Annexe B — Convention de traitement des données (RGPD) - Agence de création d'identité digitale pour les TPE et PME

1. Rôle des parties

Responsable de traitement

Le Client détermine les finalités et moyens du traitement et s’assure de la licéité des données collectées (information, base légale, consentement le cas échéant).

Sous-traitant

Instants Web Agency traite les données uniquement sur instruction documentée du Client et met en œuvre les mesures techniques et organisationnelles appropriées.

Art. 28 RGPD Responsabilité partagée Principe de minimisation

2. Nature, catégories et finalités

2.1 Nature & catégories de données

Données d’identification : nom, prénom, e-mail, téléphone
Données de connexion, logs techniques, adresses IP
Données issues de formulaires (prospects/clients), préférences marketing
Données analytiques (audience, parcours, conversions)

2.2 Finalités

Fourniture des prestations (site, SEO/SEA, web marketing, support)
Hébergement, maintenance, sécurité et continuité d’activité
Mesure d’audience, reporting, amélioration continue
Gestion de la relation client et obligations légales (facturation, comptabilité)

Les traitements ne peuvent poursuivre d’autres finalités sans instruction écrite du Client et mise à jour de la présente annexe.

3. Obligations d’Instants Web Agency (sous-traitant)

Traiter les données uniquement sur instruction documentée du Client et l’informer si une instruction constitue une violation du RGPD.
Garantir la confidentialité et la formation à la protection des données des personnes autorisées à traiter les données.
Mettre en place des mesures techniques et organisationnelles adaptées au risque (chiffrement TLS, sauvegardes, contrôle d’accès, mises à jour de sécurité).
Tenir un registre des catégories d’activités de traitement réalisées pour le Client.
Assister le Client pour répondre aux demandes d’exercice de droits (accès, rectification, effacement, opposition, limitation, portabilité).
Aider le Client à réaliser, si nécessaire, une analyse d’impact (AIPD) et à consulter l’autorité de contrôle.
Notifier au Client toute violation de données à caractère personnel dans un délai raisonnable après en avoir eu connaissance, en communiquant les informations utiles.
À l’issue des prestations, supprimer ou restituer au Client l’ensemble des données et détruire les copies existantes, sauf obligation légale contraire.

4. Sous-traitance ultérieure (sous-traitants de rang 2)

Instants Web Agency ne recourt pas à un autre sous-traitant sans autorisation préalable écrite, générale ou spécifique, du Client. En cas d’autorisation générale, le Prestataire informe le Client des changements prévus afin que celui-ci puisse s’y opposer. Le Prestataire impose à tout sous-traitant ultérieur les mêmes obligations de protection des données que celles définies aux présentes.

5. Localisation des données & transferts

Hébergement prioritairement au sein de l’Union Européenne.
En cas de transfert hors UE/EEE, mise en place d’un fondement juridique valable (décision d’adéquation, Clauses Contractuelles Types, mesures supplémentaires).
Information du Client concernant la nature du transfert et les garanties prévues.

6. Sécurité, sauvegardes & journalisation

Chiffrement TLS des communications, durcissement des accès (MFA selon contexte).
Sauvegardes périodiques (quotidiennes ou hebdomadaires selon contrat) et tests de restauration.
Journalisation des accès administrateurs et traçabilité des opérations sensibles.
Mises à jour régulières du CMS, des extensions et du socle serveur.

Le Client conserve la responsabilité des choix fonctionnels, de la base légale des traitements et de l’information des personnes concernées.

7. Droits des personnes concernées

Instants Web Agency assiste le Client, dans des délais raisonnables, pour permettre l’exercice des droits des personnes (accès, rectification, effacement, opposition, limitation, portabilité), notamment par la mise à disposition d’outils techniques ou par des interventions ciblées.

8. Notification des violations de données

En cas de violation de données à caractère personnel, Instants Web Agency en notifie le Client après en avoir eu connaissance, en indiquant la nature de l’incident, les catégories et le volume de données potentiellement affectées, les conséquences probables et les mesures prises ou proposées. Le Client demeure responsable des notifications à l’autorité de contrôle et, le cas échéant, aux personnes concernées.

9. Audits et contrôles

Sur préavis raisonnable et dans une limite d’une fois par an (hors incident avéré), le Client peut procéder à un audit limité aux mesures de sécurité et processus décrits aux présentes, sans perturber l’exploitation. Les rapports d’audit tiers pertinents pourront être communiqués le cas échéant.

10. Durée, conservation et fin de contrat

La présente annexe est applicable pendant toute la durée des prestations impliquant un traitement de données.
À la fin du contrat, les données sont restituées au Client ou supprimées sous **6 mois**, sauf obligation légale contraire.
Les sauvegardes résiduelles sont purgées selon les cycles techniques habituels.

11. Évolution des instructions

Toute instruction nouvelle ou modifiée du Client ayant un impact sur les coûts, délais ou la sécurité fait l’objet d’une évaluation et, le cas échéant, d’un avenant précisant les ajustements nécessaires.

12. Responsabilité

Chaque Partie est responsable du respect de ses obligations légales et contractuelles. La responsabilité d’Instants Web Agency est limitée conformément aux CGV et ne saurait excéder les montants effectivement payés pour la période au cours de laquelle le manquement est survenu.

Annexe B — Convention de traitement des données (RGPD)