Accord de traitement des données (DPA)
Cet accord encadre le traitement, par Preuvy (sous-traitant), des données personnelles confiées par le Client (responsable de traitement) dans le cadre du Service, conformément à l'article 28 du RGPD. Il complète les Conditions générales et la Politique de confidentialité.
Dernière mise à jour : 19 juin 2026 · version 1.0
1. Objet et durée
Le présent accord (le « DPA ») définit les obligations respectives des parties relatives au traitement des données personnelles effectué par Preuvy pour le compte du Client lors de l'utilisation du Service. Il s'applique pendant toute la durée d'utilisation du Service et tant que Preuvy traite des données pour le compte du Client.
En cas de contradiction entre le DPA et les Conditions générales sur la protection des données, le DPA prévaut.
2. Rôles des parties
Le Client est responsable de traitement : il détermine les finalités et les moyens du traitement des témoignages qu'il collecte. Preuvy est sous-traitant : il traite ces données uniquement sur instruction documentée du Client, telle qu'exprimée par l'utilisation des fonctionnalités du Service et par le présent DPA.
Pour les données relatives au compte et à la facturation du Client, Preuvy agit comme responsable de traitement (voir la Politique de confidentialité).
3. Nature, finalité et données traitées
- Finalité : collecte, hébergement, modération et affichage de témoignages clients via les formulaires et widgets Preuvy.
- Catégories de données : identité de l'auteur du témoignage (prénom, nom), email optionnel, photo optionnelle, contenu texte ou vidéo, note, consentement de publication, données techniques (IP hachée, horodatage).
- Personnes concernées : les clients finaux et contacts du Client qui soumettent un témoignage.
- Catégories particulières : aucune n'est requise par le Service. Le Client s'engage à ne pas collecter de données sensibles via Preuvy.
4. Obligations de Preuvy (sous-traitant)
- Traiter les données uniquement sur instruction documentée du Client.
- Garantir la confidentialité : seules les personnes habilitées, soumises à une obligation de confidentialité, accèdent aux données.
- Mettre en œuvre des mesures techniques et organisationnelles appropriées (voir article 7).
- Assister le Client dans la réponse aux demandes d'exercice de droits et dans ses obligations de sécurité, d'analyse d'impact et de notification.
- Notifier le Client de toute violation de données concernée dans les meilleurs délais après en avoir pris connaissance (voir article 9).
- Mettre à disposition les informations nécessaires pour démontrer le respect de l'article 28 et permettre des audits (voir article 10).
5. Obligations du Client (responsable)
- Disposer d'une base légale valable et recueillir le consentement de publication des auteurs de témoignages.
- Informer les personnes concernées du traitement réalisé via Preuvy.
- Ne transmettre que des données licites et pertinentes au regard de la finalité.
6. Sous-traitants ultérieurs
Le Client autorise Preuvy à recourir aux sous-traitants ultérieurs listés ci-dessous. Preuvy leur impose par contrat des obligations de protection équivalentes à celles du présent DPA et informe le Client de tout changement, lui laissant la possibilité de s'y opposer pour un motif légitime.
| Sous-traitant | Finalité | Localisation | Transferts |
|---|---|---|---|
| Neon | Base de données (comptes, témoignages, métadonnées) | Union européenne — Francfort (Allemagne) | Hébergement UE — aucun transfert hors UE |
| Vercel | Hébergement de l'application et diffusion CDN | Union européenne — Paris (CDG) | Hébergement UE — aucun transfert hors UE |
| Vercel Blob | Stockage des images (photos d'auteurs, logos) | Union européenne | Hébergement UE — aucun transfert hors UE |
| Bunny.net | Hébergement et diffusion des vidéos de témoignages | Union européenne | Hébergement UE — aucun transfert hors UE |
| Stripe | Traitement des paiements et facturation (responsable de traitement indépendant pour les données bancaires) | Union européenne / États-Unis | Clauses contractuelles types (CCT) de la Commission européenne. |
| Resend | Envoi des emails transactionnels (invitations, relances, notifications) | États-Unis | Clauses contractuelles types (CCT) de la Commission européenne. |
| Upstash | Limitation de débit anti-abus (empreinte IP hachée, sans donnée en clair) | Union européenne | Hébergement UE — aucun transfert hors UE |
| OpenAI (Whisper) | Transcription audio des témoignages vidéo | États-Unis | Clauses contractuelles types (CCT) de la Commission européenne. |
| Anthropic | Traitements IA sur les témoignages (nettoyage de transcription, phrases clés, sentiment) | États-Unis | Clauses contractuelles types (CCT) de la Commission européenne. |
7. Sécurité
Preuvy met en œuvre des mesures de sécurité détaillées dans la Politique de confidentialité : chiffrement TLS 1.3 en transit, chiffrement au repos des données sensibles, hachage des adresses IP (SHA-256 salée), sauvegardes chiffrées, accès interne restreint et journalisé.
8. Transferts hors Union européenne
Les données opérationnelles sont hébergées dans l'Union européenne. Lorsqu'un sous-traitant comporte des composants situés hors UE (voir annexe, article 6), le transfert est encadré par les clauses contractuelles types de la Commission européenne et des garanties complémentaires appropriées.
9. Notification de violation
En cas de violation de données affectant les données du Client, Preuvy en informe le Client sans délai injustifié après en avoir pris connaissance, avec les éléments connus (nature, conséquences probables, mesures prises), afin de permettre au Client de respecter ses propres obligations de notification (articles 33 et 34 du RGPD).
10. Audit
Preuvy met à disposition du Client les informations nécessaires pour démontrer sa conformité et se soumet, à la demande raisonnable et selon un préavis raisonnable, à des audits (questionnaires, documentation, ou audit sur site dans la limite de ce qui est proportionné et non disruptif pour le Service).
11. Sort des données en fin de contrat
À la fin de la prestation, et au choix du Client, Preuvy supprime ou restitue les données personnelles concernées, et détruit les copies existantes, sauf obligation légale de conservation. Les données du compte supprimé sont effacées sous 30 jours, hors documents requis par la loi (factures : 10 ans).
Le Client peut à tout moment exporter ses témoignages depuis son espace (droit à la portabilité).
12. Contact
Pour toute question relative à ce DPA ou pour formaliser un accord signé, écrivez à bonjour@preuvy.dev.