Accord de Traitement des Donnees (DPA)

Derniere mise a jour : 14 avril 2026

Le present Accord de Traitement des Donnees ("DPA") fait partie integrante de l'accord entre GROW IT, SASU immatriculee en France (SIRET : 984 879 932 00015), sise au 3 impasse du parc, 14610 Cairon, France ("Sous-traitant", "nous", "notre") et le Client ("Responsable du traitement", "vous") pour l'utilisation du service ChatSEO ("Service"), conformement a l'article 28 du Reglement General sur la Protection des Donnees (UE) 2016/679 ("RGPD").

En utilisant le Service, vous acceptez le present DPA, qui complete nos Conditions d'Utilisation, Conditions Generales de Vente et Politique de Confidentialite.

1. Definitions

Les termes suivants ont la signification indiquee ci-dessous. Les termes en majuscules non definis dans le present document ont la signification qui leur est donnee dans le RGPD.

  • "Responsable du traitement" : Le Client, qui determine les finalites et les moyens du traitement des Donnees Personnelles.
  • "Sous-traitant" : GROW IT, qui traite les Donnees Personnelles pour le compte du Responsable du traitement.
  • "Donnees Personnelles" : Toute information relative a une personne physique identifiee ou identifiable, telle que definie a l'article 4, paragraphe 1, du RGPD.
  • "Traitement" : Toute operation effectuee sur des Donnees Personnelles, telle que definie a l'article 4, paragraphe 2, du RGPD.
  • "Personne Concernee" : Une personne physique identifiee ou identifiable dont les Donnees Personnelles font l'objet d'un traitement.
  • "Sous-traitant ulterieur" : Un tiers engage par le Sous-traitant pour traiter des Donnees Personnelles pour le compte du Responsable du traitement.
  • "Violation de Donnees" : Une violation de la securite entrainant, de maniere accidentelle ou illicite, la destruction, la perte, l'alteration, la divulgation non autorisee de Donnees Personnelles ou l'acces non autorise a celles-ci.
  • "CCT" : Clauses Contractuelles Types adoptees par la Commission Europeenne pour les transferts internationaux de donnees.
  • "DPF" : Le Data Privacy Framework UE-US.

2. Perimetre et Roles

2.1 Roles

GROW IT agit en qualite de Sous-traitant pour le compte du Client, qui agit en qualite de Responsable du traitement pour les donnees traitees via le Service.

2.2 Categories de Personnes Concernees

  • Employes et representants du Responsable du traitement
  • Utilisateurs finaux des sites web du Responsable du traitement (via les donnees Google Search Console, traitees de maniere transitoire)

2.3 Types de Donnees Personnelles Traitees

  • Donnees de compte : Nom, adresse email, image de profil
  • Donnees de conversation : Messages echanges avec l'assistant IA, resultats d'analyse SEO
  • Donnees Google Search Console : Requetes de recherche, impressions, clics, classements, performances des pages (traitees de maniere transitoire, jamais stockees)
  • Donnees de paiement : Details de facturation (traites par Stripe, non stockes par le Sous-traitant)
  • Donnees d'utilisation : Interactions avec les fonctionnalites, donnees de session, adresse IP

2.4 Duree

Le present DPA est en vigueur pendant la duree de l'accord de service entre le Responsable du traitement et le Sous-traitant, et reste en vigueur jusqu'a ce que toutes les Donnees Personnelles aient ete supprimees ou restituees conformement a la Section 8.

3. Finalites et Perimetre du Traitement

Le Sous-traitant traite les Donnees Personnelles uniquement aux fins suivantes :

  • Fourniture d'analyses SEO alimentees par l'IA via le Service ChatSEO
  • Traitement des donnees Google Search Console via l'API Google en temps reel (traitement transitoire, aucun stockage)
  • Generation d'insights alimentes par l'IA via les API Anthropic et Voyage AI (inference en temps reel, aucun entrainement)
  • Envoi d'emails transactionnels et de communications de service
  • Traitement des paiements et gestion des abonnements
  • Exploitation de l'infrastructure technique, surveillance et support client
  • Analytics produit et amelioration (soumis au consentement de l'utilisateur)

Le Sous-traitant ne traitera les Donnees Personnelles a aucune autre fin que celles decrites ci-dessus, sauf si la loi applicable l'exige.

4. Obligations du Sous-traitant

4.1 Instructions de Traitement

Le Sous-traitant s'engage a :

  • Traiter les Donnees Personnelles uniquement sur instructions documentees du Responsable du traitement, y compris en ce qui concerne les transferts vers des pays tiers, sauf si le droit de l'Union ou d'un Etat membre l'y oblige. Dans ce cas, le Sous-traitant informera le Responsable du traitement de cette obligation legale avant le traitement, sauf si la loi l'interdit.
  • Informer immediatement le Responsable du traitement si, de l'avis du Sous-traitant, une instruction constitue une violation du RGPD ou d'autres dispositions applicables en matiere de protection des donnees.

