Le présent document précise le cadre juridique du traitement opéré par Hadalia pour le compte de ses Prestataires Clients, au sens de l'article 28 du Règlement (UE) 2016/679 (« RGPD »).
1. Objet
Le présent accord (« DPA ») fait partie intégrante des CGV conclues entre Hadalia (« Sous-traitant ») et le Prestataire Client (« Responsable de traitement »). Il encadre le traitement des données à caractère personnel opéré par Hadalia pour le compte du Client dans le cadre de la fourniture du Service.
2. Description du traitement
Nature des opérations
Collecte, enregistrement, structuration, conservation, consultation, utilisation, communication, restriction, effacement, dans la limite des fonctionnalités du Service.
Finalités
- Publication de la page publique de réservation du Prestataire sur la place de marché Hadalia.
- Gestion des prises de rendez-vous des clients finaux (réservation anonyme ou avec compte).
- Tenue du fichier clientèle, historique des rendez-vous, suivi.
- Facilitation des encaissements du Prestataire via son propre compte Stripe Connect (acomptes, empreintes CB) — Hadalia n'encaisse pas ces sommes.
- Envoi de SMS / emails (rappels, campagnes) pour le compte du Prestataire.
Catégories de personnes concernées
- Clients finaux du Prestataire.
- Praticien·ne·s et employé·e·s du Prestataire.
Catégories de données
- Données d'identification : nom, prénom, email, téléphone.
- Données de réservation : prestation, praticien, créneau, historique.
- Données photographiques : photos de prestation / portfolio (selon options activées).
- Données de paiement (tokenisées, traitées par Stripe ; jamais stockées par Hadalia).
Aucune donnée de santé au sens de l'article 9 du RGPD n'est traitée par la plateforme. Le Service couvre exclusivement l'esthétique, le spa et le bien-être. Le Client s'engage contractuellement à ne saisir aucune information médicale sensible dans les fiches client, historiques ou notes.
Durée
Le traitement s'applique pendant toute la durée des CGV conclues avec le Client, et au-delà pour la seule durée nécessaire à la restitution ou à l'effacement des données (30 jours maximum après résiliation).
3. Obligations du Sous-traitant
Hadalia s'engage à :
- Traiter les données conformément aux instructions documentées du Responsable de traitement (les CGV, le DPA, et les paramètres choisis dans le Service en constituent les instructions initiales).
- Garantir la confidentialité du personnel autorisé à accéder aux données : tout intervenant est lié par une obligation de confidentialité.
- Mettre en œuvre les mesures techniques et organisationnelles appropriées énumérées à l'article 6 ci-dessous (Art. 32 RGPD).
- Aider le Responsable de traitement à répondre aux demandes d'exercice des droits des personnes concernées et à respecter ses propres obligations (analyses d'impact, consultation préalable, notification de violation).
- Notifier le Responsable de traitement dans un délai maximal de 48 heures après avoir pris connaissance d'une violation de données.
- À la fin de la prestation, restituer ou supprimer les données selon le choix du Client (cf. article 4 ci-dessous).
- Tenir un registre des catégories d'activités de traitement effectuées (Art. 30.2 RGPD), disponible à la demande.
- Mettre à disposition du Responsable de traitement toute information nécessaire pour démontrer le respect des obligations Art. 28 RGPD, et permettre la réalisation d'audits dans les conditions prévues à l'article 7.
4. Sort des données en fin de contrat
À la résiliation des CGV, le Client peut, dans un délai de 30 jours ouvrés :
- Exporter ses données dans un format ouvert (CSV / JSON / ZIP pour les médias) via la procédure de réversibilité (cf. CGV article 7).
- Demander la suppression anticipée des données.
À l'issue de ce délai, l'ensemble des données est supprimé des systèmes de production sous 30 jours, sauf obligation légale de conservation (comptabilité, audit) auquel cas une copie chiffrée en accès restreint est conservée pour la durée légale.
