Aller au contenu
wheremyflow
Connexion Démarrer gratuitement
Fonctionnalités Tarifs Comparatif Manifeste Aide Audit Contact Démo Connexion

wheremyflow — Accord de traitement des données (DPA)

Article 28 RGPD — Sous-traitance pour la mesure d'audience du site [site-client]

Dernière mise à jour : 8 mai 2026.

Modèle pré-rempli téléchargeable depuis l'onglet Conformité du dashboard. Le document généré insère automatiquement le domaine du site-client.

Entre les soussignés

Le Responsable de traitement

[À compléter par le client : raison sociale, forme juridique, siège social] [À compléter par le client : numéro SIREN, RCS] [À compléter par le client : représenté par (nom, qualité)]

Ci-après désigné « le Responsable de traitement ».

Le Sous-traitant

| | | | ---------------------------- | --------------------------------------- | | Raison sociale | Frédéric GAVEAU EI (wheremyflow) | | Siège social | 6 rue du Chateau, 12190 Estaing, France | | Point de contact prestataire | contact@wheremyflow.com | | DPO | dpo@wheremyflow.com |

Ci-après désigné « le Sous-traitant ».

Article 1 — Objet

Le présent accord a pour objet de définir les conditions dans lesquelles le Sous-traitant s'engage à effectuer, pour le compte du Responsable de traitement, les opérations de traitement de données à caractère personnel liées à la mesure d'audience du site web [site-client].

Article 2 — Durée

Le présent accord prend effet à la date de sa signature par les deux parties, pour une durée indéterminée. Il peut être résilié par l'une ou l'autre des parties moyennant un préavis de 30 jours notifié par lettre recommandée avec accusé de réception.

Article 3 — Description du traitement

| | | | -------------------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | Nature du traitement | Collecte d'événements de mesure d'audience, anonymisation, agrégation, restitution sous forme de statistiques k-anonymes selon une politique graduée : compteurs globaux exacts (sans dimension), k=2 sur les URL et événements, k=5 sur les catégories démographiques (pays/navigateur/OS/langue/devices), k=10 sur la ville et les croisements ≥3 dimensions. | | Finalité | Mesure d'audience du site [site-client] dans le cadre de l'exemption de consentement prévue par le référentiel CNIL du 4 juillet 2025. | | Bases légales | Article 82 LIL (exemption ePrivacy) ; article 6(1)(f) RGPD (intérêt légitime). | | Catégories de personnes concernées | Visiteurs du site [site-client]. | | Types de données | Hash visiteur HMAC-SHA256 non-réversible ; chemin de page (sans query-string) ; hostname référent ; pays/région/ville (selon paramétrage) ; famille de navigateur ; OS ; bucket de résolution d'écran ; langue ; durée de session ; profondeur de scroll ; événements whitelistés (pageview, download, search, outbound, 404, 500). Aucune adresse IP, aucun User-Agent, aucune URL complète ne sont stockés. |

Périmètre des métriques additionnelles (clarification AP Pays-Bas — Telecomwet art. 11.7a)

Les métriques de durée de session, profondeur de scroll et événements whitelistés sont collectées exclusivement à des fins de mesure de la performance éditoriale et de l'utilité du contenu pour le Responsable de traitement. Elles ne sont jamais utilisées pour profiler les visiteurs ni pour cibler de la publicité, et ne peuvent pas être croisées avec des bases tierces. Aucune donnée nominative ni adresse IP n'étant stockée, aucune identification individuelle n'est techniquement possible. Ce périmètre est explicitement documenté pour répondre à la doctrine de l'Autoriteit Persoonsgegevens (Pays-Bas) sur l'application de l'article 11.7a Telecomwet aux mesures d'audience.

