Praisera

Accord de traitement des données

Version
dpa-2026-06-09
Date d'entrée en vigueur
9 juin 2026

Le présent Accord de traitement des données ("DPA") fait partie des Conditions de service de Praisera ou de tout autre accord écrit conclu entre Praisera et le Client (le "Contrat"). Le présent DPA s’applique lorsque Praisera traite des données à caractère personnel pour le compte du Client dans le cadre du Service.

1. Parties et définitions

"Praisera" désigne Dmitry Museychuk, professionnel indépendant établi en Espagne, exerçant son activité commerciale sous le nom "Praisera".

"Client" désigne l’entreprise, le professionnel indépendant, l’organisation ou toute autre entité qui utilise le Service dans un cadre professionnel ou commercial.

"Service" désigne la plateforme Praisera de collecte, gestion, modération, analyse et affichage d’avis.

"Données à caractère personnel du Client" désigne les données à caractère personnel traitées par Praisera pour le compte du Client par l’intermédiaire du Service.

"Réglementation relative à la protection des données" désigne le RGPD, la réglementation espagnole relative à la protection des données applicable au traitement effectué par Praisera et toute autre réglementation relative à la protection des données expressément applicable au traitement des Données à caractère personnel du Client par Praisera en qualité de sous-traitant.

Les termes "Responsable du traitement", "Sous-traitant", "Données à caractère personnel", "Traitement" et "Violation de données à caractère personnel" ont la signification qui leur est donnée par le RGPD.

2. Rôles des parties

Le Client est le Responsable du traitement des Données à caractère personnel du Client. Praisera agit en qualité de Sous-traitant lorsqu’elle traite ces données pour le compte du Client et conformément à ses instructions documentées.

Praisera agit en qualité de Sous-traitant principalement pour :

  • collecter des avis liés aux produits, services ou ressources du Client ;
  • appliquer les règles de modération configurées par le Client ;
  • afficher les avis au moyen du widget intégré ;
  • traiter les événements du widget pour les rapports du Client ;
  • gérer les ressources, catégories, paramètres du widget, règles de modération, réponses du Client et notifications configurées par le Client ;
  • envoyer les notifications, alertes, résumés ou rapports configurés par le Client aux destinataires désignés par le Client.

Le présent DPA ne s’applique pas aux activités dans lesquelles Praisera agit en qualité de Responsable du traitement indépendant, notamment l’administration des comptes Praisera, l’administration des comptes d’Auteurs d’avis, la facturation, les paiements, les taxes, la sécurité, la prévention des abus, l’intégrité du Service, la gestion des signalements, le retrait de contenus, les exposés des motifs, les preuves, les litiges, le respect d’obligations légales et la réponse aux autorités.

Les Données à caractère personnel du Client n’incluent pas les registres conservés par Praisera en qualité de Responsable du traitement indépendant, notamment les registres de signalements, la vérification des signalants, les exposés des motifs, les registres de conformité légale, de prévention des abus, d’intégrité du Service, de sécurité, de facturation, de taxes ou les copies de preuve conservées à des fins de documentation, de litiges ou de défense contre des réclamations.

3. Détails du traitement

L’objet, la durée, la nature, la finalité, les catégories de personnes concernées et les types de données à caractère personnel sont décrits à l’Annexe 1.

Praisera peut apporter des changements techniques ou opérationnels raisonnables au Service, à condition qu’ils ne réduisent pas de manière substantielle le niveau de protection des Données à caractère personnel du Client ni ne modifient substantiellement les finalités couvertes par le présent DPA.

4. Instructions du Client

Praisera traitera les Données à caractère personnel du Client uniquement conformément aux instructions documentées du Client, sauf si le droit de l’Union européenne ou le droit d’un État membre exige un autre traitement. Dans ce cas, Praisera informera le Client avant le traitement, sauf si la loi l’interdit.

Les instructions documentées comprennent le Contrat, le présent DPA, la configuration du Service, les actions des Utilisateurs de compte autorisés, les demandes d’assistance documentées et toute autre instruction écrite acceptée par Praisera.

