1. Mentions légales
Informations fournies conformément à l'article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique (LCEN).
1.1 Éditeur du service
Le service (ci-après « le Service ») est édité par :
- Raison sociale : [RAISON SOCIALE], société de droit français en cours d'immatriculation au Registre du commerce et des sociétés.
- SIREN : [SIREN]
- Siège social : [ADRESSE]
- Contact : [EMAIL CONTACT]
Les présentes mentions seront complétées dès l'immatriculation définitive de la société (forme sociale, capital social, ville du RCS, numéro de TVA intracommunautaire).
1.2 Directeur de la publication
[DIRECTEUR PUBLICATION].
1.3 Hébergement
Le Service est hébergé sur l'infrastructure Firebase / Google Cloud Platform, fournie par :
- Google Ireland Limited
- Gordon House, Barrow Street, Dublin 4, Irlande
- Immatriculée en Irlande sous le numéro 368047
- Site : firebase.google.com
Les données du Service sont hébergées dans la région multi-régions Europe (« eur3 »), située dans l'Union européenne.
1.4 Contact
Pour toute question relative au Service ou aux présents documents, vous pouvez écrire à [EMAIL CONTACT].
1.5 Propriété intellectuelle
L'ensemble des éléments composant le Service (logiciel, interfaces, textes, logos, marques, bases de données) est protégé par le droit de la propriété intellectuelle. Voir l'article 7 des CGU.
↑ Retour en haut2. Conditions générales d'utilisation (CGU)
Les présentes conditions générales d'utilisation régissent l'accès au Service et son utilisation par tout utilisateur. Le Service est réservé à un usage professionnel.
Article 1 — Définitions
- « Éditeur » : [RAISON SOCIALE], telle qu'identifiée aux mentions légales.
- « Service » : la plateforme en ligne de gestion de cartes de fidélité (points, bons, historique) destinée aux commerçants.
- « Client » ou « Commerçant » : le professionnel (personne physique ou morale) titulaire d'un abonnement ou d'un essai gratuit au Service.
- « Utilisateur » : toute personne physique accédant au Service au moyen du compte d'un Client (le Commerçant lui-même ou un membre de son équipe qu'il a habilité).
- « Client final » : le client du Commerçant dont les données de fidélité sont gérées dans le Service.
- « Données du Client » : l'ensemble des données saisies ou importées dans le Service par le Client, y compris les données relatives à ses Clients finaux.
Article 2 — Objet et acceptation
Les présentes CGU définissent les conditions dans lesquelles les Utilisateurs accèdent au Service et l'utilisent. Elles sont complétées par les CGV, la politique de confidentialité et le DPA, qui forment ensemble le cadre contractuel du Service.
La création d'un compte ou l'utilisation du Service emporte acceptation pleine et entière des présentes CGU. Si l'Utilisateur agit pour le compte d'une entreprise, il déclare disposer du pouvoir de l'engager.
Article 3 — Accès au Service
Le Service est accessible en ligne, depuis un navigateur web récent, 24 heures sur 24 et 7 jours sur 7, sous réserve des opérations de maintenance et des interruptions visées à l'article 5.
L'accès au Service nécessite une connexion internet et un équipement compatible, dont le coût et le bon fonctionnement demeurent à la charge exclusive du Client.
Article 4 — Compte et identifiants
L'utilisation du Service requiert la création d'un compte. Le Client s'engage à fournir des informations exactes et à jour, et à les maintenir à jour pendant toute la durée de la relation contractuelle.
Les identifiants de connexion sont strictement personnels et confidentiels. Le Client est responsable de leur conservation et de toutes les actions effectuées depuis son compte. En cas de perte, de vol ou de suspicion d'utilisation non autorisée, le Client doit en informer l'Éditeur sans délai à [EMAIL CONTACT] afin que les mesures appropriées soient prises.
Article 5 — Disponibilité et maintenance
L'Éditeur s'efforce d'assurer la meilleure disponibilité possible du Service. Il est toutefois tenu à une obligation de moyens : aucun taux de disponibilité n'est contractuellement garanti à ce stade.
