Accord de traitement des données

Dernière mise à jour : 23 mai 2026

Cet Accord de traitement des données (« DPA ») est conclu entre Monoid (« Sous-traitant ») et le propriétaire du site web utilisant le service d'analytique de Monoid (« Responsable du traitement »). Il fait partie des Conditions d'utilisation et régit le traitement des données personnelles effectué par Monoid pour le compte du Responsable du traitement.

1. Définitions

« Données personnelles », « Responsable du traitement », « Sous-traitant », « Personne concernée », « Traitement » et « Autorité de contrôle » ont les significations données dans le Règlement général sur la protection des données (RGPD) de l'UE 2016/679. « Sous-traitant ultérieur » désigne tout tiers engagé par le Sous-traitant pour traiter les Données personnelles en vertu de ce DPA.

2. Objet et nature du traitement

Le Sous-traitant fournit des statistiques web respectueuses de la vie privée. Le traitement consiste en : la réception de signaux de pages vues anonymisés depuis le site web du Responsable du traitement, le calcul d'un hash SHA-256 de visiteur à rotation journalière (IP + User-Agent + sel côté serveur + date), le stockage des données analytiques agrégées (chemins de pages, noms d'hôtes de référents, codes de pays, types d'appareils, familles de navigateurs, comptages journaliers de visiteurs) et la mise à disposition de statistiques agrégées dans le tableau de bord du Responsable du traitement. Les adresses IP brutes et les chaînes User-Agent sont utilisées uniquement en mémoire pour calculer le hash et ne sont jamais stockées.

3. Durée

Ce DPA est en vigueur aussi longtemps que le Responsable du traitement maintient un compte Monoid. Il se termine automatiquement à la suppression du compte.

4. Obligations du Sous-traitant (Art. 28(3) RGPD)

Le Sous-traitant doit :

  • Traiter les Données personnelles uniquement sur instructions documentées du Responsable du traitement, sauf lorsque requis par la loi applicable.
  • Veiller à ce que les personnes autorisées à traiter les Données personnelles se soient engagées à la confidentialité ou soient soumises à une obligation légale de confidentialité appropriée.
  • Mettre en œuvre des mesures techniques et organisationnelles appropriées (Art. 32 RGPD) — y compris la transmission HTTPS uniquement, le hachage de mot de passe PBKDF2-SHA256, les cookies de session httpOnly, la validation de requêtes Zod et la limitation du taux sur tous les endpoints sensibles.
  • Ne pas engager de Sous-traitant ultérieur sans autorisation écrite préalable du Responsable du traitement (l'autorisation est donnée par l'acceptation de ces Conditions et du DPA ; les Sous-traitants ultérieurs listés dans la Section 6 sont par la présente pré-autorisés).
  • Aider le Responsable du traitement à remplir les demandes des personnes concernées (accès, effacement, portabilité, opposition) en fournissant les outils au niveau du compte documentés à /privacy et, lorsque techniquement impossible, en répondant aux demandes par e-mail dans les 30 jours.
  • Aider le Responsable du traitement dans ses obligations en vertu des Art. 32–36 RGPD, y compris la fourniture d'informations nécessaires pour démontrer la conformité, le soutien aux analyses d'impact sur la protection des données et la coopération avec les autorités de contrôle.
  • Supprimer ou retourner toutes les Données personnelles au Responsable du traitement à la fin du service, et supprimer les copies existantes sauf si le stockage est requis par la loi applicable. La suppression du compte déclenche la suppression en cascade immédiate de toutes les données analytiques.
  • Mettre à disposition toutes les informations nécessaires pour démontrer la conformité avec ce DPA et permettre et contribuer aux audits et inspections conduits par le Responsable du traitement ou un auditeur mandaté par lui.

5. Obligations du Responsable du traitement

Le Responsable du traitement doit : (a) s'assurer qu'il dispose d'une base légale pour instruire le Sous-traitant de traiter les Données personnelles ; (b) s'assurer que le script de tracking est déployé uniquement sur des sites web possédés ou contrôlés par le Responsable du traitement ; (c) inclure une divulgation appropriée du service d'analytique dans sa propre politique de confidentialité ; et (d) notifier rapidement le Sous-traitant de tout changement dans les instructions de traitement.

6. Sous-traitants ultérieurs

Le Responsable du traitement autorise les Sous-traitants ultérieurs suivants :

  • Cloudflare, Inc. (États-Unis) — infrastructure de calcul edge et base de données D1. Mécanisme de transfert : Clauses Contractuelles Types (CCT) de l'UE, Cadre de protection des données UE-États-Unis, DPF Suisse-États-Unis, UK IDTA. DPA : cloudflare.com/trust-hub/gdpr/
  • Resend, Inc. (États-Unis) — livraison d'e-mails transactionnels. Mécanisme de transfert : CCT de l'UE. DPA : resend.com/legal/dpa
  • Stripe, Inc. (États-Unis) — traitement des paiements (facturation du Responsable du traitement uniquement ; aucune donnée analytique des visiteurs n'est partagée avec Stripe). Mécanisme de transfert : CCT de l'UE, DPF UE-États-Unis, UK IDTA. DPA : stripe.com/legal/dpa

Le Sous-traitant fournira au moins 30 jours de préavis écrit (via l'e-mail du compte enregistré) de tout changement prévu de Sous-traitants ultérieurs, donnant au Responsable du traitement la possibilité de s'y opposer.

7. Transferts internationaux

Les Données personnelles peuvent être transférées aux États-Unis via les Sous-traitants ultérieurs listés dans la Section 6. Chaque transfert est couvert par une garantie appropriée (CCT de l'UE, Cadre de protection des données UE-États-Unis, DPF Suisse-États-Unis ou UK IDTA) comme indiqué ci-dessus. Aucun autre transfert vers des pays tiers n'a lieu.

8. Sécurité et notification de violation

Le Sous-traitant notifiera le Responsable du traitement sans délai indu, et en tout cas dans les 24 heures, après avoir pris connaissance d'une violation de Données personnelles affectant les données traitées en vertu de ce DPA. La notification sera faite à l'e-mail du compte enregistré du Responsable du traitement et inclura : la nature de la violation, les catégories et le nombre approximatif de personnes concernées et d'enregistrements affectés, les conséquences probables et les mesures prises ou proposées.

9. Droits d'audit

Le Responsable du traitement peut demander un résumé écrit des mesures de sécurité du Sous-traitant une fois par année civile. Lorsqu'une exigence réglementaire impose un audit sur site, les parties conviendront du calendrier, du périmètre et des obligations de confidentialité à l'avance.

10. Droit applicable

Ce DPA est régi par les lois du Brésil, sauf lorsque la loi impérative de protection des données de l'UE, du Royaume-Uni ou de la Suisse accorde au Responsable du traitement des droits supplémentaires qui ne peuvent être renoncés.

11. Contact

Questions sur ce DPA : monoid@monoid.website