Article 4 — Obligations du Sous-traitant

Conformément à l'article 28 RGPD, le Sous-traitant :

  • Traite les données uniquement sur instruction documentée du Responsable de traitement.
  • N'utilise les données à aucune autre finalité que celles définies à l'article 3, et ne les réutilise pas pour son propre compte (amélioration de service, lutte contre la fraude, entraînement de modèle, etc.).
  • Veille à ce que les personnes autorisées à traiter les données soient soumises à une obligation de confidentialité.
  • Met en œuvre toutes les mesures techniques et organisationnelles appropriées au sens de l'article 32 RGPD (voir article 7 ci-dessous).
  • Recourt à des sous-traitants ultérieurs uniquement dans les conditions définies à l'article 5.
  • Aide le Responsable de traitement à s'acquitter de son obligation de donner suite aux demandes d'exercice des droits des personnes concernées.
  • Aide le Responsable de traitement, compte tenu de la nature du traitement et des informations à sa disposition, à respecter les obligations prévues aux articles 32 à 36 RGPD (sécurité, notification de violation, analyses d'impact, consultation préalable).
  • Notifie au Responsable de traitement toute violation de données dans les conditions définies à l'article 8.
  • Au terme de la prestation, supprime ou restitue toutes les données selon le choix du Responsable de traitement (voir article 9).
  • Met à disposition du Responsable de traitement toute information nécessaire pour démontrer le respect des obligations de l'article 28 RGPD.
  • Permet la réalisation d'audits, y compris d'inspections, par le Responsable de traitement ou un tiers mandaté par lui.

_Source : article 28, paragraphe 3, points a) à h) RGPD._

Article 5 — Sous-traitance ultérieure

Le Sous-traitant est autorisé, par voie d'autorisation écrite générale, à recourir aux sous-traitants ultérieurs listés ci-dessous. Conformément à l'article 28(2) RGPD, le Sous-traitant informe le Responsable de traitement de tout changement prévu (ajout ou remplacement d'un sous-traitant ultérieur) avec un préavis minimum de 30 jours, ce qui laisse au Responsable de traitement le temps d'émettre des objections motivées à l'encontre de ces changements. En cas d'objection motivée, les parties s'efforcent de bonne foi de trouver une solution ; à défaut, le Responsable de traitement peut résilier l'accord sans préavis ni indemnité.

À la date de signature, les sous-traitants ultérieurs sont :

| Sous-traitant | Rôle | Localisation | Certifications | | ------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------- | ------------------------------------------------------------------------------------------------------------------- | ------------------------------------------------------------------------ | | Clever Cloud SAS | Hébergement infrastructure (app, base PostgreSQL, blob) | Siège : 4 rue Voltaire, 44000 Nantes — datacentres en France (régions Paris et Roubaix) | ISO/IEC 27001:2022 (FR086307, 15 mars 2024) ; HDS ; ISO 9001 | | Eris Networks SAS (DB-IP) | Base de géolocalisation IP | 62 boulevard Jean Mermoz, 22700 Perros-Guirec, France | — | | Scaleway SAS | Exécution des scans d'audit RGPD via Serverless Jobs (uniquement page d'audit publique gratuite /audit — hors flux de mesure d'audience client) | Siège : 8 rue de la Ville l'Évêque, 75008 Paris — datacentres en France (Paris DC2/DC3/DC5) et Pays-Bas (Amsterdam) | ISO/IEC 27001 ; ISO/IEC 27017/27018 ; HDS ; SecNumCloud (offres dédiées) |

Périmètre Scaleway : intervient uniquement lorsque le Responsable de traitement utilise la fonctionnalité d'audit RGPD gratuite /audit proposée par le Sous-traitant comme outil de découverte. N'intervient PAS dans la chaîne de mesure d'audience standard du site wheremyflow.com-tracker. Aucune donnée de la mesure d'audience couverte par le présent DPA n'est transmise à Scaleway.

Aucun sous-traitant ultérieur n'est localisé hors UE/EEE. Aucun transfert de données vers un pays tiers ne peut avoir lieu sans modification préalable du présent accord.

Le Sous-traitant impose à chaque sous-traitant ultérieur, par contrat, les mêmes obligations de protection des données que celles fixées par le présent accord, conformément à l'article 28(4) RGPD.

