Accord de Traitement des Données

Le présent Accord de Traitement des Données (ci-après « DPA » ou « Accord ») complète les Conditions Générales de Vente (CGV) de Brandyze et précise les modalités selon lesquelles Brandyze, agissant en qualité de sous-traitant au sens de l'article 4 (8) du Règlement (UE) 2016/679 du 27 avril 2016 (le « RGPD »), traite les Données à Caractère Personnel pour le compte du Client, agissant en qualité de responsable du traitement.

En souscrivant à un abonnement Brandyze, le Client adhère sans réserve au présent DPA.

L'objet du présent DPA est de définir les conditions dans lesquelles le Sous-traitant s'engage à effectuer pour le compte du Responsable du traitement les opérations de traitement de données à caractère personnel nécessaires à la fourniture du Service Brandyze (analyse de contenu, génération marketing IA, outreach B2B, SEO, gestion de marque).

Durée :le présent Accord prend effet à la date d'activation du compte Brandyze et reste en vigueur tant qu'un abonnement actif existe. Il survit 30 jours après la résiliation pour permettre l'export et la suppression des données.

• Nature des opérations : collecte, enregistrement, organisation, structuration, conservation, consultation, utilisation par algorithmes IA, communication, mise à disposition, rapprochement, effacement.
• Finalité : fourniture du SaaS Brandyze (audit marketing, génération de contenu, campagnes outreach, SEO/SEA, gestion de marque).
• Catégories de personnes concernées : utilisateurs du Client (collaborateurs), prospects B2B importés (Outreach Studio), audience publique scrapée (creators TikTok/YouTube/Instagram).
• Catégories de données : identifiants (email, nom, prénom), données professionnelles (entreprise, fonction, LinkedIn), contenus marketing produits, métriques publiques, embeddings vectoriels.
• Données sensibles : aucune (pas de santé, pas d'opinions politiques, pas de données de mineurs < 15 ans).

Conformément à l'article 28 (3) RGPD, le Sous-traitant s'engage à :

• Traiter les Données uniquement sur instruction documentée du Responsable du traitement (souscription au Service = instruction écrite) ;
• Garantir la confidentialité par engagement écrit ou statutaire de toute personne autorisée à traiter les Données ;
• Mettre en œuvre les mesures techniques et organisationnelles décrites à l'Article 7 ;
• Respecter les conditions de recours à un autre sous-traitant définies à l'Article 5 ;
• Aider le Responsable à répondre aux demandes d'exercice de droits des personnes concernées ;
• Aider le Responsable pour les obligations des articles 32 à 36 RGPD (sécurité, notification, AIPD) ;
• Au choix du Responsable, supprimer ou retourner toutes les Données dans les 30 jours suivant la fin de la prestation, et détruire les copies existantes ;
• Mettre à disposition du Responsable toute information nécessaire pour démontrer le respect des obligations de l'article 28 RGPD.

Le Responsable autorise expressément le Sous-traitant à recourir à des sous-traitants ultérieurs (« sub-processors ») pour la fourniture du Service. La liste exhaustive et à jour est publiée sur brandyze.fr/sub-processors et inclut notamment : Supabase (Frankfurt), Stripe (Dublin), Cloudflare, PostHog EU, Resend, Anthropic, Google Gemini, Voyage AI, Apify (Prague), Tavily.

Notification préalable :tout ajout ou changement de sous-traitant ultérieur fait l'objet d'une notification 30 jours avant la mise en production. Le Responsable peut s'y opposer pour motif légitime, auquel cas il peut résilier le Service sans pénalité.

Le Sous-traitant impose à chaque sous-traitant ultérieur les mêmes obligations de protection des données que celles du présent DPA, par contrat écrit (DPA + Clauses Contractuelles Types pour transferts hors UE).

L'hébergement des données business du Client est réalisé exclusivement dans l'Union Européenne (Frankfurt, Allemagne pour Supabase et le VPS Contabo).

Certains sous-traitants ultérieurs (Cloudflare, Anthropic, Resend, Voyage AI, Tavily) sont basés aux États-Unis. Les transferts vers ces destinataires sont encadrés par :

• Les Clauses Contractuelles Types (CCT) adoptées par la Commission européenne le 4 juin 2021 (décision 2021/914) ;
• Le cas échéant, l'adhésion du sous-traitant au EU-US Data Privacy Framework ;
• Des mesures supplémentaires (chiffrement, pseudonymisation, audits) lorsque l'analyse Schrems II le justifie.

