← Retour

Accord de Traitement des Données (DPA) -- SAS SWEB

Dernière mise à jour : 16 juin 2026 Version : 1.0 URL canonique : https://sweb.so/politiques/dpa

Annexe aux Conditions Générales de Vente (CGV) dont il fait partie intégrante.


Le présent Accord de Traitement des Données (ci-après le « DPA ») est conclu en application de l'article 28 du Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel (ci-après le « RGPD »).

Il complète les Conditions Générales de Vente (CGV) de la SAS SWEB et en fait partie intégrante. En cas de contradiction entre le présent DPA et les CGV, le DPA prévaut pour les dispositions relatives à la protection des données.

Article 1 -- Définitions

Les termes utilisés dans le présent DPA ont la même signification que dans le RGPD et les CGV. En complément :

  • Responsable de traitement : le Client (Professionnel abonné au Service), qui détermine les finalités et les moyens du traitement des données de ses propres clients (Utilisateurs Finaux).
  • Sous-traitant : la SAS SWEB, qui traite les données à caractère personnel pour le compte du Responsable de traitement dans le cadre de la fourniture du Service.
  • Sous-traitant ultérieur : tout tiers auquel SWEB fait appel pour traiter des données à caractère personnel pour le compte du Client.
  • Violation de données : toute violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès non autorisé à des données à caractère personnel.

Article 2 -- Objet et périmètre du traitement

2.1 Le présent DPA a pour objet de définir les conditions dans lesquelles SWEB, en qualité de sous-traitant, traite les données à caractère personnel pour le compte du Client.

2.2 Nature et finalité du traitement : Le présent DPA couvre exclusivement les opérations de traitement réalisées par SWEB pour le compte et sur instruction du Client (Responsable de traitement), à savoir :

  • Fourniture du Service SaaS SWEB (agenda, réservation, caisse, portfolio, communication)
  • Gestion des rendez-vous et du fichier clients du Professionnel
  • Envoi de notifications, rappels et messages marketing pour le compte du Professionnel
  • Traitement des paiements et facturation
  • Production de statistiques et rapports d'activité destinés au Professionnel sur son propre périmètre (fréquentation, chiffre d'affaires, taux de remplissage)

Périmètre exclu du DPA : les traitements que SWEB réalise pour ses propres finalités en qualité de responsable de traitement (notamment l'analytics produit agrégé, la mesure d'audience et l'amélioration interne du Service) ne relèvent pas du présent DPA et sont régis par la Politique de Confidentialité de SWEB. Pour ces traitements, SWEB agit en responsable distinct et non en sous-traitant du Client.

2.3 Catégories de personnes concernées :

  • Les clients du Professionnel (Utilisateurs Finaux) : personnes physiques prenant rendez-vous
  • Les collaborateurs du Professionnel

2.4 Catégories de données traitées :

  • Données d'identification : nom, prénom, adresse e-mail, numéro de téléphone
  • Données de rendez-vous : date, heure, prestation, historique
  • Données financières : transactions, montants, moyens de paiement (via Stripe/Klarna)
  • Données de communication : contenu des SMS et messages WhatsApp envoyés via le Service
  • Données potentiellement sensibles au sens de l'article 9 du RGPD (données de santé) : notes saisies à l'initiative du Professionnel dans les champs libres (allergies, traitements, contre-indications), cf. CGV Art. 36. SWEB ne sollicite ni n'exige la collecte de telles données ; lorsque le Professionnel en intègre de sa propre initiative, il agit en qualité de responsable de traitement et en assume l'entière responsabilité, notamment quant à la base légale (art. 9.2 du RGPD) et à l'information des personnes concernées. SWEB applique à ces données les mesures de sécurité adéquates prévues à l'Article 3.3.
  • Données de connexion : adresse IP, logs d'accès

2.5 Durée du traitement : Le traitement dure pendant toute la durée de l'Abonnement du Client au Service. À l'issue de l'Abonnement, les dispositions de l'Article 8 s'appliquent.

Article 3 -- Obligations de SWEB en qualité de sous-traitant

SWEB s'engage à :

3.1 Traiter les données à caractère personnel uniquement sur instruction documentée du Client, y compris en ce qui concerne les transferts vers un pays tiers, sauf obligation légale impérative.

3.2 Garantir que les personnes autorisées à traiter les données sont soumises à une obligation de confidentialité contractuelle ou légale.

3.3 Mettre en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, conformément à l'article 32 du RGPD, et notamment :

  • Chiffrement des données en transit (TLS 1.3) et au repos ;
  • Gestion des accès par authentification sécurisée ;
  • Sauvegardes régulières automatisées ;
  • Journalisation des accès et des actions critiques ;
  • Tests de sécurité réguliers.

3.4 Respecter les conditions prévues à l'Article 4 pour le recours à des sous-traitants ultérieurs.

3.5 Assister le Client, dans la mesure du possible et compte tenu de la nature du traitement, pour satisfaire aux demandes d'exercice des droits des personnes concernées (accès, rectification, effacement, portabilité, opposition, limitation).