Praisera n’est pas tenue de suivre des instructions illicites, techniquement irréalisables, contraires au Contrat, hors du périmètre du Service ou créant un risque inacceptable pour la sécurité, la protection des données, la légalité, la prévention des abus, l’intégrité ou l’exploitation du Service, sauf si la Réglementation relative à la protection des données exige le contraire.

Si Praisera considère qu’une instruction enfreint la Réglementation relative à la protection des données, elle en informera le Client sans retard excessif, sauf si la loi ou des raisons de sécurité l’en empêchent.

5. Obligations du Client

Le Client est responsable de :

  • déterminer les finalités et les moyens du traitement ;
  • disposer d’une base juridique valable pour collecter, modérer, afficher, exporter et traiter les avis ;
  • fournir des informations appropriées en matière de protection des données ;
  • configurer le Service de manière licite ;
  • s’assurer que les destinataires des notifications sont autorisés à recevoir les informations correspondantes ;
  • ne pas introduire ni donner instruction de traiter des données sensibles, des données relatives à des personnes de moins de 18 ans, des données pénales ou d’autres données à haut risque interdites par le Contrat ;
  • répondre aux demandes des personnes concernées lorsqu’il agit en qualité de Responsable du traitement ;
  • retirer ou désactiver le widget lorsqu’il cesse d’utiliser le Service ou ferme son compte.

Le Client n’utilisera pas le Service dans des secteurs, juridictions ou contextes interdits par les Conditions de service.

6. Confidentialité et accès

Praisera veillera à ce que les personnes autorisées à traiter des Données à caractère personnel du Client soient soumises à des obligations appropriées de confidentialité.

Praisera limitera l’accès aux Données à caractère personnel du Client aux personnes qui ont besoin de cet accès pour fournir, protéger, maintenir le Service ou fournir une assistance, ou pour respecter des obligations légales applicables.

L’accès d’assistance est régi par la Section 15.

7. Sécurité

Praisera mettra en œuvre des mesures techniques et organisationnelles appropriées afin de protéger les Données à caractère personnel du Client contre l’accès non autorisé, la perte accidentelle, l’altération, la divulgation ou la destruction.

Les mesures principales sont décrites à l’Annexe 2. Praisera peut les mettre à jour afin de refléter des améliorations techniques, des changements opérationnels, l’évolution des risques, des changements d’infrastructure ou des changements de fournisseurs, à condition que ces mises à jour ne réduisent pas de manière substantielle le niveau général de protection.

8. Sous-traitants ultérieurs

Le Client autorise de manière générale Praisera à faire appel à des sous-traitants ultérieurs pour fournir le Service.

La liste actuelle des sous-traitants ultérieurs, y compris leur fonction, leur localisation et les garanties en matière de protection des données, est disponible dans la Liste des Sous-traitants ultérieurs publiée à l’adresse Liste des Sous-traitants ultérieurs.

Praisera conclura, acceptera ou maintiendra un accord écrit, accord électronique, avenant relatif au traitement des données ou autre instrument contractuel contraignant avec chaque sous-traitant ultérieur qui traite des Données à caractère personnel du Client. Cet instrument imposera, en substance, des obligations de protection des données équivalentes à celles imposées à Praisera au titre du présent DPA, dans la mesure applicable à la nature du service du sous-traitant ultérieur.

Praisera restera responsable envers le Client du respect des obligations de protection des données de ses sous-traitants ultérieurs dans la mesure exigée par la Réglementation relative à la protection des données.

9. Changements de sous-traitants ultérieurs

Praisera peut ajouter ou remplacer des sous-traitants ultérieurs. Lorsque le changement est important pour le traitement des Données à caractère personnel du Client, Praisera mettra à jour la Liste des Sous-traitants ultérieurs et, lorsque cela sera raisonnablement possible, en informera le Client par e-mail, dans le Service ou par un autre canal raisonnable.

