Accord de traitement des données (DPA)

En vigueur au 3 juillet 2026

Le présent accord de traitement des données (« DPA ») complète les conditions générales d'utilisationet s'applique au traitement, par Hooksave, des données personnelles des clients finaux de l'e-commerçant, conformément à l'article 28 du RGPD.

1. Parties et rôles

  • Responsable de traitement: l'e-commerçant souscrivant à Hooksave (« le Client »).
  • Sous-traitant : Ethan Serville, entrepreneur individuel exerçant sous le nom commercial MyBoostLocal, éditeur de Hooksave (« le Sous-traitant »).

Le Sous-traitant traite les données personnelles uniquement pour le compte et sur instruction documentée du Client.

2. Objet, durée, nature et finalité

  • Objet : relance par SMS des paniers abandonnés des clients finaux du Client.
  • Durée: pendant toute la durée du contrat, puis suppression conformément à l'article 8.
  • Nature des opérations : collecte via les webhooks Shopify, stockage, génération de messages, envoi et réception de SMS, production de statistiques.
  • Finalité : fourniture du service décrit aux CGU.

3. Catégories de données et de personnes

  • Personnes concernées : les clients finaux du Client ayant abandonné un panier et consenti à recevoir des SMS.
  • Données: prénom, nom, téléphone (E.164), email, contenu du panier, historique des SMS, statut et source de consentement. Aucune donnée sensible (article 9 RGPD) n'est traitée.

4. Obligations du Sous-traitant

  • Traiter les données uniquement sur instruction documentée du Client (les CGU et l'usage du service valant instructions) ;
  • Garantir la confidentialité (personnes autorisées soumises à une obligation de confidentialité) ;
  • Mettre en œuvre les mesures de sécurité de l'article 32 RGPD (article 6 ci-dessous) ;
  • N'envoyer aucun SMS à un destinataire sans consentement grantedni à un destinataire s'étant désinscrit (STOP), et respecter les plages horaires légales ;
  • Assister le Client pour répondre aux demandes d'exercice de droits des personnes concernées ;
  • Assister le Client en matière de sécurité, de notification de violation et d'analyses d'impact (AIPD) ;
  • Mettre à disposition les informations nécessaires pour démontrer la conformité et permettre des audits (article 7).

5. Obligations du Client

Le Client garantit qu'il a recueilli un consentement valable, préalable et traçable des personnes concernées avant tout envoi, et que ses instructions sont licites. Le Client reste responsable de la licéité des données qu'il transmet via sa boutique Shopify.

6. Sécurité

Chiffrement en transit (TLS) et au repos ; chiffrement dédié des jetons Shopify (AES-256-GCM) ; cloisonnement strict par Client ; contrôle d'accès et journalisation ; absence de données personnelles dans les journaux techniques ; sauvegardes chiffrées. Hébergement des données des clients finaux au repos dans l'Union européenne.

7. Sous-traitants ultérieurs

Le Client autorise le recours aux sous-traitants ultérieurs listés dans la politique de confidentialité (§7), chacun présentant des garanties suffisantes et lié par des obligations équivalentes. Le Sous-traitant informe le Client de tout changement prévu (ajout/remplacement) au moins 30 jours à l'avance, le Client pouvant s'y opposer pour un motif légitime.

8. Sort des données en fin de contrat

À la fin du contrat, au choix du Client, le Sous-traitant supprime ou renvoie les données personnelles et supprime les copies existantes, sous réserve des obligations légales de conservation. La suppression de compte déclenche une anonymisation immédiate puis un effacement définitif après 30 jours.

9. Violation de données

Le Sous-traitant notifie au Client toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance, avec les informations utiles pour permettre au Client de respecter ses propres obligations de notification.

10. Transferts internationaux

Tout transfert hors UE est encadré par des garanties appropriées (EU-U.S. Data Privacy Framework et/ou clauses contractuelles types), comme détaillé dans la politique de confidentialité (§8).

11. Audit

Le Sous-traitant met à disposition, sur demande raisonnable et sous préavis, la documentation permettant de vérifier le respect du présent DPA. Les audits sur site restent exceptionnels, encadrés et à la charge du Client.

Pour toute question relative au présent DPA : contact@hooksave.com.