1. Parties
Le présent Accord de traitement des données (« DPA ») est conclu entre les parties suivantes :
- Sous-traitant : Hareki LLC, Nouveau-Mexique, États-Unis (« Hareki », « nous »)
- Responsable du traitement : La personne physique ou morale utilisant la plateforme Hareki Studio (« Utilisateur », « vous »)
Le présent DPA fait partie intégrante des Conditions d’utilisation de Hareki Studio et régit les droits et obligations des parties concernant le traitement des données personnelles pour le compte de l’Utilisateur.
2. Définitions
- Donnée personnelle : Toute information relative à une personne physique identifiée ou identifiable (article 4/1 du RGPD, article 3/d du KVKK).
- Donnée personnelle de catégorie particulière : Catégories sensibles telles que l’origine raciale ou ethnique, l’opinion politique, la religion, les données de santé, etc. (article 9 du RGPD, article 6 du KVKK).
- Traitement de données : Toute opération effectuée sur des données personnelles, y compris la collecte, l’enregistrement, l’organisation, le stockage, la modification, le transfert et la suppression.
- Sous-traitant ultérieur : Un prestataire de services tiers chargé de traiter des données personnelles pour le compte du sous-traitant.
- Violation de données : Un incident de sécurité entraînant un accès non autorisé, une perte, une destruction, une modification ou une divulgation de données personnelles.
- Responsable du traitement : La personne physique ou morale qui détermine les finalités et les moyens du traitement des données personnelles.
- Sous-traitant : La personne physique ou morale qui traite des données personnelles pour le compte et sous l’autorité du responsable du traitement.
3. Champ et finalité du traitement
Les catégories suivantes de données personnelles sont traitées sur la plateforme Hareki Studio :
| Catégorie de données | Finalité du traitement | Base juridique |
|---|
| Données de marque (logo, couleurs, ton) | Génération de contenu par IA | Exécution du contrat |
| Informations de compte (nom, e-mail) | Fourniture du service, authentification | Exécution du contrat |
| Données de paiement | Facturation via Stripe | Exécution du contrat |
| Données d’utilisation (journaux, préférences) | Amélioration du service, suivi des erreurs | Intérêt légitime |
| Contenu généré | Gestion et export du contenu | Exécution du contrat |
Aucune donnée personnelle de catégorie particulière n’est traitée. La Plateforme ne collecte pas de données de santé, biométriques ou génétiques.
4. Obligations du sous-traitant
Hareki LLC, en qualité de sous-traitant, assume les obligations suivantes :
- Respect des instructions : Traite les données personnelles uniquement conformément aux instructions écrites et documentées du responsable du traitement. Informe le responsable du traitement avant tout traitement si une obligation légale l’exige autrement.
- Engagement de confidentialité : Veille à ce que tout le personnel ayant accès aux données personnelles soit soumis à une obligation de confidentialité. Cette obligation se poursuit après la fin de la relation de travail.
- Mesures de sécurité : Met en œuvre des mesures de sécurité techniques et organisationnelles adaptées à la nature du traitement conformément à l’article 32 du RGPD (détails en annexe).
- Recours aux sous-traitants ultérieurs : Obtient l’autorisation générale écrite préalable du responsable du traitement avant de faire appel à des sous-traitants ultérieurs. Prévient 30 jours à l’avance en cas d’ajout de nouveaux sous-traitants ultérieurs.
- Obligation d’assistance : Fournit au responsable du traitement le support technique nécessaire pour l’exercice des droits des personnes concernées (accès, rectification, suppression, portabilité).
- Suppression/restitution des données : À la fin de la relation de traitement, supprime ou restitue toutes les données personnelles selon le choix du responsable du traitement. Sous réserve des obligations légales de conservation.
- Droit d’audit : Accepte que le responsable du traitement ou son auditeur indépendant désigné puisse procéder à des audits raisonnables pour vérifier le respect des obligations au titre du présent DPA.
5. Sous-traitants ultérieurs
Hareki Studio fait appel aux sous-traitants ultérieurs suivants pour la fourniture du service :
| Sous-traitant ultérieur | Service | Localisation |
|---|
| Vercel Inc. | Hébergement, CDN, Réseau Edge | San Francisco, CA, États-Unis |
| Supabase Inc. | Base de données, Authentification | San Francisco, CA, États-Unis |
| OpenRouter / OpenAI | Traitement de contenu par IA | San Francisco, CA, États-Unis |
| Stripe Inc. | Traitement des paiements | San Francisco, CA, États-Unis |
| Sentry | Suivi des erreurs et performance | San Francisco, CA, États-Unis |
| Resend | Distribution d’e-mails | États-Unis |
Notification de changement : Un préavis écrit est fourni au responsable du traitement au moins 30 jours à l’avance en cas d’ajout d’un nouveau sous-traitant ultérieur ou de modification d’un sous-traitant existant.
