Plattform im Aufbau: Registrierung funktioniert, Tarif-Abschluss & einige Funktionen sind noch nicht aktiv. — Fragen? info@ppwr-qrcode.de

PPWR QR-Code
← Page d'accueil

RGPD art. 28

Contrat de sous-traitance

Modèle de texte conformément à l'art. 28 du RGPD. Imprimable / téléchargeable au format PDF. Adaptable individuellement si nécessaire — veuillez le faire vérifier par un avocat avant signature.

Demander un PDF prêt à signer

Contrat de sous-traitance conformément à l'art. 28 du RGPD

entre

…………………………………………………………………
(Nom, adresse du client)
Responsable du traitement

et

Erik Eggerth
Schluttenbacher Digitalagentur
Lange Str. 22
76275 Ettlingen OT Schluttenbach
Deutschland
info@ppwr-qrcode.de
USt-IdNr.: DE308523905
Sous-traitant

§ 1 Objet et durée

(1) L'objet du contrat est le traitement de données à caractère personnel par le sous-traitant dans le cadre de la plateforme PPWR-QR-Code (<a href="https://ppwr-qrcode.de">ppwr-qrcode.de</a>) aux fins du respect de la conformité PPWR du responsable du traitement.

(2) La durée du contrat correspond à la durée du contrat principal (abonnement tarifaire). À la résiliation du contrat principal, le présent DPA prend également fin automatiquement.

§ 2 Nature et finalité du traitement des données

(1) Sont notamment traitées les catégories de données suivantes :

  • Données de base du client (société, adresse, numéro de TVA)
  • Données du compte (e-mail, hachage du mot de passe, configuration 2FA)
  • Données de contenu des QR-Codes (informations produit, indications relatives à l'emballage)
  • Statistiques de scan sous forme pseudonymisée (hachage d'IP, catégorie d'appareil, pays)
  • Métadonnées de paiement (ID client Stripe, statut de l'abonnement)

(2) Finalité : mise à disposition de la plateforme PPWR-QR-Code, documentation de conformité, facturation, assistance, statistiques.

§ 3 Personnes concernées

  • Collaborateurs et collaboratrices du client ayant accès à la plateforme
  • Clients finaux qui scannent un QR-Code (uniquement des données de scan pseudonymes)
  • Parrains / personnes parrainées dans le programme d'affiliation (s'il est activé)

§ 4 Obligations du sous-traitant

Le sous-traitant garantit notamment :

  1. Traitement exclusivement sur instruction documentée du responsable du traitement — emplacement des serveurs UE (Francfort-sur-le-Main, Vercel + région UE de Supabase).
  2. Engagement de confidentialité des personnes chargées du traitement (art. 28, par. 3, point b).
  3. Mesures techniques et organisationnelles conformément à l'art. 32 du RGPD (voir annexe 1).
  4. Notification immédiate des violations de données à caractère personnel (art. 33 du RGPD) dans les 24 heures suivant la prise de connaissance.
  5. Assistance pour les demandes des personnes concernées (art. 15 à 22 du RGPD) ainsi que pour les analyses d'impact relatives à la protection des données (art. 35 du RGPD).
  6. À la fin du contrat : restitution ou suppression de toutes les données à caractère personnel au choix du responsable du traitement (art. 28, par. 3, point g) — exception : obligations de conservation à des fins de conformité conformément au § 257 du HGB / § 147 de l'AO.

§ 5 Sous-traitants ultérieurs

Le responsable du traitement approuve les sous-traitants ultérieurs suivants :

PrestatairePrestationSiège
Supabase Inc.Base de données, authentification, stockageUE (Francfort)
Vercel Inc.Hébergement, edge functionsUE (Francfort fra1) + DE
1&1 IONOS SEEnvoi d'e-mails (SMTP)DE (Karlsruhe)
Stripe Payments Europe Ltd.Traitement des paiementsIE (Dublin)
fal.ai Inc.Génération d'images par IA (uniquement des supports marketing, aucune donnée client)US, DPA en place

Les modifications sont annoncées 30 jours à l'avance. Si le responsable du traitement s'y oppose, il peut résilier le contrat principal sans préavis.

§ 6 Droits du responsable du traitement

Le responsable du traitement a le droit de réaliser des audits — soit au moyen de rapports d'audit (ISO 27001, SOC2 des sous-traitants), soit par un contrôle sur place avec un préavis de 14 jours.

§ 7 Responsabilité

Les dispositions de l'art. 82 du RGPD s'appliquent. Une limitation de responsabilité figurant dans le contrat principal demeure inchangée pour le traitement des données.

Annexe 1 : Mesures techniques et organisationnelles (TOM)

  • <strong>Contrôle de l'accès physique :</strong> centres de données cloud (Supabase, Vercel) certifiés ISO 27001, accès biométrique.
  • <strong>Contrôle de l'accès aux systèmes :</strong> 2FA obligatoire pour tous les comptes d'administration, mots de passe hachés avec BCrypt (facteur de coût ≥ 12), clés d'API hachées.
  • <strong>Contrôle de l'accès aux données :</strong> Row-Level-Security (RLS) sur toutes les tables de la base de données, authentification de l'API basée sur les rôles.
  • <strong>Contrôle de la transmission :</strong> TLS 1.3 pour tous les flux de données, HSTS preload, bac à sable PDF sur un sous-domaine isolé.
  • <strong>Contrôle de la saisie :</strong> piste d'audit de toutes les modifications du contenu des QR-Codes via la gestion des versions (qr_content_versions).
  • <strong>Contrôle des instructions :</strong> instructions écrites exclusivement par le responsable du traitement, documentées dans le compte.
  • <strong>Contrôle de la disponibilité :</strong> sauvegardes quotidiennes, récupération à un instant donné (point-in-time recovery), surveillance de l'état via des alertes Telegram.
  • <strong>Contrôle de la séparation :</strong> séparation des clients via le RLS sur user_id, buckets de stockage distincts.

Lieu, date : ……………………………………

Responsable du traitement : ……………………………………

Sous-traitant : Erik Eggerth / Schluttenbacher Digitalagentur, 2026