Le Service peut être temporairement interrompu, notamment pour :
- des opérations de maintenance, planifiées dans la mesure du possible en dehors des heures d'activité habituelles des commerces, et annoncées lorsque leur durée prévisible le justifie ;
- des mises à jour correctives ou évolutives ;
- des causes échappant au contrôle raisonnable de l'Éditeur (défaillance de l'hébergeur, du réseau, force majeure).
L'Éditeur met en œuvre des mesures raisonnables (sauvegardes, supervision) pour limiter la durée et l'impact de ces interruptions.
Article 6 — Utilisation conforme
L'Utilisateur s'engage à utiliser le Service conformément à sa destination : la gestion du programme de fidélité de la ou des boutiques du Client. Il s'interdit notamment de :
- utiliser le Service à des fins illicites ou contraires à l'ordre public ;
- saisir dans le Service des données dites « sensibles » au sens de l'article 9 du RGPD (santé, opinions, religion, etc.) ou toute donnée sans rapport avec la gestion de la fidélité ;
- tenter de contourner les mesures de sécurité, d'accéder aux données d'autres clients ou de perturber le fonctionnement du Service ;
- revendre, sous-licencier ou mettre à disposition de tiers l'accès au Service en dehors de son équipe ;
- procéder à des extractions massives ou automatisées non prévues par les fonctionnalités du Service ;
- utiliser les coordonnées des Clients finaux en violation de la réglementation applicable (notamment en matière de prospection commerciale).
Article 7 — Propriété intellectuelle
Le Service, sa structure, son logiciel, ses interfaces, ses marques et logos sont et demeurent la propriété exclusive de l'Éditeur ou de ses concédants. L'abonnement confère au Client un droit d'utilisation du Service personnel, non exclusif, non cessible et non transférable, pour la durée de l'abonnement et pour ses seuls besoins professionnels internes.
Les Données du Client restent la propriété pleine et entière du Client. L'Éditeur ne s'octroie aucun droit sur ces données au-delà de ce qui est strictement nécessaire à la fourniture du Service (hébergement, sauvegarde, affichage, export), dans les conditions du DPA.
Article 8 — Données personnelles
Les traitements de données personnelles liés au Service sont décrits dans la politique de confidentialité. Le traitement des données des Clients finaux pour le compte du Commerçant est encadré par l'accord de sous-traitance (DPA).
Article 9 — Suspension et résiliation
En cas de manquement grave d'un Utilisateur ou du Client aux présentes CGU (notamment utilisation illicite, atteinte à la sécurité, non-paiement dans les conditions des CGV), l'Éditeur peut suspendre l'accès au compte concerné après notification par email restée sans effet sous 7 jours, sauf urgence justifiée par la sécurité du Service, auquel cas la suspension peut être immédiate et notifiée sans délai.
Les conditions de résiliation de l'abonnement sont fixées à l'article 7 des CGV. La suspension ne suspend pas les obligations de paiement du Client lorsque celle-ci résulte de son propre manquement.
Article 10 — Responsabilité
L'Éditeur est responsable de la fourniture du Service dans les conditions décrites aux présentes et aux CGV. Le régime de responsabilité (obligation de moyens, exclusions, plafond) est précisé à l'article 11 des CGV.
Le Client demeure seul responsable de l'exactitude des données qu'il saisit, du paramétrage de son programme de fidélité (valeurs de points, bons, avantages) et de ses relations avec ses Clients finaux.
Article 11 — Modification des CGU
L'Éditeur peut faire évoluer les présentes CGU, notamment pour tenir compte des évolutions du Service ou de la réglementation. Toute modification substantielle sera notifiée au Client par email ou via le Service au moins 30 jours avant son entrée en vigueur. La poursuite de l'utilisation du Service après cette date vaut acceptation. En cas de refus, le Client peut résilier dans les conditions de l'article 7 des CGV.
Article 12 — Droit applicable
Les présentes CGU sont soumises au droit français. Tout litige relatif à leur interprétation ou à leur exécution relève, pour les utilisateurs professionnels, des juridictions compétentes désignées à l'article 15 des CGV.
↑ Retour en haut3. Conditions générales de vente (CGV)
Les présentes conditions générales de vente s'appliquent à tout abonnement au Service souscrit par un professionnel. Le Service est exclusivement destiné à des clients professionnels (B2B) ; il n'est pas proposé aux consommateurs.
