Accord de Traitement des Données (DPA)
Dernière mise à jour : Mai 2026
Le présent Accord de Traitement des Données (ci-après « DPA ») est conclu entre [NOM SOCIÉTÉ] (CaveauFlow), agissant en qualité de sous-traitant au sens de l'article 28 du RGPD, et le Client, agissant en qualité de responsable du traitement.
Ce DPA fait partie intégrante des CGV. Il entre en vigueur à la date de souscription de l'abonnement CaveauFlow et reste en vigueur pendant toute la durée du contrat.
1. Définitions
| Responsable du traitement | Le Client (restaurant, hôtel, caviste…) qui détermine les finalités et les moyens du traitement de ses données métier. |
| Sous-traitant | CaveauFlow, qui traite les données personnelles pour le compte et sur instruction du Responsable du traitement. |
| Données traitées | Toutes données personnelles contenues dans les fichiers importés (listings fournisseurs, inventaires) ou saisies dans CaveauFlow par le Client. |
| RGPD | Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016. |
| Violation de données | Toute violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation ou l'accès non autorisé à des données personnelles. |
2. Rôles des parties
Dans le cadre de l'utilisation de CaveauFlow, les parties exercent les rôles suivants :
| Traitement | Responsable du traitement | Sous-traitant |
|---|---|---|
| Données du compte Client (nom, e-mail, profil restaurant) | CaveauFlow | — |
| Facturation et paiements | CaveauFlow | Stripe (sous-traitant ultérieur) |
| Données métier importées par le Client (listings, inventaires, contacts fournisseurs) | Le Client | CaveauFlow |
| Analyse IA des documents importés | Le Client | CaveauFlow (via Anthropic, sous-traitant ultérieur) |
| Cartes des vins créées et partagées publiquement | Le Client | CaveauFlow |
CaveauFlow est responsable du traitement pour ses propres données de gestion (compte, facturation). CaveauFlow est sous-traitant pour les données métier du Client (listings, inventaires, etc.).
3. Nature, finalités et durée du traitement
Nature des opérations : collecte, stockage, structuration, consultation, analyse automatisée (IA), restitution, transmission et suppression.
Finalités : fourniture du service CaveauFlow tel que décrit dans les CGU — import, inventaire, carte des vins, commandes fournisseurs.
Catégories de données traitées pour le compte du Client :
- Données des produits et références (noms, prix, fournisseurs)
- Données d'inventaire (stocks, quantités, dates)
- Fichiers fournisseurs importés (PDF, Excel)
- Informations sur les fournisseurs (noms, contacts, conditions)
- Cartes des vins et leur contenu
Personnes concernées : collaborateurs du Client utilisant la plateforme, fournisseurs référencés.
Durée : pendant toute la durée du contrat + 30 jours après résiliation (voir article 8 des CGV).
4. Instructions du responsable du traitement
CaveauFlow traite les données du Client uniquement sur instruction documentée de ce dernier, telle qu'exprimée par l'utilisation normale du service (import, saisie, génération de documents).
Si CaveauFlow estime qu'une instruction du Client viole le RGPD ou toute autre disposition légale applicable, CaveauFlow en informe le Client immédiatement par écrit. CaveauFlow peut alors suspendre l'exécution de l'instruction jusqu'à confirmation ou rectification par le Client.
CaveauFlow n'utilise pas les données du Client à des fins autres que la fourniture du service contractuellement prévu, sauf obligation légale.
5. Obligations de CaveauFlow (sous-traitant)
CaveauFlow s'engage à :
- Traiter les données uniquement pour les finalités prévues au présent DPA
- Garantir que les personnes autorisées à traiter les données sont soumises à une obligation de confidentialité appropriée
- Mettre en œuvre les mesures de sécurité décrites à l'article 6 du présent DPA
- Ne pas recruter de sous-traitant ultérieur sans informer le Client (voir article 7)
- Aider le Client à répondre aux demandes d'exercice de droits des personnes concernées
- Aider le Client à respecter ses obligations RGPD (sécurité, notification de violations, AIPD)
- Supprimer ou restituer toutes les données à l'issue du contrat, selon le choix du Client
- Mettre à disposition du Client toutes les informations nécessaires pour démontrer le respect du présent DPA
6. Mesures de sécurité
Conformément à l'article 32 du RGPD, CaveauFlow met en œuvre les mesures techniques et organisationnelles suivantes pour garantir un niveau de sécurité adapté au risque :
| Catégorie | Mesures |
|---|---|
| Chiffrement | TLS 1.3 en transit, AES-256 au repos (Supabase/AWS) |
| Contrôle d'accès | Authentification JWT, Row Level Security (RLS) par client, accès production restreint |
| Isolation des données | Chaque client dispose d'un espace de données isolé — aucune donnée croisée entre clients |
| Disponibilité | Sauvegardes quotidiennes, rétention 30 jours, infrastructure redondante AWS |
| Gestion des incidents | Détection des anomalies, procédure de notification violation 72h (art. 33 RGPD) |
| Sous-traitance | DPA signés avec tous les sous-traitants ultérieurs (Anthropic, Vercel, Stripe, Resend) |
| Tests et revues | Revue de sécurité du code avant déploiement en production |
7. Sous-traitants ultérieurs
Le Client autorise CaveauFlow à faire appel aux sous-traitants ultérieurs suivants pour la fourniture du service. CaveauFlow impose à ces sous-traitants des obligations de protection des données équivalentes à celles du présent DPA.
