Accord de traitement des données

Présentation

Le présent Accord de traitement des données (« DPA ») fait partie intégrante des Conditions d'utilisation conclues entre Peaklyst, produit de tupevo S.àr.l.-S (« Sous-traitant »), et le client utilisant le service Peaklyst (« Responsable du traitement »). Il régit le traitement des données personnelles par Peaklyst pour le compte du Responsable et est conçu pour se conformer à l'article 28 du Règlement (UE) 2016/679 (le « RGPD »).

Le présent DPA prend effet automatiquement dès la souscription d'un abonnement Peaklyst et demeure en vigueur pendant toute la durée du service. Les clients souhaitant obtenir un exemplaire contresigné sur leur propre papier peuvent en faire la demande à [email protected].

1. Objet et durée

Le Sous-traitant fournit une plateforme d'optimisation de fiches Amazon alimentée par l'IA. Dans le cadre de la fourniture du service, le Sous-traitant traite des données personnelles pour le compte du Responsable du traitement, comme décrit à l'Annexe 1. Le présent DPA s'applique pendant toute la durée du service et prend fin automatiquement avec la résiliation de l'abonnement, sous réserve des obligations post-résiliation prévues à la section 11.

2. Nature et finalité du traitement

La finalité du traitement est de permettre au Responsable d'utiliser le service Peaklyst : génération de contenu de fiches assistée par IA, recherche et suivi de mots-clés sur les propres fiches du Responsable, calcul de scores de qualité de fiche, et exécution de cycles d'optimisation Autopilot avec écriture après approbation. Les données personnelles sont traitées exclusivement pour fournir ces services contractuels.

3. Types de données personnelles et catégories de personnes concernées

Types de données personnelles :

• Données de compte : nom, adresse e-mail, informations de facturation des employés ou utilisateurs autorisés du Responsable
• Données d'authentification : hachages de mots de passe, jetons de session, secrets 2FA
• Données d'utilisation : adresses IP, identifiants d'appareil et de navigateur, journaux d'accès

Peaklyst ne traite pas les données personnelles identifiables (PII) des acheteurs Amazon. Les données du marketplace Amazon traitées via la Selling Partner API (attributs de fiche, exigences de catégorie, et résumés de performance des fiches) sont des données commerciales appartenant au Responsable et n'identifient pas d'acheteurs individuels.

Catégories de personnes concernées : employés, prestataires et utilisateurs autorisés du Responsable.

4. Obligations du Sous-traitant

Le Sous-traitant s'engage à :

• ne traiter les données personnelles que sur instruction documentée du Responsable, y compris pour les transferts vers un pays tiers, sauf obligation découlant du droit de l'Union ou d'un État membre ;
• s'assurer que les personnes autorisées à traiter les données personnelles sont soumises à une obligation de confidentialité ou à une obligation légale de secret ;
• mettre en œuvre les mesures techniques et organisationnelles appropriées (décrites à l'Annexe 2) pour garantir un niveau de sécurité adapté au risque ;
• aider le Responsable, compte tenu de la nature du traitement, à répondre aux demandes des personnes concernées exerçant leurs droits au titre du chapitre III du RGPD ;
• aider le Responsable à respecter ses obligations au titre des articles 32 à 36 du RGPD (sécurité du traitement, notification des violations, analyses d'impact, consultation préalable) ;
• au choix du Responsable, supprimer ou restituer toutes les données personnelles à la fin de la prestation et effacer les copies existantes, sauf obligation légale de conservation ;
• mettre à disposition du Responsable toutes les informations nécessaires pour démontrer le respect de l'article 28 du RGPD et permettre la réalisation d'audits, y compris des inspections, par le Responsable ou par un auditeur qu'il a mandaté.

5. Obligations du Responsable du traitement

Le Responsable garantit qu'il dispose d'une base légale au titre de l'article 6 du RGPD pour les instructions données au Sous-traitant, qu'il a fourni aux personnes concernées les informations requises par les articles 13 et 14 du RGPD, et qu'il respectera ses propres obligations au titre du droit de la protection des données applicable.

