Accord de traitement des données (DPA)

Dernière mise à jour : 27 mai 2026

Le présent Accord de Traitement des Données (ci-après « DPA ») est conclu entre :

• Le Responsable du traitement : le club ou l’établissement fitness utilisant la Plateforme AdCoach AI (ci-après « le Client ») ;
• Le Sous-traitant : Fitness Vendor SAS, RCS Cherbourg 921 713 418, 41 Les Bertrands, 50470 Tollevast, France (ci-après « l’Éditeur »).

Le présent DPA fait partie intégrante des Conditions Générales d’Utilisation et de Vente (CGU/CGV) d’AdCoach AI et s’applique à tout traitement de données personnelles effectué par l’Éditeur pour le compte du Client dans le cadre de l’utilisation de la Plateforme.

1. Définitions

Au sens du présent DPA, les termes suivants ont la signification qui leur est donnée par le RGPD (Règlement (UE) 2016/679) :

• « RGPD » : Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel ;
• « Responsable du traitement » : le Client, qui détermine les finalités et les moyens du traitement ;
• « Sous-traitant » : l’Éditeur, qui traite des données à caractère personnel pour le compte du Responsable du traitement ;
• « Sous-traitant ultérieur » : tout sous-traitant auquel l’Éditeur fait appel pour le traitement des données dans le cadre du présent DPA ;
• « Données personnelles » : toute information se rapportant à une personne physique identifiée ou identifiable ;
• « Violation de données » : toute violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée ou l’accès non autorisé à des données personnelles ;
• « Instructions documentées » : les instructions du Responsable du traitement transmises à l’Éditeur via les fonctionnalités de la Plateforme (connexion OAuth, synchronisation, import CRM, suppression de compte).

2. Objet et périmètre du traitement

L’Éditeur traite les données personnelles suivantes pour le compte du Client (Périmètres A et C des CGU/CGV), dans les limites définies par le présent DPA :

Périmètre A - Données publicitaires Meta

• Catégories de données : données de comptes publicitaires, campagnes, ensembles de publicités, publicités, insights de performance (impressions, clics, dépenses, ROAS), leads Meta (nom, email, téléphone des prospects du club)
• Personnes concernées : prospects et clients du club ayant interagi avec les publicités Meta du Client
• Finalité : affichage et analyse des performances publicitaires du Client dans la Plateforme AdCoach AI

Périmètre C - Import CRM

• Catégories de données : contacts importés par le Client (noms, emails, numéros de téléphone, données d’abonnement)
• Personnes concernées : clients actuels et passés du club
• Finalité : analyse de la valeur vie client (LTV), suivi des prospects, calcul du ROAS réel

Périmètre non couvert par le présent DPA

L’Éditeur agit en qualité de responsable du traitement (et non de sous-traitant) pour : les données d’authentification du Client, les logs techniques de sécurité, les données de facturation. Ces traitements sont couverts par la Politique de confidentialité.

3. Catégories de données et personnes concernées

Aucune donnée sensible au sens de l’article 9 du RGPD (données de santé, données biométriques, etc.) n’est traitée dans le cadre du présent DPA, sauf accord écrit préalable entre les Parties.

4. Instructions documentées

L’Éditeur traite les données uniquement sur instructions documentées du Client, matérialisées par les actions réalisées via la Plateforme :

• Connexion du compte Meta (OAuth) : instruction d’accès aux données publicitaires
• Lancement d’une synchronisation : instruction de collecte des derniers insights
• Import d’un fichier CRM : instruction de traitement des données de contacts
• Suppression du compte : instruction d’effacement de l’ensemble des données

En cas d’instruction contraire au RGPD ou à la réglementation applicable, l’Éditeur en informe immédiatement le Client par email.

L’Éditeur ne traite les données à d’autres fins que celles définies ci-dessus, à l’exception des données agrégées et irréversiblement anonymisées, qui peuvent être utilisées pour l’amélioration du service et la production de benchmarks sectoriels.

5. Confidentialité

L’Éditeur s’engage à ce que les personnes autorisées à traiter les données personnelles dans le cadre du présent DPA soient soumises à une obligation de confidentialité appropriée, contractuelle ou légale.

L’Éditeur limite l’accès aux données personnelles aux seuls membres de son personnel qui en ont besoin pour l’exécution de leurs fonctions. Tout accès aux données de production est tracé dans les journaux techniques de la Plateforme.

6. Sécurité (Article 32 RGPD)

L’Éditeur met en oeuvre les mesures techniques et organisationnelles suivantes pour garantir un niveau de sécurité adapté au risque :

Mesures techniques

• Chiffrement au repos : tokens OAuth Meta chiffrés dans Supabase Vault (AES-256) ; données au repos chiffrées par AWS (infrastructure Supabase, eu-west-3 Paris)
• Chiffrement en transit : TLS 1.3 sur l’ensemble des communications (Plateforme, API, sous-traitants)
• Isolement des données : Row-Level Security (RLS) Postgres - politique USING (user_id = auth.uid()) garantissant l’isolement cryptographique de chaque Client
• Authentification : magic link sans mot de passe, jetons à usage unique, expiration automatique des sessions
• Signatures HMAC : toutes les communications entre AdCoach AI et le service backend centralisé (integrations.fitness-vendor.com) sont signées par HMAC-SHA256 avec nonce anti-rejeu (cache Upstash Redis 6 minutes)
• Journalisation : logs d’accès et d’erreurs conservés 12 mois, monitoring Sentry avec scrubbing PII automatique

Mesures organisationnelles

• Accès aux données de production limité au personnel technique autorisé
• Processus de réponse aux incidents défini et documenté
• Politique de gestion des secrets : rotation régulière des clés d’API et secrets d’application
• Hébergement en Union européenne pour les données personnelles (AWS eu-west-3 Paris)

7. Sous-traitants ultérieurs

L’Éditeur est autorisé par le Client à recourir aux sous-traitants ultérieurs listés à la page Sous-traitants de la Plateforme.