Article 1 — Objet et champ d'application
Les présentes CGV définissent les conditions financières et contractuelles de l'abonnement au Service . Elles forment, avec les CGU, la politique de confidentialité et le DPA, l'intégralité du contrat entre l'Éditeur et le Client.
En souscrivant, le Client déclare agir exclusivement à titre professionnel, pour les besoins de son activité commerciale. Toute condition d'achat du Client qui contredirait les présentes est inopposable à l'Éditeur, sauf accord écrit exprès.
Article 2 — Description du Service
Le Service permet au Client de gérer le programme de fidélité de sa ou ses boutiques : création de fiches clients, attribution et suivi de points, émission et utilisation de bons de fidélité, historique des passages, recherche, exports. Le détail des fonctionnalités disponibles est décrit sur le site du Service et peut évoluer dans le respect de l'article 13.
Article 3 — Essai gratuit
Tout nouveau Client bénéficie d'une période d'essai gratuite de 14 jours, sans engagement et sans communication de carte bancaire.
- L'essai donne accès aux fonctionnalités du Service dans des conditions normales d'utilisation.
- À l'issue de l'essai, la poursuite de l'utilisation du Service nécessite la souscription d'un abonnement payant. À défaut, l'accès au compte est suspendu.
- Les données saisies pendant l'essai sont conservées 30 jours après la fin de l'essai afin de permettre une souscription ou un export, puis supprimées définitivement.
Article 4 — Prix
L'abonnement au Service est facturé 29 € HT par mois et par boutique. La TVA au taux en vigueur s'ajoute à ce montant.
L'Éditeur peut réviser ses tarifs. Toute révision est notifiée au Client par email au moins 30 jours avant sa prise d'effet et ne s'applique qu'aux périodes de facturation postérieures à cette prise d'effet. Le Client qui refuse le nouveau tarif peut résilier son abonnement avant l'entrée en vigueur de celui-ci, dans les conditions de l'article 7.
Article 5 — Facturation et paiement
L'abonnement est facturé mensuellement, à terme à échoir. Le paiement s'effectuera par carte bancaire via le prestataire de paiement Stripe (mise en place en cours ; les modalités précises seront communiquées au Client à l'ouverture commerciale du Service et, le cas échéant, dans une version mise à jour des présentes).
En cas de défaut de paiement :
- l'Éditeur adresse une relance par email ;
- à défaut de régularisation sous 15 jours, l'accès au Service peut être suspendu jusqu'à complet paiement ;
- conformément aux articles L. 441-10 et D. 441-5 du code de commerce, tout retard de paiement entre professionnels entraîne de plein droit des pénalités de retard (taux de la BCE majoré de 10 points) et une indemnité forfaitaire de recouvrement de 40 €.
La suspension pour défaut de paiement ne constitue pas une résiliation et ne dispense pas le Client du paiement des sommes dues.
Article 6 — Durée et reconduction
L'abonnement est conclu pour une durée d'un mois, tacitement reconductible par périodes successives d'un mois. Aucun engagement de durée minimale n'est exigé.
Article 7 — Résiliation
Résiliation par le Client. Le Client peut résilier son abonnement à tout moment, depuis son espace dans le Service ou par email à [EMAIL CONTACT]. La résiliation prend effet à la fin de la période mensuelle en cours ; le Service reste accessible jusqu'à cette date. Les sommes versées au titre de la période entamée restent acquises à l'Éditeur ; aucun remboursement prorata temporis n'est dû.
Résiliation pour manquement. Chaque partie peut résilier le contrat de plein droit en cas de manquement grave de l'autre partie à ses obligations, non réparé dans un délai de 15 jours suivant une mise en demeure écrite (email avec accusé de réception ou lettre recommandée) mentionnant la présente clause.
Effets. À la date d'effet de la résiliation, l'accès au Service est fermé et le sort des données est réglé par l'article 8 ci-dessous.
Article 8 — Réversibilité et restitution des données
- Pendant l'abonnement : le Service met à la disposition du Client une fonction d'export CSV complet de ses données (fiches clients, points, bons, historique), utilisable en autonomie, à tout moment et sans frais supplémentaires.
