Accord de Traitement des Données (DPA)

**Nature et finalité du traitement :** Le Sous-traitant est autorisé à traiter les données pour les finalités suivantes : • Fourniture de la plateforme SaaS de bien-être et gestion des comptes utilisateurs • Hébergement sécurisé des données et contenus multimédias • Traitement des réservations et des paiements en ligne • Envoi de notifications transactionnelles (confirmations, réinitialisation de mot de passe) • Support technique et maintenance de la plateforme **Types de Données Personnelles traitées :** • Données d'identification (nom, prénom, email, téléphone, adresse) • Données de connexion et techniques (IP, logs, device ID) • Données financières (historique de transactions, tokens de paiement) • Données de profil et préférences (centres d'intérêt, langue) • Données de santé/bien-être (uniquement si renseignées volontairement par l'utilisateur) • Contenus générés par l'utilisateur (messages, commentaires) **Catégories de Personnes Concernées :** • Utilisateurs de la plateforme Retreat And Be • Créateurs de contenu partenaires • Employés du Responsable • Prospects et visiteurs **Durée du traitement :** Le Sous-traitant traitera les Données Personnelles pendant toute la durée du Contrat Principal, sauf instruction contraire du Responsable.

Le Sous-traitant : ✅ Ne traite les Données Personnelles que sur instruction documentée du Responsable ✅ Informe immédiatement le Responsable si une instruction lui semble contraire au RGPD ✅ N'utilise pas les données pour ses propres fins ✅ Ne communique pas les données à des tiers sans autorisation Toute instruction doit être donnée par écrit (email, lettre, interface dédiée). Le Responsable désigne un point de contact contractuel (par exemple l'email indiqué dans le compte Client ou le Contrat Principal). Le Sous-traitant désigne comme points de contact : dpo@retreatandbe.com (RGPD) et security@retreatandbe.com (incidents).

Le Sous-traitant garantit que : ✅ Les personnes autorisées à traiter les Données sont soumises à une obligation de confidentialité (contractuelle ou légale) ✅ L'accès aux Données est limité aux personnes dont les fonctions le requièrent ✅ Ces personnes ont été informées des exigences de sécurité et de confidentialité ✅ Cette obligation survit à la fin du Contrat Le Sous-traitant maintient un registre des personnes ayant accès aux Données.

Conformément à l'article 32 du RGPD, le Sous-traitant met en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque : **Mesures techniques :** • Chiffrement des Données en transit (TLS 1.2+) et au repos (AES-256) • Contrôle d'accès basé sur les rôles (RBAC) • Authentification multi-facteurs pour les accès administrateurs • Pare-feu et systèmes de détection d'intrusion • Sauvegardes régulières et tests de restauration • Journalisation et monitoring des accès **Mesures organisationnelles :** • Politique de sécurité de l'information documentée • Formation régulière du personnel • Gestion des incidents de sécurité • Tests de pénétration annuels • Audits de sécurité réguliers Le Sous-traitant fournit sur demande la documentation relative à ses mesures de sécurité.

Le Responsable donne une autorisation générale au Sous-traitant pour recruter des sous-traitants ultérieurs, sous réserve des conditions suivantes : • Le Sous-traitant maintient une liste à jour des sous-traitants ultérieurs (ci-dessous). • Le Sous-traitant notifie le Responsable au moins 30 jours avant tout changement significatif de cette liste. • Le Responsable peut s'opposer à un nouveau sous-traitant dans un délai de 15 jours à compter de la notification, pour des motifs liés à la protection des données. • Si l'opposition n'est pas résolue, le Responsable peut résilier le Contrat Principal conformément à ses dispositions. Le Sous-traitant impose à ses sous-traitants ultérieurs les mêmes obligations que celles du présent DPA (notamment via un accord conforme à l'article 28 du RGPD). **Liste indicative des principaux sous-traitants ultérieurs (susceptible d'évolution) :** | Nom | Localisation | Traitement effectué | Garanties | |-----|--------------|---------------------|-----------| | **Amazon Web Services (AWS)** | Irlande (UE) | Hébergement et stockage | Certifié ISO 27001, CISPE | | **Stripe** | Irlande / USA | Traitement des paiements | PCI-DSS Niveau 1, SCC | | **Vercel** | USA | Hébergement Front-end / Edge | SOC 2 Type 2, DPA avec SCC | | **SendGrid (Twilio)** | USA | Envoi d'emails transactionnels | BCR, SCC | | **CookieYes** | Royaume-Uni / UE | Gestion du consentement (CMP) | DPA conforme RGPD | | **Google Analytics** | USA | Analyse d'audience | SCC, EU‑U.S. Data Privacy Framework (si applicable) |

Le Sous-traitant aide le Responsable à répondre aux demandes des Personnes Concernées : • **Droit d'accès** (Article 15) : Fournir les données dans un délai de 5 jours ouvrés • **Droit de rectification** (Article 16) : Corriger les données inexactes • **Droit à l'effacement** (Article 17) : Supprimer les données sur instruction • **Droit à la limitation** (Article 18) : Restreindre le traitement • **Droit à la portabilité** (Article 20) : Exporter les données en format structuré • **Droit d'opposition** (Article 21) : Cesser le traitement concerné Le Sous-traitant transmet au Responsable toute demande reçue directement d'une Personne Concernée dans les 48 heures.

