Aller au contenu principal
HDdev

Accord de traitement des données (DPA)

Service « Site Care » — au sens de l'article 28 du Règlement (UE) 2016/679 (RGPD). Dernière mise à jour : 9 juillet 2026.

⚠️ Avant-projet — ce document est un projet rédactionnel destiné à être relu et validé par un juriste belge spécialisé en protection des données avant toute publication opposable. Il n'a pas, en l'état, de valeur juridique définitive.
Le présent accord fait partie intégrante des Conditions Générales de Vente et les complète. Il s'applique dès lors que HDdev traite, pour le compte du client, des données à caractère personnel dans le cadre du service Site Care. En cas de contradiction sur la protection des données, le présent accord prévaut.

Article 1 — Définitions

Les termes « données à caractère personnel », « traitement », « responsable du traitement », « sous-traitant », « personne concernée » et « violation de données » ont le sens que leur donne le RGPD. « Client » désigne le souscripteur du service Site Care ; « HDdev » désigne David Hennequin, entrepreneur indépendant (voir article « Éditeur » des CGV) ; « sous-traitant ultérieur » désigne tout tiers auquel HDdev confie une partie du traitement.

Article 2 — Objet et rôle des parties

Dans le cadre de Site Care, le client agit en qualité de responsable du traitement à l'égard des données présentes sur son site (notamment les données de ses propres utilisateurs, clients ou patients). HDdev agit en qualité de sous-traitant et ne traite ces données que sur instruction documentée du client, aux seules fins d'exécuter le service. HDdev demeure responsable de traitement autonome pour les données strictement nécessaires à sa propre facturation et à la relation contractuelle (couvertes par la politique de confidentialité).

Article 3 — Durée

Le présent accord s'applique pendant toute la durée du contrat Site Care et jusqu'à la suppression ou la restitution complète des données conformément à l'article 13.

Article 4 — Nature et finalité du traitement

Le traitement réalisé par HDdev pour le compte du client a pour seules finalités :

  • la surveillance de disponibilité et de sécurité du site (télémétrie « heartbeat », scans) ;
  • la réalisation, le chiffrement, le stockage et la restauration de sauvegardes ;
  • la mise à jour, la maintenance et le durcissement de sécurité du site ;
  • l'installation et l'exploitation d'un canari technique (option « Concierge » : accès distant au moyen des identifiants confiés) ;
  • la détection d'incidents et l'intervention de rétablissement (bornée, voir article 7).

HDdev n'utilise ces données à aucune autre fin, ne les commercialise pas et ne les exploite pas à des fins publicitaires ou de profilage.

Article 5 — Catégories de données et personnes concernées

Le détail figure en Annexe 1. Les principales catégories sont :

  • Données de télémétrie : versions logicielles, espace disque, disponibilité, adresse IP source du canari, métadonnées d'ordres de sauvegarde.
  • Contenu du site et de sa base de données, via les sauvegardes chiffrées — susceptible de contenir des données personnelles des utilisateurs finaux du client (comptes, commandes, formulaires).
  • Identifiants d'accès au site confiés par le client (WordPress, SFTP, SSH, cPanel/Plesk), chiffrés au repos.
  • Journaux d'accès aux identifiants et aux sauvegardes (auteur, motif, IP, horodatage).

Article 6 — Obligations de HDdev (sous-traitant)

  • ne traiter les données que sur instruction documentée du client (les CGV, le présent accord et la configuration du service valant instructions) ;
  • garantir la confidentialité : seul David Hennequin accède aux données, sous engagement de confidentialité ;
  • mettre en œuvre les mesures de sécurité de l'article 7 ;
  • assister le client pour répondre aux demandes des personnes concernées (article 11), pour la sécurité, les notifications de violation et, le cas échéant, les analyses d'impact ;
  • notifier toute violation de données conformément à l'article 10 ;
  • tenir un registre des catégories de traitements effectués pour le compte du client.

Article 7 — Mesures de sécurité

  • identifiants d'accès chiffrés au repos en AES-256-GCM ; accès journalisé, motivé et révocable à tout moment par le client ;
  • sauvegardes chiffrées (AES-256) avant transfert vers le stockage objet ;
  • rotation planifiée des clés de chiffrement ; cloisonnement des secrets ;
  • intervention autonome de rétablissement strictement bornée à des actions sûres et réversibles : toute action destructive (suppression de données, réinitialisation, rotation de secrets) est interdite et fait l'objet d'une escalade humaine ; l'intervention n'accède pas au contenu de la base de données du client.

