Accord de traitement des données

Responsable du traitement : Lamar B. Shucrani, exerçant sous le nom Sprinkling Act (BCE : BE 1034.962.482).
Sprinkling Act détermine les finalités et moyens du traitement des données personnelles.

Personnes concernées : Utilisateurs du service (titulaires de compte, utilisateurs du diagnostic, abonnés waitlist, abonnés newsletter, visiteurs ayant consenti aux analyses).

Sprinkling Act traite les données personnelles uniquement sur instructions documentées du responsable du traitement (tel que défini par le présent DPA et les Conditions Générales). Le traitement se limite à :

— La fourniture du service de diagnostic et de rapport
— L’envoi d’emails transactionnels et de notification
— Le traitement des paiements via Stripe
— L’analytique (uniquement avec consentement explicite)

Sprinkling Act ne traitera pas de données personnelles à d’autres fins sans instruction écrite préalable.

Des données personnelles peuvent être transférées hors UE/EEE vers les sous-traitants suivants :

Resend Inc. (États-Unis) — Emails transactionnels. Mécanisme de transfert : Clauses Contractuelles Types (CCT) Module Deux (Responsable à Sous-traitant), telles qu’incorporées dans le DPA de Resend.

Vercel Inc. (Réseau edge global) — Hébergement. Mécanisme de transfert : Clauses Contractuelles Types (CCT) telles qu’incorporées dans le DPA de Vercel.

Sentry (États-Unis) — Monitoring erreurs. Mécanisme de transfert : Clauses Contractuelles Types (CCT) telles qu’incorporées dans le DPA de Sentry.

Les sous-traitants situés dans l’UE/EEE (Supabase, Stripe) ne nécessitent pas de mécanismes de transfert supplémentaires au titre du Chapitre V du RGPD.

— Chiffrement en transit (TLS 1.3) et au repos
— HSTS avec préchargement
— Content Security Policy appliquée
— Row Level Security sur toutes les tables
— Mots de passe hachés (bcrypt via Supabase Auth)
— Aucun stockage en clair de données sensibles
— Accès production limité au responsable du traitement
— Mises à jour régulières des dépendances
— Authentification par session avec expiration automatique

En cas de violation de données personnelles, Sprinkling Act :

— Notifie l’APD/GBA sous 72 heures (Art. 33 RGPD)
— Notifie les personnes concernées sans délai si la violation est susceptible d’engendrer un risque élevé (Art. 34 RGPD)
— Fournit une description de la violation, les catégories de données concernées, le nombre estimé de personnes, et les mesures prises ou proposées

Les personnes concernées et les autorités de contrôle peuvent demander des informations sur les activités de traitement. Sprinkling Act met à disposition toutes les informations nécessaires pour démontrer la conformité aux obligations de l’Art. 28 RGPD. Demandes d’audit : legal@sprinklingact.com.

Sur demande, suppression de toutes les données personnelles sous 30 jours. En fin de relation avec un sous-traitant, suppression selon leur DPA respectif. Après la fin de la relation de service, Sprinkling Act supprime ou restitue toutes les données au choix du responsable, sauf obligation légale de conservation.

Le présent DPA s’applique pendant toute la durée du traitement de données personnelles. En cas de conflit entre le DPA et les CGV, le DPA prévaut pour les questions de protection des données. Les Clauses Contractuelles Types (le cas échéant) prévalent sur le DPA.

Responsable : Lamar B. Shucrani
Email : legal@sprinklingact.com
BCE : BE 1034.962.482
Avenue des Arts 19 BT 2, 1210 Bruxelles, Belgique
Autorité de contrôle : Autorité de protection des données (APD/GBA), Bruxelles, Belgique