Accord de traitement des données (DPA)
Data Processing Agreement — RGPD Art. 28
Dernière mise à jour : 6 juin 2026
1. Parties
Responsable de traitement (« Client ») :
L'entité utilisant Qillaw et déterminant les finalités et moyens du traitement des données personnelles qu'elle importe, génère ou publie via le service.
Sous-traitant (« Qillaw ») :
Kevin Daburon
10 rue de la Milétrie, 86000 Poitiers, France
SIREN : 831 957 139
Email : contact@qillaw.com
Le présent Accord de Traitement des Données (« DPA ») complète les CGU et CGV. En cas de contradiction, le DPA prévaut pour les obligations de sous-traitance RGPD.
2. Objet et durée
Qillaw traite des données personnelles pour le compte du Client dans le cadre de la fourniture du service SaaS (hébergement, génération, édition, publication de sites, analytics le cas échéant).
Durée : durée du contrat principal + période de suppression/sauvegarde décrite ci-dessous.
3. Nature et finalités du traitement
| Élément | Description |
|---|---|
| Nature | Hébergement, stockage, affichage, génération IA, analytics, support technique |
| Finalités | Fourniture du service commandé par le Client |
| Types de données | Données d'identification professionnelles, coordonnées, contenus publiés, avis Google, logs, analytics visiteurs |
| Personnes concernées | Utilisateurs du Client, visiteurs des sites, contacts importés |
4. Instructions documentées
Qillaw traite les données uniquement sur instruction documentée du Client, conformément aux CGU/CGV et à la configuration du compte, sauf obligation légale imposant un traitement contraire (informer le Client sauf interdiction légale).
Le Client garantit disposer d'une base légale pour les traitements qu'il instruit via Qillaw.
5. Confidentialité
Qillaw s'assure que les personnes autorisées à traiter les données :
- sont soumises à une obligation de confidentialité ;
- reçoivent une formation appropriée en matière de protection des données.
6. Mesures de sécurité (Art. 32 RGPD)
Qillaw met en œuvre les mesures décrites dans Sécurité et protection des données, incluant notamment :
- chiffrement en transit (HTTPS/TLS) ;
- authentification sécurisée ;
- contrôle d'accès (RLS Supabase) ;
- sauvegardes quotidiennes automatiques (Supabase), rétention selon plan Supabase (typiquement 7 à 30 jours pour les points de restauration) ;
- journalisation et monitoring ;
- gestion des incidents.
Le Client est responsable de la sécurité de ses identifiants et des accès qu'il autorise.
7. Sous-traitants ultérieurs
Le Client autorise Qillaw à faire appel aux sous-traitants suivants :
| Sous-traitant | Activité | Localisation |
|---|---|---|
| Supabase Inc. | Base de données, auth | Union européenne (région eu-west-1 ou équivalent) |
| Vercel Inc. | Hébergement | US / global |
| Stripe Inc. | Paiements | UE / US |
| OpenAI, LLC | IA générative | US |
| Apify Technologies | Collecte Google Business | UE / US |
| Resend | Emails | US |
Qillaw informera le Client de tout changement substantiel de sous-traitant (notification email ou mise à jour documentaire), lui permettant de s'opposer pour motif légitime dans un délai de 30 jours à compter de la notification.
Les sous-traitants sont liés par des obligations équivalentes au présent DPA.
8. Transferts internationaux
Lorsque des données sont transférées hors UE/EEE, Qillaw s'assure de l'existence de garanties appropriées (SCC, mesures complémentaires) conformément au RGPD.
9. Assistance au Client
Qillaw assiste raisonnablement le Client, dans la mesure du possible, pour :
- répondre aux demandes d'exercice de droits des personnes concernées ;
- réaliser des analyses d'impact (AIPD) si nécessaire ;
- notifier les violations de données au Client.
Les demandes peuvent être adressées à contact@qillaw.com.
Délai de notification des violations : Qillaw informera le Client dans un délai maximal de 72 heures après prise de connaissance d'une violation affectant les données du Client.
10. Violations de données
En cas de violation de données personnelles, Qillaw :
- notifie le Client sans retard injustifié (max. 72 h si faisable) ;
- fournit les informations disponibles (nature, catégories, mesures prises) ;
- coopère à la mise en œuvre des mesures correctives.
Le Client reste responsable des notifications à la CNIL et aux personnes concernées le cas échéant.
11. Sort des données
À la fin du contrat ou sur demande de suppression :
- les données du Client sont supprimées ou restituées sous 30 jours ;
- sauf obligation légale de conservation (facturation, litiges).
Le Client peut exporter ses contenus avant résiliation via Paramètres → Données personnelles → Exporter mes données (JSON) dans le dashboard.
Les sauvegardes peuvent persister jusqu'à 90 jours avant écrasement définitif.
12. Audits
Le Client peut réaliser un audit raisonnable (questionnaire de sécurité, demande de documentation) une fois par an, moyennant préavis écrit de 30 jours, sans perturber excessivement l'activité de Qillaw.
Qillaw pourra fournir des rapports ou certifications de sous-traitants (SOC 2, ISO, etc.) lorsqu'ils existent : Supabase (SOC 2 Type II), Vercel (SOC 2), Stripe (PCI-DSS Level 1, SOC 1/2).
13. Responsabilité
La responsabilité de chaque Partie est régie par les CGU/CGV. En cas de manquement prouvé imputable à Qillaw en qualité de sous-traitant, sa responsabilité est limitée conformément au contrat principal.
14. Contact sécurité / DPO
Contact données / sécurité : contact@qillaw.com
DPO Qillaw : Non désigné à ce jour — contact : contact@qillaw.com
15. Acceptation
Le DPA est réputé accepté par le Client :
- lors de la création du compte ; et/ou
- lors de la souscription à une offre payante ; et/ou
- lors du premier traitement de données personnelles via le service.
Signature électronique séparée pour clients Enterprise : non requise à ce jour ; le présent DPA est accepté électroniquement via les CGU/CGV. Un accord signé distinct pourra être proposé sur demande pour les contrats B2B à volume élevé.
Annexe A — Description détaillée du traitement
| Fonctionnalité | Données traitées | Finalité | Durée |
|---|---|---|---|
| Génération IA | Données Google Business publiques, prompts | Création contenu site | Durée du compte |
| Hébergement sites | Contenus, paramètres, slug | Publication sites | Durée du compte |
| Domaines custom | Nom de domaine, DNS | Connexion domaine | Durée du compte |
| Analytics | Pages vues, referrer, user-agent, IP tronquée | Statistiques audience | 13 mois (brut) / 26 mois (agrégé) |
| Emails transactionnels | Email, nom | Auth, facturation, support | 3 ans (support) |
| Facturation | Identifiant Stripe, statut abonnement | Paiements | 10 ans (comptabilité) |
| Avis Google | Avis publics importés | Affichage site client | Durée du compte |
Annexe B — Mesures techniques et organisationnelles (TOMs)
Voir Sécurité et protection des données.
Annexe C — Liste des sous-traitants
Voir section 7 et Politique de confidentialité.