Le Client peut s’opposer à un nouveau sous-traitant ultérieur pour des motifs raisonnables et documentés de protection des données dans le délai indiqué dans la notification ou, si aucun délai n’est indiqué, dans les trente (30) jours suivant celle-ci.

Si le Client s’oppose valablement, Praisera peut proposer des mesures d’atténuation, limiter le traitement concerné, permettre de désactiver la fonctionnalité concernée, remplacer le sous-traitant ultérieur ou permettre au Client de résilier la partie concernée du Service. Si le sous-traitant ultérieur est nécessaire pour fournir le Service et que Praisera ne peut pas raisonnablement tenir compte de l’opposition, le seul recours du Client sera de résilier la partie concernée du Service, sauf si la loi exige autre chose.

10. Transferts internationaux

L’infrastructure principale de l’application, de la base de données et des sauvegardes de Praisera sera hébergée dans l’Espace économique européen, sauf indication contraire dans la Liste des Sous-traitants ultérieurs ou dans un accord écrit avec le Client.

Lorsqu’un sous-traitant ultérieur ou fournisseur traite des Données à caractère personnel du Client en dehors de l’EEE, Praisera utilisera un mécanisme de transfert valable conformément au Chapitre V du RGPD, tel qu’une décision d’adéquation, les Clauses contractuelles types, une certification active au titre du cadre de protection des données UE–États-Unis lorsque celui-ci s’applique, ou une autre garantie valable.

Praisera peut mettre à jour les mécanismes de transfert lorsque cela est nécessaire pour maintenir un mécanisme valable, à condition que le niveau de protection ne soit pas réduit de manière substantielle.

11. Assistance au Client

Compte tenu de la nature du traitement et des informations disponibles, Praisera assistera raisonnablement le Client pour :

  • répondre aux demandes des personnes concernées relatives aux Données à caractère personnel du Client ;
  • respecter les obligations de sécurité du traitement ;
  • évaluer et gérer les violations de données à caractère personnel ;
  • réaliser des analyses d’impact lorsque cela est applicable ;
  • répondre aux consultations préalables des autorités de contrôle lorsque cela est applicable.

L’assistance sera fournie principalement au moyen de la documentation, du présent DPA, de la Politique de confidentialité, de la Liste des Sous-traitants ultérieurs, de la documentation de sécurité raisonnablement disponible et de réponses raisonnables aux demandes spécifiques.

Praisera peut facturer des coûts raisonnables pour une assistance dépassant l’assistance standard, sauf si l’assistance est nécessaire en raison d’un manquement de Praisera au présent DPA.

12. Demandes des personnes concernées

Si Praisera reçoit une demande relative aux Données à caractère personnel du Client traitées en qualité de Sous-traitant, Praisera peut transmettre la demande au Client, indiquer à la personne concernée de contacter le Client ou coordonner la réponse avec le Client.

Praisera n’est pas tenue d’agir directement sur les Données à caractère personnel du Client sans instruction du Client, sauf si la Réglementation relative à la protection des données l’exige ou si Praisera agit en qualité de Responsable du traitement indépendant pour l’activité concernée.

13. Violations de données à caractère personnel

Praisera notifiera au Client sans retard excessif après avoir pris connaissance d’une Violation de données à caractère personnel affectant des Données à caractère personnel du Client traitées par Praisera en qualité de Sous-traitant.

La notification inclura, dans la mesure où ces informations sont raisonnablement disponibles :

  • la nature générale de la violation ;
  • les catégories de données et de personnes concernées affectées, lorsqu’elles sont connues ;
  • les mesures prises ou proposées pour contenir ou atténuer la violation ;
  • les informations raisonnablement nécessaires pour permettre au Client d’évaluer ses obligations de notification.

Praisera peut fournir les informations de manière échelonnée. La notification d’une violation ne constitue pas une reconnaissance de faute ou de responsabilité.

14. Suppression et restitution

La résiliation du Contrat, l’annulation de l’abonnement, la fermeture du compte et la gestion des comptes inactifs sont régies par les Conditions de service ou par l’accord applicable.

