Contrat de sous-traitance des données à caractère personnel
Dernière mise à jour : 03/06/2026
Le présent Data Processing Agreement (DPA) définit les obligations respectives en matière de traitement des données à caractère personnel dans le cadre de l'utilisation de la plateforme QR-Signal. Le Client (responsable du traitement) confie à l'Éditeur de QR-Signal (sous-traitant) des traitements de données personnelles effectués via la Plateforme, dans le respect du Règlement (UE) 2016/679 (RGPD) et de la loi française.
Responsable du traitement : le Client qui détermine les finalités et moyens des traitements réalisés via QR-Signal (formulaires, newsletters, tickets, notations, etc.).
Sous-traitant : l'Éditeur de QR-Signal qui traite les données personnelles pour le compte du Client, conformément à ses instructions documentées.
Les traitements portent sur les données collectées et gérées via la Plateforme : identité et coordonnées des personnes (formulaires, tickets, notations, inscriptions newsletter), données de connexion et techniques (logs, IP, user-agent), et toute donnée saisie par le Client ou les utilisateurs finaux. Les finalités sont définies par le Client ; le sous-traitant exécute les traitements techniques (hébergement, envoi d'emails, stockage, mise à disposition des interfaces).
Le sous-traitant ne traite les données personnelles que sur instruction documentée du Client, sauf obligation légale. En cas d'obligation légale imposant un traitement, le sous-traitant en informe le Client préalablement, sauf si la loi interdit une telle information pour des motifs d'intérêt public.
Le sous-traitant s'engage à : (a) faire traiter les données uniquement par des personnes soumises à une obligation de confidentialité ; (b) mettre en œuvre des mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté au risque (chiffrement, contrôle d'accès, cloisonnement par client, sauvegardes, etc.) ; (c) ne pas faire appel à un sous-traitant sans accord préalable du Client ou sans engagement contractuel équivalent à celui du présent DPA.
Les données sont hébergées dans l'Union européenne. En cas de transfert vers un pays tiers, le sous-traitant s'assure que des garanties appropriées sont en place (décision d'adéquation, clauses types, etc.) conformément au RGPD.
Le sous-traitant assiste le Client, dans la mesure du possible, pour répondre aux demandes d'exercice des droits des personnes concernées (accès, rectification, effacement, limitation, portabilité, opposition) et pour garantir la sécurité et la notification des violations au regard du RGPD. Le Client reste responsable de la réponse aux personnes concernées ; le sous-traitant ne communique pas directement avec elles sauf instruction du Client ou obligation légale.
Le sous-traitant met à la disposition du Client les informations nécessaires pour démontrer le respect des obligations du présent DPA et permettre la réalisation d'audits, y compris d'inspections, sous réserve de confidentialité et de délais raisonnables. La documentation relative aux mesures de sécurité et aux sous-traitants éventuels peut être fournie sur demande ou dans le cadre d'un accord de confidentialité.
À la fin de la relation contractuelle ou à la demande du Client, le sous-traitant restitue ou supprime les données personnelles traitées pour le compte du Client, selon le choix du Client, dans un délai raisonnable. Sauf obligation de conservation légale, les données sont ensuite effacées des systèmes du sous-traitant.
Le présent DPA s'applique pour la durée des traitements effectués dans le cadre de l'utilisation de QR-Signal par le Client. Il reste en vigueur tant que le sous-traitant traite des données personnelles pour le compte du Client.
Pour toute question relative au traitement des données et au présent DPA : contact@qrsignal.creativity-app.com.