Accord de traitement des données
Télécharger le PDFDernière mise à jour : 21 juin 2026
1. Rôles des parties
Pour les données personnelles traitées via Orklio pour le compte du Client, le Client agit en tant que Responsable du traitement et GeckoAI.app, LLC en tant que Sous-traitant. Chaque partie respecte la législation applicable en matière de protection des données.
2. Périmètre du traitement
Nous traitons les données personnelles uniquement sur instructions documentées du Client, pour fournir le Service et comme décrit dans le présent DPA et la Politique de confidentialité.
3. Sous-traitants ultérieurs
Le Client autorise le recours aux sous-traitants listés ci-dessous. Nous informerons le Client de tout changement prévu et lui donnerons la possibilité de s'y opposer. Chaque sous-traitant est lié par des obligations de protection des données conformes au présent DPA.
| Fournisseur | Finalité | Localisation |
|---|---|---|
| Vercel Inc. | Hosting, CDN, edge functions | USA + global edge |
| Supabase Inc. | Database, authentication, storage | EU (Ireland) |
| Fly.io (Hatchet Networks Inc.) | Backend workers, cron jobs | Global multi-region |
| Resend (Resend.com Inc.) | Transactional emails | USA |
| Cloudflare Inc. | DNS, security, CDN | Global |
4. Mesures de sécurité
Nous maintenons des mesures techniques et organisationnelles alignées sur les standards du secteur (alignées ISO 27001), détaillées en Annexe II, pour protéger les données personnelles contre l'accès non autorisé, la perte ou l'altération.
5. Droits des personnes concernées
Nous aidons le Client, par des mesures appropriées, à répondre aux demandes des personnes concernées exerçant leurs droits au titre de la loi applicable.
6. Droits d'audit
Nous mettons à disposition les informations nécessaires pour démontrer la conformité et permettons les audits, sous réserve de limites raisonnables de confidentialité et de fréquence.
7. Transferts internationaux
Lorsque des données personnelles sont transférées hors de l'EEE, les parties s'appuient sur les Clauses Contractuelles Types de l'UE (Module 2 : responsable vers sous-traitant) ou un autre mécanisme de transfert licite.
8. Durée et résiliation
Le présent DPA reste en vigueur pendant la durée du Service. À la résiliation, nous supprimons ou restituons les données personnelles selon les instructions, sauf conservation requise par la loi.
Annexe I — Détails du traitement
Objet : fourniture du service d'orchestration du commerce Orklio. Durée : la durée de l'abonnement. Nature et finalité : hébergement, synchronisation et analyse des données de boutiques, produits et commandes. Catégories de personnes concernées : les clients finaux et le personnel du Client. Catégories de données : coordonnées, données de commande et de transaction, identifiants de compte.
Annexe II — Mesures techniques et organisationnelles (MTO)
Les mesures incluent : chiffrement des données en transit ; contrôle d'accès basé sur les rôles et moindre privilège ; pratiques de développement sécurisé ; journalisation et supervision ; sauvegardes régulières ; due diligence fournisseurs ; et un processus de réponse aux incidents. Les mesures sont revues périodiquement et alignées sur ISO 27001.
Annexe III — Sous-traitants
Les sous-traitants autorisés sont listés ci-dessous et tenus synchronisés avec la Politique de confidentialité.
| Fournisseur | Finalité | Localisation |
|---|---|---|
| Vercel Inc. | Hosting, CDN, edge functions | USA + global edge |
| Supabase Inc. | Database, authentication, storage | EU (Ireland) |
| Fly.io (Hatchet Networks Inc.) | Backend workers, cron jobs | Global multi-region |
| Resend (Resend.com Inc.) | Transactional emails | USA |
| Cloudflare Inc. | DNS, security, CDN | Global |