Accord de traitement des données (DPA)
Service « Site Care » — au sens de l'article 28 du Règlement (UE) 2016/679 (RGPD). Dernière mise à jour : 9 juillet 2026.
Article 1 — Définitions
Les termes « données à caractère personnel », « traitement », « responsable du traitement », « sous-traitant », « personne concernée » et « violation de données » ont le sens que leur donne le RGPD. « Client » désigne le souscripteur du service Site Care ; « HDdev » désigne David Hennequin, entrepreneur indépendant (voir article « Éditeur » des CGV) ; « sous-traitant ultérieur » désigne tout tiers auquel HDdev confie une partie du traitement.
Article 2 — Objet et rôle des parties
Dans le cadre de Site Care, le client agit en qualité de responsable du traitement à l'égard des données présentes sur son site (notamment les données de ses propres utilisateurs, clients ou patients). HDdev agit en qualité de sous-traitant et ne traite ces données que sur instruction documentée du client, aux seules fins d'exécuter le service. HDdev demeure responsable de traitement autonome pour les données strictement nécessaires à sa propre facturation et à la relation contractuelle (couvertes par la politique de confidentialité).
Article 3 — Durée
Le présent accord s'applique pendant toute la durée du contrat Site Care et jusqu'à la suppression ou la restitution complète des données conformément à l'article 13.
Article 4 — Nature et finalité du traitement
Le traitement réalisé par HDdev pour le compte du client a pour seules finalités :
- la surveillance de disponibilité et de sécurité du site (télémétrie « heartbeat », scans) ;
- la réalisation, le chiffrement, le stockage et la restauration de sauvegardes ;
- la mise à jour, la maintenance et le durcissement de sécurité du site ;
- l'installation et l'exploitation d'un canari technique (option « Concierge » : accès distant au moyen des identifiants confiés) ;
- la détection d'incidents et l'intervention de rétablissement (bornée, voir article 7).
HDdev n'utilise ces données à aucune autre fin, ne les commercialise pas et ne les exploite pas à des fins publicitaires ou de profilage.
Article 5 — Catégories de données et personnes concernées
Le détail figure en Annexe 1. Les principales catégories sont :
- Données de télémétrie : versions logicielles, espace disque, disponibilité, adresse IP source du canari, métadonnées d'ordres de sauvegarde.
- Contenu du site et de sa base de données, via les sauvegardes chiffrées — susceptible de contenir des données personnelles des utilisateurs finaux du client (comptes, commandes, formulaires).
- Identifiants d'accès au site confiés par le client (WordPress, SFTP, SSH, cPanel/Plesk), chiffrés au repos.
- Journaux d'accès aux identifiants et aux sauvegardes (auteur, motif, IP, horodatage).
Article 6 — Obligations de HDdev (sous-traitant)
- ne traiter les données que sur instruction documentée du client (les CGV, le présent accord et la configuration du service valant instructions) ;
- garantir la confidentialité : seul David Hennequin accède aux données, sous engagement de confidentialité ;
- mettre en œuvre les mesures de sécurité de l'article 7 ;
- assister le client pour répondre aux demandes des personnes concernées (article 11), pour la sécurité, les notifications de violation et, le cas échéant, les analyses d'impact ;
- notifier toute violation de données conformément à l'article 10 ;
- tenir un registre des catégories de traitements effectués pour le compte du client.
Article 7 — Mesures de sécurité
- identifiants d'accès chiffrés au repos en AES-256-GCM ; accès journalisé, motivé et révocable à tout moment par le client ;
- sauvegardes chiffrées (AES-256) avant transfert vers le stockage objet ;
- rotation planifiée des clés de chiffrement ; cloisonnement des secrets ;
- intervention autonome de rétablissement strictement bornée à des actions sûres et réversibles : toute action destructive (suppression de données, réinitialisation, rotation de secrets) est interdite et fait l'objet d'une escalade humaine ; l'intervention n'accède pas au contenu de la base de données du client.
Article 8 — Sous-traitants ultérieurs
Le client autorise HDdev à recourir aux sous-traitants ultérieurs listés en Annexe 2. HDdev impose à chacun des obligations de protection équivalentes à celles du présent accord. HDdev informe le client de tout ajout ou remplacement de sous-traitant ; le client dispose alors d'un délai de 30 jours pour s'y opposer pour un motif légitime lié à la protection des données ; à défaut de solution, le client peut résilier le service concerné. La liste à jour est publiée sur la page Sous-traitants.
