposition, effacement
FinalitéFourniture du service souscrit, à l'exclusion de toute autre finalité
Types de donnéesDonnées d'identification et de contact saisies par le Client (nom, prénom, email, téléphone), données transactionnelles associées (produit, quantité, prix, date)
Personnes concernéesClients, prospects et contacts professionnels du Client

3. Instructions du Client

Le Prestataire traite les Données Client uniquement sur instruction documentée du Client. Le Contrat, le paramétrage du service et les actions effectuées par le Client dans l'interface constituent ces instructions. Le Prestataire informe le Client si, à son avis, une instruction constitue une violation du RGPD ou d'une autre disposition applicable en matière de protection des données. Il ne traite pas les Données Client pour son propre compte ; il peut toutefois établir des statistiques d'usage agrégées et anonymisées, dont aucune personne ne peut être réidentifiée, pour exploiter et améliorer le service.

4. Confidentialité

Le Prestataire veille à ce que toute personne autorisée à traiter les Données Client soit soumise à une obligation de confidentialité contractuelle ou légale, et n'y accède que dans la mesure nécessaire à la fourniture ou au support du service.

5. Sécurité

Le Prestataire met en œuvre les mesures techniques et organisationnelles appropriées au sens de l'article 32 du RGPD, décrites en annexe. Elles comprennent notamment l'isolation stricte des données entre clients, le chiffrement des échanges, le hachage des mots de passe, la journalisation des accès et des sauvegardes régulières.

6. Sous-traitants ultérieurs

Le Client autorise de manière générale le recours aux sous-traitants ultérieurs listés ci-dessous. Le Prestataire impose à chacun, par contrat, des obligations équivalentes à celles du présent DPA et demeure pleinement responsable envers le Client de leur exécution.

Sous-traitant ultérieurRôleLocalisation des Données Client
Supabase Pte. Ltd. (65 Chulia Street #38-02/03, OCBC Centre, Singapour 049513) Hébergement de la base de données et authentification Union européenne (région de Paris, eu-west-3)

Le Prestataire informe le Client, par email ou par un message dans le service, au moins trente jours avant l'ajout ou le remplacement d'un sous-traitant ultérieur. Le Client peut s'y opposer par écrit pour motif légitime dans ce délai ; à défaut d'accord sur une solution alternative, il peut résilier le Contrat sans frais avant l'entrée en vigueur du changement.

7. Assistance au Client

Compte tenu de la nature du traitement, le Prestataire aide le Client, par des mesures techniques et organisationnelles appropriées, à répondre aux demandes d'exercice des droits des personnes concernées (articles 12 à 22 du RGPD) : le service permet au Client de consulter, rectifier, exporter et supprimer lui-même les Données Client. Si une personne concernée s'adresse directement au Prestataire, celui-ci transmet la demande au Client sans délai indu et n'y répond pas de sa propre initiative.

Le Prestataire aide également le Client à garantir le respect des obligations prévues aux articles 32 à 36 du RGPD (sécurité, notification des violations, analyses d'impact), compte tenu des informations à sa disposition.

8. Violation de données

Le Prestataire notifie au Client toute violation de données à caractère personnel affectant les Données Client dans les meilleurs délais après en avoir pris connaissance, à l'adresse email du compte, en décrivant la nature de la violation, les catégories et le nombre approximatif de personnes et d'enregistrements concernés, les conséquences probables et les mesures prises ou proposées. La notification aux autorités de contrôle et aux personnes concernées relève du Client, responsable de traitement.

9. Sort des données en fin de contrat

Au terme du Contrat, le Client peut exporter les Données Client (export CSV dans le service, ou copie complète sur demande). Sauf instruction contraire du Client ou obligation légale de conservation, le Prestataire supprime les Données Client dans les trente jours suivant la clôture du compte et en confirme la suppression sur demande.

10. Audit et documentation

Le Prestataire met à la disposition du Client toutes les informations nécessaires pour démontrer le respect du présent DPA. Le Client peut, au plus une fois par an et moyennant un préavis écrit de trente jours, mener ou mandater un audit, pendant les heures ouvrées, à ses frais, sans accès aux données des autres clients du service ni perturbation de celui-ci ; les rapports d'audit des sous-traitants ultérieurs et les certifications disponibles peuvent tenir lieu de premier niveau de démonstration.

11. Transferts hors Union européenne

Les Données Client sont hébergées dans l'Union européenne et le Prestataire ne les transfère pas hors de l'Union. Si un transfert devenait nécessaire, il ne serait réalisé qu'avec un mécanisme de l'article 46 du RGPD (clauses contractuelles types de la Commission européenne) ou vers un pays bénéficiant d'une décision d'adéquation, et après information du Client dans les conditions de l'article 6.

12. Durée, responsabilité et droit applicable

Le DPA prend effet avec le Contrat et demeure en vigueur tant que le Prestataire traite des Données Client. En cas de contradiction entre le DPA et le Contrat sur le traitement des Données Client, le DPA prévaut. La responsabilité de chaque partie au titre du DPA est soumise aux limitations prévues au Contrat, dans la mesure permise par le RGPD. Le DPA est soumis au droit français.

Annexe : mesures techniques et organisationnelles

Isolation logique stricte des données entre clients (chaque espace ne peut accéder qu'à ses propres données, contrôles d'accès appliqués au niveau de la base de données). Chiffrement des échanges (HTTPS/TLS) et chiffrement au repos chez l'hébergeur. Hachage des mots de passe. Authentification obligatoire et gestion des rôles par espace. Journalisation des accès et des opérations d'administration. Sauvegardes régulières et procédure de restauration. Accès d'administration limités au personnel habilité du Prestataire, sur le principe du moindre privilège. Mises à jour de sécurité suivies pour l'ensemble des composants.