Accord de traitement des données
Date d'entrée en vigueur : 1er janvier 2026
Cet Accord de traitement des données complète les Conditions d'utilisation et s'applique lorsque le Client utilise les fonctionnalités Business du Service NAOA pour traiter les données personnelles des clients du Client.
1. Définitions
Responsable du traitement désigne le Client, qui détermine les finalités et les moyens du traitement des Données personnelles.
Sous-traitant désigne Aleksander Popek (NAOA), qui traite les Données personnelles pour le compte du Responsable du traitement.
Données personnelles désigne toute information concernant une personne physique identifiée ou identifiable.
Données Client désigne les Données personnelles que le Client télécharge vers le Service ou donne instruction au Sous-traitant de traiter.
Personne concernée désigne l'individu dont les Données personnelles sont traitées (clients du Client).
Sous-traitant ultérieur désigne un tiers engagé par le Sous-traitant pour traiter des Données personnelles.
CCT désigne les Clauses contractuelles types approuvées par la Commission européenne pour les transferts internationaux de données.
Lois sur la protection des données désigne le RGPD et toute autre législation applicable en matière de protection des données.
2. Portée et rôles
2.1 Application. Cet ATD s'applique lorsque le Client utilise les fonctionnalités Business pour créer et stocker des profils des clients du Client et traiter des Données personnelles d'individus autres que le Client.
2.2 Rôles. Le Client est le Responsable du traitement – Le Client détermine les finalités et les moyens du traitement des Données Client. NAOA est le Sous-traitant – NAOA traite les Données Client uniquement sur instructions documentées du Client.
2.3 Responsabilités du Client en tant que Responsable du traitement. Le Client est responsable de s'assurer qu'une base légale existe pour tout traitement (par ex., consentement, intérêt légitime), fournir des instructions claires et licites au Sous-traitant, informer les Personnes concernées du traitement et de leurs droits, répondre aux demandes des Personnes concernées et respecter toutes les Lois sur la protection des données applicables.
3. Détails du traitement
3.1 Objet. Le Sous-traitant fournit des services d'analyse numérologique et de CRM, notamment le stockage des profils clients, la génération d'analyses numérologiques et la gestion des données clients.
3.2 Durée. Le traitement se poursuit pendant la durée de l'abonnement du Client, plus une période de conservation des données de 30 jours après la résiliation.
3.3 Types de Données personnelles. Nom, date de naissance, rapports numérologiques générés par l'IA et toute donnée supplémentaire que le Client choisit de télécharger.
3.4 Catégories de Personnes concernées. Clients du Client et individus dont le Client crée des profils dans le Service.
3.5 Finalité. Traitement des Données Client uniquement pour fournir le Service tel que décrit dans l'Accord.
4. Obligations du Sous-traitant
4.1 Instructions de traitement. Le Sous-traitant traite les Données Client uniquement sur instructions documentées du Responsable du traitement, considère l'utilisation des fonctionnalités du Service par le Client comme des instructions documentées et informe le Responsable du traitement si une instruction enfreint les Lois sur la protection des données.
4.2 Confidentialité. Le Sous-traitant s'assure que le personnel autorisé à traiter les Données Client est lié par des obligations de confidentialité et l'accès aux Données Client est limité à ceux qui en ont besoin pour accomplir leurs tâches.
4.3 Mesures de sécurité. Le Sous-traitant met en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, notamment le chiffrement des données en transit (TLS/HTTPS) et au repos, les contrôles d'accès avec le principe du moindre privilège, la surveillance et revues de sécurité régulières et les procédures de réponse aux incidents. Voir Mesures de sécurité (Section 8) pour plus de détails.
