Contrat de sous-traitance des données personnelles (DPA)

Parties

Le Responsable de traitement : l'artiste tatoueur professionnel titulaire d'un compte sur www.montatoueur.fr et utilisant les outils de gestion (« l'Artiste »), identifié par les informations de son compte (nom, SIRET).

Le Sous-traitant : MonTatoueur SAS, RCS Mulhouse 993 113 968, 31 rue de Niederbruck, 68290 Masevaux-Niederbruck (« MonTatoueur »).

Le présent contrat (« DPA ») fait partie intégrante des Conditions Générales d'Utilisation pour tout Artiste activant les outils de gestion. Il est réputé accepté à la première utilisation de ces outils.

1. Objet et qualification des parties

Dans le cadre des outils de gestion (fiches clients, agenda, liens de paiement, facturation, emails automatiques), l'Artiste enregistre et traite des données personnelles concernant ses propres clients. Pour ces traitements :

• l'Artiste détermine les finalités et les moyens : il est responsable de traitement ;
• MonTatoueur héberge et traite ces données pour le compte de l'Artiste, sur ses instructions : elle est sous-traitant au sens de l'article 28 RGPD.

Ce DPA ne s'applique pas aux traitements dont MonTatoueur est elle-même responsable (gestion des comptes, annuaire, abonnements, mise en relation initiale), décrits dans la Politique de confidentialité.

2. Description du traitement sous-traité

3. Instructions du Responsable de traitement

MonTatoueur traite les données uniquement sur instruction documentée de l'Artiste, matérialisée par : le paramétrage effectué par l'Artiste dans son espace (activation des emails automatiques, création/modification des fiches, envoi de liens de paiement) et les fonctionnalités décrites dans la documentation du service. MonTatoueur informe l'Artiste si elle estime qu'une instruction constitue une violation du RGPD.

4. Obligations de MonTatoueur (sous-traitant)

MonTatoueur s'engage à :

1. ne traiter les données que pour les finalités de l'article 2 et ne pas les utiliser pour son propre compte (notamment : pas de prospection de MonTatoueur vers les clients finaux de l'Artiste, pas de revente) ;
2. garantir la confidentialité : accès limité aux personnes habilitées, soumises à une obligation de confidentialité ;
3. mettre en œuvre les mesures de sécurité de l'Annexe 1, dont le chiffrement des données de santé ;
4. assister l'Artiste, compte tenu de la nature du traitement : outils intégrés pour répondre aux demandes d'exercice des droits (consultation, rectification, suppression, désinscription marketing en 1 clic) et assistance complémentaire raisonnable sur demande ;
5. assister l'Artiste pour la notification des violations : MonTatoueur notifie à l'Artiste toute violation de données le concernant dans les meilleurs délais et au plus tard 48 heures après en avoir eu connaissance, avec les informations nécessaires à la notification CNIL (article 33 RGPD) ;
6. assister l'Artiste, si nécessaire, pour les analyses d'impact (AIPD) relatives au traitement sous-traité ;
7. mettre à disposition les informations nécessaires pour démontrer la conformité au présent DPA et permettre des audits (article 8) ;
8. tenir un registre des catégories d'activités de traitement effectuées pour le compte de l'Artiste (article 30.2 RGPD).

5. Obligations de l'Artiste (responsable de traitement)

L'Artiste s'engage à :

1. ne collecter que les données nécessaires à la gestion de sa clientèle (minimisation) et tenir ses fiches à jour ;
2. informer ses clients (article 13 RGPD) de l'existence du traitement, de ses finalités et de leurs droits — le formulaire client sécurisé fourni par la plateforme contient les mentions nécessaires ;
3. ne renseigner le champ allergies qu'avec le consentement explicite du client recueilli via le formulaire dédié, et ne pas détourner les champs libres (notes) pour y stocker des données de santé hors de ce cadre ;
4. n'adresser de communications marketing (dont email d'anniversaire) qu'aux clients ayant donné leur opt-in via le formulaire dédié, et respecter les désinscriptions ;
5. répondre aux demandes d'exercice des droits de ses clients dans les délais légaux ;
6. utiliser les outils conformément à la loi et aux CGU.

