Accord de traitement des données (DPA)

Préambule & Parties

Le présent Accord de traitement des données (« DPA ») est conclu entre :

Le responsable du traitement (« Client ») : toute personne physique ou morale utilisant les services FRQR.app dans le cadre d'une activité professionnelle.
Le sous-traitant (« FRQR.app ») : l'entité opérant la plateforme FRQR.app (frqr.app), dont le contact RGPD est hello@cqev.fr.

Ce DPA fait partie intégrante des Conditions Générales d'Utilisation de FRQR.app et s'applique dès lors que FRQR.app traite des données à caractère personnel pour le compte du Client.

Il est conclu conformément à l'article 28 du RGPD (Règlement UE 2016/679) et aux lois nationales applicables.

Article 1 — Objet du traitement

FRQR.app traite des données à caractère personnel uniquement pour le compte et sur instruction du Client, dans le cadre des services suivants :

Génération et hébergement de signatures email
Création et redirection de liens courts
Génération et suivi de QR codes
Création de pages bio et formulaires de capture de leads
Suivi analytique des clics et scans
Gestion de la facturation et des abonnements

Article 2 — Données à caractère personnel traitées

2.1 Données des comptes Client

Identité : nom, prénom, adresse email, société, téléphone
Compte : identifiants de connexion (mot de passe haché), paramètres 2FA
Facturation : pays de résidence, identifiant client Stripe/Mollie/Razorpay
Utilisation : logs d'activité, adresses IP anonymisées (HMAC-SHA256)

2.2 Données des utilisateurs finaux du Client

Données de navigation : adresse IP, user-agent, horodatage des clics
Leads collectés : email, nom (si formulaire de capture activé par le Client)
Scans QR : localisation approximative (pays/ville via GeoIP, sans stockage de l'IP brute)

2.3 Catégories particulières

FRQR.app ne collecte aucune donnée sensible au sens de l'art. 9 RGPD (santé, origines ethniques, convictions, etc.) sauf instruction contraire explicite du Client.

Article 3 — Obligations de FRQR.app

Instruction du responsable : traiter les données uniquement sur instruction documentée du Client, sauf obligation légale.
Confidentialité : garantir que les personnes autorisées à traiter les données s'engagent à la confidentialité.
Sécurité : mettre en œuvre les mesures techniques et organisationnelles visées à l'article 7 du présent DPA.
Sous-traitants ultérieurs : n'engager de sous-traitants que conformément à l'article 5 ; en informer le Client et lui permettre de s'y opposer.
Droits des personnes : assister le Client dans le respect des droits RGPD des personnes concernées (accès, rectification, effacement, portabilité).
Notification des violations : notifier le Client dans les 48 heures suivant la détection d'une violation de données.
Audit : fournir toute information nécessaire pour démontrer le respect du présent DPA, et permettre les audits réalisés par le Client ou son mandataire.
Retour/Suppression : à la fin des services, supprimer ou restituer toutes les données sur demande du Client.

Article 4 — Obligations du Client

S'assurer de disposer d'une base légale pour tout traitement confié à FRQR.app.
Fournir les informations requises aux personnes concernées (notice de confidentialité).
Ne transmettre à FRQR.app que les données strictement nécessaires aux finalités définies.
Notifier FRQR.app de toute modification des instructions initiales de traitement.

Article 5 — Sous-traitants ultérieurs

Le Client autorise FRQR.app à recourir aux sous-traitants ultérieurs listés ci-dessous. FRQR.app s'assure contractuellement que chaque sous-traitant offre des garanties équivalentes au présent DPA.

Toute modification de cette liste sera notifiée au Client avec un préavis de 30 jours par email, lui laissant la possibilité de s'y opposer.

Sous-traitant	Finalité	Localisation	Garanties
Hostinger	Hébergement web & base de données	UE 🇱🇹	RGPD Art. 28, Data Center EU
Stripe	Traitement des paiements par carte	US 🇺🇸	PCI-DSS L1, CCE UE (Standard Contractual Clauses)
Razorpay	Paiements (marchés Inde & Asie)	IN 🇮🇳	PCI-DSS, CCE UE
Mollie	Paiements iDEAL, Bancontact, SEPA	UE 🇳🇱	RGPD Art. 28, PCI-DSS L1
PayPal	Paiements via PayPal	US 🇺🇸	PCI-DSS, CCE UE
EmailJS	Emails transactionnels (réinitialisation, notifications)	US 🇺🇸	CCE UE, données transmises minimales
Google LLC	Connexion OAuth (optionnel)	US 🇺🇸	CCE UE, DPF (Data Privacy Framework)
GitHub (Microsoft)	Connexion OAuth (optionnel)	US 🇺🇸	CCE UE, DPF
Amazon Web Services (S3)	Stockage des médias (logos, images) — optionnel	UE 🇩🇪 ou US 🇺🇸	CCE UE, ISO 27001, SOC 2 Type II
Cloudflare	CDN (scripts frontend), protection DDoS	US 🇺🇸	CCE UE, DPF, SOC 2 Type II
Anthropic	IA de support (résumés tickets — données minimisées)	US 🇺🇸	CCE UE, données non utilisées pour entraînement
Slack Technologies	Alertes internes d'erreur (usage interne uniquement)	US 🇺🇸	CCE UE, DPF — aucune donnée Client transmise

CCE UE = Clauses Contractuelles Types approuvées par la Commission Européenne (décision 2021/914).
DPF = EU-US Data Privacy Framework (en vigueur depuis juillet 2023).

