Accord de sous-traitance (DPA)

Pour les commerçants partenaires. Le présent accord (Data Processing Agreement) précise les engagements de Nuvy en tant que sous-traitant du commerçant pour le traitement des données de ses clients finaux, conformément à l'article 28 du Règlement (UE) 2016/679 (RGPD).

Cet accord fait partie intégrante du contrat principal (CGV) et est opposable de plein droit dès la souscription. Il n'y a pas besoin de signature séparée : l'acceptation des CGV emporte acceptation du présent DPA.

1. Parties

Le sous-traitant : Nuvy SASU, RCS Pontoise 104 162 219, dont le siège social est sis 4 rue des Chardonnerets, 95220 Herblay-sur-Seine, représentée par son Président Tristan Le Van.

Le responsable de traitement : le Commerçant partenaire ayant souscrit à un abonnement Nuvy (le « Client » au sens des CGV), identifié par son compte boutique sur la plateforme.

2. Objet et durée

Le présent accord a pour objet de définir les conditions dans lesquelles Nuvy traite, pour le compte du Commerçant, les données personnelles des clients finaux du Commerçant via la plateforme Nuvy.

La durée du présent accord est alignée sur celle du contrat principal (CGV). Il prend effet à la souscription et cesse à la résiliation du contrat, sous réserve des obligations qui survivent à sa fin (notamment effacement et restitution des données).

3. Description du traitement

Le détail des traitements effectués figure en Annexe 1 :

Nature et finalité du traitement
Catégories de personnes concernées et de données traitées
Durée de conservation
Mesures de sécurité techniques et organisationnelles (Annexe 2)
Liste des sous-traitants ultérieurs autorisés (Annexe 3)

4. Obligations du sous-traitant

Nuvy s'engage à :

Traiter les données uniquement sur instruction documentée du Commerçant, telle que résultant des CGV, du paramétrage de la plateforme par le Commerçant, et des fonctionnalités utilisées.
Garantir la confidentialité des données traitées. Toute personne autorisée à traiter les données est tenue à un engagement contractuel de confidentialité.
Mettre en œuvre les mesures de sécurité techniques et organisationnelles appropriées au regard des risques (article 32 RGPD), telles que détaillées en Annexe 2.
Respecter les conditions de sous-traitance ultérieure définies à l'article 5.
Aider le Commerçant, par des mesures techniques et organisationnelles appropriées, à répondre aux demandes des personnes concernées exerçant leurs droits.
Aider le Commerçant à respecter ses propres obligations RGPD (analyse d'impact, notification de violation, consultation préalable de l'autorité de contrôle).
Notifier sans retard injustifié au Commerçant toute violation de données personnelles dont Nuvy aurait connaissance.
À la fin du contrat, supprimer ou restituer les données selon le choix du Commerçant, sous réserve des obligations légales de conservation.
Mettre à disposition du Commerçant toute information nécessaire pour démontrer le respect des obligations du présent accord.
Permettre les audits dans les conditions de l'article 9.

5. Sous-traitance ultérieure

Le Commerçant autorise expressément Nuvy à recourir aux sous-traitants ultérieurs listés en Annexe 3 pour la fourniture du service.

Nuvy s'engage à imposer à chacun de ses sous-traitants ultérieurs, par contrat ou autre acte juridique, les mêmes obligations de protection des données que celles fixées dans le présent accord, et notamment l'obligation de présenter des garanties suffisantes au regard de la mise en œuvre de mesures techniques et organisationnelles appropriées.

Toute modification de la liste des sous-traitants ultérieurs (ajout, remplacement) sera notifiée au Commerçant par email avec un préavis de 30 jours. Le Commerçant peut s'opposer à un changement pour motifs légitimes ; à défaut d'objection écrite dans le délai, le changement est réputé accepté. En cas d'objection, les parties chercheront une solution amiable ; à défaut, le Commerçant pourra résilier le contrat principal sans frais.

6. Transferts hors Union européenne

Certains traitements impliquent des transferts vers des pays tiers, notamment les États-Unis (Apple, Google, Railway). Ces transferts sont encadrés par les mécanismes prévus au chapitre V du RGPD :

Clauses contractuelles types (CCT) adoptées par décision (UE) 2021/914 de la Commission européenne du 4 juin 2021, pour Railway, Stripe (le cas échéant) et Meta.
Dérogation de l'article 49.1.b RGPD (transfert nécessaire à l'exécution du contrat conclu dans l'intérêt de la personne concernée) pour Apple Wallet et Google Wallet, ces services étant techniquement indispensables à la fonction même de la carte de fidélité numérique.

Le détail des sous-traitants et de la base juridique de chaque transfert figure en Annexe 3.