6. Sous-traitants ultérieurs

Le Responsable autorise par la présente, de manière générale, le Sous-traitant à recourir à des sous-traitants ultérieurs pour la fourniture du service. Une liste à jour est tenue dans notre Politique de confidentialité et inclut les catégories figurant à l'Annexe 3.

Le Sous-traitant informera le Responsable de tout projet d'ajout ou de remplacement d'un sous-traitant ultérieur au moins 30 jours à l'avance, donnant ainsi au Responsable la possibilité de s'y opposer. En cas d'objection raisonnable, les parties négocieront de bonne foi ; à défaut d'accord, le Responsable pourra résilier le service avec remboursement au prorata.

Le Sous-traitant impose contractuellement à chaque sous-traitant ultérieur les mêmes obligations de protection des données que celles prévues par le présent DPA. En cas de manquement d'un sous-traitant, le Sous-traitant demeure pleinement responsable vis-à-vis du Responsable.

7. Transferts internationaux

Lorsque des données personnelles sont transférées en dehors de l'Espace économique européen (EEE), le Sous-traitant veille à ce que des garanties appropriées soient en place conformément au chapitre V du RGPD. Pour les transferts vers des pays ne bénéficiant pas d'une décision d'adéquation, les Clauses contractuelles types adoptées par la Commission européenne le 4 juin 2021 (décision d'exécution (UE) 2021/914) sont incorporées par référence, le Sous-traitant agissant comme « importateur » et le Responsable comme « exportateur », Module Deux (responsable à sous-traitant).

8. Sécurité du traitement

Le Sous-traitant a mis en œuvre et maintient les mesures techniques et organisationnelles décrites à l'Annexe 2, notamment le chiffrement au repos et en transit, l'isolation des données par client, les contrôles d'accès au moindre privilège, l'analyse continue des vulnérabilités et un processus de réponse aux incidents. Voir la page Sécurité pour une description complète.

9. Violations de données personnelles

Le Sous-traitant notifiera au Responsable, sans retard injustifié et en tout état de cause dans les 72 heures après en avoir pris connaissance, toute violation de données personnelles concernant les données traitées pour le compte du Responsable. La notification décrira la nature de la violation, les catégories et le nombre approximatif de personnes concernées et d'enregistrements, les conséquences probables et les mesures prises ou proposées.

Lorsque la violation concerne des données du marketplace Amazon, le Sous-traitant notifiera en outre Amazon dans les 24 heures suivant la découverte, comme l'exige la politique de protection des données d'Amazon.

10. Demandes des personnes concernées

Le Sous-traitant informera le Responsable, dans la mesure où la loi le permet, dans les meilleurs délais de toute demande qu'il reçoit directement d'une personne concernée portant sur l'accès, la rectification, la suppression, la limitation, la portabilité ou l'opposition relative aux données du Responsable. Le Sous-traitant ne répondra pas lui-même à ces demandes, sauf pour en accuser réception et renvoyer vers le Responsable.

La plateforme Peaklyst fournit des outils permettant au Responsable d'exporter, de rectifier et de supprimer directement les données personnelles, afin de donner suite aux demandes des personnes concernées au titre des articles 15 à 22 du RGPD.

11. Restitution et suppression des données

À la résiliation du service, le Responsable peut, dans les 30 jours, exporter toutes les données personnelles traitées au titre du présent DPA via la fonctionnalité d'export de la plateforme Peaklyst. Après cette période de grâce de 30 jours, le Sous-traitant supprime l'ensemble des données personnelles et des données du marketplace Amazon dans un délai supplémentaire de 90 jours, y compris toutes les copies dans les sauvegardes, sauf obligation légale de conservation.

Sur demande écrite, le Sous-traitant fournit au Responsable une confirmation écrite de l'achèvement de la suppression.

12. Audits

Le Sous-traitant met à disposition du Responsable toutes les informations nécessaires pour démontrer la conformité à l'article 28 du RGPD. Sur demande écrite raisonnable (au plus une fois par période de douze mois, sauf en cas de violation de données personnelles), le Sous-traitant fournira au Responsable les rapports d'audit de sécurité externes les plus récents, des synthèses de tests d'intrusion et des réponses à un questionnaire de sécurité raisonnable.

