Accord de traitement de données (DPA)
Encadre la relation sous-traitant entre Wassa et le gérant de salon pour le traitement des fichiers reçus de leurs clients.
Dernière mise à jour : 8 mai 2026
1. Définitions
- Responsable de traitement : le gérant du salon, qui détermine les finalités et moyens du traitement des fichiers transmis par ses propres clients.
- Sous-traitant : Wassa, qui traite les données pour le compte du Responsable.
- Données personnelles : tout fichier transmis par un client final via QR code, ainsi que ses métadonnées (nom, taille, IP).
2. Objet du traitement
Wassa traite les fichiers uploadés via QR code uniquement pour les finalités suivantes :
- Réception et stockage temporaire (≤ 2h par défaut)
- Mise à disposition du Responsable via son dashboard
- Suppression automatique après expiration ou impression
3. Durée
Le présent DPA s'applique pour toute la durée de l'abonnement au Service. Les données sont supprimées au plus tard 30 jours après la résiliation.
4. Engagements de Wassa
- Traiter les données uniquement selon les instructions du Responsable
- Garantir la confidentialité des personnes autorisées à traiter les données
- Mettre en œuvre les mesures de sécurité appropriées
- Informer sans délai le Responsable en cas de violation de données (notification ≤ 72h)
- Aider le Responsable à répondre aux demandes d'exercice des droits des personnes concernées
- Supprimer ou retourner les données à la fin du contrat selon le choix du Responsable
- Mettre à disposition toutes les informations nécessaires pour démontrer le respect du présent DPA
5. Mesures de sécurité
- Chiffrement TLS 1.3 en transit
- Chiffrement au repos sur Cloudflare R2
- Isolation Postgres Row-Level Security par organisation (double barrière : applicatif + base)
- Auto-suppression configurable (15 min à 60 min selon le plan)
- Sauvegardes chiffrées quotidiennes avec rétention 30 jours
- Authentification forte sur les comptes administrateurs
6. Sous-traitance ultérieure
Wassa autorise les sous-traitants suivants :
| Sous-traitant | Service | Localisation |
|---|---|---|
| Cloudflare | Stockage R2 + CDN | Mondial (multi-région) |
| Jeko | Passerelle de paiement | Côte d'Ivoire |
| Resend | Emails transactionnels | Union Européenne |
Tout changement de sous-traitant fera l'objet d'une notification au moins 30 jours avant son entrée en vigueur. Le Responsable peut s'y opposer pour motif légitime.
7. Transferts internationaux
Lorsque des données sont transférées hors Côte d'Ivoire, Wassa s'assure que le destinataire offre des garanties appropriées (clauses contractuelles types ou décision d'adéquation).
8. Audit
Le Responsable peut, sous réserve d'un préavis raisonnable et au maximum une fois par an, demander à Wassa de fournir les preuves documentaires du respect du présent DPA. Un audit sur site peut être envisagé en cas de soupçon de violation grave.
9. Retour ou suppression
À la fin du contrat, le Responsable peut demander :
- L'export de ses données via le dashboard (format JSON/ZIP)
- La suppression complète de toutes les données (par défaut, ≤ 30 jours après la résiliation)
10. Contact
Pour toute question relative au présent DPA : [email protected]