| Sous-traitant | Service | Pays | Garanties |
|---|---|---|---|
| Supabase / AWS | Base de données, stockage, authentification | UE (Paris) | Intra-UE |
| Vercel Inc. | Hébergement applicatif | USA | CCT CE 2021/914 |
| Anthropic PBC | Analyse IA des documents | USA | CCT CE + DPA API |
| Stripe Inc. | Paiements (données de facturation uniquement) | USA / UE | CCT CE + PCI-DSS |
| Resend Inc. | E-mails transactionnels | USA | CCT CE 2021/914 |
En cas d'ajout d'un nouveau sous-traitant ultérieur, CaveauFlow en informera le Client par e-mail avec un préavis de 30 jours. Le Client peut s'y opposer dans ce délai en justifiant d'un motif légitime. À défaut d'opposition dans ce délai, le nouveau sous-traitant est réputé accepté.
8. Droits des personnes concernées
CaveauFlow met à disposition du Client les fonctionnalités nécessaires pour permettre au Client de répondre aux demandes d'exercice de droits des personnes concernées (accès, rectification, effacement, portabilité).
Si une personne concernée adresse directement sa demande à CaveauFlow, CaveauFlow transmet la demande au Client dans un délai de 5 jours ouvrés, sans donner suite elle-même, sauf instruction contraire du Client.
Les personnes concernées par les données métier traitées dans CaveauFlow restent les personnes concernées du Client (responsable du traitement). Le Client est seul responsable de répondre à leurs demandes.
9. Notification des violations de données
En cas de violation de données personnelles au sens de l'article 4(12) du RGPD, CaveauFlow notifiera le Client dans un délai de 48 heures après en avoir pris connaissance, par e-mail à l'adresse enregistrée dans le compte.
La notification contiendra au minimum :
- La nature de la violation et les catégories de données concernées
- Le nombre approximatif de personnes et d'enregistrements concernés
- Les conséquences probables de la violation
- Les mesures prises ou envisagées pour remédier à la violation
- Le nom et les coordonnées du point de contact
Il appartient ensuite au Client (responsable du traitement) d'évaluer l'obligation de notification à la CNIL (art. 33 RGPD) et aux personnes concernées (art. 34 RGPD). CaveauFlow apportera son assistance dans cette démarche.
10. Audit et documentation
CaveauFlow met à disposition du Client, sur demande écrite et dans un délai de 15 jours ouvrés, les informations nécessaires pour démontrer le respect du présent DPA.
Le Client peut, à ses frais et avec un préavis de 30 jours, mandater un auditeur indépendant pour vérifier le respect du présent DPA. L'audit est soumis à un accord de confidentialité préalable et ne peut pas perturber l'exploitation normale du service. CaveauFlow peut refuser l'audit si elle peut démontrer sa conformité via des certifications ou rapports d'audit tiers équivalents.
11. Restitution et suppression des données
À l'issue du contrat (résiliation ou expiration), le Client peut demander à CaveauFlow :
- La restitution des données dans un format structuré et lisible (CSV, JSON), dans un délai de 5 jours ouvrés à compter de la demande.
- La suppression sécurisée de toutes les données du Client dans les systèmes de CaveauFlow, dans un délai de 30 jours suivant la fin du contrat.
CaveauFlow confirmera par écrit la destruction effective des données, sauf obligation légale de conservation plus longue (données de facturation : 10 ans). Les sauvegardes techniques sont purgées dans un délai de 90 jours.
12. Modifications du DPA
CaveauFlow peut modifier le présent DPA pour refléter des évolutions légales ou réglementaires, ou des changements dans l'organisation du traitement. Toute modification substantielle fait l'objet d'une notification au Client avec un préavis de 30 jours. La poursuite de l'utilisation du service après ce délai vaut acceptation.
13. Droit applicable
Le présent DPA est soumis au droit français et au RGPD. Tout litige relatif à son interprétation ou à son exécution sera soumis aux mêmes règles de compétence que les CGV.