Documentation RGPD

Dernière mise à jour : 2026-05-06

Cet accord est intégré par référence au contrat de service Walityk. Il s'applique automatiquement dès la souscription d'un plan payant ou la création d'un compte sur la plateforme. Une copie signée peut être obtenue sur simple demande à privacy@walityk.com.

1. Parties

• Le client, ci-après « le Responsable », ayant souscrit au service Walityk.
• Impulse Analytics, éditeur du service Walityk, ci-après « le Sous-traitant ».

2. Objet et durée

Le Sous-traitant traite les données à caractère personnel collectées via le tag Walityk pour le compte du Responsable, pour la durée du contrat de service. À l'extinction du contrat, les données sont restituées et/ou détruites dans les 30 jours, sauf obligations de conservation légales (logs comptables).

3. Description du traitement

4. Obligations du Sous-traitant (article 28 RGPD)

1. Traiter les données conformément aux instructions documentées du Responsable (configuration des destinations, politique de consentement, durées de rétention paramétrables).
2. Garantir la confidentialité par les personnes autorisées à traiter les données (clauses contractuelles de confidentialité avec les salariés et prestataires).
3. Mettre en œuvre les mesures de sécurité techniques et organisationnelles décrites en annexe (chiffrement TLS/at-rest, RLS Postgres, MFA, journalisation des accès admin).
4. Aider le Responsable à répondre aux demandes d'exercice des droits, sous 7 jours ouvrés à compter de la transmission de la demande.
5. Notifier toute violation de données sous 24 heures à l'adresse de contact RGPD du Responsable, accompagnée des éléments permettant la notification CNIL dans le délai de 72 heures.
6. Coopérer aux audits du Responsable, sur préavis raisonnable (15 jours), au maximum une fois par an, ou sans préavis en cas d'incident avéré.
7. À la fin du contrat, restituer les données dans un format machine-lisible (CSV / JSON export depuis le dashboard) puis les effacer dans un délai de 30 jours.

5. Sous-traitants ultérieurs

Le Responsable autorise le Sous-traitant à recourir aux sous-traitants ultérieurs listés sur la page Sous-traitants. Tout ajout ou remplacement sera notifié par email et publié sur cette page au moins 30 jours avant prise d'effet, laissant au Responsable la possibilité de s'y opposer en résiliant le contrat sans pénalité.

6. Transferts hors UE

Les données analytiques sont stockées dans l'Union européenne (Supabase Frankfurt). Aucun transfert hors UE n'a lieu pour ces données. Pour les paiements (Stripe, États-Unis), le Sous-traitant a conclu les Clauses Contractuelles Types (CCT 2021) et repose sur la décision d'adéquation Data Privacy Framework UE-USA.

7. Responsabilité

Chaque partie est responsable des dommages qu'elle cause par non-respect de ses obligations RGPD, dans les limites prévues par le contrat de service principal. Le Sous-traitant ne peut être tenu responsable des configurations choisies par le Responsable (par exemple, activation d'une destination publicitaire sans recueil de consentement préalable).

8. Annexe — Mesures de sécurité

• Chiffrement TLS 1.2+ en transit, AES-256 at-rest sur les bases Supabase.
• RLS Postgres strict, isolation tenant via politiques tenant_id.
• HMAC sur les cookies first-party, pas de PII en clair persistée.
• MFA obligatoire pour les opérateurs, principe du moindre privilège.
• Backups chiffrés quotidiens, rétention 30 jours, restauration testée trimestriellement.
• Monitoring en continu (logs structurés + Sentry-compatible error reporting), alerting 24/7 sur incidents critiques.