L’absence d’utilisation du Service par le Client n’entraîne pas, à elle seule, la résiliation automatique du Contrat ni du présent DPA.

À la résiliation du Service concerné ou à la fermeture du compte Client, le Client peut demander la restitution ou l’exportation des Données à caractère personnel du Client traitées uniquement en qualité de Sous-traitant avant la fermeture du compte ou dans les trente (30) jours suivant la résiliation, sauf si Praisera accepte autre chose par écrit ou si la loi exige un délai différent.

Pendant ce délai, Praisera peut désactiver l’espace de travail, retirer l’affichage public, limiter l’accès opérationnel et conserver temporairement les données raisonnablement disponibles nécessaires pour répondre à une demande de restitution ou d’exportation.

À l’expiration du délai de trente (30) jours, Praisera peut supprimer ou anonymiser les Données à caractère personnel du Client traitées uniquement en qualité de Sous-traitant conformément à son processus standard.

Le Client peut demander la suppression immédiate des Données à caractère personnel du Client traitées uniquement en qualité de Sous-traitant. Dans ce cas, sauf obligation légale applicable, Praisera peut commencer la suppression ou l’anonymisation sans conserver de fenêtre d’exportation supplémentaire, et le Client sera réputé renoncer à la restitution ou à l’exportation.

L’exportation sera fournie dans un format raisonnable, couramment utilisé et disponible dans le Service ou au moyen d’une assistance raisonnablement fournie. Le droit d’exporter des avis ou des données connexes ne transfère pas au Client les droits de propriété intellectuelle des Auteurs d’avis et n’affecte pas les Conditions applicables aux Auteurs d’avis.

La suppression ou la restitution ne s’applique pas aux données que Praisera conserve en qualité de Responsable du traitement indépendant, notamment les registres de signalements, les exposés des motifs, les registres de prévention des abus, de sécurité, de conformité légale, de facturation, de taxes, d’intégrité du Service, les copies de preuve ou les données exclues des Données à caractère personnel du Client conformément à la Section 2.

Les sauvegardes sont supprimées conformément au cycle de conservation des sauvegardes de Praisera. Praisera ne supprime pas de manière ciblée les données des sauvegardes, sauf si elle décide de le faire à sa discrétion ou si la loi l’exige.

15. Accès d’assistance

Lorsque l’assistance nécessite un accès à des données contrôlées par le Client, Praisera traitera ces données en qualité de Sous-traitant, sauf si l’accès est effectué pour des finalités indépendantes de sécurité, de conformité légale, de prévention des abus, d’intégrité du Service, de gestion des signalements, de litiges ou de défense contre des réclamations.

Pour l’assistance ordinaire, lorsque cela est disponible et approprié, Praisera peut utiliser des sessions d’assistance éphémères, de durée limitée et en lecture seule, limitées à l’espace de travail concerné. Cet accès peut être journalisé et, lorsqu’il est accordé au moyen du flux d’assistance, notifié au propriétaire ou à l’administrateur principal du Client, sauf si un motif juridique, de sécurité, de protection des données, de prévention des abus, d’intégrité du Service ou de sauvegarde des droits des tiers justifie de retarder ou de limiter la notification.

Les incidents de sécurité, de conformité légale, liés aux abus, aux signalements, aux retraits, à la récupération d’infrastructure ou à l’intégrité du Service peuvent nécessiter un accès opérateur contrôlé en dehors du flux ordinaire d’assistance, sous réserve de contrôles internes proportionnés.

16. Audits

Praisera mettra à la disposition du Client les informations raisonnablement nécessaires pour démontrer le respect du présent DPA, principalement au moyen du présent DPA, de la Politique de confidentialité, de la Liste des Sous-traitants ultérieurs, de la documentation de sécurité raisonnablement disponible et de réponses écrites aux demandes raisonnables.

