Data Processing Addendum (DPA) – URLZ.li / APPHUBIC LTD

Addendum relatif au traitement des données (DPA)

Dernière mise à jour : 27 août 2025
Ce DPA fait partie de l'accord entre vous («Client" ou "Contrôleur") et APPHUBIC LTD, commercialisant sous le nom de URLZ.liProcesseurCe modèle est conçu pour être conforme au RGPD britannique et, le cas échéant, au RGPD de l'UE. Il est fourni à titre informatif et ne constitue pas un avis juridique.

Parties

Processeur: APPHUBIC LTD, numéro d'entreprise 16438256, siège social à 20 Wenlock Road, Londres, Angleterre, N1 7GU, opérant sous le nom de « URLZ.li ».

Contrôleur: Le client identifié dans le contrat de service principal, le bon de commande ou l'enregistrement du compte auprès d'URLZ.li.

1. Objet et durée

1.1 Le présent DPA régit le traitement des données personnelles par le sous-traitant pour le compte du responsable du traitement dans le cadre des services URLZ.li.

1.2 Le traitement se poursuivra pendant toute la durée du contrat principal et de son éventuel renouvellement, sauf disposition contraire de la loi.

2. Définitions

Des termes tels que Données personnelles, Traitement, Contrôleur, Processeur, Personne concernée, et Autorité de surveillance ont la signification donnée dans le RGPD du Royaume-Uni et, le cas échéant, dans le RGPD de l'UE.

3. Nature, portée et objet

3.1 Nature et finalité : Fourniture de services de raccourcissement, de gestion et d'analyse de liens, y compris l'accès API, l'enregistrement des clics et les fonctionnalités associées, comme détaillé plus en détail dans Annexe I.

3.2 Catégories de données et personnes concernées : Comme indiqué dans Annexe I; peut généralement inclure des adresses IP, des agents utilisateurs, des horodatages de clic et des données de compte limitées.

3.3 Le Sous-traitant traitera les Données Personnelles uniquement sur instruction documentée du Responsable du Traitement.

4. Obligations du sous-traitant

  • Traiter les données personnelles uniquement sur instruction documentée du responsable du traitement, y compris en ce qui concerne les transferts internationaux.
  • Veiller à ce que les personnes autorisées à traiter les données personnelles soient tenues au respect de la confidentialité.
  • Mettre en œuvre et maintenir des mesures techniques et organisationnelles appropriées (voir Annexe II).
  • Informer le responsable du traitement sans délai indu après avoir pris connaissance d’une violation de données à caractère personnel (article 9).
  • Aider le responsable du traitement des demandes des personnes concernées (section 10), la sécurité, les analyses d'impact sur la protection des données et les consultations avec les autorités, si nécessaire.
  • Tenir des registres de traitement comme l’exige la loi.
  • S’abstenir de désigner des sous-traitants sans les garanties prévues à l’article 6.

5. Obligations du responsable du traitement

  • Fournir des instructions légales et documentées et garantir une base juridique valable pour le traitement.
  • Ne pas transmettre de catégories particulières de données, sauf accord exprès par écrit.
  • Informer sans délai le Sous-traitant des modifications affectant les instructions de traitement ou la base légale.
  • Être responsable des avis, des consentements et de la transparence envers les personnes concernées.

6. Sous-traitants

  • Le responsable du traitement autorise le sous-traitant à engager des sous-traitants pour l'hébergement, l'analyse, la distribution de courrier électronique, le support client, la facturation et les services connexes.
  • Le Sous-traitant impose aux sous-traitants des obligations non moins protectrices que celles du présent DPA et reste responsable de leur exécution.
  • La liste actualisée des sous-traitants est disponible sur demande ou sur le site web du Sous-traitant. Le Sous-traitant informera le Responsable du traitement de tout changement important, lui permettant ainsi de s'y opposer pour des motifs raisonnables.

7. Transferts internationaux

Lorsque des données personnelles sont transférées en dehors du Royaume-Uni ou de l'EEE, le sous-traitant doit mettre en œuvre des garanties appropriées, notamment l'accord international de transfert de données du Royaume-Uni (IDTA), les clauses contractuelles types de l'UE (SCC) et des mesures supplémentaires si nécessaire.

8. Mesures de sécurité

Le sous-traitant doit mettre en œuvre des mesures techniques et organisationnelles adaptées au risque, y compris les mesures décrites dans Annexe II (par exemple, cryptage en transit, contrôles d’accès, journalisation, examens réguliers).

9. Violation de données personnelles

Le sous-traitant doit informer le responsable du traitement sans retard injustifié après avoir pris connaissance d'une violation de données à caractère personnel, en fournissant les informations raisonnablement disponibles à ce moment-là et en coopérant pour soutenir les obligations du responsable du traitement de notifier les autorités et les personnes concernées lorsque cela est nécessaire.

