01.Article 1 — Parties
Le présent Accord de Traitement des Données (ci-après « DPA ») est conclu entre :
Le Responsable de Traitement (ci-après « le Professionnel »)
Le professionnel exploitant un établissement de beauté ou de bien-être ayant souscrit un abonnement à la plateforme WezBook, tel qu'identifié dans son Compte.
Le Sous-Traitant (ci-après « WezBook »)
- Raison sociale : WezBook
- Forme juridique : [À COMPLÉTER]
- Siège social : [À COMPLÉTER]
- SIRET : [À COMPLÉTER]
- Email : [email protected]
02.Article 2 — Définitions
- Données Personnelles : toute information se rapportant à une personne physique identifiée ou identifiable (article 4.1 du RGPD).
- Traitement : toute opération effectuée sur des Données Personnelles (collecte, enregistrement, stockage, consultation, transmission, suppression, etc.).
- Personne Concernée : personne physique dont les Données Personnelles font l'objet d'un Traitement.
- Violation de Données : violation de la sécurité entraînant la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès non autorisé à des Données Personnelles.
- Sous-traitant Ultérieur : tout sous-traitant engagé par WezBook pour traiter des Données Personnelles pour le compte du Professionnel.
- Instructions Documentées : instructions écrites du Professionnel relatives au Traitement des Données Personnelles.
- Autorité de Contrôle : la Commission Nationale de l'Informatique et des Libertés (CNIL).
03.Article 3 — Objet et cadre du traitement
3.1 Objet
Le présent DPA définit les conditions dans lesquelles WezBook, en qualité de sous-traitant, traite des Données Personnelles pour le compte du Professionnel, en qualité de responsable de traitement, dans le cadre de l'utilisation de la plateforme WezBook.
Le présent DPA complète les Conditions Générales de Vente (CGV) et la Politique de Confidentialité.
3.2 Nature et finalités du traitement
WezBook traite les Données Personnelles aux fins suivantes :
- Gestion des rendez-vous et des créneaux horaires
- Gestion de la relation client du salon (fichier clients, historique)
- Envoi de rappels SMS et de notifications email pour le compte du salon
- Enregistrement des transactions de caisse via le module WezPay (supplément optionnel, conforme art. 286-I-3°bis du CGI)
- Production de statistiques et d'analyses pour le salon
3.3 Durée du traitement
Le traitement est effectué pendant toute la durée de l'abonnement du Professionnel à WezBook.
À l'issue de l'abonnement, les données sont traitées conformément à l'article 4.7 du présent DPA, sous réserve des obligations légales de conservation (notamment la conservation des données de caisse pendant 6 ans conformément à l'article L.102 B du LPF).
3.4 Catégories de personnes concernées
- Clients finaux du salon (inscrits et temporaires)
- Employés et collaborateurs du salon
3.5 Types de données personnelles traitées
| Catégorie | Données |
|---|---|
| Identité | Prénom, nom |
| Coordonnées | Numéro de téléphone, adresse email |
| Rendez-vous | Dates, heures, services réservés, employé assigné, statut |
| Notes client | Commentaires en texte libre ajoutés par le Professionnel |
| Transactions (WezPay) | Montants, détail des prestations, moyen de paiement (type uniquement), tickets de caisse, clôtures de caisse, remboursements, avoirs |
| Données techniques | Identifiants internes, horodatages |
3.6 Données sensibles
WezBook n'est pas conçu pour traiter des catégories particulières de données au sens de l'article 9 du RGPD (données de santé, origine raciale ou ethnique, opinions politiques, etc.).
Le Professionnel s'engage à ne pas saisir de données sensibles dans les champs en texte libre (notes client), sauf à avoir recueilli le consentement explicite de la Personne Concernée conformément à l'article 9.2(a) du RGPD. WezBook ne contrôle pas le contenu des champs en texte libre et ne saurait être tenu responsable de leur contenu.
