Accord de Traitement des Données
Dernière mise à jour : Décembre 2025
Il s'agit d'un contrat juridique requis par le RGPD (Article 28) entre Primer (sous-traitant) et les salons (responsables du traitement). L'acceptation se fait lors de l'intégration WhatsApp sur le tableau de bord.
1. Définitions
Les termes suivants ont les significations indiquées ci-dessous :
- Données Personnelles: Toute information relative à une personne physique identifiée ou identifiable (clients du salon)
- Traitement: Toute opération effectuée sur des données personnelles (collecte, stockage, transmission, suppression)
- Responsable du Traitement: Le salon - détermine les finalités et les moyens du traitement des données clients
- Sous-traitant: Primer (WISE PEOPLE SRL) - traite les données au nom du salon
- Personne Concernée: Clients du salon dont les données sont traitées
- Sous-traitant Ultérieur: Tiers que Primer engage dans le traitement (Twilio, Meta, etc.)
- RGPD: Règlement Général sur la Protection des Données (UE) 2016/679
- CCC: Clauses Contractuelles Types approuvées par la Commission européenne
- Violation de Données Personnelles: Incident de sécurité entraînant un accès non autorisé, une destruction, une perte ou une divulgation de données personnelles
2. Objet et Durée
Objet
Cet Accord de Traitement des Données régit le traitement des données personnelles par Primer au nom du Salon aux fins de fournir des services de messagerie WhatsApp Business via la plateforme Primer.
Durée
Cet Accord de Traitement des Données reste en vigueur pendant que le Salon est abonné aux services de messagerie WhatsApp de Primer. Les obligations de conservation des données survivent à la résiliation.
Nature du Traitement
- Collecte des numéros de téléphone clients et des enregistrements de consentement
- Transmission de messages via l'API WhatsApp Business
- Stockage des journaux de messages et du statut de livraison
- Traitement des demandes de consentement/désinscription
3. Types de Données Personnelles Traitées
| Catégorie de Données | Exemples | Conservation |
|---|---|---|
| Informations de Contact | Numéros de téléphone, noms | Durée de la relation + 30 jours |
| Données de Rendez-vous | Service réservé, date/heure, personnel | 2 ans |
| Contenu des Messages | Textes de confirmation, rappels | 90 jours |
| Métadonnées des Messages | Statut de livraison, accusés de lecture, horodatages | 90 jours |
| Enregistrements de Consentement | Horodatage du consentement, source, texte du consentement | 5 ans (exigence légale) |
| Enregistrements de Désinscription | Horodatage de désinscription, méthode | Indéfiniment |
4. Catégories de Personnes Concernées
- Clients du Salon ayant fourni leur numéro de téléphone
- Clients ayant consenti à recevoir des messages WhatsApp
- Personnes contactant le numéro WhatsApp Business du Salon
5. Obligations du Sous-traitant (Engagements de Primer)
Primer :
5.1 Traitement Licite
- Traitera les données personnelles uniquement sur instructions documentées du Salon
- Traitera les données uniquement aux fins spécifiées dans cet Accord de Traitement des Données
- Informera le Salon si une instruction viole le RGPD
5.2 Confidentialité
- S'assurera que tout le personnel traitant les données a des obligations de confidentialité
- Limitera l'accès aux données personnelles à ceux qui en ont besoin pour le service
5.3 Mesures de Sécurité
- Chiffrement des données en transit (TLS 1.2+) et au repos (AES-256)
- Contrôles d'accès et authentification
- Tests de sécurité et audits réguliers
- Centres de données sécurisés (Microsoft Azure, région UE)
- Journalisation et surveillance de l'accès aux données
- Formation à la sécurité du personnel
5.4 Gestion des Sous-traitants Ultérieurs
- Obtiendra le consentement du Salon avant d'engager de nouveaux sous-traitants ultérieurs
- S'assurera que les sous-traitants ultérieurs ont des obligations de protection des données équivalentes
- Restera responsable de la conformité des sous-traitants ultérieurs
- Maintiendra et fournira une liste des sous-traitants ultérieurs actuels
5.5 Assistance aux Droits des Personnes Concernées
- Aidera le Salon à répondre aux demandes des personnes concernées (accès, rectification, effacement, portabilité)