Le Client peut demander un audit raisonnable au maximum une fois tous les douze (12) mois, sauf manquement substantiel documenté ou obligation légale. Avant de demander un audit intrusif, le Client devra tenter de résoudre ses questions au moyen de la documentation et de réponses écrites.

Tout auditeur devra être indépendant, qualifié, soumis à la confidentialité et ne pas être un concurrent de Praisera ni agir pour le compte d’un concurrent.

Les audits devront être notifiés avec un préavis raisonnable, réalisés pendant les heures ouvrables, limités au périmètre nécessaire et ne pas compromettre la sécurité, la confidentialité, la disponibilité, les secrets d’affaires, le secret professionnel, les données d’autres clients ou l’intégrité du Service. Ils n’incluront pas de tests d’intrusion, d’analyses, d’accès au code source, aux bases de données, aux données d’autres clients ou à l’infrastructure de production, sauf accord écrit préalable.

Praisera peut refuser, suspendre ou limiter un audit qui compromet les intérêts ci-dessus, en s’efforçant de fournir des informations alternatives raisonnables lorsque cela est possible.

Praisera peut facturer des coûts raisonnables pour les audits ou l’assistance dépassant la documentation standard, sauf si l’audit révèle un manquement substantiel de Praisera.

17. Traitement sensible interdit

Le Client n’utilisera pas le Service pour traiter des catégories particulières de données à caractère personnel, des données relatives à des condamnations pénales ou infractions, des données relatives à des personnes de moins de 18 ans ou d’autres données à haut risque, sauf autorisation expresse écrite de Praisera et garanties supplémentaires convenues.

Si Praisera prend connaissance d’une telle utilisation, elle peut suspendre, restreindre ou résilier le Service concerné, retirer ou restreindre le contenu, exiger des mesures correctives ou prendre d’autres mesures raisonnables.

18. Responsabilité et indemnisation

La responsabilité de chaque partie au titre du présent DPA sera soumise aux limitations et exclusions du Contrat, sauf dans la mesure où la Réglementation relative à la protection des données ne permet pas une telle limitation ou exclusion.

Le Client indemnisera et dégagera Praisera de toute responsabilité à l’égard des réclamations de tiers, réclamations réglementaires, dommages, sanctions, coûts et dépenses, dans la mesure où ils sont légalement recouvrables ou indemnisables, découlant d’instructions illicites, de l’absence de base juridique, d’informations insuffisantes, d’une configuration illicite, de destinataires non autorisés, d’une utilisation interdite du Service, de l’envoi de données sensibles ou à haut risque, du Contenu d’avis ou des réponses sous le contrôle du Client, ou d’un manquement du Client au présent DPA, au Contrat ou à la Réglementation relative à la protection des données.

Cette indemnisation ne s’appliquera pas dans la mesure où la réclamation découle directement d’un manquement de Praisera au présent DPA ou à la Réglementation relative à la protection des données applicable à Praisera.

19. Ordre de priorité

En cas de conflit entre le présent DPA et le Contrat concernant le traitement des Données à caractère personnel du Client par Praisera en qualité de Sous-traitant, le présent DPA prévaudra.

En cas de conflit entre le présent DPA et la Politique de confidentialité, le présent DPA prévaudra uniquement en ce qui concerne le traitement des Données à caractère personnel du Client par Praisera en qualité de Sous-traitant. La Politique de confidentialité continuera de s’appliquer aux activités dans lesquelles Praisera agit en qualité de Responsable du traitement.

En cas de conflit entre le présent DPA et les Clauses contractuelles types ou tout autre mécanisme de transfert obligatoire, ce mécanisme prévaudra dans la mesure du conflit.

20. Modifications

Praisera peut mettre à jour le présent DPA afin de refléter des changements légaux, techniques, opérationnels, de sécurité, de fournisseurs, du Service ou de la structure de Praisera.

Praisera n’apportera pas de modifications qui réduiraient de manière substantielle le niveau de protection des Données à caractère personnel du Client sans en notifier les Clients concernés.

