Aller au contenu principal
QronoPlay
QronoPlay

Data Processing Agreement (DPA)

Data Processing Agreement (DPA)

Contrat de sous-traitance applicable aux clients B2B utilisant QronoPlay pour collecter et traiter des données personnelles via leurs campagnes marketing QR code.

Préambule

Le présent contrat de sous-traitance (« DPA » ou « Accord ») est conclu entre :

  • Le Client, personne morale ayant souscrit au service QronoPlay, agissant en qualité de responsable de traitement au sens de l'article 4.7 du RGPD (« RT » ou « Client »).
  • SAS Jalimani, SIREN 833 142 631, éditrice du service QronoPlay, agissant en qualité de sous-traitant au sens de l'article 4.8 du RGPD (« ST » ou « QronoPlay »).

Le présent DPA est conclu en application de l'article 28 du Règlement (UE) 2016/679 (RGPD) et fait partie intégrante du contrat de service QronoPlay. En cas de contradiction entre le DPA et les Conditions Générales d'Utilisation, le DPA prévaut sur les questions de protection des données.

Article 1 — Définitions

  • Responsable de traitement (RT) : la personne qui détermine les finalités et les moyens du traitement (art. 4.7 RGPD).
  • Sous-traitant (ST) : la personne qui traite des données pour le compte du RT (art. 4.8 RGPD).
  • Sous-traitant ultérieur (SSU) : prestataire tiers engagé par le ST pour exécuter des activités de traitement spécifiques.
  • Données à caractère personnel (DCP) : toute information se rapportant à une personne physique identifiée ou identifiable (art. 4.1 RGPD).
  • Traitement : toute opération effectuée sur des DCP (collecte, enregistrement, conservation, consultation, effacement, etc., art. 4.2 RGPD).
  • Personnes concernées : les personnes physiques dont les DCP sont traitées dans le cadre du service.
  • Violation de DCP : violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès non autorisé à des DCP (art. 4.12 RGPD).

Article 2 — Objet et durée

Objet : QronoPlay traite des DCP pour le compte du Client dans le cadre du service SaaS de jeux marketing QR code (loteries publicitaires, instants gagnants, jeux d'engagement).

Durée : le présent DPA s'applique pendant toute la durée du contrat de service, augmentée d'une période de rétention de 6 mois pour les gagnants conformément à la politique de conservation (recommandation CNIL IS001).

Article 3 — Nature et finalité du traitement

QronoPlay traite les DCP exclusivement pour les finalités suivantes définies par le Client :

  • Collecte de leads (email, prénom, nom, téléphone optionnel) via les jeux configurés par le Client.
  • Tirage au sort et attribution des gains pour les loteries publicitaires.
  • Stockage technique nécessaire à l'exécution du service.
  • Lutte contre la fraude (déduplication, détection multi-comptes, rate limiting).
  • Production de statistiques anonymisées pour le tableau de bord du Client.

Article 4 — Catégories de DCP traitées

  • Données d'identification : email, prénom, nom, téléphone (optionnel selon la configuration du Client).
  • Données de localisation IP : adresse IP anonymisée au /24 dès la collecte (jamais stockée en clair).
  • Métadonnées techniques : user-agent, deviceHash, timestamp de participation.
  • Données de jeu : code de campagne, statut de gain, lot attribué le cas échéant.
  • Données de consentement : traces horodatées des consentements exprimés (RGPD, marketing partenaire).

Aucune donnée sensible au sens de l'article 9 RGPD (santé, religion, orientation sexuelle, etc.) n'est traitée.

Article 5 — Catégories de personnes concernées

  • Joueurs participant aux jeux via QR code ou lien direct.
  • Gagnants des dotations attribuées par le Client.

Article 6 — Obligations du Client (RT)

Le Client s'engage à :

  • Désigner les finalités du traitement et déterminer la base légale applicable (art. 6 RGPD).
  • Informer ses joueurs conformément aux articles 13 et 14 RGPD (mentions d'information, durées de conservation, droits).
  • Garantir avoir recueilli les consentements requis (notamment pour la prospection commerciale, art. 7 RGPD).
  • Tenir le registre des activités de traitement le concernant (art. 30 RGPD).
  • Réaliser une analyse d'impact relative à la protection des données (AIPD) si requise par l'article 35 RGPD.
  • Documenter toute instruction adressée à QronoPlay relative au traitement.
  • Coopérer avec QronoPlay pour répondre aux demandes des personnes concernées et aux contrôles des autorités.