Le responsable du traitement peut s’opposer pour des motifs raisonnables dans les 14 jours suivant la date de notification. Si l’opposition ne peut être résolue, le responsable du traitement peut résilier le contrat.
6. Transferts internationaux de données
Hareki LLC est basée aux États-Unis et les données personnelles sont traitées sur des serveurs aux États-Unis. Les mécanismes de protection suivants s’appliquent pour les transferts de données depuis l’UE/EEE ou la Turquie :
- Clauses contractuelles types (CCT) : Les clauses contractuelles types en vigueur adoptées en vertu de la Décision d’exécution de la Commission européenne du 4 juin 2021 (2021/914) s’appliquent.
- EU-U.S. Data Privacy Framework : Considéré comme un mécanisme de protection supplémentaire dans la mesure où les certifications pertinentes des sous-traitants ultérieurs sont valides.
- Mesures de protection supplémentaires : Le chiffrement de bout en bout (TLS 1.3), la pseudonymisation et les contrôles d’accès sont appliqués aux données transférées.
- Conformité KVKK : Pour les transferts depuis la Turquie, les engagements nécessaires et la conformité aux décisions du Comité sont assurés en vertu de l’article 9 de la loi n° 6698 (KVKK).
7. Notification de violation de données
En cas de détection d’une violation de données personnelles, Hareki LLC :
- Notifie le responsable du traitement par écrit dans un délai de 72 heures maximum à compter de la découverte de la violation.
- La notification comprend les informations suivantes :
- Nature et ampleur de la violation
- Catégories de données concernées et nombre estimé d’enregistrements
- Conséquences possibles de la violation
- Mesures prises et mesures recommandées
- Coordonnées du point de contact
- Prend les mesures immédiatement nécessaires pour atténuer les effets de la violation et prévenir toute récurrence.
- Fournit une coopération complète au responsable du traitement pendant le processus d’enquête et de signalement.
- Documente tous les faits, effets et mesures correctives liés à la violation.
8. Mesures techniques et organisationnelles (Annexe)
Mesures de sécurité appliquées conformément à l’article 32 du RGPD :
8.1 Chiffrement
- Données en transit : Protocole TLS 1.3
- Données au repos : Chiffrement AES-256
- Connexions à la base de données : SSL/TLS obligatoire
- Sauvegardes : stockage chiffré
8.2 Contrôle d’accès
- Contrôle d’accès basé sur les rôles (RBAC)
- Supabase Row Level Security (RLS) — isolation au niveau de la base de données
- Séparation des données par locataire — architecture multi-tenant
- Principe du moindre privilège
8.3 Authentification
- Hachage du mot de passe : algorithme bcrypt
- Intégrations OAuth 2.0 (Google, Apple, Microsoft, LinkedIn)
- Gestion des sessions : Jeton JWT, cookie sécurisé
- Limitation du débit : protection contre les attaques par force brute
8.4 Surveillance et journalisation
- Suivi des erreurs applicatives : Sentry
- Journaux d’accès et piste d’audit
- Détection des activités anormales
8.5 Sauvegarde et reprise après sinistre
- Sauvegarde automatique quotidienne de la base de données
- Sauvegarde géographiquement distribuée
- Capacité de restauration à un instant précis
- Plan de reprise après sinistre et tests réguliers
8.6 Personnel et organisation
- Formation de sensibilisation à la protection des données
- Accords de confidentialité (NDA)
- Révision régulière des autorisations d’accès
- Procédures de réponse aux incidents de sécurité
9. Durée et résiliation
- Le présent DPA prend effet dès l’entrée en vigueur des Conditions d’utilisation et reste en vigueur pendant toute la durée de la relation de service.
- À la fin de la relation de service, le sous-traitant supprime ou restitue toutes les données personnelles au responsable du traitement dans un délai de 30 jours.
- Les données conservées en vertu d’obligations légales de conservation sont automatiquement supprimées à l’expiration de la période concernée.
- Une confirmation écrite est envoyée au responsable du traitement lorsque le processus de suppression des données est achevé.
10. Droit applicable
- RGPD : Règlement général sur la protection des données de l’Union européenne (Règlement 2016/679) — applicable aux données des citoyens de l’UE/EEE.
- KVKK : Loi n° 6698 sur la protection des données personnelles — applicable aux données des citoyens de la République de Turquie.
- Résolution des litiges : Les parties s’efforceront d’abord de résoudre les litiges à l’amiable. En cas d’échec, les tribunaux du Nouveau-Mexique, États-Unis, seront compétents.
Dernière mise à jour : 12 mars 2026 · Contact : legal@hareki.com