4.2 Confidentialite

Le Sous-traitant veille a ce que toutes les personnes autorisees a traiter des Donnees Personnelles se soient engagees a respecter la confidentialite ou soient soumises a une obligation legale de confidentialite appropriee.

4.3 Mesures de Securite (Article 32 du RGPD)

Le Sous-traitant met en oeuvre les mesures techniques et organisationnelles suivantes pour assurer la securite des Donnees Personnelles :

  • Chiffrement : Donnees chiffrees en transit (TLS 1.3) et au repos
  • Controles d'acces : Acces base sur les roles avec authentification par utilisateur
  • Infrastructure : Toutes les donnees principales hebergees chez Hetzner Online GmbH en Allemagne (UE), avec securite physique et reseau
  • Surveillance : Surveillance continue des erreurs et alertes via Sentry
  • Reponse aux incidents : Procedures documentees pour la detection, le confinement et la resolution des incidents de securite
  • Formation du personnel : Sensibilisation a la protection des donnees et bonnes pratiques
  • Evaluations regulieres : Audits de securite et tests de vulnerabilite

4.4 Assistance au Responsable du Traitement

Le Sous-traitant aide le Responsable du traitement, par des mesures techniques et organisationnelles appropriees, dans la mesure du possible, a s'acquitter de son obligation de donner suite aux demandes des Personnes Concernees (articles 15 a 22 du RGPD).

Le Sous-traitant aide egalement le Responsable du traitement a garantir le respect des obligations prevues aux articles 32 a 36 du RGPD, compte tenu de la nature du traitement et des informations dont dispose le Sous-traitant.

5. Notification de Violation de Donnees

En cas de Violation de Donnees, le Sous-traitant s'engage a :

  • Notifier le Responsable du traitement dans les meilleurs delais et en tout etat de cause au plus tard 72 heures apres en avoir pris connaissance
  • Fournir les informations suivantes :
    • Une description de la nature de la violation, y compris les categories et le nombre approximatif de Personnes Concernees et d'enregistrements de Donnees Personnelles concernes
    • Le nom et les coordonnees du point de contact du Sous-traitant
    • Une description des consequences probables de la violation
    • Une description des mesures prises ou proposees pour remedier a la violation, y compris les mesures visant a attenuer ses effets negatifs eventuels

6. Sous-traitants Ulterieurs

6.1 Sous-traitants Ulterieurs Actuels

Le Responsable du traitement accorde au Sous-traitant une autorisation generale de faire appel a des sous-traitants ulterieurs. La liste complete et a jour des sous-traitants ulterieurs est tenue a jour a l'adresse /sub-processors.

6.2 Notification des Changements

Le Sous-traitant informera le Responsable du traitement au moins 30 jours avant d'ajouter ou de remplacer un sous-traitant ulterieur, en :

  • Mettant a jour la page des sous-traitants avec la modification et la date
  • Envoyant une notification par email aux Responsables du traitement abonnes aux notifications de changement de sous-traitants

6.3 Droit d'Opposition

Le Responsable du traitement peut s'opposer a un nouveau sous-traitant ulterieur ou a un remplacement dans un delai de 15 jours a compter de la notification. L'opposition doit etre fondee sur des motifs raisonnables lies a la protection des donnees. Si le Sous-traitant ne peut raisonnablement repondre a l'objection du Responsable du traitement, celui-ci peut resilier l'accord de service.

6.4 Obligations des Sous-traitants Ulterieurs

Le Sous-traitant s'engage a :

  • Imposer a chaque sous-traitant ulterieur, par voie contractuelle, les memes obligations en matiere de protection des donnees que celles prevues dans le present DPA
  • Demeurer pleinement responsable envers le Responsable du traitement de l'execution des obligations de chaque sous-traitant ulterieur

7. Droits des Personnes Concernees

Le Sous-traitant aide le Responsable du traitement a repondre aux demandes des Personnes Concernees exercant leurs droits en vertu du RGPD, notamment :

  • Droit d'acces (Article 15)
  • Droit de rectification (Article 16)
  • Droit a l'effacement (Article 17)
  • Droit a la limitation du traitement (Article 18)
  • Droit a la portabilite des donnees (Article 20)
  • Droit d'opposition (Article 21)

Le Sous-traitant repondra aux demandes d'assistance du Responsable du traitement dans un delai de 30 jours.