Si une modification substantielle défavorable affecte le traitement des Données à caractère personnel du Client et que le Client s’y oppose raisonnablement pour des motifs de protection des données, le Client peut résilier la partie concernée du Service avant que la modification ne prenne effet, sauf si la modification est nécessaire en raison de la loi, de la sécurité, de la continuité du fournisseur, de l’intégrité du Service ou d’une nécessité opérationnelle urgente.

Si la propriété ou l’exploitation du Service est transférée à une société ou à une autre entité successeur, cette entité assumera les obligations de Praisera au titre du présent DPA et le transfert ne réduira pas de manière substantielle le niveau de protection des Données à caractère personnel du Client.

21. Contact

Pour les questions relatives au présent DPA :

Annexe 1 — Détails du traitement

Objet : fourniture du Service Praisera au Client, y compris la collecte, la gestion, la modération, l’analyse et l’affichage d’avis.

Durée : pendant la durée du Contrat et, après sa résiliation, pendant la durée nécessaire à la restitution/exportation, à la suppression ou à l’anonymisation, à l’expiration des sauvegardes, au respect d’obligations légales, aux obligations de conservation, aux litiges, aux signalements actifs, à la sécurité, à la prévention des abus ou à la défense contre des réclamations.

Nature et finalité : collecte d’avis, structuration par ressources/catégories/notes, modération configurée par le Client, affichage au moyen du widget, réponses du Client, rapports, analytique, notifications configurées, journaux de modération/audit, assistance et exploitation technique du Service.

Catégories de personnes concernées : Utilisateurs de compte, Auteurs d’avis, Visiteurs du widget, destinataires des notifications configurés par le Client et personnes mentionnées de manière incidente dans les avis, réponses, configurations, notifications ou communications.

Types de données à caractère personnel : noms, alias, adresses e-mail, rôles, identifiants de compte/espace de travail, contenu des avis, notes, catégories, réponses, métadonnées d’avis, configuration du widget, ressources, règles de modération, données de notification, événements du widget, horodatages, domaine d’origine, user agent, en-têtes techniques, journaux de modération/audit, communications d’assistance et données contenues dans les sauvegardes.

Catégories particulières : le Service n’est pas conçu pour traiter des catégories particulières de données, des données pénales, des données relatives à des personnes de moins de 18 ans ou d’autres données à haut risque. Le Client ne doit pas introduire ces données ni donner instruction de les traiter.

Annexe 2 — Mesures techniques et organisationnelles

Praisera maintient des mesures techniques et organisationnelles adaptées à la taille, à la nature, à la portée et au risque du Service, notamment, selon le cas :

  • accès limité au personnel autorisé et fondé sur le besoin d’en connaître ;
  • confidentialité du personnel autorisé ;
  • séparation logique entre les espaces de travail des Clients ;
  • contrôles d’authentification, de session et d’autorisations ;
  • mots de passe stockés sous forme de hachage avec sel ;
  • authentification multifacteur pour les Utilisateurs de compte lorsqu’elle est disponible, activée ou requise ;
  • chiffrement en transit au moyen de HTTPS/TLS ;
  • protection du trafic au moyen de fournisseurs de réseau et de sécurité ;
  • journaux applicatifs, de sécurité et d’audit proportionnés ;
  • surveillance des erreurs et de la disponibilité ;
  • limitation des requêtes et contrôles antiabus ;
  • mécanismes de signalement et d’examen du contenu ;
  • accès d’assistance limité, journalisé et contrôlé ;
  • sauvegardes périodiques avec cycle de conservation échelonné ;
  • examen des fournisseurs pertinents et accords de traitement lorsque cela est applicable ;
  • mécanismes de transfert documentés lorsque cela est applicable ;
  • processus interne de réponse aux incidents, comprenant la classification, le confinement, l’évaluation du risque, l’analyse des obligations de notification et la remédiation.

Praisera révisera ces mesures lorsque des changements substantiels interviendront dans l’architecture, les fournisseurs, l’authentification, la mise à disposition du widget, le modèle de menace ou la nature du Service.