7. Droits des personnes concernées

Nuvy met à la disposition du Commerçant les outils et procédures suivants pour faciliter l'exercice des droits des personnes concernées :

Droit d'accès et de portabilité : export des données client final au format CSV ou JSON, sous 5 jours ouvrés sur demande à contact@nuvy.pro.
Droit de rectification : modification possible directement depuis le tableau de bord du Commerçant.
Droit à l'effacement : suppression directe depuis le tableau de bord, ou par demande à Nuvy. Effacement effectif sous un mois maximum.
Droit d'opposition au marketing : passage du flag consent_marketing_revoked_at à la date du retrait, désinscription effective immédiate de la liste de diffusion marketing.
Droit à la limitation : sur demande, gel temporaire du traitement.

Lorsque la personne concernée s'adresse directement à Nuvy, Nuvy informe le Commerçant et l'aide à traiter la demande dans le délai légal d'un mois.

8. Notification de violation

En cas de violation de données personnelles affectant le traitement effectué pour le compte du Commerçant, Nuvy s'engage à :

Notifier le Commerçant par email sans retard injustifié, et au plus tard 48 heures après en avoir pris connaissance.
Fournir les informations suivantes : nature de la violation, catégories et nombre approximatif de personnes concernées, conséquences probables, mesures prises ou proposées pour remédier à la violation et atténuer ses effets.
Apporter son assistance au Commerçant pour la notification éventuelle à la CNIL et aux personnes concernées.

Il appartient au Commerçant, en sa qualité de responsable de traitement, de déterminer s'il y a lieu de notifier la violation à la CNIL et/ou aux personnes concernées, et de procéder à cette notification le cas échéant.

9. Audits

Le Commerçant peut, à ses frais, effectuer ou faire effectuer par un tiers indépendant un audit de Nuvy aux fins de vérifier le respect du présent accord, dans les conditions suivantes :

Préavis écrit minimum de 30 jours
Pas plus d'un audit par période de 12 mois (sauf incident avéré)
Champ de l'audit limité à ce qui est strictement nécessaire à la vérification des obligations du présent accord
Conduite de l'audit dans des conditions ne perturbant pas l'activité de Nuvy
Confidentialité stricte des informations recueillies

À défaut d'audit, Nuvy peut fournir les éléments suivants à la demande du Commerçant : description écrite des mesures de sécurité, certifications éventuelles, rapports de pentest récents (résumé exécutif), schéma d'architecture haut niveau.

10. Restitution et effacement

À la fin de la prestation, le Commerçant peut demander :

L'export de la liste de ses clients finaux au format CSV, comprenant les champs suivants : prénom, nom, numéro de téléphone, date d'inscription, statut (actif / inactif). Cet export est livré sous 5 jours ouvrés à compter de la demande, gratuitement, dans les 60 jours suivant la résiliation.
L'effacement de l'ensemble des données.

Sans demande explicite du Commerçant dans les 60 jours suivant la résiliation, Nuvy procède à l'effacement par défaut. Les données figurant dans les sauvegardes sont supprimées au fur et à mesure du cycle de rotation (7 jours pour Supabase Point-in-Time Recovery).

Les données analytiques transformées (historique détaillé des passages, segmentation comportementale, scores de fidélité, statistiques agrégées par client) constituent le savoir-faire technique de Nuvy et ne font pas partie du périmètre d'export. Elles sont supprimées avec le reste des données à l'expiration du délai de 60 jours.

Les données comptables (factures émises au Commerçant) sont conservées 10 ans conformément à l'article L123-22 du Code de commerce. Cela ne concerne pas les données des clients finaux du Commerçant.

Le présent article ne fait pas obstacle au droit individuel à la portabilité dont dispose chaque client final en application de l'article 20 du RGPD, exercé directement par le client final sur ses propres données.

11. Responsabilité

Chaque partie est responsable des dommages causés par un traitement qui constitue une violation du RGPD ou du présent accord, dans les conditions de l'article 82 RGPD. La répartition de la responsabilité entre Nuvy et le Commerçant suit la nature et l'étendue des obligations respectives, telles que définies dans le présent accord et dans le RGPD.

12. Évolution du présent accord

Le présent accord peut être modifié pour refléter des évolutions réglementaires (lignes directrices CNIL ou EDPB, jurisprudence européenne) ou opérationnelles (changement de sous-traitant ultérieur, évolution des mesures de sécurité). Toute modification substantielle est notifiée au Commerçant avec un préavis de 30 jours. En cas de désaccord, le Commerçant peut résilier le contrat principal sans frais avant la date d'entrée en vigueur des modifications.

Annexe 1

Description du traitement

1. Nature et finalité du traitement

Hébergement et exploitation d'une carte de fidélité numérique, comprenant :

Création et stockage du profil client final
Génération des cartes Apple Wallet et Google Wallet
Comptage automatisé des passages en boutique et calcul des récompenses
Notifications transactionnelles (mise à jour de la carte) et marketing (sur consentement explicite)
Mise à disposition de statistiques agrégées au Commerçant

2. Catégories de personnes concernées

Clients finaux du Commerçant ayant créé une carte de fidélité Nuvy

3. Catégories de données traitées

Catégorie	Données
Identité	Prénom, nom
Coordonnées	Numéro de téléphone
Vie économique	Historique des passages, solde de tampons, récompenses obtenues, total de points
Données techniques	Type d'appareil, numéro de série de carte Wallet, jeton APNs / Google Wallet, adresse IP (logs)
Données de consentement	Date, version, choix marketing (opt-in / opt-out), source d'inscription

Aucune donnée sensible au sens de l'article 9 RGPD (origine raciale, opinions politiques, convictions religieuses, données de santé, orientation sexuelle, etc.) n'est traitée.