8. Suppression et Restitution des Donnees

A la fin de l'accord de service :

  • Le Sous-traitant supprimera toutes les Donnees Personnelles dans un delai de 30 jours suivant la resiliation, sauf si le droit de l'Union ou d'un Etat membre exige une conservation supplementaire
  • Le Responsable du traitement peut exporter ses donnees avant la resiliation via l'interface du Service
  • Le Sous-traitant certifiera la suppression des Donnees Personnelles sur demande ecrite du Responsable du traitement
  • Les sauvegardes contenant des Donnees Personnelles seront ecrasees dans le cycle normal de rotation des sauvegardes, ne depassant pas 90 jours

9. Audits et Inspections

Le Sous-traitant s'engage a :

  • Mettre a la disposition du Responsable du traitement toutes les informations necessaires pour demontrer le respect du present DPA et des obligations prevues a l'article 28 du RGPD
  • Permettre et contribuer aux audits, y compris les inspections, menes par le Responsable du traitement ou un autre auditeur mandate par le Responsable du traitement
  • Exiger un preavis raisonnable d'au moins 30 jours pour les audits sur site
  • Les audits seront effectues pendant les heures normales de travail et ne perturberont pas de maniere deraisonnable les operations du Sous-traitant

10. Transferts Internationaux de Donnees

10.1 Hebergement Principal

Toutes les donnees principales sont hebergees sur les serveurs de Hetzner Online GmbH situes en Allemagne (Union Europeenne). Aucun stockage de donnees principal n'a lieu en dehors de l'UE.

10.2 Transferts vers les Etats-Unis

Certains sous-traitants ulterieurs sont situes aux Etats-Unis. Ces transferts sont encadres par :

  • Data Privacy Framework UE-US (DPF) : Pour les sous-traitants certifies dans le cadre du DPF (Anthropic, Stripe, Mixpanel, Customer.io, Sentry, Google, Meta)
  • Clauses Contractuelles Types (CCT) : En tant que mecanisme de transfert supplementaire, adoptees par la Commission Europeenne conformement a l'article 46, paragraphe 2, point c) du RGPD

La liste complete des sous-traitants avec les mecanismes de transfert applicables est disponible a l'adresse /sub-processors.

10.3 Sous-traitants Bases dans l'UE

Les sous-traitants suivants traitent les donnees exclusivement au sein de l'UE et ne necessitent aucun mecanisme de transfert international :

  • Hetzner Online GmbH (Allemagne)
  • Crisp IM SAS (France)
  • Firecrawl (auto-heberge chez Hetzner, Allemagne)
  • Flagsmith (UE)

11. Pratiques Specifiques de Traitement des Donnees

11.1 Donnees Google Search Console

ChatSEO accede aux donnees Google Search Console via l'API Google en utilisant le scope OAuth en lecture seule (webmasters.readonly). Ces donnees sont :

  • Recuperees en temps reel depuis l'API Google a la demande de l'utilisateur
  • Renvoyees directement dans la session du navigateur de l'utilisateur
  • Jamais stockees dans la base de donnees du Sous-traitant
  • Jamais mises en cache dans Redis ou tout autre systeme de stockage
  • Jamais conservees sous quelque forme que ce soit

Seuls les identifiants OAuth (access token, refresh token, date d'expiration) sont stockes dans la base de donnees pour authentifier les requetes API. Les utilisateurs peuvent revoquer l'acces a tout moment depuis les parametres de securite de leur compte Google.

11.2 Traitement par l'IA

ChatSEO utilise les services d'IA suivants :

  • API Anthropic Claude (Claude Sonnet 4, Claude Haiku) : Pour l'analyse SEO et la conversation en temps reel. Conformement aux conditions d'utilisation commerciales de l'API Anthropic, les donnees soumises via l'API ne sont pas utilisees pour l'entrainement de modeles.
  • Voyage AI : Pour la generation d'embeddings vectoriels dans le systeme de memoire. Les donnees sont traitees uniquement pour la generation d'embeddings, sans retention au-dela de la requete API.

Aucune donnee utilisateur n'est utilisee pour entrainer, affiner ou ameliorer un quelconque modele d'IA. Tout traitement par l'IA est ephemere : les donnees sont traitees et le resultat renvoye, sans retention par le fournisseur d'IA.

12. Responsabilite

La responsabilite du Sous-traitant au titre du present DPA est soumise aux limitations prevues dans l'accord de service principal (Conditions Generales de Vente, Article 3.3), sauf dans la mesure ou une telle limitation n'est pas autorisee par le RGPD.

13. Duree et Resiliation

  • Le present DPA est en vigueur pendant la duree de l'accord de service entre le Responsable du traitement et le Sous-traitant
  • Le present DPA prend fin automatiquement a la resiliation de l'accord de service
  • Les obligations relatives a la suppression des donnees (Section 8), a la confidentialite (Section 4.2) et aux droits d'audit (Section 9) survivent a la resiliation

14. Loi Applicable et Juridiction

  • Le present DPA est regi par le droit francais
  • Le RGPD s'applique independamment de la loi applicable
  • Pour les Clients professionnels (B2B) : tout litige sera de la competence exclusive du Tribunal de Commerce de Caen
  • Pour les Clients consommateurs (B2C) : conformement au droit de la consommation applicable

15. Contact

Pour toute question relative au present DPA ou a la protection des donnees :

Responsable du traitement des donnees : GROW IT
SIRET : 984 879 932 00015
3 impasse du parc
14610 Cairon, France
Email : [email protected]