Data Processing Agreement (DPA)
Dernière mise à jour : 17 mars 2026
1. Parties
Le présent Accord de Traitement des Données (DPA) est conclu entre :
- •Le Responsable du traitement ("Client") — L'utilisateur de ChurnPilot qui connecte son compte Stripe.
- •Le Sous-traitant ("ChurnPilot") — ChurnPilot, basé à Genève, Suisse.
2. Objet et durée
Ce DPA définit les obligations respectives des parties concernant le traitement des données personnelles dans le cadre de l'utilisation de ChurnPilot. Il entre en vigueur dès la connexion du compte Stripe et reste applicable tant que ChurnPilot traite des données personnelles pour le compte du Client.
3. Données traitées
| Catégorie | Données | Personnes concernées |
|---|---|---|
| Identification | Email, nom, entreprise | Utilisateurs ChurnPilot |
| Paiements | Montant, devise, raison d'échec, code refus | Clients finaux |
| Contact clients | Email, nom du client final | Clients finaux |
| Stripe Connect | ID compte Stripe, nom commercial | Utilisateurs ChurnPilot |
4. Obligations de ChurnPilot
- •Traiter les données personnelles uniquement sur instruction documentée du Client et aux fins de fourniture du service.
- •Garantir que les personnes autorisées à traiter les données sont soumises à une obligation de confidentialité.
- •Mettre en œuvre les mesures de sécurité techniques et organisationnelles appropriées (chiffrement TLS, accès restreint, audits).
- •Ne pas faire appel à un sous-traitant ultérieur sans autorisation préalable du Client.
- •Assister le Client dans l'exercice des droits des personnes concernées (accès, rectification, effacement, portabilité).
- •Notifier le Client sans délai en cas de violation de données personnelles.
- •Supprimer ou restituer toutes les données personnelles à la fin du contrat, dans un délai de 30 jours.
5. Sous-traitants ultérieurs
Le Client autorise ChurnPilot à faire appel aux sous-traitants ultérieurs suivants :
| Sous-traitant | Traitement | Garanties |
|---|---|---|
| Supabase (EU) | Stockage base de données, auth | RGPD, SOC 2 |
| Vercel (EU) | Hébergement applicatif | RGPD, SOC 2 |
| Stripe | Traitement paiements | PCI DSS, EU-US DPF |
| Resend | Envoi emails transactionnels | SCC (EU) |
| Anthropic | Génération contenu emails IA | SCC (EU) |
ChurnPilot informera le Client de tout changement de sous-traitant ultérieur. Le Client dispose de 30 jours pour s'y opposer.
6. Transferts internationaux
Certains sous-traitants (Resend, Anthropic) sont situés aux États-Unis. Ces transferts sont encadrés par les Clauses Contractuelles Types (SCC) de la Commission européenne et/ou le EU-US Data Privacy Framework, conformément aux exigences de la nLPD et du RGPD.
7. Sécurité
ChurnPilot met en œuvre les mesures de sécurité suivantes :
- •Chiffrement de toutes les données en transit (TLS 1.3) et au repos (AES-256).
- •Authentification sécurisée via Supabase Auth avec tokens JWT.
- •Row Level Security (RLS) sur toutes les tables de base de données.
- •Vérification des signatures webhook Stripe pour prévenir les injections.
- •Accès aux données de production limité au strict nécessaire.
8. Notification de violation
En cas de violation de données personnelles, ChurnPilot notifiera le Client dans les meilleurs délais et au plus tard dans les 72 heures suivant la prise de connaissance de la violation. La notification inclura la nature de la violation, les catégories de données concernées, les conséquences probables et les mesures prises pour y remédier.
9. Durée et résiliation
Ce DPA est en vigueur tant que ChurnPilot traite des données personnelles pour le compte du Client. À la fin du contrat, ChurnPilot supprimera toutes les données personnelles dans un délai de 30 jours, sauf obligation légale de conservation.
10. Droit applicable
Ce DPA est régi par le droit suisse (nLPD) et, dans la mesure applicable, par le RGPD. Les tribunaux de Genève, Suisse, sont compétents pour tout litige relatif au présent accord.
11. Contact
Pour toute question relative à ce DPA :
Email : privacy@churn-pilot.com
Adresse : ChurnPilot, Genève, Suisse