Article 7 — Obligations de QronoPlay (ST)

QronoPlay s'engage à :

  • Traiter les DCP uniquement sur instruction documentée du Client, y compris en matière de transferts hors UE, sauf obligation légale contraire (auquel cas QronoPlay informe le Client préalablement).
  • Garantir la confidentialité des DCP : engagement de confidentialité signé par chaque salarié et sous-traitant ultérieur ayant accès aux données.
  • Mettre en œuvre les mesures techniques et organisationnelles (TOM) appropriées au sens de l'article 32 RGPD (cf. Article 8).
  • Aider le Client à respecter ses obligations en matière de sécurité, de notification de violation de DCP, d'AIPD et de consultation préalable de la CNIL (art. 32 à 36 RGPD).
  • Coopérer avec la CNIL ou toute autorité de contrôle compétente sur demande.
  • À la fin du contrat, restituer ou détruire les DCP au choix du Client, accompagné d'une certification écrite (cf. Article 14).
  • Mettre à disposition du Client toutes les informations nécessaires pour démontrer le respect des obligations prévues à l'article 28 RGPD.

Article 8 — Mesures techniques et organisationnelles (TOM)

QronoPlay met en œuvre les mesures suivantes pour garantir un niveau de sécurité adapté au risque (art. 32 RGPD) :

  • Hébergement souverain France : serveurs OVH Roubaix (France).
  • Chiffrement : TLS 1.3 pour les données en transit, AES-256 pour les données au repos.
  • Contrôle d'accès : accès limité aux personnes habilitées via authentification multi-facteurs (MFA), rôles RBAC, principe du moindre privilège.
  • Journalisation : logs d'accès et d'opérations conservés au maximum 12 mois.
  • Sauvegardes : sauvegardes chiffrées quotidiennes, restauration testée régulièrement.
  • Cloisonnement : isolation des environnements (production, recette, développement) et isolation logique des données entre Clients.
  • Audit : revue régulière des accès et journaux, tests d'intrusion périodiques.
  • Formation : sensibilisation RGPD et sécurité du personnel dès l'embauche et à intervalles réguliers.
  • Anonymisation : les adresses IP sont anonymisées au /24 dès la collecte.
  • Plan de continuité : procédures documentées de reprise après incident.

Article 9 — Sous-traitants ultérieurs

Le Client autorise QronoPlay à recourir aux sous-traitants ultérieurs listés ci-dessous (état au 5 mai 2026) :

  • OVH SAS — France — hébergement serveurs et stockage.
  • Resend, Inc. — États-Unis (DPF) — envoi d'emails transactionnels.
  • Mollie B.V. — Pays-Bas — traitement des paiements.
  • Stripe Payments Europe Ltd. — Irlande — traitement des paiements (legacy).
  • Tawk.to LLC — États-Unis (DPF) — chat support en direct visiteur.
  • Cloudflare, Inc. — États-Unis (DPF) — CDN, DNS, protection anti-DDoS.
  • Twilio Ireland Ltd. — Irlande — envoi de SMS (optionnel selon configuration Client).
  • n8n.jalimani.com — France — workflows d'automation interne (auto-hébergé par SAS Jalimani).

QronoPlay informe le Client par email préalablement à toute addition ou substitution de sous-traitant ultérieur. Le Client dispose d'un délai de 15 jours à compter de la notification pour s'opposer de manière motivée. En cas d'opposition légitime non résolue, le Client peut résilier le contrat de service sans pénalité.

QronoPlay impose à chaque sous-traitant ultérieur, par contrat écrit, les mêmes obligations de protection des données que celles fixées par le présent DPA. QronoPlay demeure pleinement responsable devant le Client de l'exécution par le sous-traitant ultérieur de ses obligations.

Article 10 — Transferts hors UE

Les DCP sont stockées exclusivement en France (OVH Roubaix). Certains sous-traitants ultérieurs peuvent traiter des DCP aux États-Unis (Resend, Tawk.to, Cloudflare) ou hors France au sein de l'UE (Mollie, Stripe, Twilio).

  • Les transferts vers les États-Unis sont encadrés par la certification Data Privacy Framework (DPF) UE–États-Unis lorsque le sous-traitant y est adhérent.
  • À défaut, les transferts sont encadrés par les Clauses Contractuelles Types (CCT) de la Commission européenne (décision 2021/914) et, le cas échéant, par des mesures supplémentaires (chiffrement, pseudonymisation).

Le Client peut demander à tout moment la liste détaillée des transferts et les garanties applicables à [email protected].

Article 11 — Notification de violation de DCP

QronoPlay notifie le Client de toute violation de DCP susceptible d'affecter les données traitées pour son compte dans un délai de 72 heures suivant la découverte de la violation, conformément à l'article 33 RGPD.

