Aller au contenu principal
Pas de connexion internet
FidowFidow

Accord de traitement des données

DPA — Art. 28 RGPD · Fidow ↔ Commerçant

Imprimer / PDF

Comment utiliser ce document ?

Ce DPA est réputé concluentre Fidow et tout commerçant disposant d'un compte actif, par acceptation des CGU lors de l'inscription. Vous pouvez l'imprimer ou l'exporter en PDF (bouton ci-dessus → « Enregistrer au format PDF ») pour vos archives, audits ou registre des traitements (Art. 30 RGPD). Pour une version signée nominativement, envoyez votre demande à contact@fidow.fr.

Version 1.0 — Mai 2026

Entre les soussignés

Le Responsable de traitement : le commerçant titulaire d'un compte Fidow actif (ci-après « le Commerçant »), identifié par l'email de connexion et les informations de son commerce renseignées dans son espace Fidow.

Le Sous-traitant : Nadjib Guelouza, entrepreneur individuel exerçant sous le nom commercial NSLution, éditeur de la plateforme Fidow — SIREN 994 775 815, SIRET 994 775 815 00016, Rue du Stade, 31270 Cugnaux, France — contact : contact@fidow.fr (ci-après « Fidow »).

Le Commerçant et Fidow étant ensemble dénommés « les Parties ».

1. Objet

Le présent accord (ci-après « DPA ») a pour objet d'encadrer, conformément à l'article 28 du Règlement (UE) 2016/679 (RGPD), les conditions dans lesquelles Fidow traite, en qualité de sous-traitant, les données à caractère personnel des clients finaux que le Commerçant lui confie via la Plateforme Fidow, dans le cadre de la fourniture du service de programme de fidélité.

2. Description du traitement

  • Nature du traitement : hébergement, collecte, stockage, organisation, consultation, modification, effacement et restitution des données nécessaires au fonctionnement du programme de fidélité (création de cartes, attribution et consommation de points, niveaux, récompenses, notifications, statistiques).
  • Finalité: fournir au Commerçant un service de fidélité numérique permettant l'identification de ses clients, l'attribution de points lors des visites/achats, et la délivrance des récompenses.
  • Durée: le présent DPA s'applique pendant toute la durée d'utilisation de Fidow par le Commerçant, puis pendant la durée nécessaire à la restitution / suppression des données (cf. art. 9).
  • Catégories de personnes concernées : les clients finaux du Commerçant inscrits à son programme de fidélité.
  • Catégories de données :
    • Données d'identification : nom, prénom, email, téléphone (optionnel), avatar (optionnel).
    • Données de fidélité : solde de points, historique des transactions, niveau, récompenses échangées, dates de visites.
    • Données techniques : tokens de notification push (lorsque l'utilisateur les a activées).
  • Pas de données sensiblesau sens de l'Art. 9 RGPD ni de données bancaires (les paiements clients ne transitent pas par Fidow ; les paiements de l'abonnement commerçant sont gérés par Stripe).

3. Obligations de Fidow

Fidow s'engage à :

  1. Traiter les données uniquement sur instruction documentéedu Commerçant et conformément aux finalités prévues ci-dessus. Les CGU, la configuration du compte et les actions effectuées via l'interface constituent les instructions documentées.
  2. Garantir la confidentialitédes données traitées et veiller à ce que toute personne autorisée à y accéder s'engage à respecter la confidentialité ou soit soumise à une obligation légale appropriée.
  3. Mettre en œuvre les mesures techniques et organisationnelles appropriées (cf. annexe 1) pour garantir un niveau de sécurité adapté au risque (Art. 32 RGPD).
  4. Assister le Commerçant, dans la mesure du possible, pour répondre aux demandes d'exercice de droits des personnes concernées (accès, rectification, effacement, portabilité, opposition). Pour les demandes courantes (suppression, export), Fidow fournit des outils en libre-service intégrés à l'application — aucune action manuelle requise.
  5. Notifier au Commerçant toute violation de données à caractère personnel le concernant dans un délai de 72 heures après en avoir pris connaissance, par email au compte du Commerçant.
  6. Aider le Commerçantà la réalisation des analyses d'impact (AIPD) si nécessaire et à la coopération avec l'autorité de contrôle (CNIL).
  7. Tenir un registre des catégories d'activités de traitement effectuées (Art. 30.2 RGPD).
  8. Mettre à disposition du Commerçant, sur demande raisonnable, toutes les informations nécessaires pour démontrer le respect des obligations du présent DPA.

