Accord de traitementdes données Yovale

« Service » désigne le service d'hébergement WordPress géré par Yovale, mis à disposition au titre du contrat de licence utilisateur final de Yovale.

« Données personnelles du client » désigne les données personnelles que Yovale traite pour le compte du client dans le cadre du service.

« Personne concernée » désigne une personne physique identifiée ou identifiable dont les données personnelles sont contenues dans les données personnelles du client.

« Sous-traitant ultérieur » désigne tout tiers engagé par Yovale pour traiter des données personnelles du client dans le cadre du service.

Les termes non définis ici — notamment « Responsable du traitement », « Sous-traitant », « Données personnelles », « Traitement », « Violation de données personnelles » et « Autorité de contrôle » — ont le sens donné à l'Article 4 du RGPD.

Le client est le responsable du traitement des données personnelles du client. Le client détermine les finalités et les moyens du traitement.

Yovale est le sous-traitant des données personnelles du client. Yovale ne traite les données personnelles du client que sur instructions documentées du client, y compris celles contenues dans la configuration du service que le client définit via le tableau de bord Yovale.

Lorsque Yovale collecte des données personnelles directement auprès de personnes pour ses propres finalités — par exemple dans la relation avec le titulaire du compte — Yovale agit en tant que responsable du traitement pour ces données, et ce traitement est régi par la politique de confidentialité de Yovale et non par le présent ATD.

L'objet du traitement est l'hébergement, le stockage, la transmission, la sauvegarde et la maintenance opérationnelle des données personnelles du client au sein des sites WordPress du client et des interfaces de tableau de bord associées.

La durée du traitement correspond à la durée du service. Les obligations de Yovale au titre du présent ATD se poursuivent jusqu'à ce que toutes les données personnelles du client aient été supprimées ou restituées conformément à la Section 10.

La nature du traitement comprend la collecte, l'enregistrement, l'organisation, la structuration, le stockage, la récupération, la transmission, l'hébergement et l'effacement des données personnelles du client, selon les besoins pour la fourniture du service.

La finalité du traitement est de permettre au client d'exploiter le ou les sites WordPress hébergés par le service, y compris la diffusion de contenu aux visiteurs, la réception de soumissions de formulaires, la mise à disposition du tableau de bord administratif, la génération de sauvegardes, la mise à disposition de journaux et le soutien aux intégrations choisies par le client.

Catégories de données personnelles du client : données d'identification (noms, adresses e-mail, identifiants de compte), données de contact soumises via les formulaires des sites clients, contenu rédigé par les utilisateurs du client, données transactionnelles au sein des sites WooCommerce le cas échéant, signaux techniques (adresses IP, agents utilisateurs, horodatages), et toutes autres données personnelles que le client choisit de stocker dans le service.

Catégories de personnes concernées : propres utilisateurs et personnel du client, visiteurs du site client, clients et membres du client, et autres personnes physiques dont les données personnelles sont traitées par le client via le service.

Données de catégorie spéciale : le client ne doit pas télécharger de données personnelles de catégorie spéciale telles que définies à l'Article 9 du RGPD sans en informer préalablement Yovale par écrit.

Yovale ne traite les données personnelles du client que sur instructions documentées du client. Les instructions sont : (i) le présent ATD, (ii) le contrat de licence utilisateur final de Yovale, (iii) la configuration du service que le client définit via le tableau de bord, et (iv) toute instruction écrite complémentaire que le client adresse à Yovale par e-mail à dpo@yovale.com.

Si Yovale est tenu par le droit de l'UE ou d'un État membre de traiter des données personnelles du client autrement que sur les instructions du client, Yovale informera le client de cette obligation légale avant le traitement, sauf si ce droit interdit une telle notification pour des raisons importantes d'intérêt public.

Yovale veille à ce que le personnel autorisé à traiter des données personnelles du client soit soumis à des obligations de confidentialité appropriées, que ce soit par contrat de travail ou par engagements écrits équivalents.

L'accès aux données personnelles du client au sein de Yovale est limité au personnel qui en a besoin pour l'exercice de ses fonctions et est journalisé à des fins d'audit.

Réseau : TLS 1.2 ou supérieur pour toutes les données en transit. Protection DDoS Cloudflare sur chaque site client. Règles WAF adaptées aux menaces spécifiques à WordPress.

Calcul : chaque site WordPress client s'exécute dans un conteneur Docker dédié avec système de fichiers isolé, plafonds mémoire et workers PHP-FPM dédiés. Aucun environnement d'exécution PHP partagé entre clients.