- Après la résiliation : les Données du Client restent exportables pendant une période de réversibilité de 30 jours suivant la date d'effet de la résiliation. Sur demande à [EMAIL CONTACT], l'Éditeur fournit une assistance raisonnable à l'export.
- Purge : à l'issue de cette période de 30 jours, l'Éditeur procède à la suppression définitive de l'ensemble des Données du Client de ses systèmes actifs, dans les conditions du DPA. Sont seules conservées les données que l'Éditeur a l'obligation légale de conserver (notamment les factures, conservées 10 ans à des fins comptables).
Article 9 — Support
Le support est assuré par email à l'adresse [EMAIL CONTACT], les jours ouvrés. L'Éditeur s'efforce de répondre dans un délai cible de 2 jours ouvrés. Ce délai est indicatif et ne constitue pas un engagement de résolution. Aucun support téléphonique n'est proposé à ce stade.
Article 10 — Obligations du Client
- fournir des informations de compte et de facturation exactes et à jour ;
- utiliser le Service conformément aux CGU et à la réglementation applicable à son activité ;
- respecter, en sa qualité de responsable de traitement des données de ses Clients finaux, la réglementation sur la protection des données : information des personnes, respect de leurs droits, licéité de la collecte (voir politique de confidentialité et DPA) ;
- ne confier au Service aucune donnée sensible au sens de l'article 9 du RGPD ;
- procéder régulièrement, s'il le souhaite, à ses propres exports de sauvegarde via la fonction d'export CSV.
Article 11 — Garanties et responsabilité
L'Éditeur fournit le Service « en l'état », avec diligence et selon les règles de l'art, dans le cadre d'une obligation de moyens. Il ne garantit pas que le Service sera exempt de toute anomalie ni qu'il fonctionnera sans interruption.
La responsabilité de l'Éditeur ne peut être engagée qu'en cas de faute prouvée et pour les seuls dommages directs subis par le Client. Sont expressément exclus les dommages indirects, notamment : perte de chiffre d'affaires, perte de clientèle, perte d'exploitation, atteinte à l'image, ainsi que la perte de données dans la mesure où le Client n'a pas utilisé les fonctions d'export mises à sa disposition.
En tout état de cause, la responsabilité totale cumulée de l'Éditeur, toutes causes confondues, est plafonnée au montant total des sommes effectivement versées par le Client au titre du Service au cours des 12 mois précédant le fait générateur.
Les limitations ci-dessus ne s'appliquent pas en cas de dol ou de faute lourde de l'Éditeur, ni aux dommages corporels, ni à toute autre responsabilité qui ne peut être limitée par la loi.
Article 12 — Force majeure
Aucune partie ne pourra être tenue responsable d'un manquement à ses obligations résultant d'un cas de force majeure au sens de l'article 1218 du code civil. La partie affectée en informe l'autre sans délai. Si l'empêchement se prolonge au-delà de 60 jours, chaque partie peut résilier le contrat sans indemnité, les sommes dues au titre des prestations déjà fournies restant exigibles.
Article 13 — Évolution du Service et des CGV
L'Éditeur peut faire évoluer les fonctionnalités du Service, à condition de ne pas en dégrader substantiellement les fonctions essentielles pour le Client. Toute modification des présentes CGV est notifiée par email au moins 30 jours avant sa prise d'effet. Le Client qui la refuse peut résilier son abonnement avant cette date ; à défaut, la poursuite de l'utilisation vaut acceptation.
Article 14 — Dispositions diverses
- Non-renonciation : le fait pour une partie de ne pas se prévaloir d'un manquement de l'autre partie ne vaut pas renonciation à s'en prévaloir ultérieurement.
- Nullité partielle : si une clause des présentes est déclarée nulle ou inapplicable, les autres clauses conservent leur plein effet.
- Cession : le Client ne peut céder le contrat sans l'accord écrit préalable de l'Éditeur. L'Éditeur peut céder le contrat dans le cadre d'une opération de restructuration (fusion, cession de fonds ou d'activité), sous réserve d'en informer le Client.
- Convention de preuve : les registres et journaux informatiques du Service font foi entre les parties, sauf preuve contraire.
