Vitrine Résa Vitrine Résa
  • Fonctionnalités
  • Démo interactive
  • Tarifs
  • FAQ
Demander une démo

Accord de Traitement des Données

Data Processing Agreement (DPA) — Annexe aux Conditions Générales de Vente de Vitrine Résa, conformément à l'article 28 du RGPD.

juillet 2026 — Version 1.0

Sommaire

  1. Identification des parties
  2. Objet et durée du traitement
  3. Nature et finalité des traitements
  4. Catégories de données traitées
  5. Obligations du Sous-traitant
  6. Obligations du Responsable de traitement
  7. Sous-traitants ultérieurs
  8. Mesures de sécurité
  9. Sort des données en fin de contrat
  10. Droit applicable et juridiction

1 Identification des parties

Le présent Accord de Traitement des Données (ci-après « DPA ») est conclu entre les parties suivantes, dans le cadre du contrat de services SaaS régi par les Conditions Générales de Vente (CGV) de Vitrine Résa :

Responsable de traitement (RT)

Tout professionnel (personne physique ou morale) souscrivant à un abonnement Vitrine Résa, ci-après désigné « le Client ».

En sa qualité de responsable de traitement, le Client détermine les finalités et les moyens du traitement des données personnelles de ses propres clients (acheteurs sur sa boutique en ligne).

Sous-traitant (ST)

Gauthier Nicolas
907 rue Roger Salengro
62122 Labeuvrière
SIRET : 753 990 290 00029
Email : contact@vitrine-resa.fr
Tél : 06 95 65 71 40

Ci-après désigné « le Prestataire ».

Le présent DPA entre en vigueur à la date de souscription aux CGV et en constitue une annexe indissociable.

2 Objet et durée du traitement

Le présent DPA a pour objet de définir les conditions dans lesquelles le Prestataire est autorisé à traiter, pour le compte du Client, les données à caractère personnel nécessaires à la fourniture du service Vitrine Résa, conformément à l'article 28 du Règlement (UE) 2016/679 (RGPD).

Le traitement des données est effectué pour la durée du contrat principal conclu entre les parties, tel que défini à l'article 7 des CGV. À l'expiration ou à la résiliation du contrat, les données sont traitées conformément à l'article 9 du présent DPA.

3 Nature et finalité des traitements

Le Prestataire traite les données personnelles du Client dans le cadre des opérations suivantes :

  • Hébergement et exploitation de la boutique en ligne du Client (catalogue produits, gestion des stocks, paramètres de configuration) ;
  • Réception, traitement et suivi des commandes passées par les acheteurs du Client ;
  • Gestion des paiements en ligne via la plateforme Stripe (transmission sécurisée des données de transaction) ;
  • Envoi des notifications transactionnelles aux acheteurs du Client (confirmation de commande, avis d'expédition) via le prestataire Brevo ;
  • Génération des étiquettes d'expédition Colissimo et Mondial Relay à partir des adresses de livraison des acheteurs ;
  • Sauvegarde automatique des données de la boutique sur Google Drive (si activé par le Client) ;
  • Synchronisation comptable des données de facturation avec les outils Abby ou Pennylane (si activé par le Client).

Le Prestataire ne traite les données personnelles que sur instruction documentée du Client (configuration de la boutique, paramétrage des offres, actions effectuées via l'interface d'administration). Tout traitement à d'autres fins est exclu, sauf obligation légale.

4 Catégories de données traitées

Les catégories de données à caractère personnel traitées par le Prestataire pour le compte du Client sont les suivantes :

  • Données d'identification des acheteurs : nom, prénom, adresse e-mail, numéro de téléphone ;
  • Données de livraison : adresse postale de livraison ou de retrait ;
  • Données de transaction : historique des commandes, articles commandés, montants, statut de paiement (aucune donnée de carte bancaire n'est stockée sur les serveurs du Prestataire — elle est traitée directement par Stripe) ;
  • Données du compte client boutique : identifiants de connexion (email + mot de passe chiffré), historique de fidélité, préférences de communication.

Aucune donnée sensible au sens de l'article 9 du RGPD (données de santé, opinions politiques, données biométriques, etc.) n'est collectée ou traitée dans le cadre du service Vitrine Résa.