Article 8 — Sous-traitants ultérieurs

Le client autorise HDdev à recourir aux sous-traitants ultérieurs listés en Annexe 2. HDdev impose à chacun des obligations de protection équivalentes à celles du présent accord. HDdev informe le client de tout ajout ou remplacement de sous-traitant ; le client dispose alors d'un délai de 30 jours pour s'y opposer pour un motif légitime lié à la protection des données ; à défaut de solution, le client peut résilier le service concerné. La liste à jour est publiée sur la page Sous-traitants.

Article 9 — Localisation et transferts

Les données de contrôle (télémétrie, métadonnées, identifiants chiffrés) sont hébergées au sein de l'infrastructure HDdev. Les sauvegardes et certains traitements font intervenir des sous-traitants situés dans l'Espace économique européen ou dans un pays bénéficiant d'une décision d'adéquation (notamment la Suisse). Tout transfert vers un pays tiers non couvert par une décision d'adéquation (notamment un prestataire d'IA établi aux États-Unis) est encadré par des clauses contractuelles types de la Commission européenne. Le détail des localisations figure en Annexe 2.

Article 10 — Violations de données

HDdev notifie au client toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance, en fournissant les éléments utiles (nature, catégories et volume approximatifs, conséquences probables, mesures prises), afin de permettre au client de respecter, le cas échéant, ses propres obligations de notification (articles 33 et 34 du RGPD).

Article 11 — Droits des personnes concernées

Dans la mesure du possible, HDdev aide le client, par des mesures techniques et organisationnelles appropriées, à donner suite aux demandes d'exercice des droits des personnes concernées (accès, rectification, effacement, limitation, portabilité, opposition). HDdev transmet sans délai au client toute demande reçue directement d'une personne concernée relative aux données traitées pour son compte, sans y répondre lui-même.

Article 12 — Audit

HDdev met à la disposition du client les informations nécessaires pour démontrer le respect de l'article 28 du RGPD. Le client peut, au maximum une fois par an et moyennant un préavis raisonnable, réaliser un audit (questionnaire écrit ou, si justifié, contrôle sur pièces), sans perturbation disproportionnée du service et dans le respect de la confidentialité des autres clients.

Article 13 — Sort des données en fin de contrat

À la fin du contrat, au choix du client exprimé par écrit, HDdev restitue ou supprime les données traitées pour son compte. Sauf demande de restitution ou instruction contraire, les données et sauvegardes sont conservées 30 jours après la résiliation (fenêtre de récupération) puis purgées. Par exception, les journaux d'accès aux identifiants sont conservés 5 ans au titre d'une obligation légale de traçabilité. HDdev ne conserve aucune autre copie au-delà de ces durées, sauf obligation légale.

Annexe 1 — Catégories de données et personnes concernées

Catégorie de donnéesPersonnes concernéesFinalité
Télémétrie technique (versions, disque, disponibilité, IP source du canari)Administrateurs du site clientSurveillance de disponibilité et de sécurité
Contenu du site et base de données (via sauvegardes chiffrées)Utilisateurs finaux du client (comptes, commandes, formulaires)Sauvegarde et restauration
Identifiants d'accès (WordPress, SFTP, SSH, cPanel/Plesk), chiffrésClient / administrateurs du siteInstallation du canari et interventions (Concierge)
Journaux d'accès et de consentement (auteur, motif, IP, horodatage)Client, intervenant HDdevTraçabilité et sécurité
Données de facturation (nom, e-mail, pays, identifiants de paiement)ClientFacturation (traitement propre à HDdev)

Annexe 2 — Sous-traitants ultérieurs autorisés

Sous-traitantRôleLocalisationGarantie de transfert
InfomaniakHébergement infrastructure, e-mail, sauvegarde de repriseSuisseDécision d'adéquation UE
WasabiStockage objet des sauvegardes de siteUE (Francfort, Allemagne)Traitement dans l'EEE ; CCT pour la société mère US
Bunny.netCDN, DNS, protection réseauUE (Slovénie)Traitement dans l'EEE
StripePaiement et abonnementsUE / États-UnisCCT / cadre de protection des données
OmniVAT (HDdev)Facturation HTVA + TVAUE (Belgique)Traitement dans l'EEE
Prestataire d'IAAssistance au rétablissement d'incidents (sans accès au contenu ni à la base de données du client) — identité communiquée sur la page Sous-traitantsÉtats-UnisClauses contractuelles types
MailgunE-mails transactionnels (alertes, notifications)UETraitement dans l'EEE ; CCT si transfert

Liste révisée à chaque ajout ou retrait et notifiée aux clients conformément à l'article 8. Version publiée : page Sous-traitants.

HDdev — David Hennequin · rue Jean de Dampierre 5 bte 1, 5100 Jambes (Namur), Belgique · TVA BE 0701.607.037 · Délégué / contact données : dpo@hddev.eu