3.6 Aider le Client à garantir le respect de ses obligations en matière de :

  • Sécurité du traitement (article 32 du RGPD) ;
  • Notification des violations de données (articles 33 et 34 du RGPD) ;
  • Analyse d'impact relative à la protection des données (article 35 du RGPD) ;
  • Consultation préalable de la CNIL (article 36 du RGPD).

3.7 Au choix du Client, supprimer ou restituer l'ensemble des données à caractère personnel au terme de la prestation, et détruire les copies existantes, sauf obligation légale de conservation (cf. Article 8).

3.8 Mettre à la disposition du Client toutes les informations nécessaires pour démontrer le respect des obligations prévues au présent DPA et permettre la réalisation d'audits (cf. Article 7).

3.9 Registre des catégories d'activités de traitement (art. 30.2). Conformément à l'article 30, paragraphe 2, du RGPD, SWEB tient un registre de toutes les catégories d'activités de traitement effectuées pour le compte du Client. Ce registre contient les informations prévues à l'article 30.2 du RGPD, notamment le nom et les coordonnées de SWEB et de son référent, les catégories de traitements effectués, les transferts éventuels vers des pays tiers et une description générale des mesures techniques et organisationnelles de sécurité. Ce registre est tenu à la disposition de la CNIL et du Client sur demande.

3.10 Référent protection des données. SWEB désigne Nathan RUTILY en qualité de référent protection des données personnelles. Le référent constitue le point de contact du Client pour toute question relative au traitement des données à caractère personnel dans le cadre du présent DPA, joignable via le contact DPA indiqué en pied du présent document.

Article 4 -- Sous-traitants ultérieurs

4.1 Le Client donne à SWEB une autorisation générale de recourir à des sous-traitants ultérieurs pour le traitement des données à caractère personnel.

4.2 La liste des sous-traitants ultérieurs actuels est annexée au présent DPA et accessible sur la page « Liste des Sous-traitants -- SAS SWEB ».

4.3 SWEB informe le Client de tout ajout ou remplacement d'un sous-traitant ultérieur au moins trente (30) jours avant la mise en œuvre du changement, par notification écrite (e-mail ou notification dans le Compte Client).

4.4 Le Client dispose d'un délai de quinze (15) jours à compter de la notification pour émettre une objection légitime et motivée contre le nouveau sous-traitant. En cas d'objection, les Parties se concerteront de bonne foi pour trouver une solution. À défaut d'accord, le Client pourra résilier son Abonnement sans frais ni pénalité.

4.5 SWEB impose à ses sous-traitants ultérieurs, par contrat, des obligations équivalentes à celles prévues au présent DPA en matière de protection des données. SWEB demeure pleinement responsable devant le Client de l'exécution des obligations de ses sous-traitants ultérieurs.

Article 5 -- Transferts internationaux de données

5.1 SWEB s'engage à héberger les données à caractère personnel prioritairement au sein de l'Union européenne.

5.2 Lorsque le recours à un sous-traitant ultérieur implique un transfert de données en dehors de l'Espace économique européen, SWEB s'assure que ce transfert est encadré par :

  • Une décision d'adéquation de la Commission européenne (article 45 du RGPD) ;
  • Les Clauses Contractuelles Types (CCT) adoptées par la Commission européenne (Décision d'exécution 2021/914) ;
  • Le Data Privacy Framework (DPF) UE-US, lorsque le sous-traitant est certifié ;
  • Des mesures complémentaires (chiffrement, pseudonymisation) conformément aux recommandations du Comité européen de la protection des données (CEPD).

5.3 Lorsqu'un transfert est encadré par les Clauses Contractuelles Types, SWEB réalise et tient à jour une évaluation d'impact du transfert (Transfer Impact Assessment -- TIA) afin de vérifier que la législation et les pratiques du pays tiers ne compromettent pas le niveau de protection garanti par les CCT, et met en œuvre, le cas échéant, des mesures complémentaires. Cette évaluation est tenue à la disposition du Client sur demande.

5.4 Le mécanisme de transfert applicable à chaque sous-traitant ultérieur recourant à un transfert hors EEE est récapitulé ci-dessous, et détaillé dans la page « Liste des Sous-traitants -- SAS SWEB » :