Article 15 — Droit applicable et juridiction compétente
Les présentes CGV sont soumises au droit français. À défaut de résolution amiable dans un délai de 30 jours suivant la notification écrite du différend, tout litige relatif à leur formation, leur interprétation ou leur exécution sera soumis au tribunal des activités économiques du ressort du siège social de l'Éditeur, nonobstant pluralité de défendeurs ou appel en garantie.
↑ Retour en haut4. Politique de confidentialité (RGPD)
Cette politique décrit comment les données personnelles sont traitées dans le cadre du Service, conformément au règlement (UE) 2016/679 (« RGPD ») et à la loi Informatique et Libertés.
4.1 Les deux rôles de l'Éditeur
Le Service fait intervenir deux catégories de personnes concernées, pour lesquelles l'Éditeur n'a pas le même rôle :
- Données des Commerçants abonnés (compte, contact, facturation, usage du Service) : l'Éditeur est responsable de traitement. C'est l'objet des sections 4.2 et suivantes.
- Données des Clients finaux des Commerçants (fiches fidélité saisies par le Commerçant) : le Commerçant est responsable de traitement et l'Éditeur agit en qualité de sous-traitant au sens de l'article 28 du RGPD, sur les seules instructions du Commerçant. Ce traitement est encadré par l'accord de sous-traitance (DPA) et résumé en section 4.3.
4.2 Données traitées en qualité de responsable de traitement
Traitements portant sur les données des Commerçants et de leurs Utilisateurs :
| Catégorie | Exemples | Finalité | Base légale | Durée de conservation |
|---|---|---|---|---|
| Données de compte | Nom, prénom, email, téléphone, nom et adresse de la boutique | Création et gestion du compte, fourniture du Service | Exécution du contrat | Durée du contrat, puis suppression 30 jours après la résiliation (hors archivage légal) |
| Données de facturation | Coordonnées de facturation, historique des factures | Facturation, comptabilité | Obligation légale | 10 ans (obligation comptable) |
| Journaux techniques | Logs de connexion, adresses IP, horodatages | Sécurité du Service, détection d'abus | Intérêt légitime (sécurité) | 12 mois |
| Échanges support | Emails adressés au support | Assistance, suivi des demandes | Exécution du contrat | 3 ans après le dernier contact |
Les données de paiement par carte bancaire seront traitées directement par le prestataire de paiement (Stripe) lors de la mise en place du paiement en ligne ; l'Éditeur n'y aura pas accès en clair.
4.3 Données traitées en qualité de sous-traitant (Clients finaux)
Le Commerçant saisit dans le Service les données de fidélité de ses propres clients. Pour ces données :
- Responsable de traitement : le Commerçant.
- Sous-traitant : l'Éditeur, dans les conditions du DPA.
- Catégories de données : identité (nom, prénom), coordonnées (téléphone et, le cas échéant, email), données de fidélité (points, bons, historique de passages, notes du Commerçant liées à la relation commerciale).
- Finalité : gestion du programme de fidélité du Commerçant. Aucune autre utilisation par l'Éditeur.
- Données sensibles : le Service n'est pas destiné à recevoir de données sensibles (article 9 du RGPD) ; le Commerçant s'engage à ne pas en saisir.
Durées de conservation des données des Clients finaux :
- suppression à tout moment sur action ou instruction du Commerçant ;
- purge automatique des fiches de Clients finaux inactifs depuis 3 ans, conformément aux recommandations de la CNIL applicables aux programmes de fidélité ;
- purge complète de l'ensemble des données du Commerçant 30 jours après la fin de son abonnement (article 8 des CGV).
4.4 Destinataires et sous-traitants ultérieurs
Les données sont accessibles au seul personnel habilité de l'Éditeur, dans la limite de ses missions. Elles sont traitées par les sous-traitants suivants :
- Google Cloud / Firebase (Google Ireland Limited) — hébergement, base de données, authentification. Région d'hébergement : Europe (« eur3 »), Union européenne.
- Stripe — traitement des paiements par carte bancaire (à venir, lors de l'ouverture commerciale).
Les données ne sont jamais vendues ni transmises à des tiers à des fins publicitaires.