Le Sous-traitant met en œuvre les mesures suivantes, conformément à l'article 32 RGPD :

7.1 Sécurité technique

• Chiffrement at-rest : AES-256 (LUKS sur VPS, encryption native Supabase)
• Chiffrement in-transit : TLS 1.3 obligatoire, HSTS preload, certs Let's Encrypt auto-renouvelés
• Cloisonnement multi-tenant : Row-Level Security PostgreSQL par workspace_id
• Authentification : Supabase Auth + JWT ES256, MFA disponible, sessions 1 h
• Mots de passe : hashing bcrypt côté Supabase, jamais stockés en clair
• Backups : quotidiens 3h UTC, rétention 30 jours, chiffrés, restauration testée mensuellement
• Monitoring : Sentry + Telegram pour alerting temps réel, logs PM2/nginx 90 jours

7.2 Sécurité organisationnelle

• Accès aux serveurs production : SSH par clé uniquement, pas de mot de passe, audit logs
• Principe du moindre privilège : credentials séparés par environnement (dev/prod)
• Secrets vault : tous les secrets en variables d'environnement, jamais commités en Git
• Sensibilisation : formation continue du fondateur aux bonnes pratiques sécurité (revue trimestrielle)
• Tests : 4 955 tests automatisés, 100 % de couverture sur le backend, exécutés à chaque déploiement
• Audit sécurité : 5 vulnérabilités critiques corrigées en 2026 (SQLi, JWT bypass, SSRF, auth bypass, timeout)

Le Sous-traitant notifie le Responsable du traitement dans un délai maximum de 48 heures après avoir eu connaissance d'une violation de données à caractère personnel le concernant. La notification précise :

• La nature de la violation (catégories et nombre approximatif de personnes concernées)
• Les conséquences probables
• Les mesures prises ou proposées pour remédier à la violation et atténuer ses effets
• Les coordonnées du DPO ou point de contact où plus d'informations peuvent être obtenues

Cette notification permet au Responsable de respecter son obligation de notification à la CNIL dans les 72 heures (art. 33 RGPD).

Le Responsable du traitement peut, une fois par an et sous préavis raisonnable de 30 jours, auditer la conformité du Sous-traitant aux présentes obligations. L'audit peut prendre la forme de :

• Questionnaire écrit (DPIA, registre des traitements, MTO) — pris en charge ;
• Audit sur site sous escorte — frais à la charge du Responsable, sauf découverte de non-conformité majeure ;
• Audit par tiers indépendant agréé — accords NDA préalables.

Les rapports d'audit ISO 27001 et SOC 2 Type II (à compter de Q2 2027) seront communiqués sur demande sous NDA aux clients Enterprise.

À la fin du contrat (résiliation, expiration, non-renouvellement), le Responsable dispose de 30 jours pour exporter ses données via l'interface Brandyze (RGPD art. 20 — portabilité). Passé ce délai :

• Suppression automatique de toutes les données business (comptes, contenus, leads, embeddings) ;
• Anonymisation des logs résiduels (IP tronquées) après 12 mois ;
• Conservation légale obligatoire des factures 10 ans (art. L.123-22 Code de commerce) — comptable uniquement.

Une attestation de suppression peut être délivrée sur demande à [email protected].

Le Sous-traitant assiste le Responsable du traitement dans l'exercice des droits prévus par le RGPD : accès (art. 15), rectification (art. 16), effacement (art. 17), limitation (art. 18), portabilité (art. 20), opposition (art. 21).

Toute demande peut être adressée par les utilisateurs finaux à [email protected]. Le Sous-traitant répond dans un délai d'un mois (extensible à trois mois si complexité).

Chaque partie est responsable des dommages causés par tout traitement non conforme au RGPD. Le Sous-traitant est exonéré dans la mesure où il prouve que le fait dommageable ne lui est pas imputable.

La responsabilité du Sous-traitant est plafonnée au montant des sommes versées par le Responsable du traitement au titre de l'abonnement sur les 12 derniers mois précédant le fait générateur, sauf en cas de faute lourde ou intentionnelle.

Le présent DPA est régi par le droit français. Tout litige relatif à son interprétation ou à son exécution relève de la compétence exclusive des juridictions du ressort de la Cour d'Appel d'Aix-en-Provence, nonobstant pluralité de défendeurs ou appel en garantie, sauf disposition légale impérative contraire.

Conformément à l'article L.612-1 du Code de la consommation, le Client consommateur peut recourir gratuitement au médiateur de la consommation : SAS Médiation Solution, 222 chemin de la Bergerie, 01800 Saint-Jean-de-Niost (sasmediationsolution-conso.fr).

• Annexe 1 : Liste des sous-traitants ultérieurs (publiée sur /sub-processors)
• Annexe 2 : Description détaillée des MTO (publiée sur /security)
• Annexe 3 : Politique de confidentialité (/privacy)
• Annexe 4 : Conditions Générales de Vente (/cgv)