4.4 Sous-traitants ultérieurs. Le Sous-traitant maintient une liste des Sous-traitants ultérieurs autorisés (voir page Sous-traitants), notifie le Responsable du traitement des changements de Sous-traitants ultérieurs en publiant des mises à jour sur la page Sous-traitants, accorde au Responsable du traitement 14 jours pour s'opposer à de nouveaux Sous-traitants ultérieurs, s'assure que les Sous-traitants ultérieurs sont liés par des obligations de protection des données équivalentes à cet ATD et reste responsable de la conformité des Sous-traitants ultérieurs.
4.5 Demandes des Personnes concernées. Le Sous-traitant aide le Responsable du traitement à répondre aux demandes des Personnes concernées, redirige vers le Responsable du traitement toute demande reçue directement et fournit des outils d'export et de suppression de données via le Service.
4.6 Notification de violation de données. En cas de violation de Données personnelles affectant les Données Client, le Sous-traitant notifie le Responsable du traitement sans délai indu, et en tout état de cause dans les 24 heures suivant la prise de connaissance de la violation, fournit des détails sur la violation : nature, catégories de données, nombre approximatif de Personnes concernées, conséquences probables et mesures prises, coopère aux efforts d'enquête et de remédiation du Responsable du traitement et documente toutes les violations et met la documentation à disposition du Responsable du traitement.
4.7 Analyses d'impact relatives à la protection des données. Sur demande, le Sous-traitant aide le Responsable du traitement pour les analyses d'impact relatives à la protection des données et les consultations préalables auprès des autorités de contrôle.
4.8 Audits. Le Sous-traitant met à disposition les informations nécessaires pour démontrer la conformité avec cet ATD, permet les audits et inspections par le Responsable du traitement ou un auditeur mandaté, avec un préavis raisonnable (30 jours) et accepte les certifications tierces pertinentes comme preuve de conformité.
5. Obligations du Responsable du traitement
5.1 Traitement licite. Le Responsable du traitement s'assure qu'une base légale existe pour tout traitement des Données Client, ne donne pas d'instructions qui amèneraient le Sous-traitant à enfreindre les Lois sur la protection des données et obtient tous les consentements nécessaires des Personnes concernées.
5.2 Instructions. Les instructions du Responsable du traitement au Sous-traitant sont : cet ATD et l'Accord, l'utilisation des fonctionnalités et paramètres du Service et les instructions écrites fournies via les canaux de communication officiels.
5.3 Communication avec les Personnes concernées. Le Responsable du traitement est responsable de fournir aux Personnes concernées des avis de confidentialité appropriés, informer les Personnes concernées que leurs données sont traitées via le Service et traiter les demandes et réclamations des Personnes concernées.
6. Transferts internationaux
6.1 Lieu de traitement principal. Les Données Client sont principalement stockées et traitées dans l'Union européenne (région Google Cloud europe-west1, Belgique).
6.2 Transferts par les Sous-traitants ultérieurs. Certains Sous-traitants ultérieurs peuvent traiter des données en dehors de l'UE. Pour ces transferts, le Sous-traitant s'assure que des garanties appropriées sont en place, les transferts vers les États-Unis reposent sur les Clauses contractuelles types (CCT) et les Sous-traitants ultérieurs avec des opérations aux États-Unis ont signé des Accords de traitement des données avec les CCT.
6.3 Mécanismes de transfert. Les mécanismes suivants sont utilisés pour les transferts internationaux : Clauses contractuelles types de l'UE (Module 3 : Sous-traitant à Sous-traitant) et conformité des Sous-traitants ultérieurs aux cadres de protection des données applicables. Voir la page Sous-traitants pour plus de détails sur la localisation et les garanties de chaque Sous-traitant ultérieur.
7. Restitution et suppression des données
7.1 Pendant l'abonnement. Le Responsable du traitement peut exporter les Données Client à tout moment en utilisant les fonctionnalités d'export du Service.
7.2 Après la résiliation. À la résiliation de l'abonnement, le Responsable du traitement dispose de 30 jours pour exporter les Données Client. Après 30 jours, les Données Client sont définitivement supprimées. Le Sous-traitant fournit une certification de suppression sur demande.
