Accord de traitement des données de QR Code AI

ACCORD DE TRAITEMENT DES DONNÉES (DPA)

Dernière mise à jour : 2 mars 2026

Le présent accord de traitement des données (« DPA ») fait partie des Conditions d’utilisation (« Contrat ») entre Supernovae, une société enregistrée en France au 27 Rue Wurtz, Juvisy-sur-Orge 91260, numéro de TVA FR67948452891 (« Sous-traitant », « nous », « notre »), et l’entité qui accepte ce DPA (« Responsable du traitement », « toi »), collectivement appelées les « Parties ».

Le présent DPA s’applique lorsque nous traitons des renseignements personnels en ton nom dans le cadre de nos services QR Code AI, y compris via l’API.

1. DÉFINITIONS

• « Renseignements personnels » : toute information se rapportant à une personne physique identifiée ou identifiable, au sens de l’article 4(1) du RGPD.
• « Traitement » : toute opération ou tout ensemble d’opérations effectuées sur des Renseignements personnels, au sens de l’article 4(2) du RGPD.
• « Personne concernée » : la personne physique identifiée ou identifiable à laquelle se rapportent les Renseignements personnels.
• « Sous-traitant ultérieur » : tout tiers engagé par le Sous-traitant pour traiter des Renseignements personnels pour le compte du Responsable du traitement.
• « RGPD » : le Règlement (UE) 2016/679 du Parlement européen et du Conseil.
• « UK GDPR » : le RGPD tel qu’il est transposé dans le droit du Royaume-Uni par le Data Protection Act 2018.
• « CCT » : les clauses contractuelles types approuvées par la Commission européenne pour le transfert de Renseignements personnels vers des pays tiers.
• « Incident de sécurité » : une violation de la sécurité entraînant la destruction, la perte, l’altération, la divulgation non autorisée de Renseignements personnels, ou l’accès non autorisé à ceux-ci, de façon accidentelle ou illicite.

2. PORTÉE ET RÔLES

2.1 Responsable du traitement et sous-traitant

Aux fins du présent DPA :

• Toi (Responsable du traitement) : tu détermines les finalités et les moyens du traitement des Renseignements personnels lorsque tu utilises nos Services, notamment quand tu utilises notre API pour générer des codes QR pour tes propres clients ou intégrer nos Services à tes produits.
• Nous (Sous-traitant) : nous traitons des Renseignements personnels en ton nom selon tes instructions, comme décrit dans le présent DPA et le Contrat.

2.2 Quand ce DPA s’applique

Le présent DPA s’applique lorsque :

• Tu utilises l’API de QR Code AI pour générer des codes QR qui traitent les données de tes utilisateurs finaux (p. ex., des URL contenant des renseignements personnels, des données vCard, des coordonnées encodées dans des codes QR).
• Tu utilises les fonctionnalités de suivi de codes QR et d’analytique de QR Code AI qui collectent des données de scan auprès de tes utilisateurs finaux.
• Tout autre scénario où nous traitons des Renseignements personnels en ton nom à titre de sous-traitant.

Quand tu utilises QR Code AI comme utilisateur individuel pour tes propres besoins, nous agissons comme responsable du traitement indépendant et notre Politique de confidentialité encadre le traitement des données.

3. DÉTAILS DU TRAITEMENT DES DONNÉES

3.1 Objet et durée

Nous traitons des Renseignements personnels pendant la durée du Contrat afin de fournir les services QR Code AI, y compris la génération de codes QR, le suivi, l’analytique et les fonctionnalités connexes.

3.2 Nature et finalité du traitement

• Générer des codes QR à partir des données d’entrée fournies par le Responsable du traitement
• Suivre les scans de codes QR et collecter des données d’analytique
• Stocker les configurations de codes QR et les métadonnées associées
• Traiter les demandes d’art de code QR générées par IA
• Fournir des rapports et des tableaux de bord d’analytique

3.3 Types de renseignements personnels

Les types de Renseignements personnels traités peuvent inclure :

• Des coordonnées (noms, adresses de courriel, numéros de téléphone) encodées dans des codes QR
• Des URL et des adresses web
• Des données de localisation issues des scans de codes QR
• Des informations sur l’appareil et des adresses IP issues des scans de codes QR
• Des invites de texte et des images fournies pour la génération de codes QR par IA
• Toute autre donnée que le Responsable du traitement choisit d’encoder dans des codes QR