En cas de Violation de Données, le Sous-traitant : ⏱️ **Notifie le Responsable dans les 24 heures** suivant la découverte de la violation La notification inclut : • La nature de la violation • Les catégories et le nombre approximatif de Personnes Concernées • Les catégories et le nombre approximatif de données concernées • Le nom et les coordonnées du DPO ou point de contact • Les conséquences probables • Les mesures prises ou proposées Le Sous-traitant coopère pleinement à l'investigation et à la remédiation. **Contact pour signalement :** security@retreatandbe.com

À la fin du Contrat Principal : **Au choix du Responsable (instruction à communiquer 30 jours avant la fin) :** 📤 **Option 1 : Restitution** • Les Données sont exportées dans un format standard (CSV, JSON) • Remises au Responsable via canal sécurisé • Supprimées des systèmes du Sous-traitant après confirmation de réception 🗑️ **Option 2 : Suppression** • Toutes les Données sont supprimées de manière sécurisée • Y compris les copies de sauvegarde (dans un délai de 30 jours) • Attestation de destruction fournie sur demande **Exception :** Le Sous-traitant peut conserver les Données si une obligation légale l'exige (avec information du Responsable).

Le Sous-traitant permet et contribue aux audits : **Audits du Responsable :** • Le Responsable peut auditer le respect du DPA une fois par an • Préavis de 30 jours requis (sauf urgence) • L'audit peut être effectué par le Responsable ou un auditeur mandaté • Le Sous-traitant fournit un accès raisonnable aux locaux, systèmes et documentation • Les coûts de l'audit sont à la charge du Responsable (sauf si non-conformité découverte) **Certifications :** Le Sous-traitant peut démontrer sa conformité via : • Certifications (ISO 27001, SOC 2, etc.) • Rapports d'audit tiers • Questionnaires de sécurité complétés Ces éléments peuvent remplacer un audit sur site, à la discrétion du Responsable.

Les transferts ne sont autorisés que vers : ✅ **Pays avec décision d'adéquation** (Article 45 RGPD) Commission européenne : Andorre, Argentine, Canada (commercial), Îles Féroé, Guernesey, Israël, Île de Man, Japon, Jersey, Nouvelle-Zélande, Suisse, Uruguay, Royaume-Uni, Corée du Sud ✅ **Pays avec garanties appropriées** (Article 46 RGPD) • Clauses Contractuelles Types (SCC) adoptées par la Commission • Binding Corporate Rules (BCR) approuvées • Codes de conduite ou certifications approuvés ✅ **Dérogations** (Article 49 RGPD) • Consentement explicite de la Personne Concernée • Nécessité pour l'exécution du contrat • Motifs importants d'intérêt public

Conformément à l'arrêt Schrems II, le Sous-traitant met en œuvre des mesures supplémentaires : **Mesures techniques :** • Chiffrement fort avec clés détenues en Europe • Pseudonymisation des données transférées • Architecture "Zero-Knowledge" si applicable **Mesures contractuelles :** • Engagement de contester les demandes d'accès gouvernementales disproportionnées • Notification au Responsable de toute demande d'accès (si légalement permis) • Évaluation d'impact du transfert (TIA) documentée Les SCC (Module 2 : Responsable vers Sous-traitant) sont annexées au présent DPA.

**Le Sous-traitant est responsable :** • Du traitement effectué en violation des instructions du Responsable • De la violation de ses obligations propres au titre du RGPD (Article 82.2) • Des dommages causés par ses sous-traitants ultérieurs **Le Responsable est responsable :** • De la licéité du traitement et des instructions données • De l'information des Personnes Concernées • De la réponse aux demandes d'exercice des droits

**Indemnisation par le Sous-traitant :** Le Sous-traitant indemnise le Responsable de tout préjudice résultant : • D'une violation du présent DPA par le Sous-traitant • D'une violation du RGPD imputable au Sous-traitant • D'une sanction administrative causée par le Sous-traitant **Plafond de responsabilité :** Sauf stipulation plus favorable du Contrat Principal, la responsabilité totale du Sous-traitant au titre du présent DPA est limitée au montant total HT effectivement payé par le Responsable au titre des Services au cours des 12 derniers mois précédant le fait générateur. Ce plafond ne s'applique pas en cas de : • Faute lourde ou intentionnelle • Violation de propriété intellectuelle • Obligations de confidentialité