5 Obligations du Sous-traitant

Conformément à l'article 28.3 du RGPD, le Prestataire s'engage à :

  • Traiter uniquement sur instruction : ne traiter les données à caractère personnel que sur instruction documentée du Client, y compris en ce qui concerne les transferts de données à caractère personnel vers un pays tiers ou une organisation internationale, sauf obligation légale contraire ;
  • Garantir la confidentialité : veiller à ce que les personnes autorisées à traiter les données s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ;
  • Assurer la sécurité : mettre en œuvre les mesures techniques et organisationnelles appropriées visées à l'article 32 du RGPD, telles que décrites à l'article 8 du présent DPA ;
  • Contrôler les sous-traitants ultérieurs : ne pas recruter de sous-traitant ultérieur sans autorisation préalable écrite du Client, et s'assurer que tout sous-traitant ultérieur présente les mêmes garanties suffisantes (liste des sous-traitants autorisés à l'article 7 du présent DPA) ;
  • Assister le Client : aider le Client, dans la mesure du possible, à s'acquitter de son obligation de donner suite aux demandes dont les personnes concernées le saisissent en vue d'exercer leurs droits (accès, rectification, effacement, portabilité, opposition) ;
  • Assister aux obligations de sécurité : aider le Client à garantir le respect des obligations découlant des articles 32 à 36 du RGPD (sécurité, notification de violations, analyse d'impact) ;
  • Restituer ou supprimer les données : au choix du Client, supprimer toutes les données à caractère personnel ou les renvoyer au Client au terme de la prestation de services et détruire les copies existantes (voir article 9) ;
  • Mettre à disposition les informations nécessaires : mettre à disposition du Client toutes les informations nécessaires pour démontrer le respect des obligations prévues par l'article 28 du RGPD et permettre la réalisation d'audits.

En cas de violation de données à caractère personnel (au sens de l'article 4.12 du RGPD), le Prestataire en informe le Client dans les meilleurs délais et au plus tard dans les 72 heures suivant la découverte de ladite violation, afin de permettre au Client de remplir ses obligations de notification auprès de la CNIL.

6 Obligations du Responsable de traitement

Le Client, en sa qualité de responsable de traitement, s'engage à :

  • Collecter les données personnelles de ses acheteurs dans le respect du RGPD, notamment en s'assurant de la licéité du traitement (base légale appropriée : exécution d'un contrat, consentement, etc.) ;
  • Informer les personnes concernées (acheteurs) de la collecte et du traitement de leurs données personnelles, notamment via la politique de confidentialité de sa boutique ;
  • Ne transmettre au Prestataire que les données strictement nécessaires à l'exécution du service (principe de minimisation, art. 5.1.c RGPD) ;
  • S'assurer que les données personnelles transmises ne comprennent pas de données sensibles au sens de l'article 9 du RGPD ;
  • Répondre dans les délais légaux aux demandes des personnes concernées relatives à leurs droits, en sollicitant si nécessaire l'assistance du Prestataire ;
  • Notifier sans délai le Prestataire de toute modification relative aux finalités ou modalités de traitement qui aurait une incidence sur les obligations du sous-traitant.

7 Sous-traitants ultérieurs autorisés

Le Client autorise expressément le Prestataire à faire appel aux sous-traitants ultérieurs suivants, qui interviennent dans le cadre de la fourniture du service Vitrine Résa :

  • OVH SAS (France) — Hébergement des serveurs et des données. Certifié ISO 27001, HDS. Politique de confidentialité OVH ;
  • Stripe Inc. (États-Unis — transferts encadrés par clauses contractuelles types CE) — Traitement des paiements en ligne. Certifié PCI-DSS niveau 1. Politique de confidentialité Stripe ;
  • Brevo (ex-Sendinblue) SAS (France) — Envoi des e-mails transactionnels (confirmations de commande, notifications). Politique de confidentialité Brevo ;
  • Google LLC (États-Unis — transferts encadrés par clauses contractuelles types CE) — Stockage des sauvegardes automatiques sur Google Drive (si activé par le Client). Politique de confidentialité Google.