Sous-traitant ultérieur Activité de traitement Localisation des données Mécanisme de transfert (si hors EEE)
Stripe Traitement des paiements Irlande (UE) / États-Unis EU-US Data Privacy Framework / Clauses contractuelles types + TIA
Klarna Bank AB Facilités de paiement et paiement fractionné Suède (Union Européenne) N/A (intra-EEE)
Klaviyo Communication et marketing (e-mail / messages) États-Unis EU-US Data Privacy Framework / Clauses contractuelles types + TIA
Vercel Hébergement de la Plateforme États-Unis (région iad1) EU-US Data Privacy Framework + CCT (Décision 2021/914) + TIA
Railway Hébergement des bases de données Union européenne (Pays-Bas) N/A (hébergement intra-UE)
PostHog Analytics applicatif Union européenne (Cloud EU -- Francfort) N/A (hébergement intra-UE)
WhatsApp / Meta Envoi de notifications WhatsApp États-Unis EU-US Data Privacy Framework / Clauses contractuelles types + TIA
Resend, Inc. Envoi des e-mails transactionnels États-Unis EU-US Data Privacy Framework + CCT (Décision 2021/914) + TIA
Bunny.net (BunnyWay d.o.o.) Stockage de fichiers et sauvegardes Union européenne (Slovénie) N/A (intra-UE)
Envoi de SMS Fonctionnalité non activée à ce jour N/A N/A

5.5 SWEB tient à disposition du Client la documentation relative aux garanties de transfert applicables à chaque sous-traitant ultérieur.

Article 6 -- Notification des violations de données

6.1 En cas de Violation de données, SWEB s'engage à notifier le Client dans un délai de quarante-huit (48) heures après en avoir eu connaissance, par e-mail à l'adresse associée au Compte Client.

6.2 Cette notification comprend :

  • La nature de la violation (perte, altération, accès non autorisé, divulgation) ;
  • Les catégories et le nombre approximatif de personnes concernées ;
  • Les catégories et le nombre approximatif d'enregistrements de données concernés ;
  • Les conséquences probables de la violation ;
  • Les mesures prises ou proposées pour remédier à la violation et atténuer ses effets.

6.3 SWEB coopère avec le Client pour toute notification à la CNIL (article 33 du RGPD -- délai de 72 heures) ou aux personnes concernées (article 34 du RGPD).

6.4 SWEB documente toute Violation de données, y compris les faits, ses effets et les mesures correctives prises, et tient cette documentation à la disposition du Client et de la CNIL.

Article 7 -- Audits

7.1 SWEB met à la disposition du Client toutes les informations nécessaires pour démontrer le respect des obligations du présent DPA.

7.2 Le Client peut réaliser ou faire réaliser des audits, y compris des inspections, sous réserve de :

  • Un préavis écrit de trente (30) jours ;
  • Un audit par année civile maximum, sauf en cas de Violation de données ou de demande de la CNIL ;
  • Le respect des obligations de confidentialité et de sécurité ;
  • La réalisation de l'audit pendant les heures ouvrables et sans perturber le fonctionnement du Service.

7.3 Les coûts de l'audit sont à la charge du Client, sauf si l'audit révèle un manquement de SWEB aux obligations du présent DPA.

Article 8 -- Sort des données en fin de contrat

8.1 À l'issue de l'Abonnement (résiliation ou non-renouvellement), le Client dispose d'un délai de trente (30) jours pour récupérer ses données via les outils d'export du Service (CSV, JSON) conformément à l'Article 17 des CGV.

8.2 Passé ce délai de trente jours, SWEB procède à la suppression définitive des données à caractère personnel du Client, y compris les copies de sauvegarde, dans un délai raisonnable n'excédant pas quatre-vingt-dix (90) jours.

8.3 La suppression ne s'applique pas aux données dont la conservation est imposée par une obligation légale, notamment :

  • Données de caisse : six (6) exercices comptables (article L. 102 B du Livre des procédures fiscales) ;
  • Données de facturation : dix (10) ans (article L. 123-22 du Code de commerce) ;
  • Données nécessaires à la constatation, l'exercice ou la défense de droits en justice.

8.4 SWEB délivre au Client, sur demande, une attestation de suppression des données.

Article 9 -- Durée et résiliation

9.1 Le présent DPA entre en vigueur à la date de souscription de l'Abonnement par le Client et demeure en vigueur pendant toute la durée de l'Abonnement.

9.2 Les obligations de confidentialité et les dispositions relatives au sort des données (Article 8) survivent à la résiliation du présent DPA.

Article 10 -- Droit applicable

Le présent DPA est régi par le droit français. Tout litige relatif à son interprétation ou à son exécution est soumis aux dispositions de l'Article 30 des CGV relatives au règlement des litiges, à défaut de résolution amiable, au Tribunal de commerce de Paris.

Article 11 -- Acceptation

Le présent DPA fait partie intégrante des CGV et est accepté par le Client par voie électronique (acceptation par clic) lors de la souscription de l'Abonnement. Il ne donne pas lieu à un bloc de signature manuscrite distinct.

Pour le Sous-traitant, le présent DPA est conclu par la SAS SWEB, représentée par Maxime PANARINFO, Directeur Général.

SAS SWEB 6 rue d'Armaillé, 75017 Paris RCS Paris 105 241 699 SIRET 105 241 699 00013 Référent protection des données : Nathan RUTILY Contact DPA : hello@sweb.so


Le présent DPA est accessible en permanence à l'adresse https://sweb.so/politiques/dpa.