Un audit sur site par le Responsable ou son auditeur mandaté est autorisé pour motif légitime, sous réserve d'un préavis raisonnable (au moins 30 jours), d'obligations de confidentialité et d'une réalisation pendant les heures ouvrables sans perturbation excessive de l'activité du Sous-traitant.

13. Responsabilité

La responsabilité de chaque partie au titre du présent DPA est régie par les limitations de responsabilité prévues dans les Conditions d'utilisation. Aucune disposition du présent DPA ne limite ou n'exclut la responsabilité d'une partie pour les dommages causés à une personne concernée en cas de violation du RGPD dont cette partie serait jugée responsable au titre de l'article 82 du RGPD.

14. Droit applicable et juridiction

Le présent DPA est régi par le droit du Grand-Duché de Luxembourg. Les tribunaux compétents de Luxembourg-Ville ont compétence exclusive pour tout litige découlant du présent DPA, sans préjudice de la compétence impérative des tribunaux du lieu de résidence habituelle de la personne concernée au titre de l'article 79 du RGPD.

15. Ordre de priorité

En cas de conflit entre le présent DPA et les Conditions d'utilisation, les dispositions du présent DPA prévalent en ce qui concerne le traitement des données personnelles. En cas de conflit entre le présent DPA et les Clauses contractuelles types, les Clauses contractuelles types prévalent.

Annexe 1 — Détails du traitement

Objet : Fourniture de la plateforme d'optimisation de fiches Amazon Peaklyst.
Durée : Durée de l'abonnement du Responsable, plus les obligations post-résiliation prévues à la section 11.
Nature et finalité : Stockage, analyse et traitement par IA des données du marketplace Amazon et des données de compte, pour fournir les services d'optimisation.
Types de données personnelles : données de compte, d'authentification et d'utilisation, selon la section 3.
Catégories de personnes concernées : employés et utilisateurs autorisés du Responsable.

Annexe 2 — Mesures techniques et organisationnelles

• Contrôle d'accès : accès basé sur les rôles, 2FA, comptes administratifs nommés, journalisation des accès, revues trimestrielles.
• Chiffrement : TLS 1.3 en transit, AES-256 au repos, sauvegardes chiffrées dans une région distincte.
• Isolation des clients : RLS PostgreSQL, cloisonnement des données Amazon par vendeur.
• Sécurité réseau : réseaux de cluster privés, Cloudflare Tunnels avec DDoS et WAF, NetworkPolicies Cilium default-deny.
• Sécurité des conteneurs : exécution non-root, FS racine en lecture seule, images de base distroless, scans Trivy continus.
• Gestion des secrets : coffre-fort OpenBao avec External Secrets Operator, rotation automatique, journaux d'accès append-only.
• Supervision : logs structurés, métriques et traces centralisés ; alertes d'astreinte via Slack et PagerDuty.
• Réponse aux incidents : processus en quatre étapes (triage, confinement, éradication, revue) avec post-mortems écrits.
• Continuité d'activité : exercices réguliers de restauration de sauvegardes ; clusters base de données et application hautement disponibles.
• Personnel : obligations de confidentialité pour tous les employés ; formation à la sensibilisation à la sécurité à l'embauche et chaque année.

Annexe 3 — Sous-traitants ultérieurs

Peaklyst recourt aux catégories suivantes de sous-traitants ultérieurs :

• Fournisseurs d'hébergement cloud et d'infrastructure (UE/USA)
• Prestataire de paiement (Stripe, UE/USA)
• Fournisseur d'e-mails transactionnels (Resend, UE/USA)
• Supervision des erreurs (Glitchtip auto-hébergé, UE)
• Analyse (Umami auto-hébergé, UE — sans cookies et pseudonyme)
• Fournisseurs de modèles d'IA pour les suggestions de contenu de fiche (Anthropic — USA avec CCT ; Inceptron, Scaleway — UE). Chaque fournisseur est lié par un ATD qui interdit l'entraînement sur les Informations Amazon.

La liste faisant foi des sous-traitants actuels est tenue dans la Politique de confidentialité — Section Sous-traitants.

Nous contacter

Pour toute question concernant ce DPA, pour demander un exemplaire contresigné ou pour exercer tout droit qui en découle, contactez-nous :

• Juridique : [email protected]
• Protection des données : [email protected]
• Demandes générales : Page de contact