VYVRE
Article 28 RGPD · Sous-traitant

Data Processing
Agreement.

Note importante : ce DPA est un résumé public des principaux engagements. Le document contractuel complet, signé et conforme à la jurisprudence EDPB la plus récente, est disponible sur simple demande à charles@symphonydrive.com. Il est obligatoirement signé avant toute mise en production chez un Client B2B.

1. Parties

Responsable de traitement : le Client B2B (marque cosmétique) utilisant VYVRE Business sur son site.

Sous-traitant : Symphony Drive SAS, éditrice de VYVRE.

2. Objet du traitement

Le sous-traitant fournit au responsable de traitement un service de diagnostic peau par IA, incluant :

  • Analyse colorimétrique d'images webcam
  • Calcul de 6 indicateurs peau peer-reviewed
  • Estimation âge peau perçu (Vierkötter 2009)
  • Matching avec le catalogue produits du Client
  • Hébergement de l'infrastructure technique

3. Catégories de données traitées

Le sous-traitant traite, pour le compte du responsable de traitement :

  • Images du visage de l'utilisateur final (donnée biométrique au sens de l'article 9 RGPD) — traitement éphémère en mémoire vive uniquement, jamais persistées
  • Scores agrégés du scan (8 valeurs numériques 0-100) — anonymisées, sans rattachement à l'identité
  • Phototype Fitzpatrick détecté (1-6)
  • Métadonnées techniques : timestamp, IP anonymisée, user-agent

4. Catégories de personnes concernées

Les visiteurs et clients du site e-commerce du responsable de traitement qui choisissent volontairement d'utiliser le scanner peau VYVRE.

5. Durée du traitement

  • Images : durée du scan uniquement (typiquement <100ms)
  • Scores agrégés : 30 jours (puis suppression automatique)
  • Logs techniques : 90 jours maximum

Le présent DPA prend effet à la signature du contrat principal et reste en vigueur pendant toute la durée de la relation contractuelle.

6. Obligations du sous-traitant

Symphony Drive SAS s'engage à :

  • Traiter les données uniquement sur instruction documentée du responsable de traitement
  • Garantir que les personnes autorisées à traiter les données sont soumises à une obligation de confidentialité
  • Mettre en œuvre les mesures techniques et organisationnelles appropriées (article 32 RGPD)
  • Respecter les conditions de recours à un autre sous-traitant (article 28.2 RGPD)
  • Aider le responsable de traitement dans l'exercice des droits des personnes concernées (articles 15-22 RGPD)
  • Notifier toute violation de données dans un délai maximal de 48 heures
  • Supprimer ou restituer toutes les données en fin de contrat (au choix du responsable de traitement)
  • Mettre à disposition toute information nécessaire pour démontrer le respect du présent DPA

7. Mesures de sécurité (article 32 RGPD)

Symphony Drive SAS met en œuvre les mesures techniques suivantes :

  • Chiffrement en transit : TLS 1.3 sur toutes les communications
  • Chiffrement au repos : AES-256 sur la base de données Supabase
  • Authentification forte : 2FA obligatoire sur tous les comptes admin
  • Pseudonymisation des données utilisateur dans les logs
  • Pas de stockage d'images : traitement en RAM uniquement
  • Sauvegardes chiffrées, rétention 30 jours, géo-redondance EU
  • Audits réguliers de sécurité (interne + externe)
  • Logs d'accès aux données conservés 1 an

8. Sous-traitants ultérieurs

Symphony Drive SAS a recours aux sous-traitants ultérieurs suivants, listés au moment de la signature :

Sous-traitantServiceLocalisation
Vercel Inc.Hébergement frontendUE (Paris, edge)
Supabase Inc.Base de données PostgreSQLUE (eu-west-3 Paris)
Google Cloud (Firebase)Hébergement démosUE (europe-west1)
StripeTraitement paiements B2BUE + USA (PCI-DSS L1)
ResendEnvoi emails transactionnelsUE (Paris)

Toute modification de cette liste sera notifiée au responsable de traitement avec un préavis de 30 jours, permettant l'exercice d'un droit d'opposition motivé.

9. Transferts hors UE

Aucun transfert de données personnelles hors de l'Union européenne n'est effectué dans le cadre du service VYVRE.

Les sous-traitants ultérieurs basés aux USA (Vercel, Google Cloud) traitent les données exclusivement via leurs régions européennes (Paris). Stripe applique des Clauses Contractuelles Types (CCT) approuvées par la Commission européenne pour ses traitements transfrontaliers minimaux.

10. Audit et contrôle

Le responsable de traitement dispose d'un droit d'audit annuel des mesures techniques et organisationnelles mises en place par le sous-traitant, sur préavis de 30 jours et à ses frais.

Symphony Drive SAS fournit annuellement un rapport d'audit interne synthétique sur demande.

11. Notification de violation de données

En cas de violation de données personnelles, Symphony Drive SAS s'engage à notifier le responsable de traitement dans un délai maximal de 48 heures après en avoir pris connaissance, avec :

  • Description de la nature de la violation
  • Catégories et nombre approximatif de personnes concernées
  • Conséquences probables
  • Mesures prises ou proposées pour y remédier

12. Restitution / suppression des données

En fin de contrat, le responsable de traitement peut demander :

  • L'export complet de ses données dans un format structuré (JSON, CSV) sous 15 jours
  • La suppression définitive de toutes les données sous 30 jours après la fin du contrat

Version 1.0 — Dernière mise à jour : 3 juin 2026

Pour obtenir le DPA contractuel signé, contactez : charles@symphonydrive.com