5. Sous-traitants ultérieurs
Le Responsable de traitement autorise Hadalia à faire appel aux sous-traitants ultérieurs suivants pour l'exécution du Service :
| Sous-traitant | Activité | Localisation |
|---|---|---|
| Supabase, Inc. | Backend applicatif (base de données, auth, stockage, fonctions, temps réel) | Union européenne |
| Amazon Web Services, Inc. | Infrastructure sous-jacente de Supabase | Union européenne (région Paris, eu-west-3) |
| Cloudflare, Inc. | Hébergement edge du front, CDN, anti-DDoS, bucket R2 (médias) | Réseau mondial, requêtes UE traitées en UE ; bucket R2 EU |
| Stripe Payments Europe Ltd. | Paiements (abonnement & encaissements Connect) | Irlande (UE) |
| Resend, Inc. | Emails transactionnels | États-Unis (DPF) |
| SMSPartner SAS | Envoi de SMS | France (UE) |
| Cal.com, Inc. | RDV d'onboarding | États-Unis (DPF) |
| OpenRouter / Fal.ai | Génération assistée de contenu éditorial (sur déclenchement explicite) | États-Unis |
Tout changement (ajout, remplacement) sera notifié au Responsable de traitement par email avec un préavis raisonnable d'au moins 30 jours, lui permettant de s'y opposer et, le cas échéant, de résilier sans frais.
Hadalia s'engage à imposer aux sous-traitants ultérieurs les mêmes obligations de protection des données que celles prévues au présent DPA (Art. 28.4 RGPD).
6. Mesures techniques et organisationnelles (Art. 32 RGPD)
- Chiffrement : TLS 1.3 en transit, chiffrement au repos AES-256 par les sous-traitants d'infrastructure (Supabase / AWS).
- Cloisonnement : isolation logique stricte entre Prestataires via un identifiant technique (
cabinet_id) rattaché à chaque enregistrement ; contrôle d'accès explicite appliqué côté serveur avant toute lecture ou écriture. - Photos : URL signées à durée limitée, accès restreint, métadonnées EXIF (dont géolocalisation) supprimées côté navigateur avant envoi.
- Authentification : magic-link / OTP signés, jetons de session à durée courte, MFA disponible pour les comptes super-administrateur Hadalia.
- Journalisation : journal d'audit applicatif pour les actions sensibles (création / modification / suppression de données), horodaté avec auteur et tenant.
- Sauvegardes : sauvegardes continues côté plateforme (restauration point-in-time), conservation 30 jours.
- Accès personnel : revue régulière, accès au moindre privilège.
- Surveillance : alertes sur tentatives d'authentification anormales, requêtes cross-tenant suspectes, pics de volumétrie.
- Conformité plateforme : Supabase certifié SOC 2 Type II, audité annuellement, données hébergées en UE ; AWS certifié SOC 2 Type II / ISO 27001 ; Stripe certifié PCI-DSS Service Provider Level 1.
- Mises à jour : dépendances scannées en CI, patchs de sécurité appliqués dans les meilleurs délais.
7. Audit
Le Responsable de traitement peut, à ses frais et après préavis raisonnable d'au moins 30 jours, réaliser un audit (ou mandater un tiers indépendant non concurrent de Hadalia) afin de vérifier le respect du DPA. Hadalia se réserve le droit de fournir à la place ses rapports d'audit indépendants (SOC 2 / ISO 27001 de ses sous-traitants, etc.) lorsque ceux-ci répondent raisonnablement à l'objet de l'audit.
8. Transferts hors UE
Les données applicatives sont hébergées chez Supabase (infrastructure AWS) en Union européenne. Seuls certains sous-traitants périphériques traitent des données hors UE. Ces transferts sont encadrés par les Clauses Contractuelles Types de la Commission européenne (Décision 2021/914) et / ou par le mécanisme du Data Privacy Framework pour les sous-traitants américains certifiés. Aucune donnée de santé au sens de l'article 9 du RGPD n'est concernée par ces transferts.
9. Notification de violation
En cas de violation de données affectant le Client, Hadalia s'engage à notifier l'incident par email à l'adresse référente du Client dans un délai maximum de 48 heures après en avoir pris connaissance, en précisant :
- la nature de la violation, les catégories et le volume approximatif de personnes et de données concernées ;
- les conséquences probables ;
- les mesures prises ou proposées pour y remédier et atténuer les effets négatifs ;
- les coordonnées du référent Hadalia pour la gestion de l'incident.
10. Documentation et coopération
Hadalia met à disposition du Client, sur demande, toute la documentation utile à la démonstration du respect des obligations Art. 28 (politique de sécurité, liste à jour des sous-traitants, mesures techniques, registre).
11. Durée et résiliation
Le DPA prend effet à la souscription au Service et reste en vigueur tant qu'Hadalia traite des données pour le compte du Client. Sa résiliation est liée à celle des CGV.