Commencer à créer
Commencer à créer
Juridique

Accord de traitement des données de QR Code AI

Cet accord de traitement des données (DPA) définit comment QR Code AI traite des données personnelles pour le compte de ses clients, conformément au RGPD et aux réglementations applicables en matière de protection des données.

ACCORD DE TRAITEMENT DES DONNÉES (DPA)

Dernière mise à jour le 2 mars 2026

Le présent accord de traitement des données (« DPA ») fait partie intégrante des Conditions d’utilisation (« Contrat ») conclues entre Supernovae, société immatriculée en France au 27 Rue Wurtz, Juvisy-sur-Orge 91260, numéro de TVA FR67948452891 (« Sous-traitant », « nous », « notre »), et l’entité acceptant le présent DPA (« Responsable de traitement », « vous »), ensemble désignées les « Parties ».

Le présent DPA s’applique lorsque nous traitons des données personnelles pour votre compte dans le cadre de nos services QR Code AI, y compris via l’API.

1. DÉFINITIONS

  • « Données personnelles » désigne toute information se rapportant à une personne physique identifiée ou identifiable, telle que définie à l’article 4(1) du RGPD.
  • « Traitement » désigne toute opération ou tout ensemble d’opérations effectuées sur des Données personnelles, telle que définie à l’article 4(2) du RGPD.
  • « Personne concernée » désigne la personne physique identifiée ou identifiable à laquelle se rapportent les Données personnelles.
  • « Sous-traitant ultérieur » désigne tout tiers engagé par le Sous-traitant pour traiter des Données personnelles pour le compte du Responsable de traitement.
  • « RGPD » désigne le Règlement (UE) 2016/679 du Parlement européen et du Conseil.
  • « UK GDPR » désigne le RGPD tel que transposé en droit britannique par le Data Protection Act 2018.
  • « CCT » désigne les Clauses Contractuelles Types approuvées par la Commission européenne pour le transfert de Données personnelles vers des pays tiers.
  • « Violation de données » désigne une violation de la sécurité entraînant la destruction, la perte, l’altération, la divulgation non autorisée de Données personnelles, ou l’accès non autorisé à celles-ci, de manière accidentelle ou illicite.

2. CHAMP D’APPLICATION ET RÔLES

2.1 Responsable de traitement et Sous-traitant

Aux fins du présent DPA :

  • Vous (Responsable de traitement) : vous déterminez les finalités et les moyens du traitement des Données personnelles lorsque vous utilisez nos Services, notamment lorsque vous utilisez notre API pour générer des QR codes pour vos propres clients ou intégrer nos Services à vos produits.
  • Nous (Sous-traitant) : nous traitons des Données personnelles pour votre compte conformément à vos instructions, comme décrit dans le présent DPA et le Contrat.

2.2 Quand ce DPA s’applique

Le présent DPA s’applique lorsque :

  • Vous utilisez l’API QR Code AI pour générer des QR codes qui traitent les données de vos utilisateurs finaux (par exemple, des URL contenant des informations personnelles, des données vCard, des coordonnées encodées dans des QR codes).
  • Vous utilisez les fonctionnalités de suivi et de statistiques de QR Code AI qui collectent des données de scan auprès de vos utilisateurs finaux.
  • Tout autre scénario dans lequel nous traitons des Données personnelles pour votre compte en tant que sous-traitant.

Lorsque vous utilisez QR Code AI en tant qu’utilisateur individuel pour vos propres besoins, nous agissons en tant que responsable de traitement indépendant et notre Politique de confidentialité régit le traitement des données.

3. DÉTAILS DU TRAITEMENT DES DONNÉES

3.1 Objet et durée

Nous traitons des Données personnelles pendant la durée du Contrat afin de fournir les services QR Code AI, y compris la génération de QR codes, le suivi, les statistiques et les fonctionnalités associées.

