Accord de traitement des données (DPA)
Dernière mise à jour: 2026-04-17
Le présent accord de traitement des données (« DPA ») est conclu en application de l'article 28 du Règlement Général sur la Protection des Données (UE) 2016/679 (« RGPD ») et fait partie intégrante du contrat de licence SaaS (« Contrat Principal ») entre les parties.
1. Parties et contexte
Le présent DPA est conclu entre :
- Responsable du traitement — Le Client tel que défini dans le Contrat Principal (la fédération, confédération ou organisation abonnée au Service).
- Sous-traitant — Easy Software System In Europe AB, org. nr 556967-4822, TVA SE556967482201, enregistré en Suède.
2. Portée du traitement
Le Sous-traitant traite les Données à Caractère Personnel pour le compte du Responsable du traitement comme décrit ci-dessous :
- Finalité — Fournir la plateforme SaaS Petanque Life, incluant la gestion des membres, des compétitions, des licences, de la communication et toutes les fonctionnalités décrites dans le Contrat Principal.
- Catégories de données personnelles — Nom, email, numéro de téléphone, date de naissance, sexe, nationalité, adresse postale, numéros de licence, résultats de compétitions, certificats médicaux (le cas échéant), enregistrements de transactions financières, photographies et toute autre donnée saisie par le Responsable du traitement ou ses Utilisateurs.
- Catégories de personnes concernées — Joueurs, membres de clubs, officiels, arbitres, entraîneurs, administrateurs, spectateurs (lorsqu'inscrits) et toute autre personne dont les données sont saisies dans le Service par le Responsable du traitement.
- Durée — Pendant la durée du Contrat Principal, plus une période de conservation de 90 jours après la résiliation pour l'export et la suppression des données.
3. Obligations du Sous-traitant
Le Sous-traitant s'engage à :
- Traiter les Données à Caractère Personnel uniquement sur instructions documentées du Responsable du traitement, y compris en ce qui concerne les transferts vers un pays tiers, sauf si le droit de l'Union ou d'un État membre l'exige.
- Veiller à ce que les personnes autorisées à traiter les Données à Caractère Personnel se soient engagées à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.
- Mettre en œuvre les mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté au risque, incluant le chiffrement (TLS 1.2+, AES-256), les contrôles d'accès (JWT ES512, RBAC), les tests de sécurité réguliers et les procédures de réponse aux incidents.
- Ne pas faire appel à un autre sous-traitant sans autorisation écrite préalable du Responsable du traitement (une autorisation générale est accordée pour les sous-traitants listés à la Section 4).
- Aider le Responsable du traitement à répondre aux demandes des personnes concernées exerçant leurs droits au titre des articles 15 à 22 du RGPD.
- Au choix du Responsable du traitement, supprimer ou restituer toutes les Données à Caractère Personnel à la fin de la prestation de services, et supprimer les copies existantes sauf si le droit de l'Union ou d'un État membre exige leur conservation.
- Mettre à la disposition du Responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues à l'article 28 et permettre la réalisation d'audits, y compris des inspections.
4. Sous-traitants ultérieurs
Le Responsable du traitement accorde une autorisation générale au Sous-traitant pour faire appel aux sous-traitants ultérieurs listés ci-dessous. Le Sous-traitant informe le Responsable du traitement de tout changement prévu concernant l'ajout ou le remplacement de sous-traitants ultérieurs, donnant au Responsable du traitement la possibilité de s'y opposer.
Le Sous-traitant s'assure que chaque sous-traitant ultérieur est soumis à des obligations de protection des données au moins aussi protectrices que celles prévues dans le présent DPA.
Sous-traitants ultérieurs actuels :
| Sous-traitant | Finalité | Localisation des données |
|---|---|---|
| Microsoft Azure | Infrastructure cloud, hébergement web, calcul, services de conteneurs | EU (North Europe) |
| Azure Cosmos DB | Base de données (API MongoDB), stockage principal des données | EU (North Europe) |
| SendGrid (Twilio) | Envoi d'emails transactionnels (confirmations de licence, notifications) | EU |
| 46elks | Envoi de SMS (OTP, notifications) | Sweden (EU) |
| Stripe | Traitement des paiements (redevances de licence, abonnements) | EU |
| Plausible Analytics | Analyse web respectueuse de la vie privée (aucune donnée personnelle traitée) | EU |
5. Transferts internationaux de données
Toutes les Données à Caractère Personnel sont stockées et traitées dans l'UE/EEE. Le centre de données principal est Azure North Europe (Irlande).
Aucune Donnée à Caractère Personnel n'est transférée vers des pays tiers hors de l'UE/EEE. Si un transfert devenait nécessaire à l'avenir, le Sous-traitant s'assurerait que des garanties appropriées sont en place conformément au Chapitre V du RGPD (ex. : Clauses Contractuelles Types ou décision d'adéquation).
6. Droits des personnes concernées
Le Sous-traitant aide le Responsable du traitement à remplir ses obligations de répondre aux demandes des personnes concernées exerçant leurs droits au titre du RGPD, y compris le droit d'accès, de rectification, d'effacement, de limitation du traitement, de portabilité des données et d'opposition.
Le Sous-traitant informe rapidement le Responsable du traitement s'il reçoit une demande directement d'une personne concernée. Le Sous-traitant ne répond pas directement à ces demandes sauf instruction du Responsable du traitement.
7. Notification de violation de données
Le Sous-traitant notifie le Responsable du traitement sans retard excessif (et dans tous les cas dans les 48 heures) après avoir pris connaissance d'une violation de données à caractère personnel. La notification comprend :
- Une description de la nature de la violation, y compris les catégories et le nombre approximatif de personnes concernées et d'enregistrements concernés.
- Le nom et les coordonnées du contact de protection des données du Sous-traitant.
- Une description des conséquences probables de la violation.
- Une description des mesures prises ou proposées pour remédier à la violation, y compris les mesures pour atténuer ses effets négatifs éventuels.
8. Droits d'audit
Le Sous-traitant met à la disposition du Responsable du traitement toutes les informations nécessaires pour démontrer le respect de l'article 28 du RGPD et du présent DPA, et permet la réalisation d'audits, y compris des inspections, effectués par le Responsable du traitement ou un auditeur mandaté par celui-ci.
Les audits sont réalisés avec un préavis raisonnable (au moins 30 jours), pendant les heures normales de travail, et ne doivent pas perturber de manière déraisonnable les activités du Sous-traitant. Le Responsable du traitement supporte ses propres frais d'audit.
9. Suppression et restitution des données
À la résiliation du Contrat Principal :
- Le Responsable du traitement peut demander l'export de toutes les Données à Caractère Personnel dans des formats standards (JSON, CSV) dans les 90 jours suivant la date de résiliation.
- Après la période d'export de 90 jours, toutes les Données à Caractère Personnel sont définitivement et irréversiblement supprimées des systèmes du Sous-traitant, y compris toutes les sauvegardes.
- Le Sous-traitant fournit une confirmation écrite de la suppression sur demande.
10. Durée et droit applicable
Le présent DPA reste en vigueur pendant la durée du Contrat Principal et aussi longtemps que le Sous-traitant traite des Données à Caractère Personnel pour le compte du Responsable du traitement. Le présent DPA est régi par le droit suédois, et les litiges sont réglés conformément à la clause de règlement des litiges du Contrat Principal.
Pour toute question concernant le présent DPA, contactez le Délégué à la Protection des Données à support@petanque.life.