3.4 Catégories de personnes concernées

• Les utilisateurs finaux qui scannent des codes QR créés par le Responsable du traitement
• Les personnes dont les coordonnées sont encodées dans des codes QR
• Les utilisateurs des produits ou services du Responsable du traitement qui interagissent avec des codes QR

4. OBLIGATIONS DU SOUS-TRAITANT

4.1 Instructions de traitement

Nous traiterons les Renseignements personnels uniquement selon tes instructions documentées, sauf si le droit de l’UE ou d’un État membre auquel nous sommes assujettis nous oblige à le faire. Dans ce cas, nous t’informerons de cette exigence légale avant le traitement, sauf si la loi interdit une telle information pour des motifs importants d’intérêt public.

4.2 Confidentialité

Nous veillons à ce que les personnes autorisées à traiter des Renseignements personnels se soient engagées à la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.

4.3 Mesures de sécurité

Nous mettons en place des mesures techniques et organisationnelles appropriées afin d’assurer un niveau de sécurité adapté au risque, notamment :

• Chiffrement des Renseignements personnels en transit (TLS/HTTPS) et au repos
• Contrôles d’accès et authentification basée sur les rôles pour les systèmes internes
• Évaluations de sécurité régulières et analyses de vulnérabilités
• Infrastructure hébergée chez des fournisseurs certifiés ISO 27001
• Protection DDoS et pare-feu d’application web (Cloudflare)
• Sauvegardes régulières avec stockage chiffré
• Journalisation et surveillance des accès aux Renseignements personnels

4.4 Sous-traitants ultérieurs

Nous utilisons les sous-traitants ultérieurs listés sur notre page des sous-traitants. Nous t’aviserons de tout changement prévu en mettant à jour cette page. Tu peux t’opposer à un nouveau sous-traitant ultérieur en nous écrivant à [email protected] dans les 30 jours suivant la mise à jour. Si tu t’y opposes et que nous ne pouvons pas raisonnablement tenir compte de ton objection, l’une ou l’autre des Parties peut résilier la portion des Services concernée.

Nous concluons des ententes écrites avec tous les sous-traitants ultérieurs qui imposent des obligations de protection des données au moins aussi protectrices que celles du présent DPA.

4.5 Droits des personnes concernées

Nous t’aiderons à répondre aux demandes des Personnes concernées qui exercent leurs droits en vertu des lois applicables en protection des données (accès, rectification, effacement, limitation, portabilité, opposition). Si nous recevons une demande directement d’une Personne concernée, nous la redirigerons rapidement vers toi, sauf instruction contraire.

4.6 Assistance à la conformité

Nous t’aiderons à assurer la conformité à tes obligations en vertu des articles 32 à 36 du RGPD, en tenant compte de la nature du traitement et des informations dont nous disposons.

5. AVIS D’INCIDENT DE SÉCURITÉ

5.1 Délai d’avis

Nous t’aviserons d’un Incident de sécurité sans délai indu, et dans tous les cas dans les 72 heures suivant le moment où nous en prenons connaissance. L’avis sera envoyé à l’adresse de courriel associée à ton compte.

5.2 Contenu de l’avis

L’avis inclura, dans la mesure où l’information est disponible :

• Une description de la nature de l’Incident de sécurité, y compris les catégories et le nombre approximatif de Personnes concernées et d’enregistrements touchés.
• Le nom et les coordonnées de notre point de contact en protection des données.
• Une description des conséquences probables de l’Incident de sécurité.
• Une description des mesures prises ou proposées pour traiter l’Incident de sécurité, y compris des mesures visant à atténuer ses effets négatifs possibles.

5.3 Coopération continue

Nous coopérerons avec toi et fournirons une aide raisonnable pour enquêter, atténuer et corriger tout Incident de sécurité, ainsi que pour effectuer les avis aux autorités de contrôle ou aux Personnes concernées que tu dois faire.

