Contrat de Traitement des Données (DPA)

Ce contrat de traitement des données (DPA) est conclu entre ProofEU (sous-traitant) et vous (responsable de traitement) lors de votre inscription à ProofEU. Il prend effet dès la création de votre compte.

1. Définitions

Dans le présent contrat, les termes suivants ont la signification qui leur est donnée dans le RGPD : « données personnelles », « traitement », « responsable du traitement », « sous-traitant », « personne concernée ».

2. Objet et durée

ProofEU traite des données personnelles pour le compte du responsable de traitement dans le cadre de la fourniture du service de collecte et d'affichage de témoignages clients. Le traitement dure aussi longtemps que le compte est actif.

3. Nature et finalité du traitement

ProofEU traite uniquement les données nécessaires à la fourniture du service :

• Stockage des témoignages clients (nom, rôle, entreprise, contenu, note)
• Affichage des témoignages approuvés via le widget embed
• Gestion du compte administrateur (email, mot de passe haché)

4. Obligations du sous-traitant

ProofEU s'engage à :

• Ne traiter les données personnelles que sur instruction documentée du responsable de traitement (le présent contrat et les instructions de configuration du compte).
• Garantir que les personnes autorisées à traiter les données s'engagent à respecter la confidentialité ou sont soumises à une obligation légale de confidentialité.
• Mettre en œuvre les mesures techniques et organisationnelles appropriées visées à l'Article 32 du RGPD (chiffrement TLS 1.3, chiffrement au repos AES-256, hashage bcrypt des mots de passe, accès restreint aux données de production).
• Ne pas recruter de sous-traitant ultérieur sans en informer préalablement le responsable de traitement. La liste des sous-traitants actuels est disponible sur proofeu.com/fr/rgpd.
• Aider le responsable de traitement à respecter les droits des personnes concernées (accès, rectification, effacement, portabilité).
• Notifier le responsable de traitement dans les 72 heures de toute violation de données personnelles.
• Supprimer ou restituer toutes les données personnelles à la fin de la relation contractuelle, sauf si la loi applicable exige la conservation.
• Mettre à disposition du responsable de traitement toutes les informations nécessaires pour démontrer le respect des obligations du présent article.

5. Localisation du traitement

Toutes les données personnelles sont stockées et traitées dans l'Espace Économique Européen (EEE), spécifiquement en Irlande (Dublin). Aucun transfert de données vers des pays tiers n'est effectué.

6. Sous-traitants ultérieurs

ProofEU fait appel aux sous-traitants ultérieurs suivants, tous situés dans l'EEE et conformes au RGPD :

• Turso (ChiselStrike, Inc.) : Base de données SQLite cloud, région Dublin, Irlande. DPA disponible sur turso.tech/privacy.
• Vercel, Inc. : Hébergement et CDN, région Dublin (Irlande). DPA disponible sur vercel.com/legal/dpa.
• Lemon Squeezy : Processeur de paiement (merchant of record EU). DPA disponible sur lemonsqueezy.com/privacy.

7. Responsabilite

Chaque partie est responsable de respecter les obligations qui lui incombent en vertu du RGPD. ProofEU indemnise le responsable de traitement pour tout dommage causé par le non-respect des obligations spécifiques aux sous-traitants prévues par le RGPD.

8. Droit applicable

Le présent contrat est régi par le droit français. Tout litige sera soumis à la juridiction compétente du ressort du tribunal compétent en France.

9. Contact

Pour toute question relative au present DPA : privacy@proofeu.com