6. Sous-traitants ultérieurs

L'Artiste autorise de manière générale le recours aux sous-traitants ultérieurs listés en Annexe 2. MonTatoueur impose à chacun, par contrat, des obligations équivalentes à celles du présent DPA et demeure pleinement responsable envers l'Artiste de leur exécution. Toute modification de cette liste est notifiée à l'Artiste (email ou notification dans l'espace) au moins 15 jours avant, l'Artiste pouvant s'y opposer pour motif légitime ; en cas de désaccord persistant, l'Artiste peut cesser d'utiliser les outils de gestion et obtenir la restitution de ses données.

7. Transferts hors Union européenne

Les données sont hébergées dans l'Union européenne (IONOS). Certains sous-traitants ultérieurs (Annexe 2) peuvent traiter des données depuis les États-Unis ; ces transferts sont encadrés par l'EU-U.S. Data Privacy Framework ou les clauses contractuelles types de la Commission européenne.

8. Audit

MonTatoueur met à disposition de l'Artiste, sur demande écrite, la documentation permettant de démontrer la conformité (description des mesures de sécurité, liste des sous-traitants, attestations disponibles). Au-delà, l'Artiste peut faire réaliser, au maximum une fois par an, moyennant un préavis de 30 jours et à ses frais, un audit limité au traitement sous-traité, pendant les heures ouvrées, sans accès aux données d'autres artistes, et sous accord de confidentialité.

9. Sort des données en fin de contrat

En cas de désactivation des outils de gestion ou de clôture du compte, l'Artiste peut exporter ses fiches clients depuis son espace. À l'issue d'un délai de 60 jours après la fin du service, MonTatoueur supprime les données du traitement sous-traité, sauf obligation légale de conservation (ex. données de facturation). Les données de santé inactives sont en tout état de cause purgées automatiquement après 3 ans d'inactivité de la fiche.

10. Responsabilité

Chaque partie est responsable des dommages causés par un traitement non conforme aux obligations qui lui incombent en propre au titre du RGPD et du présent DPA. La limitation de responsabilité prévue aux CGV s'applique au présent DPA dans les limites permises par la loi ; elle ne s'applique pas aux montants dus aux personnes concernées ou aux autorités au titre d'une violation imputable à MonTatoueur.

11. Durée, droit applicable

Le présent DPA s'applique pendant toute la durée d'utilisation des outils de gestion et survit jusqu'à la suppression complète des données. Il est régi par le droit français ; en cas de contradiction avec les CGU/CGV sur les questions de protection des données, le DPA prévaut.

Annexe 1 — Mesures techniques et organisationnelles

• Chiffrement des communications (HTTPS/TLS) ;
• Chiffrement applicatif des données de santé (allergies) et des jetons d'accès tiers (Google, Pennylane) en base de données ;
• Mots de passe hachés et salés ; politique de session sécurisée ; purge automatique des jetons de réinitialisation (15 min) ;
• Cloisonnement des accès par rôle (middleware applicatifs) : chaque artiste n'accède qu'à ses propres fiches ; back-office restreint aux administrateurs habilités ;
• Formulaire client à lien éphémère signé (30 minutes) pour la saisie par le client de ses propres données et consentements ;
• Consentements horodatés avec IP et version du texte ;
• Protection CSRF, limitation de débit, honeypots anti-spam ;
• Purge automatique quotidienne des données de santé inactives (3 ans) ; expiration automatique des liens de paiement et créneaux ;
• Sauvegardes régulières ; journalisation (logs serveur conservés 1 an, journal des emails élagué quotidiennement) ;
• Aucune donnée bancaire stockée (délégation à Stripe, certifié PCI-DSS).

Annexe 2 — Sous-traitants ultérieurs autorisés