1. Rôles.

Vous (le client) êtes responsable du traitement pour les données personnelles que vous transmettez au service. Contenza K/S est sous-traitant et n'agit que sur vos instructions documentées. Lorsque nous traitons des données pour nos propres finalités (facturation, sécurité du service, amélioration du produit sur des données agrégées), nous sommes responsable de traitement indépendant pour cette finalité limitée et ce traitement est régi par la politique de confidentialité plutôt que par le présent contrat.

2. Objet, durée et nature.

Le traitement est effectué pour fournir le service QRRegistry : héberger les enregistrements du Passeport numérique de produit, les rendre accessibles aux utilisateurs finaux, générer les QR codes, envoyer les e-mails opérationnels et facturer. Le traitement dure pendant la durée de l'abonnement et pendant une période de clôture définie à la clause 9.

3. Catégories de données et personnes concernées.

Les données personnelles traitées pour le compte du responsable du traitement se limitent à : coordonnées des représentants du fabricant (telles que l'exige l'Annexe III du règlement Écoconception), comptes des employés du client qui administrent les passeports et événements de scan des utilisateurs finaux (géolocalisation au niveau pays et catégorie d'agent utilisateur). Les personnes concernées sont les employés du responsable du traitement ainsi que les utilisateurs finaux anonymes qui scannent les QR codes publics.

4. Instructions du responsable du traitement.

Nous ne traitons les données personnelles que sur les instructions documentées du responsable du traitement. Les Conditions générales et le comportement du produit décrit dans la documentation publique constituent ces instructions. Si nous estimons qu'une instruction enfreint le RGPD, nous en informons le responsable du traitement et suspendons l'instruction jusqu'à clarification.

5. Confidentialité.

Le personnel autorisé à traiter des données personnelles est tenu à des obligations de confidentialité qui survivent à la fin de son engagement.

6. Mesures de sécurité (Art. 32).

  • TLS 1.3 pour toutes les données en transit. HSTS appliqué sur chaque domaine public.
  • Chiffrement au repos pour les volumes de base de données et le stockage objet.
  • Accès basé sur les rôles aux systèmes de production ; les accès sont journalisés et examinés trimestriellement.
  • Hachage des mots de passe et cookies de session HttpOnly, Secure et SameSite=Lax.
  • Sauvegardes quotidiennes hors site chiffrées avec une fenêtre glissante de 30 jours.
  • Défense en profondeur : worker d'arrière-plan isolé, file d'attente sandboxée, CSP stricte sur la surface du visualiseur.

7. Sous-traitants ultérieurs.

Le responsable du traitement autorise notre recours aux sous-traitants ultérieurs listés à /sub-processors. Nous fournirons un préavis d'au moins 30 jours pour tout ajout ou remplacement envisagé, pendant lequel le responsable peut s'y opposer en résiliant l'abonnement avec remboursement au prorata.

8. Droits des personnes concernées et assistance.

Nous assistons le responsable du traitement dans le traitement des demandes des personnes concernées. Lorsqu'une demande peut être satisfaite via les fonctionnalités du tableau de bord (export, rectification, suppression), le responsable la traite directement ; lorsqu'une intervention de l'opérateur est requise, nous répondons dans un délai de 10 jours ouvrés.

9. Suppression et restitution au terme du contrat.

Au terme du contrat, les données personnelles sous la responsabilité du responsable du traitement sont supprimées dans un délai de 90 jours, sauf obligation légale de conservation (p. ex. enregistrements de facturation). Les Passeports numériques de produit publiés restent accessibles conformément à l'Article 10 paragraphe 4 du règlement Écoconception ; le responsable du traitement peut demander une suppression exceptionnelle lorsque le produit sous-jacent a été retiré du marché.

10. Audits.

Le responsable du traitement peut auditer le respect du présent contrat une fois par an, à ses propres frais, en demandant une analyse écrite des écarts et les éléments de preuve correspondants. Les audits sur site ne sont accordés que lorsqu'ils sont raisonnablement nécessaires et sous réserve d'un accord de confidentialité.

11. Transferts internationaux.

Toutes les données personnelles sont stockées dans l'UE. Lorsqu'un sous-traitant ultérieur opère hors UE/EEE, les transferts s'appuient sur les Clauses contractuelles types de la Commission européenne, complétées par les mesures techniques de la clause 6.

12. Notification des violations.

Nous notifions le responsable du traitement sans retard injustifié — et en tout état de cause dans les 48 heures après en avoir eu connaissance — toute violation de données personnelles affectant les données du responsable. La notification décrit la nature de la violation, les catégories et le nombre approximatif de dossiers concernés, les conséquences probables et les mesures prises pour la contenir.

Des questions sur cette politique ? Utilisez le formulaire de contact — ou écrivez à l'équipe via les coordonnées de la page contact.