7.3 Exceptions. Les Données Client peuvent être conservées au-delà de la période de 30 jours si la loi applicable l'exige, nécessaire pour des procédures judiciaires en cours ou soumis à une obligation de conservation légale. Le Sous-traitant informe le Responsable du traitement de telles exigences de conservation.
8. Mesures de sécurité
Le Sous-traitant met en œuvre les mesures de sécurité techniques et organisationnelles suivantes :
8.1 Chiffrement des données. En transit : TLS 1.2 ou supérieur (HTTPS). Au repos : Chiffrement AES-256 (par défaut Firebase/Google Cloud).
8.2 Contrôle d'accès. Contrôle d'accès basé sur les rôles (RBAC), principe du moindre privilège et authentification multi-facteurs pour l'accès administratif.
8.3 Sécurité de l'infrastructure. Google Cloud Platform (Firebase) avec sécurité de niveau entreprise, données stockées dans la région UE (europe-west1), sauvegardes automatiques avec récupération à un point dans le temps et capacités de redondance et de basculement.
8.4 Sécurité des applications. Validation et assainissement des entrées, protection contre les injections SQL, XSS, CSRF et mises à jour et correctifs de sécurité réguliers.
8.5 Surveillance et réponse aux incidents. Suivi et surveillance des erreurs (Sentry), alertes automatisées pour les événements de sécurité, procédures de réponse aux incidents documentées et examens post-incident.
8.6 Sécurité du personnel. Accords de confidentialité pour tout le personnel, formation à la sensibilisation à la sécurité et vérifications des antécédents le cas échéant.
8.7 Minimisation des données. Collecte limitée aux données nécessaires, anonymisation lorsque c'est possible et revue régulière de la conservation des données.
9. Responsabilité
9.1 Responsabilité du Sous-traitant. Le Sous-traitant est responsable des dommages causés par un traitement qui ne respecte pas les Lois sur la protection des données applicables aux Sous-traitants ou est en dehors ou contraire aux instructions licites du Responsable du traitement.
9.2 Responsabilité du Responsable du traitement. Le Responsable du traitement est responsable des dommages causés par un traitement qui ne respecte pas les Lois sur la protection des données applicables aux Responsables du traitement ou résulte des instructions du Responsable du traitement au Sous-traitant.
9.3 Limitation. La responsabilité en vertu de cet ATD est soumise aux limitations énoncées dans l'Accord (Conditions d'utilisation).
9.4 Indemnisation. Le Responsable du traitement indemnise le Sous-traitant contre les réclamations résultant de la violation des Lois sur la protection des données par le Responsable du traitement, du traitement effectué sur les instructions du Responsable du traitement et des réclamations des Personnes concernées relatives aux obligations du Responsable du traitement.
10. Durée et résiliation
10.1 Durée. Cet ATD est effectif dès l'acceptation de l'Accord par le Client et se poursuit pendant la durée d'utilisation des fonctionnalités Business par le Client.
10.2 Survie. Les dispositions suivantes survivent à la résiliation : obligations de confidentialité, obligations de suppression des données et dispositions relatives à la responsabilité et à l'indemnisation.
11. Modifications
Cet ATD peut être modifié par le Sous-traitant avec un préavis d'au moins 30 jours, pour refléter les modifications des Lois sur la protection des données ou pour mettre à jour les listes de Sous-traitants ultérieurs ou les mesures de sécurité.
L'utilisation continue des fonctionnalités Business après l'entrée en vigueur des modifications constitue acceptation.
12. Contact
Pour toute question concernant cet ATD ou pour exercer des droits en vertu de celui-ci, contactez :
E-mail : hello@naoa.app
Adresse : Aleksander Popek ul. Pawia 3/14 05-803 Pruszków, Pologne
Annexes
Annexe A : Sous-traitants autorisés
Annexe B : Mesures de sécurité – voir Section 8 de cet ATD