Accord de sous-traitance des données à caractère personnel (DPA)

Le Sous-traitant traite des données personnelles pour le seul compte et sur instruction documentée du Responsable de traitement, aux fins d'exécution du service Avisy (centralisation et affichage des avis Google, génération assistée par IA de réponses, alertes, rapports, collecte de retours clients via QR).

• Nature des opérations : collecte, hébergement, structuration, affichage, transmission à des sous-traitants ultérieurs (IA, email), suppression.
• Finalité : fourniture des fonctionnalités du service souscrit.
• Durée : durée du contrat d'abonnement, puis suppression/anonymisation selon la Politique de confidentialité (suppression des données Google sur déconnexion de la fiche ou sur demande ; données de compte purgées 3 ans après résiliation, sauf obligation légale).

• Personnes concernées : clients finaux du Responsable de traitement (auteurs d'avis Google, auteurs de retours via le QR), contacts importés.
• Données : nom/pseudonyme, contenu des avis et retours, note, email et nom éventuels saisis dans le formulaire de retour, identifiant technique de session. Aucune donnée sensible n'est requise ; le Responsable s'engage à ne pas en introduire.

1. Traiter les données uniquement sur instruction documentée du Responsable, y compris pour les transferts hors UE ; informer le Responsable si une instruction lui paraît contraire au RGPD.
2. Garantir la confidentialité ; n'autoriser l'accès qu'aux personnes habilitées soumises à une obligation de confidentialité (principe du moindre privilège).
3. Mettre en œuvre les mesures de sécurité de l'art. 32 : chiffrement en transit (TLS 1.3) et au repos (AES-256 ; jetons Google AES-256-GCM), hachage des mots de passe, sauvegardes, journalisation des accès.
4. Respecter les conditions de recours à un sous-traitant ultérieur (§5).
5. Assister le Responsable pour répondre aux demandes d'exercice des droits (accès, rectification, effacement, portabilité, opposition, limitation) — via contact@avisy.fr.
6. Aider le Responsable à respecter les art. 32 à 36 (sécurité, notification de violation, AIPD) compte tenu des informations disponibles.
7. Notifier au Responsable toute violation de données dans les meilleurs délais après en avoir pris connaissance, avec les éléments utiles.
8. À la fin de la prestation, au choix du Responsable, supprimer ou restituer les données et détruire les copies existantes, sauf obligation légale de conservation.
9. Tenir un registre des catégories de traitements effectués pour le compte du Responsable et mettre à disposition les informations nécessaires pour démontrer la conformité (art. 28.3.h), et permettre des audits raisonnables.

Le Responsable autorise le recours aux sous-traitants ultérieurs suivants. Avisy s'engage à leur imposer des obligations équivalentes par contrat et à informer le Responsable de tout changement, lui laissant la possibilité de s'y opposer pour motif légitime.

• Disposer d'une base légale pour les traitements qu'il confie (intérêt légitime à gérer sa e-réputation) et informer ses propres clients du traitement de leurs données.
• Ne pas détourner le service à des fins illicites — notamment ne pas l'utiliser pour filtrer/supprimer sélectivement des avis (cf. CGV et règles Google/DGCCRF).
• Documenter ses instructions et garantir la licéité des données importées.

Hébergement principal des données dans l'UE (Supabase, Irlande). Les transferts hors UE liés aux sous-traitants ultérieurs (§5) sont encadrés par le Data Privacy Framework ou les Clauses Contractuelles Types de la Commission européenne.

Voir §2 et §4.8. Sur déconnexion de la fiche Google, les données Google associées (avis en cache, jetons) sont supprimées des systèmes d'Avisy.