Stockage : chiffrement au repos du stockage de sauvegarde (Cloudflare R2) avec AES-256. Clés de chiffrement gérées dans le cadre du contrat de gestion des clés du prestataire standard.

Authentification : l'accès au tableau de bord requiert des identifiants vérifiés par e-mail. Les appels inter-services entre le tableau de bord et les agents par VPS sont signés HMAC avec des secrets par serveur.

Surveillance : journaux d'activité par site et journaux des crawlers IA accessibles dans le tableau de bord client ; métriques au niveau de l'infrastructure conservées et analysées pour la détection d'anomalies.

Yovale maintient une politique de sécurité de l'information écrite, revue au moins annuellement.

Le personnel ayant accès aux systèmes de production est soumis à un processus documenté d'intégration et de départ, incluant l'émission, la révocation et la revue des accès.

La gestion des changements apportés à l'infrastructure de production est soumise à revue et journalisée. Les changements critiques sont validés dans un environnement de préproduction avant déploiement.

Les sauvegardes sont testées pour leur restorabilité au minimum sur une base trimestrielle.

Yovale réalise des tests, évaluations et contrôles périodiques de l'efficacité de ses mesures techniques et organisationnelles, incluant des analyses de vulnérabilités de la pile de production et la revue des journaux d'accès.

Les faiblesses significatives identifiées lors des tests sont traitées via le processus de gestion des changements de Yovale. Les résultats pertinents pour les clients — par exemple, des vulnérabilités affectant le cœur WordPress hébergé — leur sont communiqués via le tableau de bord ou par e-mail.

Le client autorise Yovale à engager des sous-traitants ultérieurs pour traiter des données personnelles du client sous réserve des conditions énoncées à la présente Section 5. Yovale maintient la liste actualisée des sous-traitants ultérieurs sur sa page de confiance et fournit un préavis d'au moins 30 jours pour tout ajout ou remplacement.

Infrastructure : Hetzner (DE), OVH (FR, CA, DE), Vultr (plusieurs régions), Cloudflare (périphérie mondiale, DNS, WAF, stockage R2).

Livraison d'e-mails : Postmark, lorsque le client active les e-mails transactionnels envoyés par Yovale. Si le client configure son propre fournisseur SMTP, ce fournisseur n'est pas un sous-traitant ultérieur de Yovale.

Paiements : Razorpay (primaire), PayPal (secondaire), Stripe (le cas échéant). Les processeurs de paiement ne reçoivent que les données nécessaires au traitement d'une transaction.

Assistance client : les coordonnées du client et les communications d'assistance sont traitées dans le système de helpdesk interne de Yovale.

Chaque sous-traitant ultérieur est engagé sous un contrat écrit contenant des obligations de protection des données équivalentes en substance à celles énoncées dans le présent ATD, y compris les obligations de sécurité au titre de l'Article 32 du RGPD.

Si le client s'oppose raisonnablement à un nouveau sous-traitant ultérieur pour des motifs de protection des données dans les 30 jours suivant la notification, les parties discuteront de cette opposition de bonne foi. Si aucune solution ne peut être trouvée, le client peut résilier la partie concernée du service pour juste motif sans pénalité, avec effet à compter de la date d'intégration proposée du sous-traitant ultérieur.

Le client peut directement exporter, modifier ou supprimer les données personnelles du client stockées dans le service via le tableau de bord Yovale, l'accès WP-CLI et l'interface d'administration WordPress.

Ces outils en libre-service sont normalement suffisants pour permettre au client de répondre aux demandes d'accès, de rectification, d'effacement, de limitation et de portabilité au titre des Articles 15 à 20 du RGPD.

Lorsque les outils en libre-service sont insuffisants — par exemple, la récupération de données dans un environnement supprimé — le client peut soumettre une demande écrite à dpo@yovale.com. Yovale apportera une assistance raisonnable dans un délai de 10 jours ouvrables suivant la réception, sous réserve de contraintes juridiques et techniques, et sans frais supplémentaires sauf si la demande nécessite un effort matériellement disproportionné.

Si une personne concernée contacte Yovale directement au sujet des données personnelles du client, Yovale ne répondra pas au fond de la demande et la transmettra plutôt au client concerné sans délai indu.

Yovale notifiera le client de toute violation de données personnelles avérée affectant les données personnelles du client sans délai indu et en tout état de cause dans les 72 heures suivant la confirmation.