4. Obligations du Commerçant

Le Commerçant, en sa qualité de Responsable de traitement, s'engage à :

  • Disposer d'une base légalevalide pour le traitement des données de ses clients (typiquement l'exécution contractuelle du programme de fidélité ou le consentement).
  • Informer ses clientsde l'existence du traitement et de leurs droits — soit en utilisant la politique de confidentialité de Fidow comme support, soit via sa propre politique.
  • Ne pas saisir ou stocker dans Fidow des données sensibles(santé, religion, opinions politiques, etc.) ni des données bancaires complètes — Fidow n'est pas conçu pour cela.
  • Maintenir la confidentialité de ses identifiants de connexion et activer les protections disponibles (mot de passe robuste, biométrie sur mobile).
  • Veiller à ce que le personnel ayant accès à son compte Fidow soit informé de ses obligations RGPD.

5. Sous-traitants ultérieurs

Le Commerçant autorise de façon générale Fidow à recourir aux sous-traitants ultérieurs listés ci-dessous pour fournir le service. La liste à jour est également publiée sur lapage sécuritéet la politique de confidentialité.

Sous-traitantServiceLocalisationDPA
Supabase Inc.Base de données, auth, stockageUELien
Vercel Inc.Hébergement application, CDNUS — CCTLien
Stripe Payments Europe Ltd.Paiement de l'abonnement commerçantIrlande (UE)Lien
Functional Software, Inc. (Sentry)Monitoring d'erreurs (PII filtrée)UE / US — CCTLien
Google Ireland Ltd. (Firebase)Notifications pushUELien
Upstash, Inc.Limitation de fréquence (sans PII)UE
Plausible Insights OÜStatistiques anonymes (opt-in)UE

En cas de changement ou d'ajout d'un sous-traitant ultérieur, Fidow informera le Commerçant au moins 30 jours avant via email ou notification dans l'application. Le Commerçant disposera alors d'un droit d'opposition motivé ; à défaut d'opposition dans ce délai, le changement est réputé accepté.

Fidow impose à chacun de ses sous-traitants ultérieurs, par contrat, des obligations au moins équivalentesà celles du présent DPA, et reste pleinement responsable vis-à-vis du Commerçant.

6. Transferts hors UE

Les données sont principalement stockées dans l'Union européenne (Supabase région UE). Certains traitements peuvent impliquer des transferts vers les États-Unis (Vercel, Sentry, certaines fonctionnalités Firebase). Ces transferts sont encadrés par les clauses contractuelles typesde la Commission européenne (Décision UE 2021/914) et, le cas échéant, par les mesures complémentaires recommandées par l'EDPB.

7. Mesures de sécurité (Art. 32 RGPD)

Fidow met en œuvre les mesures techniques et organisationnelles détaillées en Annexe 1. Une description grand public est également disponible sur lapage Sécurité.

8. Droits des personnes concernées

Les clients du Commerçant disposent, depuis leur espace personnel Fidow, d'outils en libre-service pour exercer leurs droits d'accès, de portabilité (export JSON), de rectification et d'effacement. Lorsqu'une demande est reçue directement par le Commerçant et nécessite l'assistance de Fidow, celui-ci s'engage à répondre sous 10 jours ouvrés maximum à contact@fidow.fr.

Effet de la suppression d'un client: l'identité du client est anonymisée (nom remplacé par « Compte supprimé », email/téléphone effacés), tandis que les agrégats de transactions sont conservés dans le compte du Commerçant pour ses obligations comptables (art. L.123-22 Code de commerce — 10 ans). Ce traitement est conforme à l'Art. 17 § 3 e) RGPD.