Article 9 — Localisation et transferts
Les données de contrôle (télémétrie, métadonnées, identifiants chiffrés) sont hébergées au sein de l'infrastructure HDdev. Les sauvegardes et certains traitements font intervenir des sous-traitants situés dans l'Espace économique européen ou dans un pays bénéficiant d'une décision d'adéquation (notamment la Suisse). Tout transfert vers un pays tiers non couvert par une décision d'adéquation (notamment un prestataire d'IA établi aux États-Unis) est encadré par des clauses contractuelles types de la Commission européenne. Le détail des localisations figure en Annexe 2.
Article 10 — Violations de données
HDdev notifie au client toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance, en fournissant les éléments utiles (nature, catégories et volume approximatifs, conséquences probables, mesures prises), afin de permettre au client de respecter, le cas échéant, ses propres obligations de notification (articles 33 et 34 du RGPD).
Article 11 — Droits des personnes concernées
Dans la mesure du possible, HDdev aide le client, par des mesures techniques et organisationnelles appropriées, à donner suite aux demandes d'exercice des droits des personnes concernées (accès, rectification, effacement, limitation, portabilité, opposition). HDdev transmet sans délai au client toute demande reçue directement d'une personne concernée relative aux données traitées pour son compte, sans y répondre lui-même.
Article 12 — Audit
HDdev met à la disposition du client les informations nécessaires pour démontrer le respect de l'article 28 du RGPD. Le client peut, au maximum une fois par an et moyennant un préavis raisonnable, réaliser un audit (questionnaire écrit ou, si justifié, contrôle sur pièces), sans perturbation disproportionnée du service et dans le respect de la confidentialité des autres clients.
Article 13 — Sort des données en fin de contrat
À la fin du contrat, au choix du client exprimé par écrit, HDdev restitue ou supprime les données traitées pour son compte. Sauf demande de restitution ou instruction contraire, les données et sauvegardes sont conservées 30 jours après la résiliation (fenêtre de récupération) puis purgées. Par exception, les journaux d'accès aux identifiants sont conservés 5 ans au titre d'une obligation légale de traçabilité. HDdev ne conserve aucune autre copie au-delà de ces durées, sauf obligation légale.
Annexe 1 — Catégories de données et personnes concernées
| Catégorie de données | Personnes concernées | Finalité |
|---|---|---|
| Télémétrie technique (versions, disque, disponibilité, IP source du canari) | Administrateurs du site client | Surveillance de disponibilité et de sécurité |
| Contenu du site et base de données (via sauvegardes chiffrées) | Utilisateurs finaux du client (comptes, commandes, formulaires) | Sauvegarde et restauration |
| Identifiants d'accès (WordPress, SFTP, SSH, cPanel/Plesk), chiffrés | Client / administrateurs du site | Installation du canari et interventions (Concierge) |
| Journaux d'accès et de consentement (auteur, motif, IP, horodatage) | Client, intervenant HDdev | Traçabilité et sécurité |
| Données de facturation (nom, e-mail, pays, identifiants de paiement) | Client | Facturation (traitement propre à HDdev) |
Annexe 2 — Sous-traitants ultérieurs autorisés
| Sous-traitant | Rôle | Localisation | Garantie de transfert |
|---|---|---|---|
| Infomaniak | Hébergement infrastructure, e-mail, sauvegarde de reprise | Suisse | Décision d'adéquation UE |
| Wasabi | Stockage objet des sauvegardes de site | UE (Francfort, Allemagne) | Traitement dans l'EEE ; CCT pour la société mère US |
| Bunny.net | CDN, DNS, protection réseau | UE (Slovénie) | Traitement dans l'EEE |
| Stripe | Paiement et abonnements | UE / États-Unis | CCT / cadre de protection des données |
| OmniVAT (HDdev) | Facturation HTVA + TVA | UE (Belgique) | Traitement dans l'EEE |
| Prestataire d'IA | Assistance au rétablissement d'incidents (sans accès au contenu ni à la base de données du client) — identité communiquée sur la page Sous-traitants | États-Unis | Clauses contractuelles types |
| Mailgun | E-mails transactionnels (alertes, notifications) | UE | Traitement dans l'EEE ; CCT si transfert |
Liste révisée à chaque ajout ou retrait et notifiée aux clients conformément à l'article 8. Version publiée : page Sous-traitants.