3.2 Nature et finalité du traitement

  • Génération de QR codes à partir des données saisies fournies par le Responsable de traitement
  • Suivi des scans de QR codes et collecte de données de statistiques
  • Stockage des configurations de QR codes et des métadonnées associées
  • Traitement des demandes de QR code artistique généré par IA
  • Mise à disposition de rapports et de tableaux de bord de statistiques

3.3 Types de Données personnelles

Les types de Données personnelles traitées peuvent inclure :

  • Des informations de contact (noms, adresses e-mail, numéros de téléphone) encodées dans des QR codes
  • Des URL et adresses web
  • Des données de localisation issues des scans de QR codes
  • Des informations sur l’appareil et des adresses IP issues des scans de QR codes
  • Des prompts texte et des images fournis pour la génération de QR codes par IA
  • Toute autre donnée que le Responsable de traitement choisit d’encoder dans des QR codes

3.4 Catégories de personnes concernées

  • Utilisateurs finaux qui scannent des QR codes créés par le Responsable de traitement
  • Personnes dont les informations de contact sont encodées dans des QR codes
  • Utilisateurs des produits ou services du Responsable de traitement qui interagissent avec des QR codes

4. OBLIGATIONS DU SOUS-TRAITANT

4.1 Instructions de traitement

Nous traiterons les Données personnelles uniquement sur la base de vos instructions documentées, sauf si le droit de l’UE ou d’un État membre auquel nous sommes soumis nous impose de procéder autrement. Dans ce cas, nous vous informerons de cette obligation légale avant le traitement, sauf si le droit interdit une telle information pour des motifs importants d’intérêt public.

4.2 Confidentialité

Nous veillons à ce que les personnes autorisées à traiter des Données personnelles se soient engagées à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.

4.3 Mesures de sécurité

Nous mettons en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, notamment :

  • Chiffrement des Données personnelles en transit (TLS/HTTPS) et au repos
  • Contrôles d’accès et authentification basée sur les rôles pour les systèmes internes
  • Évaluations de sécurité régulières et scans de vulnérabilités
  • Infrastructure hébergée auprès de fournisseurs certifiés ISO 27001
  • Protection DDoS et pare-feu applicatif web (Cloudflare)
  • Sauvegardes régulières avec stockage chiffré
  • Journalisation et surveillance des accès aux Données personnelles

4.4 Sous-traitants ultérieurs

Nous faisons appel aux sous-traitants ultérieurs listés sur notre page des sous-traitants. Nous vous notifierons toute modification envisagée des sous-traitants ultérieurs en mettant à jour cette page. Vous pouvez vous opposer à un nouveau sous-traitant ultérieur en nous contactant à [email protected] dans un délai de 30 jours suivant la mise à jour. En cas d’opposition et si nous ne pouvons raisonnablement y répondre, l’une ou l’autre des Parties peut résilier la partie des Services concernée.

Nous concluons des accords écrits avec tous les sous-traitants ultérieurs imposant des obligations de protection des données au moins aussi protectrices que celles prévues par le présent DPA.

4.5 Droits des personnes concernées

Nous vous assisterons pour répondre aux demandes des Personnes concernées exerçant leurs droits au titre du droit applicable en matière de protection des données (accès, rectification, effacement, limitation, portabilité, opposition). Si nous recevons directement une demande d’une Personne concernée, nous la redirigerons sans délai vers vous, sauf instruction contraire.

4.6 Assistance à la conformité

Nous vous assisterons afin de garantir le respect de vos obligations au titre des articles 32 à 36 du RGPD, en tenant compte de la nature du traitement et des informations dont nous disposons.

5. NOTIFICATION DES VIOLATIONS DE DONNÉES

5.1 Délai de notification

Nous vous notifierons toute Violation de données sans retard injustifié et, en tout état de cause, dans un délai de 72 heures à compter du moment où nous en avons eu connaissance. La notification sera envoyée à l’adresse e-mail associée à votre compte.

5.2 Contenu de la notification

La notification comprendra, dans la mesure du possible :

  • Une description de la nature de la Violation de données, y compris les catégories et le nombre approximatif de Personnes concernées et d’enregistrements affectés.
  • Le nom et les coordonnées de notre point de contact en matière de protection des données.
  • Une description des conséquences probables de la Violation de données.
  • Une description des mesures prises ou proposées pour remédier à la Violation de données, y compris les mesures visant à atténuer ses éventuels effets négatifs.

5.3 Coopération continue

Nous coopérerons avec vous et fournirons une assistance raisonnable pour enquêter sur toute Violation de données, l’atténuer et y remédier, ainsi que pour effectuer les notifications aux autorités de contrôle ou aux Personnes concernées que vous êtes tenu d’effectuer.