Article 6 — Transferts de données hors Union Européenne

Les transferts de données vers des pays tiers (notamment les États-Unis) reposent sur les Clauses Contractuelles Types (CCE UE) adoptées par la Commission Européenne (décision d'exécution 2021/914 du 4 juin 2021), et/ou sur le cadre EU-US Data Privacy Framework pour les sous-traitants certifiés.

FRQR.app s'engage à ne pas transférer de données personnelles vers des pays n'offrant pas un niveau de protection adéquat sans mécanisme de transfert approprié.

Article 7 — Mesures de sécurité techniques et organisationnelles

FRQR.app met en œuvre, conformément à l'article 32 du RGPD, les mesures suivantes :

Mesures techniques

Chiffrement des données en transit : HTTPS/TLS 1.2+ (HSTS, upgrade-insecure-requests)
Chiffrement des données au repos : secrets 2FA, tokens OAuth chiffrés via AES-256-GCM
Hachage des mots de passe : Bcrypt (12 rounds)
Authentification à deux facteurs (TOTP) disponible pour tous les comptes
En-têtes de sécurité HTTP : CSP nonce-based, HSTS, X-Frame-Options, Permissions-Policy
Tokens d'API hachés (SHA-256) — jamais stockés en clair
Protection CSRF sur tous les formulaires
Rate limiting multicouche (par IP, par utilisateur, par token)
Validation HMAC-SHA256 des webhooks de paiement
Anonymisation des IP dans les logs (HMAC, non réversible sans la clé)

Mesures organisationnelles

Accès au panneau d'administration restreint aux comptes is_admin avec 2FA obligatoire
Journal d'audit pour toutes les actions sensibles (création, modification, suppression)
Purge automatique des journaux d'activité après 90 jours
Séparation des environnements de production et de développement
Politique de non-divulgation pour les personnes autorisées à accéder aux données

Article 8 — Droits des personnes concernées

FRQR.app assiste le Client dans l'exercice des droits des personnes concernées :

Droit d'accès (Art. 15) : les utilisateurs peuvent consulter leurs données via leur profil.
Droit de rectification (Art. 16) : modification possible directement depuis le profil.
Droit à la portabilité (Art. 20) : export JSON complet disponible depuis Profil → Mes données → Exporter mes données.
Droit à l'effacement (Art. 17) : suppression du compte et de toutes les données associées depuis Profil → Supprimer le compte.
Droit d'opposition (Art. 21) : contact à hello@cqev.fr.

Les demandes reçues par FRQR.app concernant des utilisateurs finaux du Client sont transmises au Client dans un délai de 72 heures.

Article 9 — Notification des violations de données

En cas de violation de données à caractère personnel, FRQR.app s'engage à :

Notifier le Client par email dans les 48 heures suivant la détection ;
Fournir au minimum : la nature de la violation, les catégories et le nombre approximatif de personnes concernées, les données impliquées, les mesures prises ;
Assister le Client dans sa notification à l'autorité de contrôle compétente (CNIL en France) dans les 72 heures suivant la détection.

Contact sécurité : hello@cqev.fr

Article 10 — Retour et suppression des données

À l'expiration ou résiliation du contrat de services :

Les données du Client sont supprimées dans les 30 jours suivant la clôture du compte ;
Le Client peut, avant suppression, effectuer un export complet de ses données (Art. 20 RGPD) via son profil ;
Les journaux système peuvent être conservés 30 jours supplémentaires à des fins de sécurité, puis définitivement supprimés ;
FRQR.app peut fournir une attestation de suppression sur demande écrite.

Article 11 — Durée et révision

Le présent DPA entre en vigueur à compter de l'acceptation des Conditions Générales d'Utilisation de FRQR.app et reste en vigueur pendant toute la durée du contrat de services.

FRQR.app se réserve le droit de modifier ce DPA pour refléter les évolutions réglementaires ou les changements de ses pratiques. Le Client sera notifié par email 30 jours à l'avance. La poursuite de l'utilisation des services vaut acceptation des modifications.

Version actuelle : 1.0 — Date : 25 avril 2026

Article 12 — Audit et démonstration de conformité

FRQR.app s'engage à fournir au Client toute information raisonnablement nécessaire pour démontrer le respect du présent DPA, notamment :

Réponse aux questionnaires de sécurité dans un délai de 10 jours ouvrés ;
Accès aux politiques de sécurité documentées sur demande ;
Rapport d'audit tiers (SOC 2 Type II, le cas échéant) une fois disponible.

Les audits sur site sont permis avec un préavis minimum de 30 jours et doivent se dérouler pendant les heures ouvrées sans perturber les opérations.

Contact & Responsable protection des données

FRQR.app
Contact RGPD / DPA : hello@cqev.fr

Pour toute question relative à ce DPA ou pour demander sa signature formelle (version PDF signée), contactez-nous à l'adresse ci-dessus en indiquant « DPA frqr.app » en objet.

En utilisant les services FRQR.app, le Client reconnaît avoir lu et accepté les termes du présent Accord de traitement des données, conformément à l'article 28.3 du RGPD.