- Fournira des fonctions d'exportation de données
- Traitera les demandes d'effacement dans les 30 jours
- Informera le Salon des demandes directes des personnes concernées
5.6 Notification de Violation de Données
- Informera le Salon dans les 48 heures suivant la connaissance d'une violation de données personnelles
- Fournira les détails de l'incident, y compris la nature, les catégories affectées, les conséquences probables et les mesures prises
- Aidera le Salon dans ses obligations de notification aux autorités de contrôle
5.7 Analyses d'Impact sur la Protection des Données
- Aidera le Salon dans les analyses d'impact sur la protection des données si nécessaire
- Fournira les informations nécessaires sur les activités de traitement
5.8 Droits d'Audit
- Permettra au Salon d'auditer la conformité à l'Accord de Traitement des Données
- Fournira la documentation pertinente sur demande
- Coopérera avec les inspections des autorités de contrôle
5.9 Suppression des Données
- Supprimera ou renverra toutes les données personnelles dans les 30 jours suivant la résiliation
- Fournira une confirmation écrite de la suppression
- Exception : Données légalement requises pour la conservation (enregistrements de consentement, dossiers financiers)
6. Obligations du Responsable du Traitement (Responsabilités du Salon)
Le Salon :
6.1 Base Juridique
- S'assurera d'une base juridique valide pour le traitement (consentement pour le marketing, intérêt légitime/contrat pour le transactionnel)
- Obtiendra le consentement approprié avant d'envoyer des messages WhatsApp
- Maintiendra les enregistrements de consentement
6.2 Exactitude des Données
- S'assurera que les données clients fournies à Primer sont exactes et à jour
- Mettra à jour ou corrigera rapidement les données inexactes
6.3 Information des Personnes Concernées
- Informera les clients du traitement via des avis de confidentialité
- Fournira des informations sur leurs droits
6.4 Instructions
- Donnera des instructions de traitement licites
- N'ordonnera pas à Primer de traiter les données illégalement
6.5 Conformité
- Se conformera au RGPD et aux lois locales applicables sur la protection des données
- Répondra aux demandes des personnes concernées dans les délais légaux
- Signalera les incidents aux autorités de contrôle lorsque nécessaire
7. Sous-traitants Ultérieurs
En signant cet Accord de Traitement des Données, le Salon autorise Primer à utiliser les sous-traitants ultérieurs suivants :
7.1 Sous-traitants Ultérieurs Autorisés
| Sous-traitant Ultérieur | Emplacement | Objectif | Garanties |
|---|---|---|---|
| Twilio Inc. | USA | Fournisseur d'API WhatsApp Business, transmission de messages | SCCs, DPA |
| Meta Platforms Ireland Limited | Ireland/USA | Infrastructure de messagerie WhatsApp | SCCs, EU-US DPF |
| Microsoft Azure | EU (primary), USA | Hébergement cloud, stockage de données | SCCs, EU residency |
| Neon Inc. | USA | Hébergement de base de données | SCCs, encryption |
| Stripe Inc. | USA | Traitement des paiements | SCCs, PCI-DSS |
7.2 Nouveaux Sous-traitants Ultérieurs
- Primer informera le Salon au moins 30 jours avant d'engager de nouveaux sous-traitants ultérieurs
- Le Salon peut s'opposer dans les 14 jours pour des motifs raisonnables
- Si l'objection ne peut être résolue, le Salon peut résilier les services WhatsApp
7.3 Conformité des Sous-traitants Ultérieurs
- Tous les sous-traitants ultérieurs ont des accords écrits avec une protection équivalente
- Primer reste pleinement responsable de la conformité des sous-traitants ultérieurs
8. Transferts Internationaux de Données
8.1 Emplacement Principal des Données
Les données personnelles sont principalement stockées dans des centres de données de l'Union européenne (régions UE de Microsoft Azure).
8.2 Transferts en Dehors de l'UE/EEE
- Clauses Contractuelles Types (CCC) approuvées par la Commission européenne
- Certification EU-US Data Privacy Framework (le cas échéant)
- Mesures techniques supplémentaires (chiffrement, pseudonymisation)
8.3. Évaluations des Transferts
Primer a effectué des évaluations des transferts pour tous les transferts internationaux et a déterminé que des garanties appropriées sont en place.