6. TRANSFERTS INTERNATIONAUX DE DONNÉES

6.1 Localisation des données

Les Données personnelles sont principalement stockées et traitées dans l’Union européenne :

  • France (UE) via Scaleway
  • Pays-Bas (UE) via DigitalOcean

6.2 Transferts hors UE/EEE

Certains de nos sous-traitants ultérieurs sont situés en dehors de l’UE/EEE, principalement aux États-Unis. Pour ces transferts, nous nous appuyons sur :

  • EU-US Data Privacy Framework : lorsque applicable, pour les transferts vers des prestataires basés aux États-Unis certifiés au titre du cadre.
  • Clauses Contractuelles Types (CCT) : nous intégrons les CCT approuvées par la Commission européenne (décision d’exécution (UE) 2021/914) dans nos accords avec les sous-traitants ultérieurs situés hors UE/EEE lorsque le Data Privacy Framework ne s’applique pas.

6.3 Évaluation d’impact des transferts

Nous réalisons des évaluations d’impact des transferts vers des pays tiers et mettons en œuvre, lorsque nécessaire, des mesures supplémentaires afin d’assurer un niveau adéquat de protection des données.

7. AUDITS ET INSPECTIONS

7.1 Droit d’audit

Vous avez le droit d’auditer notre conformité au présent DPA. Nous mettrons à votre disposition toutes les informations nécessaires pour démontrer la conformité et permettre la réalisation d’audits, y compris des inspections, menés par vous ou par un auditeur mandaté par vous, et nous y contribuerons.

7.2 Modalités d’audit

Les audits sont soumis aux conditions suivantes :

  • Vous devez fournir un préavis écrit d’au moins 30 jours avant tout audit.
  • Les audits ne peuvent être réalisés plus d’une fois par an, sauf exigence d’une autorité de contrôle ou à la suite d’une Violation de données.
  • Les audits doivent être réalisés pendant les heures ouvrables normales et ne doivent pas perturber de manière déraisonnable nos opérations.
  • Vous supportez les coûts de tout audit, sauf si l’audit révèle un manquement substantiel au présent DPA.
  • Les informations confidentielles de nos autres clients ne doivent pas être exposées pendant l’audit.

8. CONSERVATION ET SUPPRESSION DES DONNÉES

8.1 Pendant le Contrat

Nous conservons les Données personnelles pendant la durée du Contrat, dans la mesure nécessaire à la fourniture des Services.

8.2 À la résiliation

À la résiliation du Contrat ou sur votre demande écrite :

  • Nous supprimerons les Données personnelles de nos systèmes actifs dans un délai de 30 jours.
  • Les Données personnelles présentes dans les archives de sauvegarde seront purgées dans un délai de 6 mois.
  • Nous pouvons conserver des Données personnelles dans la mesure requise par le droit applicable (par exemple, obligations fiscales, comptables). Dans ce cas, nous isolerons et protégerons ces données et limiterons tout traitement ultérieur à ce qui est exigé par la loi.

8.3 Attestation

Sur votre demande, nous fournirons une confirmation écrite indiquant que les Données personnelles ont été supprimées conformément à la présente section.

9. RESPONSABILITÉ

La responsabilité de chaque Partie au titre du présent DPA est soumise aux limitations de responsabilité prévues dans le Contrat. Rien dans le présent DPA ne limite la responsabilité de l’une ou l’autre des Parties envers les Personnes concernées ou les autorités de contrôle au titre du droit applicable en matière de protection des données.

10. DROIT APPLICABLE

Le présent DPA est régi par le droit français. Pour les Personnes concernées dans l’UE, le RGPD s’applique. Pour les Personnes concernées au Royaume-Uni, le UK GDPR s’applique. Tout litige découlant du présent DPA sera résolu conformément aux dispositions de règlement des litiges prévues dans le Contrat.

11. COMMENT EXÉCUTER CE DPA

Le présent DPA est intégré aux Conditions d’utilisation et en fait partie. En utilisant les Services QR Code AI, vous acceptez le présent DPA.

Si vous avez besoin d’une copie du présent DPA signée séparément pour vos archives, veuillez nous contacter à [email protected] et nous vous en fournirons une dans un délai de 10 jours ouvrés.

12. CONTACT

Pour toute question concernant ce DPA ou nos pratiques de traitement des données :

Supernovae 27 Rue Wurtz Juvisy-sur-Orge, Ile-de-France 91260 France [email protected]

Commencez à créer des QR codes avec QR Code AI

QR Code AI vous permet de générer des QR codes personnalisés avec des designs propulsés par IA, des couleurs de marque et des statistiques de scan en temps réel. Choisissez parmi plus de 1 200 modèles, téléchargez en PNG, SVG ou PDF, et suivez chaque scan dans 109 langues prises en charge.

Créer votre QR code gratuit