Accord de Traitement des Données (DPA)

Version 1.0 — Dernière mise à jour : 12 juin 2026

Autres documents légaux

  • Mentions légales
  • Conditions d'utilisation
  • Conditions de vente
  • Politique de confidentialité
  • Politique des cookies
  • Copyright & DMCA
  • Utilisation acceptable (PUA)

À qui s'adresse ce document ? Le présent Accord de Traitement des Données (« DPA ») encadre le traitement, par Diapofy en tant que sous-traitant, des données personnelles que vous (le responsable du traitement) traitez via le Service. Il complète les Conditions Générales d'Utilisation et s'applique notamment aux données des Spectateurs et des contributeurs de vos projets.

1. Parties

Le présent DPA est conclu entre :

  • Responsable du traitement : l'Utilisateur du Service Diapofy qui détermine les finalités et les moyens du traitement des données personnelles via le Service.
  • Sous-traitant : Diapofy SAS, exploitant la plateforme Diapofy (coordonnées : voir mentions légales).

Le présent DPA complète et fait partie intégrante des Conditions Générales d'Utilisation.

2. Périmètre et finalité

2.1. Le présent DPA s'applique lorsque le Sous-traitant traite des données personnelles pour le compte du Responsable dans le cadre de la fourniture du Service.

2.2. Le Sous-traitant traite les données personnelles uniquement aux fins de fourniture du Service, y compris :

  • L'hébergement et le stockage des fichiers multimédias téléversés par le Responsable.
  • Le traitement et l'affichage des diaporamas aux Spectateurs désignés.
  • La collecte de statistiques sur les Spectateurs pour le compte du Responsable.
  • La gestion des messages et réactions du Livre d'Or.
  • Le traitement des médias téléversés via les Liens de Téléversement créés par le Responsable.

3. Catégories de personnes et de données

3.1. Personnes concernées

  • Les Spectateurs des Projets du Responsable.
  • Les tiers qui téléversent des médias via les Liens de Téléversement du Responsable.
  • Les personnes qui soumettent des messages au Livre d'Or.
  • Les personnes identifiables dans les fichiers multimédias du Responsable.

3.2. Types de données personnelles

  • Adresses IP des Spectateurs et contributeurs.
  • Informations relatives à l'appareil et au navigateur (agent utilisateur).
  • Données de comportement de visionnage et d'engagement.
  • Noms fournis par les auteurs du Livre d'Or et les contributeurs des Liens de Téléversement.
  • Contenu des messages du Livre d'Or.
  • Fichiers multimédias contenant des personnes identifiables (photos, vidéos).

3.3. Catégories particulières de données

Le Responsable reconnaît que les fichiers multimédias peuvent contenir des données biométriques (images faciales) et qu'il lui incombe de disposer d'une base légale valide pour leur traitement.

4. Obligations du sous-traitant

Le Sous-traitant s'engage à :

4.1. Traiter les données uniquement sur instructions documentées du Responsable (CGU et présent DPA), sauf obligation légale.

4.2. Veiller à la confidentialité des personnes autorisées à traiter les données.

4.3. Mettre en œuvre des mesures techniques et organisationnelles adaptées au risque, notamment :

  • Chiffrement des données en transit (TLS/HTTPS).
  • Hachage des mots de passe (bcrypt).
  • Mécanismes de contrôle d'accès et d'authentification.
  • Évaluations régulières de la sécurité.
  • Sauvegardes quotidiennes automatisées (rétention 30 jours).
  • Limitation de débit et prévention des abus.

4.4. Respecter les conditions relatives aux sous-traitants ultérieurs (article 6).

4.5. Assister le Responsable pour les demandes des personnes concernées (art. 15 à 22 RGPD).

4.6. Assister le Responsable pour la conformité aux art. 32 à 36 RGPD (sécurité, notification de violation, AIPD, consultation préalable).

