Retour à l'accueil

Contrat de Sous-traitance des Données Personnelles

Version 1.0 — Dernière mise à jour : 25 avril 2026

Conforme à l'article 28 du Règlement (UE) 2016/679 (RGPD).

Préambule

Le présent Contrat de Sous-traitance (ci-après « DPA ») précise les obligations respectives du Commerçant (ci-après le « Responsable de traitement » ou « RT ») et de Sydely (ci-après le « Sous-traitant »), relatives au traitement des données personnelles des clients finaux du Commerçant dans le cadre du Service Sydely.

Le DPA fait partie intégrante des Conditions Générales et est accepté par le Commerçant lors de son inscription. Il s'applique pendant toute la durée d'utilisation du Service.

1. Qualification des parties

  • Le Commerçant est le Responsable de traitement : il détermine les finalités et les moyens du programme de fidélité, collecte les données de ses clients finaux et est responsable de leur conformité au RGPD.
  • Sydely est le Sous-traitant : il traite ces données pour le compte du Commerçant, exclusivement sur instruction documentée de ce dernier (formalisée par les paramètres et configurations choisis dans le Service).

2. Description du traitement

  • Objet : hébergement, gestion et restitution des données du programme de fidélité du Commerçant.
  • Nature : stockage, mise à disposition via interfaces web et API, génération de cartes de fidélité numériques (Apple Wallet, Google Wallet), envoi de notifications push, exécution de tâches statistiques et de support.
  • Finalité : permettre au Commerçant d'exploiter son programme de fidélité auprès de ses clients finaux.
  • Durée : pendant toute la durée du contrat d'abonnement, et au plus tard jusqu'à la suppression effective des données conformément à l'article 9 ci-dessous.
  • Catégories de personnes concernées : clients finaux du Commerçant ayant souscrit au programme de fidélité.
  • Catégories de données traitées : identification (nom, prénom), coordonnées (email, téléphone), historique de fidélité (nombre de tampons ou points, dates des visites, récompenses débloquées), identifiants techniques (numéro de série de la carte, jetons de notification push).

3. Obligations du Sous-traitant

Sydely s'engage à :

  1. Traiter les données uniquement sur instruction documentée du Commerçant, telle que matérialisée par l'utilisation du Service. En cas d'obligation légale imposant un traitement non instruit, Sydely en informera le Commerçant sauf interdiction.
  2. Garantir la confidentialité : les personnels de Sydely accédant aux données sont liés par une obligation de confidentialité.
  3. Mettre en œuvre les mesures de sécurité techniques et organisationnelles appropriées (article 32 RGPD), détaillées à l'article 5 ci-dessous.
  4. Aider le Commerçant à respecter ses propres obligations RGPD, notamment :
    • Répondre aux demandes d'exercice de droits (accès, rectification, effacement, portabilité, opposition) via les fonctionnalités du Service ou, à défaut, dans un délai raisonnable sur demande à contact@sydely.fr.
    • Notifier les violations de données conformément à l'article 6 ci-dessous.
    • Concourir aux analyses d'impact (AIPD) lorsqu'applicables.
  5. Mettre à disposition du Commerçant toutes les informations nécessaires pour démontrer le respect des obligations du présent DPA.

4. Sous-traitants ultérieurs

Le Commerçant autorise Sydely à recourir à des sous-traitants ultérieurs pour fournir le Service. La liste actualisée est publiée sur la page Sous-traitants.

En cas d'ajout ou de remplacement d'un sous-traitant ultérieur, Sydely en informera le Commerçant par email au moins 30 jours à l'avance, lequel pourra s'opposer pour des raisons légitimes liées à la protection des données. À défaut de solution acceptable, le Commerçant pourra résilier sans pénalité.

Sydely impose contractuellement à ses sous-traitants ultérieurs des obligations équivalentes à celles du présent DPA et reste pleinement responsable de leur respect.

5. Mesures de sécurité (article 32 RGPD)

  • Chiffrement en transit : tout trafic est chiffré par TLS 1.3 (HTTPS).
  • Chiffrement au repos : base de données chiffrée AES-256 (Supabase).
  • Mots de passe : hashés via bcrypt (Supabase Auth), jamais stockés en clair.
  • Contrôle d'accès : isolation des données par Row Level Security (Postgres), accès interne strictement limité aux personnes habilitées.
  • Sauvegardes : sauvegardes journalières chiffrées conservées 7 à 30 jours selon le niveau de service Supabase.
  • Hébergement : Supabase (UE), Vercel (avec mécanismes de transfert reconnus, cf. article 7).
  • Journalisation : logs d'accès et d'activité conservés conformément aux durées légales.
  • Gestion des incidents : procédure interne de détection, qualification et notification des violations sous 72h.
  • Formation : sensibilisation continue des personnels aux enjeux de protection des données.

6. Notification des violations de données

En cas de violation de données affectant les données traitées pour le compte du Commerçant, Sydely notifie le Commerçant sans retard injustifié et au plus tard sous 72 heures après en avoir pris connaissance, par email à l'adresse renseignée au compte du Commerçant.

La notification précise, autant que possible : la nature de la violation, les catégories et le volume approximatif de personnes et de données concernées, les conséquences probables, et les mesures prises ou proposées.

Le Commerçant reste seul responsable, en sa qualité de Responsable de traitement, de la notification éventuelle à la CNIL (article 33 RGPD) et aux personnes concernées (article 34 RGPD).

7. Transferts internationaux de données

Les données sont principalement hébergées au sein de l'Union européenne (Supabase, région UE). Certains sous-traitants ultérieurs peuvent être établis hors UE, notamment aux États-Unis (Vercel, Stripe, Apple, Google). Ces transferts sont encadrés par :

  • Le Data Privacy Framework (DPF) approuvé par la décision d'adéquation UE 2023/1795 du 10 juillet 2023, lorsque le sous-traitant y est certifié.
  • Les clauses contractuelles types approuvées par la Commission européenne (décision 2021/914 du 4 juin 2021), à défaut.

8. Audit

Le Commerçant peut, à ses frais et après préavis raisonnable, demander à Sydely de fournir toute documentation prouvant le respect du présent DPA (rapports de sécurité, attestations, politiques internes). Tout audit sur site est subordonné à un accord préalable écrit et au respect des règles de confidentialité.

9. Sort des données en fin de contrat

À la résiliation du contrat, le Commerçant peut, dans un délai de 30 jours, demander l'export complet des données au format CSV via une demande à contact@sydely.fr ou directement via les fonctionnalités d'export proposées dans son espace.

À l'issue de ce délai, ou sur demande expresse du Commerçant, Sydely procède à la suppression définitivedes données dans un délai maximal de 30 jours, à l'exception des données conservées au titre d'une obligation légale (par exemple, journaux de connexion ou pièces comptables).

10. Responsabilité

Chaque partie supporte les conséquences pécuniaires des manquements à ses propres obligations. La responsabilité de Sydely est encadrée par la limitation prévue à l'article 10 des Conditions Générales.

11. Contact

Pour toute question relative au présent DPA ou à la protection des données : contact@sydely.fr.