En cas de modification de la liste des sous-traitants ultérieurs (ajout ou remplacement), le Prestataire en informera le Client par e-mail avec un préavis de 14 jours. Durant ce délai, le Client dispose de la faculté de s'opposer à ce changement. En l'absence d'objection formulée dans ce délai, la modification est réputée acceptée.

Transferts hors UE : Les sous-traitants Stripe et Google sont établis aux États-Unis. Ces transferts de données vers des pays tiers sont encadrés par des clauses contractuelles types approuvées par la Commission européenne (décision 2021/914), conformément à l'article 46 du RGPD.

8 Mesures de sécurité

Conformément à l'article 32 du RGPD, le Prestataire met en œuvre les mesures techniques et organisationnelles appropriées suivantes afin de garantir un niveau de sécurité adapté au risque :

  • Chiffrement des données au repos : la base de données contenant les données du Client et de ses acheteurs est chiffrée (AES-256) ;
  • Chiffrement des données en transit : toutes les communications entre le navigateur et le serveur sont chiffrées via TLS (HTTPS) ;
  • Contrôle d'accès : accès à l'interface d'administration protégé par authentification forte (mot de passe + authentification à deux facteurs TOTP disponible) ;
  • Gestion des mots de passe : les mots de passe des comptes clients sont stockés sous forme de condensats cryptographiques (hachage bcrypt) — aucun mot de passe en clair n'est conservé ;
  • Sauvegardes : sauvegardes automatiques chiffrées sur Google Drive (si activé) permettant la restauration des données en cas d'incident ;
  • Isolation : chaque boutique client est isolée logiquement des données des autres clients ;
  • Journalisation : les accès à l'interface d'administration sont enregistrés afin de permettre la détection d'accès non autorisés.

La politique de confidentialité complète, accessible à vitrine-resa.fr/confidentialite.html, décrit en détail l'ensemble des mesures de sécurité mises en place par le Prestataire.

9 Sort des données en fin de contrat

Conformément à l'article 8 des CGV et à l'article 28.3.g du RGPD, à l'expiration ou à la résiliation du contrat pour quelque cause que ce soit :

  • L'accès du Client à la plateforme Vitrine Résa est immédiatement désactivé ;
  • L'ensemble des données du Client (catalogue produits, commandes, données des acheteurs, paramètres) est supprimé définitivement et de manière irréversible des serveurs du Prestataire ;
  • Les sauvegardes automatiques associées au compte du Client sont également supprimées ;
  • Le Prestataire ne conserve aucune copie des données du Client au-delà de la date de résiliation, à l'exception des données strictement nécessaires à l'accomplissement de ses obligations légales (pièces comptables notamment, conservées 10 ans conformément à l'article L.123-22 du Code de commerce).
Important : Il appartient au Client d'exporter ou de sauvegarder l'ensemble de ses données avant la date de résiliation. Le Prestataire ne saurait être tenu responsable de la perte de données faute d'export préalable par le Client.

10 Droit applicable et juridiction

Le présent DPA est soumis au droit français et aux dispositions du Règlement (UE) 2016/679 (RGPD). Il est rédigé en langue française.

Tout litige relatif à l'interprétation ou à l'exécution du présent DPA sera soumis à la compétence exclusive du Tribunal Judiciaire de Béthune, conformément à l'article 16 des CGV.

Le présent accord constitue l'annexe RGPD des CGV de Vitrine Résa. En cas de contradiction entre les CGV et le présent DPA sur les questions relatives à la protection des données personnelles, les stipulations du présent DPA prévalent.

Contact DPO : Pour toute question relative au traitement de vos données personnelles ou à l'exercice de vos droits, vous pouvez contacter le Prestataire à l'adresse contact@vitrine-resa.fr ou au 06 95 65 71 40.
Vitrine Résa Vitrine Résa

La solution E-Commerce & Click & Collect pour les commerçants de proximité.

Produit

  • Fonctionnalités
  • Démo
  • Tarifs
  • FAQ

Légal

  • Mentions légales
  • RGPD / Confidentialité
  • CGV
  • DPA (RGPD art. 28)
  • Nous contacter
© 2026 Vitrine Résa. Tous droits réservés.
Mentions légales RGPD / Confidentialité CGV DPA