04.Article 4 — Obligations de WezBook (sous-traitant)
4.1 Traitement sur instructions documentées (art. 28.3(a))
WezBook traite les Données Personnelles uniquement sur instruction documentée du Professionnel. Les instructions sont réputées données par le Professionnel via :
- L'utilisation des fonctionnalités de la Plateforme (chaque action constitue une instruction)
- Les paramètres configurés dans l'espace de gestion du salon
- Toute instruction écrite complémentaire transmise par email
WezBook ne traite pas les Données Personnelles à d'autres fins que celles prévues au présent DPA. Si WezBook est tenu par le droit de l'Union européenne ou le droit français de procéder à un traitement, il en informera le Professionnel avant le traitement, sauf interdiction légale.
WezBook informera immédiatement le Professionnel si, selon lui, une instruction constitue une violation du RGPD ou d'autres dispositions du droit de l'Union ou du droit français relatives à la protection des données.
4.2 Confidentialité (art. 28.3(b))
WezBook veille à ce que les personnes autorisées à traiter les Données Personnelles :
- S'engagent à respecter la confidentialité par un accord écrit
- Soient soumises à une obligation légale de confidentialité appropriée
L'accès aux Données Personnelles est limité aux seuls membres du personnel de WezBook qui en ont besoin dans le cadre de leurs fonctions.
4.3 Sécurité du traitement (art. 28.3(c) et art. 32)
WezBook met en œuvre les mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté au risque, telles que décrites en Annexe 1 du présent DPA.
Ces mesures incluent notamment :
- Le chiffrement des Données Personnelles en transit (TLS/HTTPS) et au repos (AES-256, AWS)
- La capacité à garantir la confidentialité, l'intégrité, la disponibilité et la résilience des systèmes
- La capacité à rétablir l'accès aux données dans des délais appropriés en cas d'incident
- Des tests réguliers de l'efficacité des mesures de sécurité
4.4 Sous-traitance ultérieure (art. 28.3(d) et art. 28.2)
Autorisation générale — Le Professionnel donne à WezBook une autorisation générale écrite de recourir à des sous-traitants ultérieurs pour l'exécution des traitements décrits au présent DPA. La liste des sous-traitants ultérieurs est détaillée en Annexe 2.
Notification des changements — WezBook informera le Professionnel de tout ajout ou remplacement de sous-traitant ultérieur au moins 30 jours avant la mise en œuvre du changement, par email ou via une notification sur la Plateforme.
Le Professionnel dispose d'un délai de 15 jours à compter de la notification pour émettre une objection motivée. En l'absence d'objection dans ce délai, le changement est réputé accepté.
En cas d'objection, les parties s'efforceront de trouver une solution. Si aucun accord n'est trouvé, le Professionnel pourra résilier son abonnement sans pénalité.
Obligations des sous-traitants ultérieurs — WezBook impose contractuellement à chaque sous-traitant ultérieur les mêmes obligations de protection des données que celles prévues au présent DPA (article 28.4 du RGPD). WezBook demeure pleinement responsable devant le Professionnel de l'exécution par ses sous-traitants ultérieurs de leurs obligations.
4.5 Assistance pour les droits des personnes concernées (art. 28.3(e))
WezBook aide le Professionnel, par des mesures techniques et organisationnelles appropriées, à s'acquitter de son obligation de donner suite aux demandes d'exercice des droits des Personnes Concernées :
- Droit d'accès (art. 15)
- Droit de rectification (art. 16)
- Droit à l'effacement (art. 17)
- Droit à la limitation du traitement (art. 18)
- Obligation de notification (art. 19)
- Droit à la portabilité (art. 20)
- Droit d'opposition (art. 21)
WezBook met à disposition des fonctionnalités d'export de données (JSON, CSV) et de suppression de clients dans la Plateforme.
