Accord de traitement des données (DPA)

Dernière mise à jour : 24 mai 2026 — version 1.0

Le présent accord (« DPA ») est conclu entre :

1. Définitions

Les termes « Données à caractère personnel », « Traitement », « Responsable de traitement », « Sous-traitant », « Personne concernée », « Violation de données » et « Autorité de contrôle » ont le sens qui leur est donné par l'article 4 du RGPD. « Sous-traitant ultérieur » désigne un sous-traitant engagé par Lucasstack pour exécuter une partie du Traitement.

2. Objet et durée

Le DPA encadre le traitement des Données à caractère personnel réalisé par Lucasstack pour le comptedu Client dans le cadre du Service. Il prend effet à la souscription de l'abonnement et reste en vigueur jusqu'à la restitution ou suppression complète des Données conformément à l'article 10.

3. Nature et finalité du traitement

Lucasstack traite les Données pour fournir au Client les fonctionnalités de gestion de stock, préparation de commandes, étiquettes d'expédition et synchronisation Shopify. Le Traitement est strictement limité à ces finalités et aux instructions documentées du Client (paramétrage du compte, utilisation du Service).

4. Types de données et catégories de personnes concernées

  • Types de données : nom, prénom, email, téléphone, adresse de livraison et de facturation, numéro de commande, produits achetés, montant.
  • Catégories de personnes : clients finaux du Client (acheteurs Shopify), employés du Client utilisant le Service.
  • Pas de catégories particulières (Art. 9) ni de données pénales (Art. 10) sauf accord exprès écrit préalable.

5. Obligations du sous-traitant (Art. 28 RGPD)

Lucasstack s'engage à :

  • ne traiter les Données que sur instructions documentées du Client, sauf obligation légale impérative ;
  • garantir que le personnel autorisé à accéder aux Données est soumis à une obligation de confidentialité (contrats, charte interne) ;
  • mettre en œuvre les mesures techniques et organisationnelles décrites à l'article 32 RGPD (cf. §10 de notre Politique de confidentialité) ;
  • n'engager des sous-traitants ultérieurs que selon les modalités prévues à l'article 6 du présent DPA ;
  • assisterle Client pour répondre aux demandes d'exercice de droits des personnes concernées et pour satisfaire ses propres obligations (analyses d'impact, consultation préalable, sécurité) ;
  • notifier au Client toute violation de Données dans les conditions de l'article 9 ci-dessous ;
  • restituer ou supprimerles Données à la fin de la prestation, conformément à l'article 10 ;
  • mettre à disposition toute information nécessaire pour démontrer le respect des obligations Art. 28, et permettre les audits prévus à l'article 8.

6. Sous-traitants ultérieurs

Le Client autorise Lucasstack à recourir aux sous-traitants ultérieurs listés sur la page /legal/sub-processors. Tout ajout ou remplacement sera notifié par email au moins 30 jours avant son entrée en vigueur. Le Client dispose d'un droit d'objection motivé pendant ce délai ; à défaut de solution alternative, il pourra résilier sans frais. Les sous-traitants ultérieurs sont liés par les mêmes obligations contractuelles que Lucasstack.

7. Transferts internationaux

Les Données sont principalement hébergées en Union européenne (Suède). Lorsqu'un sous-traitant ultérieur traite des Données hors UE (notamment Vercel aux États-Unis, Shopify au Canada), le transfert est encadré par les clauses contractuelles types (SCC)approuvées par la décision d'exécution (UE) 2021/914 de la Commission, complétées si nécessaire par des mesures techniques supplémentaires (chiffrement, pseudonymisation).

8. Audit

Le Client peut, une fois par anet sur préavis écrit de 30 jours, vérifier le respect des obligations du présent DPA, soit par lui-même soit via un auditeur indépendant tenu au secret, sous réserve de la signature d'un accord de confidentialité. L'audit ne peut perturber le fonctionnement du Service ni accéder aux données d'autres Tenants. Les coûts sont supportés par le Client, sauf découverte d'un manquement grave.

9. Notification de violation de données

En cas de violation de Données affectant le Client, Lucasstack notifie le Client dans les meilleurs délais et au plus tard 72 heures après en avoir pris connaissance. La notification précise :

  • la nature de la violation et les catégories de Données concernées ;
  • le nombre approximatif de personnes concernées ;
  • les conséquences probables ;
  • les mesures prises ou envisagées pour y remédier et limiter les effets.

Lucasstack assiste le Client pour ses propres notifications éventuelles à la CNIL et aux personnes concernées.

10. Restitution ou suppression à la fin

À l'expiration ou résiliation de l'abonnement, le Client dispose d'une fenêtre de 30 jours pour exporter ses Données via les outils prévus (JSON, CSV). Passé ce délai, Lucasstack procède à la suppression définitive des Données (y compris sauvegardes incrémentales sous 90 jours), sauf obligation légale de conservation (factures : 10 ans).

11. Responsabilité

Chaque partie est responsable des dommages qu'elle cause par un traitement non conforme au RGPD ou au présent DPA. La responsabilité globale de Lucasstack est plafonnée comme stipulé à l'article 11 des CGU. Cette limitation ne s'applique pas aux sanctions administratives prononcées par une autorité de contrôle ni aux atteintes intentionnelles.

12. Acceptation

L'acceptation des CGU au moment de la souscription vaut acceptation du présent DPA, sans qu'une signature manuscrite supplémentaire ne soit requise. Le Client peut télécharger une copie du DPA en vigueur à tout moment depuis cette page.

Contact DPO : dpo@lucasstack.com · Liste des sous-traitants : /legal/sub-processors