Conformité RGPD

Accord de traitement des données (DPA)

Version en vigueur, dernière mise à jour : 17/07/2026.

Cet accord (Data Processing Agreement) est mis à disposition en ligne, sans demande préalable. Il fait partie intégrante des conditions générales d'utilisation et s'applique automatiquement dès que vous utilisez Habitu pour traiter des données personnelles de vos clients. Une version signée (PDF nominatif) reste disponible sur simple demande à rgpd@habitu.fr.

1. Parties et rôles

  • Responsable de traitement : vous, le commerçant utilisateur de Habitu. Vous déterminez les finalités et les moyens du traitement des données de vos clients.
  • Sous-traitant : VOLTAGE EI (Habitu), SIREN 943 808 824, Solaize (69360), France. Habitu traite les données uniquement pour votre compte et selon vos instructions documentées.

2. Objet, nature et finalité du traitement

Habitu héberge et opère un programme de fidélité dématérialisé : création et mise à jour de cartes dans Apple & Google Wallet, comptage des tampons/points, envoi de notifications et d'emails de fidélité auxquels le client a consenti, sollicitation d'avis, et statistiques agrégées destinées au commerçant. Aucune autre finalité, aucune revente, aucun usage publicitaire.

3. Durée

Le traitement dure le temps de votre abonnement ou utilisation de Habitu. À la cessation, les données sont supprimées ou restituées selon l'article 9 ci-dessous.

4. Catégories de personnes et de données

  • Personnes concernées : vos clients finaux qui s'inscrivent à votre carte de fidélité.
  • Données traitées : prénom, email et/ou téléphone (optionnels), historique de fidélité (tampons, points, dates de passage, récompenses), date d'inscription, et adresse IP au moment de l'inscription (preuve de consentement). Aucune donnée sensible au sens de l'article 9 du RGPD n'est requise.

5. Obligations de Habitu (article 28.3 du RGPD)

  • Traiter les données uniquement sur la base de vos instructions documentées (y compris les paramètres que vous configurez dans l'application).
  • Garantir la confidentialité : seules les personnes habilitées et tenues à la confidentialité accèdent aux données.
  • Mettre en œuvre les mesures de sécurité techniques et organisationnelles de l'article 32 (voir article 7).
  • Ne recourir à un sous-traitant ultérieur qu'avec une autorisation et en lui imposant les mêmes obligations (article 6).
  • Vous aider à répondre aux demandes d'exercice de droits de vos clients (accès, rectification, effacement, portabilité), via l'export CSV et la suppression intégrés à votre tableau de bord.
  • Vous aider à respecter vos obligations (sécurité, notification de violation, analyses d'impact) compte tenu des informations à notre disposition.
  • À la fin du contrat, supprimer ou restituer les données (article 9).
  • Mettre à votre disposition les informations nécessaires pour démontrer la conformité et permettre des audits (article 8).

6. Sous-traitants ultérieurs

Vous autorisez Habitu à recourir aux sous-traitants ultérieurs listés dans notre politique de confidentialité (Neon, Vercel, OVH, Stripe, Resend, Cloudinary, Apple/Google Wallet), tous situés dans l'Union européenne ou disposant de garanties adéquates et liés par un DPA. Toute modification de cette liste vous sera communiquée, vous laissant la possibilité de vous y opposer pour motif légitime.

7. Mesures de sécurité (article 32)

  • Chiffrement des données en transit (HTTPS/TLS) et au repos (base de données Neon chiffrée).
  • Mots de passe stockés sous forme de hachage (jamais en clair).
  • Cloisonnement strict par commerce : chaque requête est filtrée par identifiant de commerce, un commerçant ne peut jamais accéder aux données d'un autre.
  • Contrôle d'accès, journalisation des opérations sensibles, sauvegardes régulières.
  • Hébergement exclusivement dans l'Union européenne.

8. Transferts hors Union européenne

Aucun. Les données personnelles sont stockées et traitées exclusivement au sein de l'Union européenne. Aucun transfert vers un pays tiers n'est effectué.

9. Violation de données

En cas de violation de données à caractère personnel, Habitu vous en informe sans délai injustifié après en avoir pris connaissance, avec les éléments utiles pour vous permettre, le cas échéant, de notifier la CNIL dans les 72 heures.

10. Sort des données en fin de contrat

À la résiliation, vos données et celles de vos clients sont marquées comme supprimées puis effacées définitivement sous 30 jours (fenêtre de récupération). Vous pouvez à tout moment exporter votre fichier clients au format CSV depuis votre tableau de bord (portabilité, article 20). La carte gratuite de vos clients reste active sans limite de durée tant que vous ne supprimez pas votre compte.

11. Droit applicable et contact

Le présent accord est régi par le droit français et complète la politique de confidentialité. Pour toute question relative à la protection des données : rgpd@habitu.fr.

Voir aussi : Politique de confidentialité · CGU · Mentions légales · Contact