La notification sera envoyée à l'adresse e-mail associée au compte client. Si ce canal est indisponible, Yovale tentera de notifier via le tableau de bord Yovale et tout contact alternatif disponible.

Chaque notification décrira, dans la mesure connue à ce moment, la nature de la violation, les catégories et le nombre approximatif de personnes concernées et d'enregistrements de données personnelles concernés, les conséquences probables de la violation, ainsi que les mesures prises ou envisagées pour y remédier et en atténuer les effets négatifs.

Les informations indisponibles dans la fenêtre initiale de 72 heures seront fournies dans des mises à jour ultérieures au fur et à mesure de leur disponibilité. Yovale coopérera avec le client dans l'accomplissement de ses obligations éventuelles de notification aux autorités de contrôle ou aux personnes concernées au titre des Articles 33 et 34 du RGPD.

Yovale met à la disposition du client les informations raisonnablement nécessaires pour démontrer la conformité à l'Article 28 du RGPD, notamment le présent ATD, la liste publique des sous-traitants ultérieurs et l'aperçu de sécurité de Yovale publié sur /security.

Sur demande écrite raisonnable, Yovale répondra dans les 30 jours à des questions spécifiques raisonnablement nécessaires pour permettre au client de se conformer à ses propres obligations RGPD.

Lorsque le client a des motifs raisonnables de croire que les informations ci-dessus ne fournissent pas de preuve suffisante de conformité, il peut demander un audit des activités de traitement de Yovale. Les audits sont limités à une fois par période de douze mois, doivent être menés pendant les heures normales de bureau, ne doivent pas perturber les opérations de Yovale ni compromettre la sécurité des autres clients, et doivent être réalisés par le client ou par un auditeur tiers indépendant sous un engagement de confidentialité acceptable par Yovale.

Le client supporte les coûts de tout audit qu'il initie dans le cadre de cette section, sauf si l'audit révèle une violation significative du présent ATD par Yovale, auquel cas Yovale supportera les coûts d'audit raisonnables.

Les clients peuvent sélectionner leur région d'hébergement lors du provisionnement. Yovale exploite une infrastructure dans l'Union européenne (Hetzner DE, OVH FR/DE) et plusieurs régions hors-UE. Les données personnelles du client restent dans la région sélectionnée par le client, sous réserve du comportement nécessaire du cache de périphérie de Cloudflare et de la portée mondiale du plan de contrôle du tableau de bord.

Lorsque des données personnelles du client sont transférées en dehors de l'Espace économique européen, du Royaume-Uni ou de la Suisse vers un pays ne faisant pas l'objet d'une décision d'adéquation applicable, le transfert est soumis aux Clauses contractuelles types de l'UE (2021/914) et à l'Addendum international britannique de transfert de données, qui sont incorporés par référence dans le présent ATD et s'appliquent automatiquement à ces transferts.

Yovale et tout sous-traitant ultérieur hors EEE agissent respectivement en tant qu'exportateur et importateur de données aux fins des Clauses contractuelles types. Yovale fournira une copie des clauses pertinentes sur demande.

À la résiliation du service, le client peut, dans les 30 jours suivant la date de résiliation, demander la restitution des données personnelles du client via les outils d'exportation standard disponibles dans le tableau de bord, ou demander à Yovale de les supprimer.

À l'issue de cette fenêtre de 30 jours, Yovale supprimera définitivement les données personnelles du client dans un délai supplémentaire de 30 jours, sauf dans la mesure où la conservation est requise par le droit de l'UE ou d'un État membre, auquel cas Yovale continuera d'appliquer les obligations de sécurité et de confidentialité du présent ATD aussi longtemps que les données sont conservées.

Les sauvegardes de routine de l'environnement de production peuvent continuer à contenir des copies résiduelles de données personnelles du client supprimées pendant une période allant jusqu'à 90 jours à compter de la date de suppression. Ces copies résiduelles sont soumises aux mêmes obligations de sécurité et ne sont utilisées à aucune autre fin.

La responsabilité au titre du présent ATD est soumise aux limitations énoncées dans le contrat de licence utilisateur final de Yovale.

En cas de conflit entre une disposition du présent ATD et le contrat de licence utilisateur final de Yovale sur une question de protection des données, le présent ATD prévaut dans la mesure du conflit.

Contact du délégué à la protection des données : dpo@yovale.com. Les demandes générales de protection des données peuvent également être adressées à support@yovale.com.

Le représentant de Yovale dans l'UE peut être contacté sur demande via dpo@yovale.com.