4.5 Transferts hors de l'Union européenne
Les données du Service sont hébergées dans l'Union européenne (région « eur3 »). Certaines opérations techniques accessoires des prestataires (par exemple le support ou la supervision d'infrastructure de Google ou de Stripe) peuvent impliquer des accès depuis des pays tiers ; ces situations sont encadrées par des garanties appropriées au sens du chapitre V du RGPD (clauses contractuelles types de la Commission européenne et, le cas échéant, cadre de protection des données UE–États-Unis).
4.6 Sécurité
- chiffrement des communications en transit (TLS/HTTPS) ;
- authentification obligatoire et règles d'accès cloisonnant les données par boutique : un Commerçant n'accède qu'à ses propres données ;
- hébergement dans des centres de données de l'Union européenne bénéficiant des certifications de Google Cloud (notamment ISO 27001) ;
- sauvegardes régulières et journalisation des accès ;
- application du principe de moindre privilège pour les accès internes.
4.7 Vos droits
Toute personne concernée dispose des droits d'accès, de rectification, d'effacement, de portabilité de ses données, ainsi que des droits à la limitation du traitement et d'opposition, dans les conditions prévues par le RGPD.
- Commerçants et Utilisateurs : exercez vos droits en écrivant à [EMAIL CONTACT]. Une réponse vous sera apportée dans un délai d'un mois, prolongeable dans les conditions prévues par le RGPD.
- Clients finaux : vos données sont gérées par votre commerçant, qui en est le responsable de traitement : adressez-lui directement vos demandes. L'Éditeur assiste le commerçant pour y répondre (voir DPA) et transmet sans délai au commerçant concerné toute demande qui lui parviendrait directement.
Vous disposez également du droit d'introduire une réclamation auprès de la CNIL (www.cnil.fr — 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07).
4.8 Cookies et traceurs
Le Service utilise uniquement des traceurs strictement nécessaires à son fonctionnement (authentification, maintien de session, préférences d'affichage). Ces traceurs sont exemptés de consentement au sens des lignes directrices de la CNIL. Le Service n'utilise aucun cookie publicitaire ni traceur de tiers à des fins de suivi.
4.9 Modification de la présente politique
La présente politique peut être mise à jour pour refléter les évolutions du Service ou de la réglementation. La date de dernière mise à jour figure en tête de page ; toute évolution substantielle est portée à la connaissance des Clients par email ou via le Service.
↑ Retour en haut5. Accord de sous-traitance des données (DPA)
Résumé opérationnel de l'accord de traitement des données conclu, au sens de l'article 28 du RGPD, entre le Commerçant (responsable de traitement) et l'Éditeur (sous-traitant). Le présent accord fait partie intégrante du contrat d'abonnement au Service.
5.1 Objet
Le présent accord encadre le traitement, par l'Éditeur pour le compte du Commerçant, des données personnelles des Clients finaux du Commerçant dans le cadre de la fourniture du Service.
5.2 Durée
L'accord s'applique pendant toute la durée de l'abonnement (essai gratuit inclus), prolongée de la période de réversibilité de 30 jours prévue à l'article 8 des CGV.
5.3 Nature et finalité du traitement
- Nature : hébergement, stockage, structuration, consultation, mise à jour, export et suppression des données via les fonctionnalités du Service ; sauvegardes techniques.
- Finalité : permettre au Commerçant de gérer son programme de fidélité (points, bons, historique de ses clients). L'Éditeur ne traite pas ces données pour son propre compte.
5.4 Catégories de données et de personnes concernées
- Personnes concernées : les clients (et prospects fidélisés) du Commerçant.
- Catégories de données : identité (nom, prénom), coordonnées (téléphone, email le cas échéant), données de fidélité (points, bons, historique de passages, notes commerciales du Commerçant).
- Exclusion : aucune donnée sensible (article 9 du RGPD) ni donnée relative à des condamnations (article 10) ne doit être confiée au Service ; le Commerçant en fait son affaire.
5.5 Instructions documentées
L'Éditeur traite les données uniquement sur instructions documentées du Commerçant. Constituent des instructions documentées : l'utilisation des fonctionnalités du Service et son paramétrage par le Commerçant, ainsi que toute instruction écrite complémentaire adressée à [EMAIL CONTACT].