9. Sort des données en fin de relation

À la résiliation du compte du Commerçant, et à son choix :

  • Restitution: le Commerçant peut, avant suppression, exporter l'intégralité des données de son commerce via les outils intégrés (export CSV des clients et transactions).
  • Effacement: 30 jours après la résiliation effective de l'abonnement et la liquidation des cagnottes clients, l'ensemble des données du commerce (programme, niveaux, récompenses, configuration) est définitivement supprimé, les profils clients liés exclusivement à ce commerçant sont nettoyés, et les portefeuilles sont clôturés.
  • Les sauvegardes chiffrées sont écrasées dans un délai maximum de 90 jours.
  • Certaines données peuvent être conservées au-delà si la loi l'impose (facturation Stripe : 10 ans).

10. Audit

Le Commerçant dispose d'un droit d'audit qu'il exerce de façon raisonnable et proportionnée, en pratique par :

  • La consultation des certifications et DPA des sous-traitants ultérieurs (liens fournis).
  • L'envoi de questionnaires de sécurité à contact@fidow.fr — réponse sous 30 jours.
  • Sur demande motivée, un audit sur site ou à distance, après accord préalable sur les modalités (préavis 30 jours, frais à la charge du Commerçant sauf défaillance avérée).

11. Responsabilité

Chaque Partie répond des dommages causés par tout traitement qui ne respecte pas le RGPD ou les obligations qui lui incombent au titre du présent DPA. La responsabilité de Fidow est en outre régie par les limitations prévues aux Conditions Générales d'Utilisation, sous réserve des dispositions impératives de l'Art. 82 RGPD.

12. Droit applicable & juridiction

Le présent DPA est régi par le droit français. Tout litige relatif à son interprétation ou à son exécution sera soumis aux tribunaux français territorialement compétents, sous réserve des règles de protection du consommateur applicables le cas échéant.

Annexe 1 — Mesures techniques et organisationnelles

Contrôle d'accès

  • Authentification par mot de passe (hash cryptographique à l'état de l'art) + biométrie mobile optionnelle.
  • Cookies de session inaccessibles depuis JavaScript, expiration courte, protection anti-CSRF.
  • Principe du moindre privilège pour les accès administrateurs et journalisation des actions sensibles.

Isolation logique (multi-tenant)

  • Règles d'accès appliquées au niveau de la base de données (pas seulement applicatif).
  • Vérification systématique de la propriété des données sur chaque accès.

Chiffrement

  • Chiffrement en transit (TLS) et chiffrement au repos des disques de base de données et de stockage.
  • Jetons internes signés, à durée très courte et à usage unique pour les opérations sensibles.

Surveillance & intégrité

  • Limitation de fréquence sur les routes sensibles (anti force-brute et anti-abus).
  • Monitoring d'erreurs avec filtrage des données personnelles avant envoi.
  • Sauvegardes automatiques chiffrées, restauration à un instant donné.

Résilience

  • Hébergement distribué sur infrastructures redondantes.
  • Plan de continuité documenté ; tests de restauration périodiques.

Organisation

  • Accès aux données de production restreint au strict nécessaire, sous engagement de confidentialité.
  • Sensibilisation continue à la sécurité et bonnes pratiques OWASP.
  • Procédure documentée de notification de violation (72 h).
  • Politique de divulgation responsable des vulnérabilités (contact dédié).

Pour des raisons de sécurité opérationnelle, le détail précis de notre architecture, des versions logicielles et des secrets cryptographiques n'est pas publié. Une description plus détaillée peut être fournie sous accord de confidentialité dans le cadre d'un audit motivé (cf. art. 10).

Document généré automatiquement pour chaque commerçant disposant d'un compte Fidow actif. Pour toute question : contact@fidow.fr.

Voir aussi : Sécurité · Confidentialité · CGU · Mentions légales