9. Mesures de Sécurité
9.1 Mesures Techniques
- Chiffrement : TLS 1.2+ en transit, AES-256 au repos
- Contrôles d'accès : Accès basé sur les rôles, authentification multi-facteurs
- Sécurité du réseau : Pare-feu, détection d'intrusion, protection DDoS
- Isolation des données : Séparation logique des données du salon
- Sauvegarde : Sauvegardes chiffrées régulières avec procédures de récupération testées
9.2 Mesures Organisationnelles
- Politiques et procédures de sécurité
- Vérifications des antécédents du personnel et accords de confidentialité
- Formation régulière à la sécurité
- Procédures de réponse aux incidents
- Évaluations de sécurité des fournisseurs
9.3 Sécurité Spécifique à WhatsApp
- Chiffrement de bout en bout fourni par WhatsApp
- Authentification API sécurisée avec Twilio
- Contenu des messages non stocké au-delà de la période de conservation
- Journalisation d'audit de toute activité de messagerie
10. Droits des Personnes Concernées
10.1 Droits Pris en Charge
- Droit d'Accès: Export des données clients via le tableau de bord
- Droit de Rectification: Mise à jour des informations clients
- Droit à l'Effacement: Suppression des données clients et de l'historique des messages
- Droit à la Limitation: Suspension de la messagerie pour des clients spécifiques
- Droit à la Portabilité: Export des données dans un format lisible par machine
- Droit d'Opposition: Traitement des demandes de désinscription
10.2 Délai de Réponse
- Primer répondra aux demandes du Salon dans les 5 jours ouvrables
- Cela permet au Salon de respecter le délai RGPD de 30 jours
10.3 Demandes Directes
- Rediriger les personnes concernées vers le Salon concerné
- Informer le Salon de la demande
- Ne pas répondre directement sans autorisation du Salon
11. Procédures de Violation de Données
11.1 Détection
- Tentatives d'accès non autorisé
- Modèles d'accès aux données inhabituels
- Intrusions système
- Tentatives d'exfiltration de données
11.2 Notification
- Notification initiale au Salon dans les 48 heures
- Rapport détaillé dans les 72 heures, incluant la description, les catégories affectées, le nombre approximatif d'enregistrements, les conséquences probables et les mesures correctives
11.3 Coopération
- Coopérer avec l'enquête sur l'incident du Salon
- Aider dans les notifications aux autorités de contrôle et aux personnes concernées
- Mettre en œuvre des garanties supplémentaires si nécessaire
- Fournir un rapport post-incident
12. Audit et Conformité
12.1 Documentation
- Catégories de traitement
- Transferts de données
- Mesures de sécurité
- Accords avec les sous-traitants ultérieurs
12.2 Droits d'Audit
- Demander la documentation de conformité annuellement
- Effectuer des audits à distance avec un préavis de 30 jours
- Effectuer des audits sur site avec un préavis de 60 jours (aux frais du Salon)
- Utiliser des auditeurs tiers qualifiés (liés par la confidentialité)
12.3 Certifications
Primer fournira des copies des certifications pertinentes et des rapports d'audit sur demande.
13. Responsabilité et Indemnisation
13.1 Responsabilité de Primer
- Viole les obligations de sous-traitant du RGPD
- Viole cet Accord de Traitement des Données
- Agit en dehors ou contre les instructions licites du Salon
13.2 Responsabilité du Salon
- Instructions de traitement illégales
- Défaut d'obtenir le consentement approprié
- Violations des obligations de responsable du traitement du RGPD
- Fourniture de données inexactes
13.3 Limitation
La responsabilité totale en vertu de cet Accord de Traitement des Données est limitée aux frais payés par le Salon pour les services WhatsApp au cours des 12 mois précédant la réclamation, sauf en cas de manquement intentionnel, de négligence grave ou de réclamations émanant de personnes concernées ou d'autorités de contrôle.
14. Durée et Résiliation
14.1 Durée
Cet Accord de Traitement des Données entre en vigueur lorsque le Salon active les services WhatsApp et reste en vigueur jusqu'à ce que les services soient résiliés.
14.2 Effets de la Résiliation
- Primer cessera le traitement dans les 24 heures
- Suppression des données dans les 30 jours
- Enregistrements de consentement conservés pendant 5 ans (exigence légale)
- Confirmation écrite de la suppression
14.3 Survie
- Obligations de confidentialité
- Exigences de conservation des données
- Dispositions de responsabilité
- Droits d'audit (2 ans après la résiliation)
15. Dispositions Générales
15.1 Loi Applicable
Cet Accord de Traitement des Données est régi par le droit roumain et le RGPD. Les litiges seront résolus devant les tribunaux de Cluj-Napoca, Roumanie.
15.2 Modifications
- Mises à jour requises par la loi ou les directives réglementaires
- Ajout de sous-traitants ultérieurs (conformément à la section 7.2)
- Mise à jour des mesures de sécurité (améliorations uniquement)
15.3 Conflit
En cas de conflit entre cet Accord de Traitement des Données et les Conditions Générales de Service principales, cet Accord de Traitement des Données prévaut sur les questions de protection des données.
15.4 Divisibilité
Si une disposition s'avère invalide, les dispositions restantes resteront en vigueur.
16. Informations de Contact
Pour toute question concernant cet accord :
Contact Protection des Données
WISE PEOPLE SRL
Data Protection Officer: Mihaila Claudiu
Email: dpo@primer.tech
Calea Turzii 188 L, Et. 2, Ap. 13
Cluj-Napoca, Cluj, 400495, Romania
Pour les Demandes des Personnes Concernées: privacy@primer.tech
Pour les Incidents de Sécurité: security@primer.tech
Téléphone (24/7 pour les urgences): +40 750 486 944