Rôles

• Agence : Responsable de traitement (décide des finalités/moyens).
• Prestataire (moi) : Sous-traitant de l’Agence (exécution des missions).
• Outils tiers (Shopify, Klaviyo, Google, Notion, Figma, Drive, Later…) : sous-traitants ultérieurs.

Finalités couvertes

Exécution des SOW : création/optimisation de pages & contenus, mise en place d’emails, QA/performance, gestion de projet (Notion), transferts fichiers (Drive/Figma).

Typologie de données traitées (minimisation)

• Pro : noms, emails, rôles, commentaires, URL de projets.
• Contenus : textes/visuels fournis, exports, maquettes.
• Analytics (lecture) : métriques agrégées (ATC/Checkout/Purchase, trafic).
• Exclusions : pas de données sensibles ; pas d’injection de données perso dans les prompts IA.

Base légale (référence)

• Exécution du contrat (art. 6-1-b RGPD) pour la majorité des traitements.
• Intérêt légitime (6-1-f) pour QA/perf & journalisation technique.
• Consentement (6-1-a) géré par l’Agence pour email marketing/cookies si applicable.

Sécurité (mesures minimales)

2FA sur tous les outils partagés · principe du moindre privilège · accès individuels (pas de comptes génériques) · chiffrement au repos/en transit fourni par les plateformes · partage Drive par dossier avec expiration · purge des fichiers temporaires.

Sous-traitants & transferts

• Outils listés plus haut ; localisations UE/EEE ou garanties appropriées (SCC/DTIA) si hors UE.
• L’Agence valide la DPA (Data Processing Addendum) de ses outils. Une DPA Prestataire ↔ Agence peut être signée si requis.