Accord de sous-traitance
Data Processing Agreement (DPA) Article 28 RGPD v1.0 17 avril 2026
Lecture obligatoire pour les commerçants
Cet accord est automatiquement applicable dès votre inscription sur Hafidy. Il encadre le traitement des données personnelles de vos clients finaux par Hafidy, en tant que sous-traitant au sens de l'article 28 du RGPD. Pour recevoir une version PDF signée, écrivez à contact@hafidy.fr.
Entre les parties
Le Responsable de traitement(ci-après "le Client") : le commerçant inscrit sur la plateforme Hafidy.
Le Sous-traitant (ci-après "Hafidy") : LYOUBI HAMZA, entrepreneur individuel, SIREN 102 740 446, dont le siège est à Clamart (92140), éditeur du service accessible sur hafidy.fr.
Article 1 Objet
Le présent accord a pour objet de définir les conditions dans lesquelles Hafidy s'engage à effectuer pour le compte du Client les opérations de traitement de données à caractère personnel définies ci-après, dans le respect du RGPD.
Article 2 Description du traitement
| Nature des opérations | Collecte, stockage, consultation, modification, transmission, effacement |
| Finalité | Gestion d'un programme de fidélité client digital (inscription, suivi des tampons/points, envoi de notifications, analytics) |
| Données concernées | Prénom, nom, email, téléphone, date d'anniversaire, historique des visites, points/tampons, tickets scannés, identifiants techniques (QR code, pass wallet) |
| Catégories de personnes | Clients finaux du Client (personnes physiques consommatrices) |
| Durée | Durée du contrat d'abonnement + 3 ans max après dernière activité |
Article 3 Obligations de Hafidy (sous-traitant)
Hafidy s'engage à :
- Traiter les données uniquement sur instructions documentées du Client (y compris pour les transferts hors UE)
- Ne pas utiliser les données à ses propres fins ou celles de tiers
- Garantir la confidentialité des données et imposer cette obligation à ses employés et sous-traitants
- Mettre en œuvre des mesures techniques et organisationnelles appropriées (article 32 RGPD)
- Assister le Client pour répondre aux demandes d'exercice des droits des personnes concernées
- Notifier au Client toute violation de données dans un délai de 72 heures maximum
- Mettre à disposition toutes les informations nécessaires pour démontrer le respect du RGPD
- Contribuer aux audits menés par le Client ou un auditeur mandaté
Article 4 Obligations du Client (responsable de traitement)
Le Client s'engage à :
- Fournir à Hafidy uniquement des données collectées licitement et conformément au RGPD
- Informer ses clients finaux du traitement via sa propre politique de confidentialité
- Recueillir le consentement requis pour les notifications et traitements spécifiques
- Superviser le traitement, y compris les audits et inspections
- Maintenir son propre registre des traitements
Article 5 Sous-traitants ultérieurs
Le Client autorise Hafidy à recourir aux sous-traitants ultérieurs suivants pour la fourniture du service :
| Prestataire | Service | Localisation | Garanties |
|---|---|---|---|
| Vercel Inc. | Hébergement applicatif | UE / USA | DPF + DPA |
| Neon Inc. | Base de données PostgreSQL | UE | DPA |
| Stripe Inc. | Paiements | USA | DPF + DPA |
| OpenAI, L.L.C. | Analyse de tickets (vision) | USA | DPF + DPA |
| Apple Inc. | Apple Wallet / APNs | USA | DPF |
| Google LLC | Google Wallet | USA | DPF |
Hafidy informera le Client de toute modification envisagée concernant l'ajout ou le remplacement d'un sous-traitant ultérieur, par email, avec un préavis de 30 jours. Le Client peut s'y opposer, auquel cas Hafidy pourra mettre fin au contrat sans indemnité.
Article 6 Droits des personnes concernées
Hafidy met à disposition du Client des outils pour répondre aux demandes d'exercice des droits (accès, rectification, effacement, portabilité) dans un délai de 30 jours.
Toute demande reçue directement par Hafidy est redirigée vers le Client, responsable du traitement.
Article 7 Sécurité
Hafidy met en œuvre les mesures de sécurité suivantes :
- Chiffrement TLS 1.2+ pour toutes les communications
- Chiffrement des mots de passe (bcrypt, coût ≥ 10)
- Authentification JWT avec expiration courte
- Sauvegarde automatique quotidienne avec rétention 30 jours
- Séparation logique stricte des données de chaque commerçant (isolation par merchantId)
- Rate limiting et protection contre les attaques brute-force
- Surveillance des logs d'accès et d'erreurs
- Tests de sécurité et audit de code réguliers
Article 8 Notification de violation
En cas de violation de données susceptible d'engendrer un risque pour les droits et libertés des personnes concernées, Hafidy informera le Client sous 72 heures maximum, par email et/ou via le tableau de bord, en fournissant :
- La nature de la violation
- Les catégories et le nombre de personnes concernées
- Les conséquences probables
- Les mesures prises pour y remédier
Article 9 Transferts hors UE
Certains sous-traitants ultérieurs sont situés aux États-Unis. Les transferts sont encadrés par le Data Privacy Framework (adéquation Commission européenne du 10 juillet 2023) et/ou par des clauses contractuelles types (décision UE 2021/914).
Article 10 Audit
Le Client peut, après préavis de 30 jours et pas plus d'une fois par an (sauf obligation légale ou suspicion de violation grave), auditer les mesures mises en œuvre par Hafidy. Les modalités et le coût sont à convenir entre les parties.
Article 11 Sort des données en fin de contrat
À la résiliation du contrat, le Client dispose de 30 jours pour :
- Exporter ses données via la fonction d'export CSV (Article 20 RGPD portabilité)
- Demander la suppression complète de ses données
À l'expiration de ce délai, toutes les données sont automatiquement supprimées des systèmes actifs. Des copies de sauvegarde peuvent subsister 30 jours supplémentaires avant destruction définitive.
Article 12 Responsabilité
Chaque partie assume sa propre responsabilité vis-à-vis des personnes concernées et des autorités de contrôle, conformément à l'article 82 du RGPD.
Le Client indemnisera Hafidy des conséquences de tout manquement à ses obligations de responsable de traitement.
Article 13 Entrée en vigueur et durée
Le présent accord entre en vigueur à compter de l'inscription du Client sur Hafidy et prend fin en même temps que le contrat d'abonnement, majoré de la période de conservation/suppression prévue à l'article 11.
Article 14 Contact Protection des Données
Pour toute question liée à la protection des données :
Email : contact@hafidy.fr
Besoin d'une copie signée ?
Envoyez-nous un email à contact@hafidy.fr avec votre nom, numéro SIRET et adresse. Nous vous renverrons une version PDF signée sous 48h.
📩 Demander une copie signée