4.7. Au choix du Responsable, supprimer ou restituer toutes les données à la fin du Service, sauf conservation requise par la loi.

4.8. Mettre à disposition les informations nécessaires pour démontrer la conformité et permettre des audits.

5. Obligations du responsable

5.1. S'assurer qu'il existe une base légale valide pour le traitement via le Service.

5.2. Informer les personnes concernées (avis de confidentialité appropriés).

5.3. S'assurer que les fichiers téléversés ne contiennent pas de données personnelles dépourvues de base légale.

5.4. Répondre aux demandes des personnes concernées, avec l'assistance du Sous-traitant le cas échéant.

5.5. Réaliser des analyses d'impact (AIPD) lorsque requis.

6. Sous-traitants ultérieurs

6.1. Le Responsable accorde une autorisation générale au recours à des sous-traitants ultérieurs, sous réserve du présent article.

6.2. Sous-traitants ultérieurs actuels :

  • Cloudflare, Inc. — stockage de médias (R2) et diffusion de contenu — Mondial (UE/US).
  • Stripe, Inc. — traitement des paiements — Mondial (conforme PCI).

6.3. Le Sous-traitant informe le Responsable de tout ajout ou remplacement prévu au moins 30 jours à l'avance, avec possibilité d'opposition.

6.4. En cas d'opposition raisonnable, les parties discutent d'alternatives de bonne foi ; à défaut de résolution, le Responsable peut résilier le Service concerné.

6.5. Le Sous-traitant impose aux sous-traitants ultérieurs les mêmes obligations de protection des données par contrat écrit.

7. Transferts de données

7.1. Les données sont traitées principalement au sein de l'EEE.

7.2. Pour tout transfert hors EEE, le Sous-traitant assure des garanties appropriées : Clauses Contractuelles Types (CCT) de l'UE, décisions d'adéquation le cas échéant.

7.3. Le Sous-traitant informe le Responsable de la localisation du traitement et de tout changement.

8. Notification de violation de données

8.1. Le Sous-traitant notifie le Responsable dans les meilleurs délais et, en tout état de cause, dans les 48 heures après avoir pris connaissance d'une violation.

8.2. La notification comprend : nature de la violation (catégories et nombre approximatif de personnes/enregistrements), coordonnées du point de contact, conséquences probables, et mesures prises ou proposées.

8.3. Le Sous-traitant coopère avec le Responsable pour atténuer les effets de la violation.

9. Analyse d'impact (AIPD)

Le Sous-traitant fournit une assistance raisonnable pour les AIPD et les consultations préalables auprès des autorités de contrôle (art. 35 et 36 RGPD).

10. Audits

10.1. Le Sous-traitant met à disposition les informations raisonnablement nécessaires pour démontrer la conformité.

10.2. Le Responsable peut réaliser des audits sous conditions : préavis d'au moins 30 jours, pendant les heures ouvrables, auditeur soumis à confidentialité, limité à une fois par année civile (sauf violation ou exigence réglementaire).

10.3. Le Sous-traitant peut fournir des certifications ou rapports d'audit de tiers en alternative.

11. Durée et résiliation

11.1. Le présent DPA reste en vigueur pendant toute la durée d'utilisation du Service.

11.2. À la fin du Service, le Sous-traitant supprime ou restitue (au choix du Responsable) toutes les données dans un délai de 30 jours ; toute copie conservée par obligation légale reste soumise aux obligations du présent DPA.

12. Responsabilité

La responsabilité de chaque partie est soumise aux limitations des Conditions Générales d'Utilisation. Le Sous-traitant n'est responsable que dans la mesure où il n'a pas respecté ses obligations RGPD/DPA ou a agi en dehors des instructions licites du Responsable.

13. Droit applicable

Le présent DPA est régi par le même droit que les Conditions Générales d'Utilisation, sans préjudice des dispositions impératives du RGPD.

14. Contact

Pour toute question relative au présent DPA :