4. Durée de conservation

Donnée	Durée
Données de fidélité du client final	3 ans après la dernière interaction
Données de consentement	3 ans après le retrait ou la suppression du compte
Logs serveur (IP)	7 jours glissants
Sauvegardes Point-in-Time Recovery	7 jours
Données post-résiliation du contrat principal	60 jours puis effacement

5. Localisation principale du traitement

Base de données : Supabase eu-west-3 (Paris, France). Application web : Railway (États-Unis) sous CCT. Apple Wallet et Google Wallet : États-Unis sous dérogation art. 49.1.b RGPD.

Annexe 2

Mesures techniques et organisationnelles

Mesures techniques

Chiffrement en transit : HTTPS / TLS 1.2 minimum sur l'ensemble des communications client-serveur et serveur-sous-traitants
Chiffrement au repos : chiffrement AES-256 par Supabase au niveau de la base PostgreSQL et du stockage de fichiers
Authentification commerçant : mot de passe haché par bcrypt (coût 10), jeton JWT signé HS256 expirant à 7 jours
Authentification API Apple / Google : signature ECDSA P-256 (Apple) et RS256 (Google), clés stockées dans des variables d'environnement chiffrées
Rate limiting : limites de débit applicatives sur les endpoints sensibles (login, création de compte, push) via express-rate-limit
Protection contre les injections : validation et nettoyage stricts des entrées utilisateur, paramétrage des requêtes SQL via Supabase JS
Sauvegardes automatiques : Point-in-Time Recovery Supabase sur 7 jours glissants
Surveillance : journalisation des événements applicatifs critiques (pino), alerting sur erreurs serveur

Mesures organisationnelles

Principe du moindre privilège : accès aux bases de production limité à l'équipe technique strictement habilitée
Authentification forte obligatoire (2FA) sur tous les outils critiques (Supabase, Stripe, Railway, GitHub, Apple Developer, Google Cloud)
Engagement de confidentialité contractuel pour tout intervenant ayant accès aux données
Procédure de notification d'incident documentée en interne
Mise à jour régulière des dépendances logicielles (suivi des CVE, npm audit)
Politique de gestion des secrets : aucune clé API ou secret ne figure dans le code source ; rotation des secrets en cas de suspicion de compromission

Mesures spécifiques à la confidentialité

Aucun export en masse de données client final n'est effectué hors demande explicite du Commerçant
Les statistiques agrégées utilisées par Nuvy à des fins d'amélioration produit ne contiennent aucune donnée individuelle ré-identifiable
Aucune donnée client final n'est partagée avec des tiers à des fins commerciales

Annexe 3

Liste des sous-traitants ultérieurs

Le Commerçant autorise expressément Nuvy à recourir aux sous-traitants ultérieurs suivants :

Sous-traitant	Service	Localisation	Garantie de transfert
Supabase, Inc. 970 Toa Payoh North #07-04, Singapore 318992	Base de données PostgreSQL et stockage de fichiers	Région eu-west-3 (Paris) — Données dans l'UE	Pas de transfert hors UE pour le traitement principal
Railway Corporation 2261 Market Street #4382, San Francisco, CA 94114, USA	Hébergement de l'application web et de l'API	États-Unis	Clauses contractuelles types (CCT) — décision UE 2021/914 du 4 juin 2021
Apple Inc. One Apple Park Way, Cupertino, CA 95014, USA	Service Apple Wallet (PassKit) et notifications push (APNs)	États-Unis	Dérogation art. 49.1.b RGPD (exécution du contrat à la demande de la personne concernée)
Google LLC 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA	Service Google Wallet et notifications associées	États-Unis	Dérogation art. 49.1.b RGPD
Stripe Payments Europe Ltd 1 Grand Canal Street Lower, Dublin 2, Ireland	Encaissement des abonnements (commerçants uniquement, pas de données client final)	Irlande (UE)	Pas de transfert hors UE pour le traitement principal
Meta Platforms Ireland Ltd 4 Grand Canal Square, Dublin 2, Ireland	Messagerie WhatsApp Business pour le contact commercial (commerçants uniquement, pas de données client final)	Irlande (UE) avec serveurs aux États-Unis	CCT art. 46.2.c RGPD

Toute évolution de cette liste fait l'objet d'une notification préalable de 30 jours au Commerçant, conformément à l'article 5 du présent accord.

Contact RGPD

Pour toute question relative au présent accord ou pour exercer un droit prévu par le RGPD :

Par email : contact@nuvy.pro
Par courrier : Nuvy SASU, 4 rue des Chardonnerets, 95220 Herblay-sur-Seine, France