L’Éditeur s’engage à :

• Imposer à ses sous-traitants ultérieurs des obligations de protection des données équivalentes à celles du présent DPA ;
• Notifier le Client par email au moins 30 jours avant l’ajout de tout nouveau sous-traitant ultérieur susceptible de traiter les données du Client ;
• Indiquer dans cette notification : l’identité du nouveau sous-traitant, sa localisation, le service rendu et les garanties de transfert hors UE applicables.

Le Client dispose d’un droit d’opposition dans le délai de 30 jours. L’opposition doit être motivée et transmise par email à contact@fitness-vendor.com. En cas d’opposition légitime non résolue, le Client peut résilier les CGU/CGV sans frais.

En cas d’ajout sans notification préalable résultant d’une urgence opérationnelle, l’Éditeur en informe le Client dans les meilleurs délais.

8. Droits des personnes concernées

L’Éditeur assiste le Client dans l’exercice de son obligation de répondre aux demandes d’exercice de droits des personnes concernées (accès, rectification, effacement, portabilité, opposition, limitation), dans les délais prévus par le RGPD.

Lorsqu’une personne concernée adresse directement une demande à l’Éditeur, celui-ci la transfère sans délai au Client.

L’Éditeur met à disposition du Client les outils techniques permettant l’exercice de ces droits :

• Export CSV/JSON des données depuis Paramètres → Mes données (portabilité)
• Suppression de compte depuis Paramètres → Mes données (effacement)
• Contact direct : contact@fitness-vendor.com (délai de réponse : 30 jours)

9. Sort des données en fin de contrat

À la date effective de résiliation du compte Client :

1. Export disponible pendant 30 jours : le Client dispose de 30 jours pour exporter l’intégralité de ses données au format CSV/JSON depuis la Plateforme, conformément aux dispositions du Règlement (UE) 2022/2065 (Data Act) ;
2. Suppression automatique à J+30 : à l’expiration du délai de 30 jours, l’Éditeur procède à la suppression définitive et irréversible de l’ensemble des données du Client (données publicitaires Meta, conversations IA, données CRM importées, données de prospects) de tous ses systèmes de traitement, y compris ceux de ses sous-traitants ultérieurs ;
3. Exceptions légales : les logs techniques de sécurité sont conservés 12 mois ; les données de facturation sont conservées 10 ans en application des obligations comptables légales. Ces données ne sont pas couvertes par le présent DPA (traitement pour compte propre).

Sur demande écrite du Client, l’Éditeur délivre une attestation de suppression dans un délai de 15 jours ouvrés.

10. Violation de données (Articles 33-34 RGPD)

En cas de violation de données personnelles affectant les données traitées pour le compte du Client, l’Éditeur :

1. Notifie le Client sans délai injustifié et au plus tard dans les 72 heures après la prise de connaissance de la violation ;
2. Fournit au Client les informations nécessaires pour lui permettre de notifier la CNIL (nature de la violation, catégories et volumes approximatifs de données et de personnes concernées, conséquences probables, mesures prises ou envisagées) ;
3. Documente la violation dans un registre interne (faits, effets, mesures correctives) mis à disposition du Client sur demande ;
4. Prend sans délai les mesures correctives adaptées pour remédier à la violation et en limiter les conséquences.

La notification à l’Éditeur se fait par email à contact@fitness-vendor.com avec mention « VIOLATION DE DONNÉES URGENTE ».

11. Audits et documentation

L’Éditeur met à disposition du Client, sur demande écrite, les informations nécessaires pour démontrer le respect des obligations du présent DPA, notamment :

• La liste à jour des sous-traitants ultérieurs
• Les principales mesures techniques et organisationnelles de sécurité
• Les attestations de conformité des sous-traitants ultérieurs (DPA, certifications)

En cas de demande d’audit direct, les Parties conviennent d’un délai de préavis raisonnable (minimum 30 jours), d’un périmètre limité aux données du Client et de modalités pratiques à définir conjointement. Les frais d’audit sont à la charge du Client.

12. Transferts hors UE

Tout transfert de données personnelles vers un pays tiers (hors Espace Économique Européen) est encadré par des garanties appropriées, conformément au Chapitre V du RGPD :

• Clauses Contractuelles Types (CCT) version 2021/914 de la Commission Européenne pour les transferts vers Anthropic (USA), Vercel (USA), Resend (USA), Sentry (USA), Upstash (USA)
• EU-US Data Privacy Framework (décision d’adéquation 2023) pour les transferts vers les prestataires certifiés DPF
• Données en UE pour Supabase (AWS eu-west-3 Paris) et Stripe (Dublin, Irlande)

La liste complète et les encadrements juridiques sont disponibles sur la page Sous-traitants.

Annexe - Mesures techniques et organisationnelles de sécurité

Contact DPA

Pour toute demande relative au présent DPA : contact@fitness-vendor.com

Objet : « DPA AdCoach AI - [votre demande] »

Délai de réponse : 7 jours ouvrés.