Limitation — Données de caisse : conformément à l'article 17.3(b) du RGPD, le droit à l'effacement ne s'applique pas aux données de caisse enregistrées via WezPay, qui sont soumises à une obligation légale de conservation de 6 ans (article L.102 B du Livre des Procédures Fiscales) et d'inaltérabilité (article 286-I-3°bis du CGI). WezBook informera le Professionnel de cette limitation afin qu'il puisse en informer la Personne Concernée.
Lorsque WezBook reçoit directement une demande d'exercice de droits d'une Personne Concernée, il la transmettra au Professionnel dans un délai de 48 heures.
4.6 Assistance pour les obligations de sécurité et de notification (art. 28.3(f))
WezBook aide le Professionnel à garantir le respect de ses obligations au titre des articles 32 à 36 du RGPD :
Notification de violation de données (art. 33 et 34) — WezBook notifiera le Professionnel de toute Violation de Données dans un délai de 48 heures après en avoir pris connaissance, en fournissant :
- La nature de la violation
- Les catégories et le nombre approximatif de Personnes Concernées
- Les conséquences probables de la violation
- Les mesures prises ou proposées pour remédier à la violation
WezBook coopérera avec le Professionnel pour lui permettre de notifier la CNIL dans le délai de 72 heures prévu à l'article 33 du RGPD.
Analyse d'impact (art. 35 et 36) — WezBook fournira au Professionnel les informations nécessaires à la réalisation d'une analyse d'impact relative à la protection des données (AIPD), si celle-ci s'avère requise, ainsi que pour toute consultation préalable de la CNIL.
4.7 Sort des données en fin de contrat (art. 28.3(g))
À l'expiration ou la résiliation de l'abonnement, au choix du Professionnel :
Option A — Restitution : Le Professionnel peut demander l'export de l'intégralité de ses Données Personnelles dans un format structuré et lisible (JSON, CSV) dans un délai de 30 jours suivant la fin de l'abonnement.
Option B — Suppression : En l'absence de demande d'export dans le délai de 30 jours, WezBook supprimera les Données Personnelles dans un délai de 30 jours supplémentaires (soit 60 jours après la fin de l'abonnement).
Exception — Données de caisse (art. 286-I-3°bis du CGI) : Les données de caisse enregistrées via le module WezPay sont conservées pendant une durée minimale de 6 ans conformément aux obligations fiscales (article L.102 B du Livre des Procédures Fiscales). Le Professionnel peut demander l'export de ces données à tout moment pendant cette période. À l'expiration du délai de 6 ans, ces données seront supprimées.
Sauvegardes : Les copies de sauvegarde contenant des Données Personnelles seront purgées conformément au cycle de rotation des sauvegardes, dans un délai maximum de 90 jours après la suppression des données de production.
4.8 Audit et inspection (art. 28.3(h))
WezBook met à la disposition du Professionnel toutes les informations nécessaires pour démontrer le respect de ses obligations au titre de l'article 28 du RGPD.
WezBook autorise et contribue aux audits, y compris les inspections, réalisés par le Professionnel ou un auditeur mandaté par celui-ci, dans les conditions suivantes :
- Le Professionnel adresse une demande d'audit par écrit avec un préavis de 30 jours
- L'audit est réalisé pendant les heures ouvrables
- L'auditeur est soumis à une obligation de confidentialité
- L'audit ne doit pas perturber de manière disproportionnée les activités de WezBook
WezBook peut proposer la mise à disposition de rapports d'audit indépendants, de certifications de sécurité ou de rapports de conformité comme alternative à un audit sur site.
Les frais d'audit sont à la charge du Professionnel, sauf si l'audit révèle un manquement de WezBook à ses obligations au titre du présent DPA.
05.Article 5 — Obligations du Professionnel (responsable de traitement)
Le Professionnel, en sa qualité de responsable de traitement, s'engage à :
- Disposer d'une base légale valide pour chaque traitement de Données Personnelles confié à WezBook (consentement, exécution d'un contrat, intérêt légitime, etc.)
