Accord de Traitement des Données (DPA)

Sous-traitant

ID DESIGN, SARL au capital de 13 000 €, RCS Reims 513 589 226, siège social : 6 rue Henri Warnier, 51500 Taissy. Représentant légal : Sylvain Mizon. Contact : contact@glidflow.com.

Responsable de Traitement

Le Client souscripteur de Glidflow, tel qu’identifié par les informations de facturation renseignées lors de la souscription.

Le Sous-traitant traite, pour le compte du Responsable, les données nécessaires au fonctionnement de sa boutique en ligne : catalogue, prise de commandes, facturation, suivi de livraison, communication client et gestion d’inventaire.

Nature et finalité

• Hébergement des données saisies par les clients finaux (commandes, comptes, paniers)
• Émission des factures, suivi des paiements, calcul de la TVA
• Édition des étiquettes d’expédition et suivi de livraison
• Envoi des emails transactionnels (confirmation de commande, lien de connexion, suivi colis)
• Synchronisation comptable et catalogue avec les outils du Responsable

Durée

Le traitement dure le temps de l’abonnement, plus 30 jours après résiliation pour permettre l’export des données.

Catégories de données

• Identité : nom, prénom, email, téléphone
• Adresses de facturation et de livraison
• Données entreprise (clients B2B) : raison sociale, SIRET, TVA
• Données de commande : produits, quantités, montants (aucune donnée de carte bancaire stockée)
• Données techniques : adresse IP, navigateur, journaux de connexion

Personnes concernées

• Clients finaux (acheteurs) du Responsable
• Visiteurs de la boutique
• Collaborateurs du Responsable ayant accès au back-office

En tant que sous-traitant, Glidflow s’engage à :

• Ne traiter les données que sur instruction du Responsable, sauf obligation légale
• Garantir la confidentialité des données auprès des personnes habilitées
• Mettre en œuvre les mesures de sécurité décrites plus bas
• Aider le Responsable à répondre aux demandes des personnes concernées
• L’aider à respecter ses obligations de sécurité, de notification et d’analyse d’impact
• Tenir un registre des traitements effectués pour son compte

Le Responsable autorise Glidflow à recourir aux prestataires listés sur la page Sous-traitants (autorisation générale, article 28 §2 RGPD). Glidflow leur impose les mêmes obligations de protection des données et reste responsable de leur exécution.

Toute évolution de cette liste est notifiée au moins 30 jours à l’avance. Le Responsable peut s’y opposer pour un motif légitime ; à défaut d’accord, il peut résilier sans pénalité.

Les données de votre boutique sont hébergées dans l’Union européenne. Certains prestataires sont toutefois établis hors UE (notamment aux États-Unis). Ces transferts sont encadrés par :

• Les Clauses Contractuelles Types de la Commission européenne
• Le Data Privacy Framework UE–États-Unis pour les prestataires certifiés
• Des mesures de chiffrement complémentaires lorsque c’est pertinent

Aucun transfert n’est effectué vers un pays n’offrant pas un niveau de protection adéquat.

Conformément à l’article 32 RGPD, Glidflow met en œuvre :

• Le chiffrement des données en transit et au repos
• L’isolation de chaque boutique dans son propre espace de données
• Une authentification forte, avec double authentification disponible pour les administrateurs
• Un contrôle d’accès selon le principe du moindre privilège
• Des sauvegardes quotidiennes conservées 30 jours
• Une surveillance continue et l’application rapide des correctifs de sécurité

En cas de violation de données, Glidflow informe le Responsable sous 72 heures après en avoir pris connaissance, en précisant :

• La nature de la violation et les personnes concernées
• Les conséquences probables
• Les mesures prises pour y remédier
• Le point de contact pour en savoir plus

Glidflow aide le Responsable à honorer les demandes des personnes concernées (accès, rectification, effacement, portabilité, opposition, limitation). Des fonctions d’export et de suppression sont disponibles dans l’espace administrateur. Pour les cas particuliers : contact@glidflow.com.

Avec un préavis raisonnable (30 jours minimum), le Responsable peut auditer les mesures de sécurité de Glidflow, sous la forme :

• D’un questionnaire écrit (réponse sous 30 jours)
• D’une réunion technique en visioconférence
• Le cas échéant, d’un audit sur site (à ses frais, sauf violation grave constatée)

À la fin de la prestation, Glidflow s’engage à :

• Mettre à disposition un export complet des données (CSV, JSON) pendant 30 jours
• Supprimer ensuite les données, sauf celles à conserver par la loi (factures : 10 ans)
• Fournir une attestation de suppression sur demande

Chaque partie répond de ses propres obligations au titre du RGPD. La responsabilité de Glidflow ne peut excéder le plafond prévu aux Conditions Générales de Vente, sauf faute lourde ou violation manifeste du RGPD.

Le présent DPA est régi par le droit français ; tout litige relève des tribunaux de Reims. Il entre en vigueur à la souscription et reste applicable pendant toute la durée de l’abonnement.

Toute modification substantielle est notifiée avec un préavis de 30 jours. L’usage continu du Service après ce délai vaut acceptation.