Si l'Éditeur estime qu'une instruction constitue une violation du RGPD ou d'une autre disposition applicable en matière de protection des données, il en informe immédiatement le Commerçant.
5.6 Confidentialité
L'Éditeur veille à ce que les personnes autorisées à traiter les données (personnel, prestataires habilités) soient soumises à une obligation de confidentialité contractuelle ou légale appropriée.
5.7 Sécurité (article 32 du RGPD)
L'Éditeur met en œuvre les mesures techniques et organisationnelles appropriées, notamment :
- authentification obligatoire et règles d'accès cloisonnées par boutique (un compte n'accède qu'aux données de sa propre boutique) ;
- chiffrement des données en transit (TLS/HTTPS) ;
- hébergement exclusivement dans la région Europe (« eur3 ») de Google Cloud, au sein de l'Union européenne ;
- sauvegardes régulières et journalisation des accès ;
- moindre privilège et revue des accès internes.
5.8 Sous-traitants ultérieurs
Le Commerçant donne son autorisation générale au recours à des sous-traitants ultérieurs. La liste au jour de la présente version est :
- Google Cloud / Firebase (Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irlande) — hébergement, base de données, authentification — région Europe (« eur3 »).
L'Éditeur informe le Commerçant de tout ajout ou remplacement de sous-traitant ultérieur au moins 30 jours avant sa prise d'effet. Le Commerçant peut formuler une objection légitime ; en l'absence de solution alternative raisonnable, il peut résilier son abonnement dans les conditions de l'article 7 des CGV. L'Éditeur impose à ses sous-traitants ultérieurs des obligations équivalentes à celles du présent accord et demeure pleinement responsable envers le Commerçant de leur exécution.
5.9 Assistance au Commerçant
Compte tenu de la nature du traitement, l'Éditeur aide le Commerçant, par des mesures techniques et organisationnelles appropriées :
- à donner suite aux demandes d'exercice des droits des personnes concernées (accès, rectification, effacement, portabilité, limitation, opposition), notamment grâce aux fonctions de consultation, de modification, de suppression et d'export du Service ;
- à garantir le respect de ses obligations de sécurité, de notification des violations et, le cas échéant, d'analyse d'impact (AIPD), en fournissant les informations raisonnablement nécessaires dont il dispose.
5.10 Notification des violations de données
En cas de violation de données personnelles affectant les données traitées pour le compte du Commerçant, l'Éditeur notifie le Commerçant dans un délai maximal de 48 heures après en avoir pris connaissance, à l'adresse email du compte. La notification comprend, dans la mesure des informations disponibles : la nature de la violation, les catégories et le volume approximatif de données et de personnes concernées, les conséquences probables et les mesures prises ou proposées. L'Éditeur documente la violation et coopère avec le Commerçant pour ses propres obligations de notification (CNIL, personnes concernées).
5.11 Sort des données au terme du contrat
Au terme de l'abonnement, et conformément à l'article 8 des CGV :
- le Commerçant peut restituer ses données par export CSV complet, à tout moment pendant l'abonnement et pendant les 30 jours de la période de réversibilité ;
- à l'issue de cette période, l'Éditeur supprime définitivement l'ensemble des données traitées pour le compte du Commerçant de ses systèmes actifs, sauf obligation légale de conservation ; les copies de sauvegarde techniques résiduelles expirent selon leur cycle normal de rotation, sans réutilisation.
5.12 Audit et documentation
L'Éditeur met à la disposition du Commerçant les informations nécessaires pour démontrer le respect des obligations du présent accord. Le Commerçant peut en outre demander un audit, dans des conditions raisonnables :
- au maximum une fois par période de 12 mois, sauf violation avérée ou demande d'une autorité de contrôle ;
- moyennant un préavis écrit de 30 jours, pendant les heures ouvrées, sans perturber le Service ni compromettre la sécurité ou la confidentialité des données des autres clients ;
- aux frais du Commerçant, l'audit pouvant être réalisé par un tiers indépendant non concurrent de l'Éditeur, tenu à la confidentialité ;
- pour la couche d'infrastructure, l'audit peut s'appuyer sur les certifications et rapports d'audit publiés par Google Cloud (notamment ISO 27001 et rapports SOC).