10. Droits des personnes concernées

Compte tenu de la nature du traitement, le Sous-traitant assiste le Responsable du traitement par des mesures techniques et organisationnelles appropriées, dans la mesure du possible, pour l'exécution de l'obligation du Responsable du traitement de répondre aux demandes d'exercice des droits de la personne concernée.

11. Audit et conformité

Moyennant un préavis raisonnable, le Sous-traitant devra mettre à disposition les informations nécessaires pour démontrer la conformité et permettre les audits par le Responsable du traitement ou un auditeur indépendant mandaté par celui-ci, sous réserve des contraintes de confidentialité, de sécurité et de continuité des activités. Des audits à distance et des certificats/rapports tiers pourront être utilisés pour satisfaire aux exigences d'audit, le cas échéant.

12. Retour et suppression

À la résiliation ou à l'expiration du contrat principal, le Sous-traitant supprimera ou restituera les Données personnelles au Responsable du traitement, sauf si leur conservation est requise par la loi. La suppression peut être effectuée par des processus d'effacement sécurisé et une rotation standard des sauvegardes.

13. Responsabilité et indemnisation

La responsabilité de chaque partie en vertu du présent DPA est soumise aux exclusions et limitations énoncées dans l'accord principal, sauf dans la mesure interdite par la loi applicable.

14. Loi applicable et juridiction compétente

Le présent ATD est régi par le droit anglais et gallois. Les parties se soumettent à la compétence exclusive des tribunaux anglais et gallois.

15. Ordre de préséance

En cas de conflit entre le présent DPA et l'accord principal, le présent DPA prévaudra en ce qui concerne l'objet des présentes.

Annexes

Annexe I – Détails du traitement

  • Sujet: Fonctionnement de la plateforme URLZ.li et des API.
  • Durée: Pendant la durée de l’accord principal et comme l’exige la loi par la suite.
  • Nature et finalité : Raccourcissement des liens, redirection, analyses et fonctionnalités basées sur l'API ; journalisation pour la sécurité/prévention des abus.
  • Catégories de personnes concernées : Utilisateurs finaux du responsable du traitement ; visiteurs cliquant sur des liens raccourcis ; personnel/administrateurs du responsable du traitement.
  • Catégories de données personnelles : Généralement, adresse IP, agent utilisateur, langue, type d'appareil, référent, horodatage, identifiants de compte (nom/adresse e-mail), métadonnées de facturation (tokenisées/état de paiement via le prestataire de paiement). Aucune donnée de catégorie particulière n'est prévue.
  • Catégories spéciales : Non prévu. Le responsable du traitement ne doit pas transmettre ces données, sauf accord exprès écrit.
  • Opérations de traitement : Collecte, stockage, agrégation, analyse, récupération, transmission, suppression.

Annexe II – Mesures techniques et organisationnelles (MTO)

  • Contrôle d'accès : Accès basé sur les rôles, privilèges minimum, MFA pour les comptes administratifs.
  • Cryptage: TLS pour les données en transit ; gestion des secrets cryptés pour les identifiants/clés.
  • Disponibilité et résilience : Sauvegardes, surveillance, alertes, procédures de reprise après sinistre.
  • Enregistrement et surveillance : Journaux centralisés, détection d'anomalies, limitation de débit, contrôles des abus.
  • Sécurité du développement : Revues de code, analyse des dépendances, gestion des changements.
  • Minimisation et conservation des données : Collecte de données limitée ; calendriers de conservation ; suppression sécurisée.
  • Gestion des fournisseurs : Accords de protection des données entre processeurs et sous-processeurs ; examens périodiques.
  • Mesures de protection des employés : Engagements de confidentialité; formation à la sécurité.
  • Réponse aux incidents : Procédures documentées ; flux de travail de notification de violation.

Annexe III – Sous-traitants autorisés

Une liste actualisée des sous-traitants est disponible sur demande auprès de support@urlz.liLes catégories typiques incluent :

  • Fournisseurs d'hébergement cloud et de CDN ;
  • Processeurs de paiement;
  • Plateformes de livraison de courrier électronique et de support client ;
  • Outils d'analyse et de surveillance ;
  • Services de sécurité et de journalisation.

Le sous-traitant fournira un préavis raisonnable aux sous-traitants des modifications importantes, permettant au responsable du traitement de s'y opposer pour des motifs raisonnables.

Exécution

Le présent DPA est incorporé par référence dans l'accord principal entre les parties et est réputé accepté dès l'exécution de cet accord, l'enregistrement du compte ou l'utilisation continue des services, selon le cas.

Contact

APPHUBIC LTD
20 Wenlock Road, Londres, Angleterre, N1 7GU
Numéro d'entreprise : 16438256
E-mail: support@urlz.li

© APPHUBIC LTD — URLZ.li • Ce DPA est fourni à des fins de transparence et doit être examiné par un conseiller juridique.