- Informer les Personnes Concernées (ses clients finaux) du traitement de leurs données, conformément aux articles 13 et 14 du RGPD, notamment de l'existence du sous-traitant WezBook
- Ne transmettre à WezBook que des Données Personnelles licites et exactes
- Ne pas saisir de données sensibles (art. 9 RGPD) dans les champs en texte libre sans avoir recueilli le consentement explicite de la Personne Concernée
- Donner des instructions conformes au RGPD et au droit applicable
- Superviser le traitement et vérifier la conformité de WezBook
- Répondre aux demandes d'exercice des droits des Personnes Concernées dans les délais légaux
06.Article 6 — Transferts de données hors UE/EEE
6.1 Principe
Les Données Personnelles sont hébergées au sein de l'Union européenne (AWS — régions Irlande et Francfort).
6.2 Transferts vers les États-Unis
Certains sous-traitants ultérieurs de WezBook sont situés aux États-Unis. Les transferts de Données Personnelles vers ces sous-traitants sont encadrés par :
- Le Data Privacy Framework (DPF) UE-USA — décision d'adéquation de la Commission européenne du 10 juillet 2023, pour les sous-traitants certifiés DPF
- Les Clauses Contractuelles Types (CCT) approuvées par la décision d'exécution de la Commission européenne 2021/914, pour les sous-traitants non certifiés DPF
6.3 Garanties complémentaires
WezBook s'engage à :
- Vérifier que chaque sous-traitant ultérieur situé hors UE/EEE dispose de garanties appropriées
- Informer le Professionnel de tout changement affectant les transferts internationaux
- Suspendre les transferts si les garanties ne sont plus assurées
Le détail des garanties par sous-traitant est fourni en Annexe 2.
07.Article 7 — Durée
Le présent DPA entre en vigueur à la date de souscription de l'abonnement WezBook et reste en vigueur pendant toute la durée de l'abonnement.
Les articles suivants survivent à la fin du DPA :
- Article 4.2 (confidentialité) — sans limitation de durée
- Article 4.7 (sort des données) — jusqu'à suppression effective de toutes les données
- Article 4.8 (audit) — pendant 1 an après la fin de l'abonnement
- Article 8 (responsabilité) — conformément aux délais de prescription applicables
- Annexe 2 (sous-traitants) — pour la durée de conservation des données
08.Article 8 — Responsabilité
8.1 Responsabilité de WezBook
WezBook est responsable des dommages causés par un traitement non conforme aux obligations incombant spécifiquement au sous-traitant en vertu du RGPD ou lorsqu'il a agi en dehors des instructions licites du Professionnel ou contrairement à celles-ci (article 82.2 du RGPD).
8.2 Responsabilité du Professionnel
Le Professionnel est responsable des dommages causés par un traitement qui n'est pas effectué conformément au RGPD (article 82.2 du RGPD), notamment en ce qui concerne la licéité de ses instructions et le respect de ses obligations d'information envers les Personnes Concernées.
8.3 Limitation
La responsabilité de WezBook au titre du présent DPA est soumise aux limitations prévues dans les Conditions Générales de Vente.
09.Article 9 — Droit applicable et juridiction
Le présent DPA est régi par le droit français.
En cas de litige, les parties s'engagent à rechercher une solution amiable. À défaut, le litige sera soumis aux tribunaux compétents de [À COMPLÉTER].
L'Autorité de Contrôle compétente est la Commission Nationale de l'Informatique et des Libertés (CNIL).