Article 6 — Droits des personnes concernées

Le Sous-traitant apporte son assistance au Responsable de traitement pour répondre aux demandes d'exercice des droits des personnes concernées (accès, rectification, effacement, portabilité, opposition, limitation). La plupart de ces droits sont structurellement respectés par l'architecture :

  • Droit d'opposition : signaux Sec-GPC et DNT honorés ; flag d'opt-out local (localStorage.wml_optout) ; bouton ou lien d'opt-out à intégrer par le Responsable de traitement dans la politique de confidentialité du site.
  • Droit à l'effacement : bouton d'effacement immédiat dans l'onglet Conformité (CASCADE sur toutes les tables).
  • Droit à la portabilité : export CSV/PDF de toutes les statistiques agrégées disponibles dans le dashboard.

Article 7 — Sécurité

Conformément à l'article 32 RGPD, le Sous-traitant met en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, notamment :

  • Chiffrement des communications en TLS sur l'ensemble de la chaîne (ingest et dashboard).
  • Authentification des administrateurs par mots de passe Argon2id (paramètres OWASP 2024).
  • Anonymisation par HMAC-SHA256 avec sel rotationné mensuellement (sel retiré supprimé atomiquement à la rotation, doctrine Plausible/Fathom — plus aucun moyen de re-hasher après rotation), composante site (site_id) et composante temporelle (date du jour).
  • Séparation applicative des accès ingest (public) et dashboard (authentifié).
  • Rate-limiting 50 requêtes/minute/IP côté ingest (IP non stockée).
  • Rétention courte des événements bruts (90 jours).
  • Agrégation k-anonyme graduée côté serveur sur tous les endpoints et exports : compteurs globaux exacts, k=2 URL/événements, k=5 démographie, k=10 ville et croisements ≥3 dimensions.
  • Filtrage des bots et crawlers en amont du traitement de mesure d'audience.
  • Hébergement certifié ISO/IEC 27001:2022 (Clever Cloud, datacentres en France).

Article 8 — Notification de violation de données

En cas de violation de données à caractère personnel, le Sous-traitant notifie le Responsable de traitement sans retard injustifié et, en tout état de cause, dans un délai maximum de 48 heures à compter de la connaissance de l'incident, afin de permettre au Responsable de traitement de respecter son propre délai de 72 heures vis-à-vis de l'autorité de contrôle (article 33 RGPD).

Lorsque l'évaluation initiale de la violation n'est pas complète dans ce délai, le Sous-traitant adresse une notification provisoire dans les 24 heures suivant la connaissance de l'incident, puis complète son analyse au fur et à mesure.

La notification comprend :

  • la nature de la violation, y compris, dans la mesure du possible, les catégories et le nombre approximatif de personnes concernées et de données concernées ;
  • le nom et les coordonnées du DPO ;
  • les conséquences probables de la violation ;
  • les mesures prises ou proposées pour remédier à la violation et, le cas échéant, atténuer ses effets négatifs.

_Source : articles 33 et 34 RGPD._

Article 9 — Fin du traitement

Au terme de la prestation, sur instruction écrite du Responsable de traitement et selon son choix, le Sous-traitant :

  • (a) restitue l'intégralité des données au Responsable de traitement ou à un tiers désigné par lui, dans un format structuré, couramment utilisé et lisible par machine ; ou
  • (b) procède à l'effacement définitif des données.

Un certificat d'effacement est fourni sur demande dans un délai de 30 jours.

Article 10 — Registre des activités de traitement

Le Sous-traitant tient un registre de toutes les catégories d'activités de traitement effectuées pour le compte du Responsable de traitement, conformément à l'article 30(2) RGPD. Ce registre est tenu à disposition de l'autorité de contrôle sur simple demande.

Article 11 — Droit applicable et juridiction

Le présent accord est régi par le droit français. Tout litige relatif à son interprétation ou à son exécution relève de la compétence exclusive des tribunaux français.

Signatures

| | | | --------- | ---------------------------------------------------- | | Fait à | [À compléter] | | Le | [Date de signature] | | Originaux | En deux exemplaires originaux, un pour chaque partie |

Le Responsable de traitement [À compléter par le client : nom, qualité, signature]

Le Sous-traitant — Frédéric GAVEAU EI (wheremyflow) [À compléter : nom, qualité, signature]

_Source : article 28 RGPD et référentiel CNIL « Cookies : solutions pour les outils de mesure d'audience », délibération du 4 juillet 2025._