Traduction de courtoisie non contractuelle. Seule la version allemande fait foi. /avv
Accord de sous-traitance des données (DPA)
Conformément à l’art. 28 du RGPD
Dernière mise à jour : mars 2026
Ceci est l’accord de sous-traitance des données (DPA) complet conformément à l’art. 28 du RGPD entre WiderrufButton (sous-traitant) et l’exploitant de la boutique (responsable du traitement). Vous pouvez le consulter intégralement ici et l’enregistrer ou l’imprimer en PDF à tout moment. Par votre inscription, le DPA est réputé conclu entre vous et WiderrufButton.
1. Objet du traitement
En tant que sous-traitant, WiderrufButton traite, pour le compte de l’exploitant de la boutique (responsable du traitement), les données à caractère personnel transmises par les clients finaux (consommateurs) dans le cadre d’une déclaration de rétractation.
Finalité du traitement : Réception, conservation et transmission des déclarations de rétractation conformément au § 356a du Code civil allemand (BGB), ainsi que l’envoi d’un accusé de réception par e-mail au consommateur.
2. Catégories de données à caractère personnel
Les catégories suivantes de données à caractère personnel sont traitées dans le cadre de la sous-traitance :
| Catégorie de données | Obligatoire | Finalité |
|---|---|---|
| Nom du consommateur | Oui | Identification de la personne qui se rétracte |
| Coordonnées (e-mail/téléphone) | Oui | Accusé de réception, prise de contact ultérieure |
| Référence de commande | Non | Rattachement au contrat |
| Message en texte libre | Non | Informations complémentaires |
| Adresse IP (hachée) | – | Protection contre les abus (limitation de débit) |
3. Personnes concernées
clients finaux (consommateurs) de l’exploitant de la boutique qui soumettent une déclaration de rétractation via le widget WiderrufButton.
4. Durée du traitement
La sous-traitance débute à la conclusion du contrat et prend fin à la cessation de la relation d’utilisation (résiliation de l’abonnement WiderrufButton).
À la fin du contrat, les données de rétractation sont conservées conformément aux obligations légales de conservation, puis supprimées, sauf si le responsable du traitement demande une suppression antérieure.
5. Mesures techniques et organisationnelles (TOM)
Le sous-traitant met en œuvre les mesures suivantes pour protéger les données à caractère personnel :
Chiffrement
Chiffrement TLS/SSL de toutes les transmissions de données. Chiffrement de la base de données au repos. Les adresses IP sont hachées (SHA-256) avant leur enregistrement.
Contrôle d’accès
Authentification par lien magique (sans mot de passe). Séparation des rôles : les exploitants de boutique ne voient que leurs propres données. Accès administratif réservé au personnel autorisé.
Hébergement en Allemagne
Toutes les données sont traitées et stockées sur des serveurs de Hetzner Online GmbH dans des centres de données allemands. Aucun transfert vers des pays tiers du fait de l’hébergement.
Sauvegarde des données
Sauvegardes automatisées quotidiennes de la base de données (pg_dump). Les sauvegardes sont stockées chiffrées sur une Storage Box Hetzner séparée.
6. Sous-traitants ultérieurs
Les sous-traitants ultérieurs suivants interviennent pour l’exécution du contrat :
| Entreprise | Finalité | Lieu |
|---|---|---|
| Hetzner Online GmbH | Hébergement de serveurs, base de données | Allemagne |
| IONOS SE | Envoi d’e-mails (accusés de réception transactionnels) | Allemagne |
Le responsable du traitement est informé au préalable de toute modification des sous-traitants ultérieurs et a la possibilité de s’y opposer.
7. Obligations du sous-traitant
- Traitement des données exclusivement sur instruction documentée du responsable du traitement.
- Garantie que les personnes autorisées à traiter les données se sont engagées à la confidentialité.
- Mise en œuvre de toutes les mesures techniques et organisationnelles requises au titre de l’art. 32 du RGPD.
- Assistance au responsable du traitement dans l’exercice des droits des personnes concernées (art. 15 à 22 du RGPD).
- Assistance en matière d’obligations de notification (art. 33 et 34 du RGPD).
- Suppression ou restitution de toutes les données à l’issue du traitement.
- Possibilité pour le responsable du traitement de procéder à des audits et inspections.
8. Droits du responsable du traitement
- Droit à l’information sur les données traitées.
- Droit de vérifier les mesures techniques et organisationnelles.
- Droit de donner des instructions au sous-traitant.
- Droit à la suppression ou à la restitution des données à la fin du contrat.
- Droit d’opposition en cas de modification des sous-traitants ultérieurs.
9. DPA complet
Ce DPA est intégralement à votre disposition ici. Enregistrez-le en PDF ou imprimez-le pour vos dossiers. Par votre inscription, il est réputé conclu.
Cet accord de sous-traitance des données conformément à l’art. 28 du RGPD est intégralement disponible ici et peut être enregistré en PDF ou imprimé. Par l’inscription, il est réputé conclu entre les parties. Dernière mise à jour : juin 2026.