VEKTREL
← Accueil

// DPA

Accord de traitement des données (DPA)

Le présent accord de traitement des données (DPA) encadre le traitement des données à caractère personnel que PixL-Art Studio SASU, opérant sous la marque VekTrel (ci-après le « Sous-traitant »), effectue pour le compte de ses clients (ci-après le(s) « Responsable(s) de traitement »), au titre de l'article 28 du Règlement Général sur la Protection des Données (RGPD) (UE) 2016/679.

1. Objet et durée du traitement

Le Sous-traitant fournit au Responsable de traitement des services d'hébergement (mail, web, application, SaaS) et/ou de développement logiciel sur mesure. Dans ce cadre, le Sous-traitant traite des données à caractère personnel pour le compte du Responsable de traitement.

La durée du traitement correspond à la durée du contrat de services souscrit par le Responsable de traitement, augmentée des délais légaux de conservation applicables.

2. Nature et finalité du traitement

Le traitement a pour finalité la fourniture des services d'hébergement et de développement commandés par le Responsable de traitement. Les opérations de traitement comprennent : le stockage, la transmission, la sauvegarde, la restauration, la suppression et la mise à disposition des données via des interfaces sécurisées.

3. Types de données et catégories de personnes concernées

Les types de données traitées dépendent du service souscrit et peuvent inclure : données d'identification, données de contact professionnel, données de navigation, contenus de messagerie, données techniques de connexion. Les catégories de personnes concernées sont les utilisateurs finaux des services hébergés ou développés pour le compte du Responsable de traitement.

4. Obligations du Sous-traitant

Le Sous-traitant s'engage à :

  • Traiter les données personnelles uniquement sur instruction documentée du Responsable de traitement, y compris en matière de transferts vers un pays tiers ;
  • Garantir la confidentialité des personnes ayant accès aux données ;
  • Prendre toutes les mesures techniques et organisationnelles appropriées pour garantir la sécurité du traitement ;
  • Respecter les conditions préalables à la mise en œuvre de sous-traitants ultérieurs (autorisation préalable du Responsable de traitement) ;
  • Aider le Responsable de traitement, par des mesures techniques et organisationnelles appropriées, dans la mesure du possible, à satisfaire à son obligation de répondre aux demandes d'exercice des droits des personnes concernées ;
  • Aider le Responsable de traitement à garantir le respect des obligations prévues aux articles 32 à 36 du RGPD (sécurité du traitement, notification des violations de données) ;
  • Supprimer ou restituer l'ensemble des données à caractère personnel à la fin du contrat de services, selon les instructions du Responsable de traitement, et détruire les copies existantes, sauf si le droit de l'Union ou des États membres exige leur conservation ;
  • Mettre à disposition du Responsable de traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues au présent article 28 et permettre la réalisation d'audits, y compris des inspections, par le Responsable de traitement ou un autre auditeur qu'il a mandaté.

5. Sous-traitants ultérieurs

Le Sous-traitant peut recourir à des sous-traitants ultérieurs pour l'exécution de certaines tâches liées au service. Le Sous-traitant informe le Responsable de traitement de tout changement envisagé concernant l'ajout ou le remplacement de sous-traitants ultérieurs, en lui donnant ainsi l'opportunité d'émettre des objections.

Les sous-traitants ultérieurs actuellement utilisés incluent : Cloudflare, Inc. (infrastructure edge et diffusion, sous clauses contractuelles types), prestataire de paiement sécurisé Stripe, et prestataires d'hébergement de données situés dans l'Union Européenne. Tous sont soumis à des contrats garantissant le respect du RGPD.

6. Localisation des données

Sauf instruction contraire et écrite du Responsable de traitement, les données personnelles sont traitées et stockées uniquement au sein de l'Union Européenne. Aucun transfert vers un pays tiers n'est effectué sans garanties appropriées conformes au chapitre V du RGPD.

7. Sécurité

Le Sous-traitant met en œuvre les mesures de sécurité suivantes :

  • Chiffrement en transit : protocole TLS 1.2 minimum pour l'ensemble des communications.
  • Chiffrement au repos : chiffrement des disques et des bases de données.
  • Authentification et contrôle d'accès : gestion des identités et des habilitations (RBAC), authentification multifacteur sur les comptes sensibles.
  • Sauvegardes : sauvegardes chiffrées quotidiennes avec test de restauration régulier.
  • Journalisation : traçabilité des accès et des opérations sur les systèmes.
  • Sécurité physique : les infrastructures sont gérées par des prestataires certifiés (ISO 27001, SOC 2).

8. Notification de violation de données à caractère personnel

En cas de violation de données à caractère personnel, le Sous-traitant en informe le Responsable de traitement dans un délai maximum de 24 heures après en avoir pris connaissance. Cette notification comprend, dans la mesure de l'information disponible : la nature de la violation, les catégories et nombre approximatif de personnes concernées, les mesures prises ou proposées pour remédier à la violation.

9. Audit et inspection

Le Responsable de traitement a le droit d'auditer les activités de traitement du Sous-traitant, sur présentation d'un préavis raisonnable et au maximum une (1) fois par an, sauf en cas de suspicion de non-conformité. L'audit peut prendre la forme d'un questionnaire de sécurité, d'une revue de documentation ou, si nécessaire, d'une inspection sur site. Le Sous-traitant s'engage à coopérer pleinement.

10. Destruction ou restitution des données

À l'expiration ou à la résiliation du contrat de services, le Sous-traitant restitue au Responsable de traitement l'ensemble des données à caractère personnel et supprime les copies existantes, conformément aux instructions du Responsable de traitement, sauf obligation légale contraire de conservation.

11. Modification du DPA

Toute modification du présent DPA fera l'objet d'un avenant écrit accepté par les deux parties, ou sera réputée acceptée si le Responsable de traitement continue d'utiliser les services après notification d'une mise à jour des conditions.

12. Contact

Pour toute question relative au présent accord de traitement des données, contactez-nous à l'adresse privacy@vektrel.dev.

Dernière mise à jour : 6 juin 2026.