10.Annexe 1 — Mesures techniques et organisationnelles (art. 32 RGPD)
Chiffrement
| Mesure | Détail |
|---|---|
| Chiffrement en transit | TLS 1.2+ / HTTPS pour toutes les communications |
| Chiffrement au repos | AES-256 via AWS (clés gérées par AWS KMS) |
| Hachage des mots de passe | BCrypt |
Contrôle d'accès
| Mesure | Détail |
|---|---|
| Authentification | Firebase Authentication avec tokens JWT |
| Contrôle d'accès basé sur les rôles | Système RBAC (utilisateur, employé, admin) |
| Isolation des données | Architecture multi-tenant avec isolation par salon |
| Principe du moindre privilège | Accès limité aux données strictement nécessaires |
Protection contre les attaques
| Mesure | Détail |
|---|---|
| Rate limiting | Protection contre les attaques par force brute (Bucket4j) |
| Validation des entrées | Sanitisation et validation systématique |
| Vérification des webhooks | Vérification de signature (Stripe, Twilio, Resend) |
| Protection CORS | Configuration restrictive |
Surveillance et journalisation
| Mesure | Détail |
|---|---|
| Audit trail | Journalisation des actions sensibles |
| Monitoring | Surveillance continue de l'infrastructure |
Sauvegarde et continuité
| Mesure | Détail |
|---|---|
| Sauvegardes | Sauvegardes automatisées régulières (AWS) |
| Restauration | Procédures de restauration testées |
| Hébergement | AWS régions Europe (Irlande eu-west-1 / Francfort eu-central-1) |
Mesures spécifiques conformité fiscale (art. 286-I-3°bis du CGI)
| Mesure | Détail |
|---|---|
| Inaltérabilité | Chaînage et signature numérique des données de caisse |
| Traçabilité | Journalisation exhaustive de chaque opération de caisse |
| Conservation | Archivage sécurisé pendant 6 ans minimum |
| Conformité | Attestation individuelle de l'éditeur n° ATT-WEZPAY-2026-001 (art. 286-I-3°bis du CGI) |
11.Annexe 2 — Liste des sous-traitants ultérieurs
| Sous-traitant | Traitement | Données traitées | Localisation | Garanties transfert |
|---|---|---|---|---|
| Amazon Web Services (AWS) | Hébergement, stockage, sauvegarde | Toutes les données (chiffrées) | Europe (Irlande / Francfort) | Données dans l'UE |
| Firebase (Google) | Authentification | Email, nom, identifiant utilisateur | USA | DPF + CCT |
| Stripe | Paiements et abonnements | Identifiants client, données de transaction | USA | DPF + CCT |
| Twilio | Envoi de SMS | Numéros de téléphone, contenu des SMS | USA | DPF + CCT |
| Resend | Envoi d'emails | Adresses email, contenu des emails | USA | CCT |
| SumUp | Paiements par TPE | Références de transaction | Europe (Irlande) | Données dans l'UE |
| Google Places | Géolocalisation des salons | Adresses, coordonnées GPS | USA | DPF + CCT |
Toute modification de cette liste sera notifiée au Professionnel conformément à l'article 4.4 du présent DPA.
12.Annexe 3 — Description des traitements
| Finalité | Opérations | Base légale (Professionnel) | Catégories de données | Durée de conservation |
|---|---|---|---|---|
| Gestion des clients | Collecte, stockage, consultation, modification, suppression | Exécution du contrat / Intérêt légitime | Identité, coordonnées, notes | Durée de la relation, puis 1 an |
| Gestion des rendez-vous | Collecte, stockage, consultation | Exécution du contrat | Identité, coordonnées, détails RDV | Durée de la relation, puis 1 an |
| Rappels SMS | Consultation, transmission (Twilio) | Exécution du contrat | Numéro de téléphone, détails RDV | Durée d'envoi |
| Notifications email | Consultation, transmission (Resend) | Exécution du contrat | Adresse email, contenu | Durée d'envoi |
| Enregistrement de caisse (WezPay) | Collecte, stockage, archivage | Obligation légale (art. 286-I-3°bis du CGI) | Transactions, montants, moyens de paiement | 6 ans (obligation fiscale) |
| Statistiques | Consultation, agrégation | Intérêt légitime | Données de RDV et de caisse (agrégées) | Durée de l'abonnement |
Pour toute question relative au présent DPA, contactez-nous à : [email protected]
Autres pages légales
Des questions sur nos conditions ?
Notre équipe est là pour vous aider à comprendre vos droits et nos engagements.