La notification écrite (email + message dans l'admin) inclut :

  • La nature de la violation et la date de découverte.
  • Les catégories et le nombre approximatif de personnes concernées affectées.
  • Les catégories et la quantité approximative de DCP concernées.
  • Les conséquences probables de la violation.
  • Les mesures prises ou proposées pour remédier à la violation et en limiter les conséquences.
  • Le point de contact dédié à la gestion de l'incident.

QronoPlay assiste le Client dans ses obligations de notification à la CNIL et, le cas échéant, aux personnes concernées (art. 33 et 34 RGPD).

Article 12 — Aide à l'exercice des droits des personnes

QronoPlay fournit au Client les outils nécessaires pour répondre aux demandes des personnes concernées au titre des articles 15 à 22 RGPD (accès, rectification, effacement, limitation, portabilité, opposition, décisions automatisées).

  • Scripts d'export et d'effacement disponibles dans la plateforme admin.
  • Délai de transmission des éléments : 5 jours ouvrés à compter de la demande écrite du Client.
  • Si une personne concernée s'adresse directement à QronoPlay, sa demande est transmise au Client sans délai et sans réponse de fond.

Article 13 — Audit et inspection

Le Client (ou un auditeur tiers indépendant qu'il mandate, soumis à une obligation de confidentialité équivalente) peut auditer la conformité de QronoPlay aux obligations du présent DPA une fois par an au maximum, sur demande écrite avec un préavis de 30 jours.

L'audit est conduit pendant les heures ouvrées, sans perturbation des opérations, et dans le respect de la confidentialité des autres clients de QronoPlay.

Les frais de l'audit sont à la charge du Client demandeur, sauf si une non-conformité majeure imputable à QronoPlay est constatée, auquel cas QronoPlay prend en charge les frais raisonnables.

QronoPlay peut, en alternative, fournir un rapport d'audit indépendant récent (type ISO 27001, SOC 2, ou pentest externe) couvrant la portée demandée.

Article 14 — Restitution / destruction des DCP

À la fin du contrat de service, et sauf obligation légale de conservation, le Client choisit entre :

  • Restitution : export structuré des DCP (CSV/JSON) sous 30 jours à compter de la demande écrite.
  • Destruction certifiée : effacement irréversible des DCP sous 30 jours, accompagné d'un certificat écrit de destruction.

Sauvegardes : les DCP présentes dans les sauvegardes sont détruites au plus tard 90 jours après l'expiration du cycle de rétention des sauvegardes.

À défaut d'instruction du Client dans un délai de 30 jours après la fin du contrat, QronoPlay procède par défaut à la destruction certifiée des DCP.

Article 15 — Responsabilité

Chaque partie répond des dommages causés par son non-respect des obligations RGPD qui lui incombent. QronoPlay est responsable, en qualité de sous-traitant, conformément à l'article 82 RGPD pour les dommages résultant de violations imputables à ses propres actes ou omissions ou à ceux de ses sous-traitants ultérieurs.

La responsabilité globale de QronoPlay au titre du présent DPA est limitée dans les conditions prévues par les Conditions Générales d'Utilisation, sauf en cas de faute lourde, de violation intentionnelle, ou lorsque la loi applicable impose une responsabilité plus étendue.

Article 16 — Modification du DPA

Toute modification du présent DPA doit être acceptée par les deux parties par écrit (email avec accusé de réception ou avenant signé).

QronoPlay peut être amené à modifier unilatéralement le DPA pour se conformer à une évolution réglementaire (RGPD, ePrivacy, décisions CNIL/CEPD, jurisprudence). Dans ce cas, le Client est notifié au moins 30 jours avant l'entrée en vigueur. En cas de désaccord majeur, le Client peut résilier le contrat de service sans pénalité.

Article 17 — Contact / Loi applicable

DPO QronoPlay : [email protected]
Contact général : [email protected]
Adresse : SAS Jalimani, [adresse à compléter par Nicolas]
SIREN : 833 142 631

Le présent DPA est soumis au droit français et au RGPD. Tout litige relatif à son interprétation ou à son exécution relève de la compétence exclusive des tribunaux de Cherbourg-en-Cotentin, sous réserve des règles de compétence d'ordre public.

Date d'entrée en vigueur : à la signature du contrat de service QronoPlay.

Document fourni à titre standard. Pour les besoins spécifiques (Enterprise, secteur réglementé), un avenant sur-mesure peut être négocié.

Liens utiles : Politique de confidentialité · CGU · Règlement des jeux · Contact.

Dernière mise à jour : Version par défaut affichée. Personnalisez ce contenu dans l'admin > Contenus > Pages légales.
Retour à l'accueil

© 2025 QronoPlay • [email protected]

vv177860162