6. TRANSFERTS INTERNATIONAUX DE DONNÉES

6.1 Emplacement des données

Les Renseignements personnels sont principalement stockés et traités dans l’Union européenne :

• France (UE) via Scaleway
• Pays-Bas (UE) via DigitalOcean

6.2 Transferts hors UE/EEE

Certains de nos sous-traitants ultérieurs sont situés hors de l’UE/EEE, principalement aux États-Unis. Pour ces transferts, nous nous appuyons sur :

• EU-US Data Privacy Framework : lorsque applicable, pour les transferts vers des fournisseurs basés aux États-Unis certifiés dans le cadre du programme.
• Clauses contractuelles types (CCT) : nous intégrons les CCT approuvées par la Commission européenne (décision d’exécution (UE) 2021/914) dans nos ententes avec des sous-traitants ultérieurs situés hors de l’UE/EEE lorsque le Data Privacy Framework ne s’applique pas.

6.3 Évaluation de l’impact des transferts

Nous effectuons des évaluations de l’impact des transferts vers des pays tiers et mettons en place des mesures supplémentaires au besoin afin d’assurer un niveau adéquat de protection des données.

7. AUDITS ET INSPECTIONS

7.1 Droit d’audit

Tu as le droit d’auditer notre conformité au présent DPA. Nous mettrons à ta disposition toutes les informations nécessaires pour démontrer la conformité et permettrons les audits, y compris les inspections, menés par toi ou par un auditeur mandaté par toi, et nous y contribuerons.

7.2 Processus d’audit

Les audits sont soumis aux conditions suivantes :

• Tu dois fournir un préavis écrit d’au moins 30 jours avant tout audit.
• Les audits ne peuvent pas être effectués plus d’une fois par année, sauf si une autorité de contrôle l’exige ou à la suite d’un Incident de sécurité.
• Les audits doivent être effectués pendant les heures normales d’affaires et ne doivent pas nuire de façon déraisonnable à nos opérations.
• Tu assumes les coûts de tout audit, sauf si l’audit révèle une violation importante du présent DPA.
• Les informations confidentielles de nos autres clients ne doivent pas être exposées pendant l’audit.

8. CONSERVATION ET SUPPRESSION DES DONNÉES

8.1 Pendant le Contrat

Nous conservons les Renseignements personnels pendant la durée du Contrat, dans la mesure nécessaire pour fournir les Services.

8.2 À la résiliation

À la résiliation du Contrat ou sur demande écrite de ta part :

• Nous supprimerons les Renseignements personnels de nos systèmes actifs dans un délai de 30 jours.
• Les Renseignements personnels dans les archives de sauvegarde seront purgés dans un délai de 6 mois.
• Nous pouvons conserver des Renseignements personnels dans la mesure exigée par la loi applicable (p. ex., obligations fiscales et comptables). Dans ce cas, nous isolerons et protégerons ces données et limiterons tout traitement ultérieur à ce qui est requis par la loi.

8.3 Attestation

Sur demande, nous te fournirons une confirmation écrite indiquant que les Renseignements personnels ont été supprimés conformément à la présente section.

9. RESPONSABILITÉ

La responsabilité de chaque Partie en vertu du présent DPA est assujettie aux limitations de responsabilité prévues au Contrat. Rien dans le présent DPA ne limite la responsabilité de l’une ou l’autre des Parties envers les Personnes concernées ou les autorités de contrôle en vertu des lois applicables en protection des données.

10. DROIT APPLICABLE

Le présent DPA est régi par les lois de la France. Pour les Personnes concernées dans l’UE, le RGPD s’applique. Pour les Personnes concernées au Royaume-Uni, le UK GDPR s’applique. Tout différend découlant du présent DPA sera réglé conformément aux dispositions de règlement des différends du Contrat.

11. COMMENT EXÉCUTER CE DPA

Le présent DPA est intégré aux Conditions d’utilisation et en fait partie. En utilisant les Services QR Code AI, tu acceptes le présent DPA.

Si tu as besoin d’une copie signée séparément du présent DPA pour tes dossiers, écris-nous à [email protected] et nous t’en fournirons une dans un délai de 10 jours ouvrables.

12. CONTACT

Pour toute question sur ce DPA ou nos pratiques de traitement des données :

Supernovae 27 Rue Wurtz Juvisy-sur-Orge, Ile-de-France 91260 France [email protected]