affilane
Se connecterCommencer

Annexe 1 — Accord de Sous-Traitance (DPA)

Dernière mise à jour: 23 avril 2026· Version 1.1

Préambule

Le présent Accord de Sous-Traitance (« DPA » pour Data Processing Agreement) est annexé et fait partie intégrante des Conditions Générales de Service (« CGS ») conclues entre :

  • FLIZ, SAS au capital de 1 000 €, siège 18 Rue Masséna, Bureau 3, 06000 Nice, RCS Nice 977 626 118, ci-après le « Sous-traitant » ou « Fliz »,
  • et le Client signataire des CGS, ci-après le « Responsable de traitement » ou le « Client ».

Le présent DPA est établi en application de l'article 28 du Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des données (ci-après le « RGPD ») et des dispositions complémentaires de la loi n° 78-17 du 6 janvier 1978 modifiée (« Loi Informatique et Libertés »).

Il définit les conditions dans lesquelles Fliz traite des données à caractère personnel pour le compte du Client dans le cadre de la fourniture du Service Affilane.

Article 1 — Objet et périmètre

1.1 Objet

Le présent DPA a pour objet d'encadrer les traitements de données à caractère personnel que Fliz effectue pour le compte du Client aux fins de l'exécution des CGS et de la fourniture du Service Affilane.

1.2 Périmètre

Le présent DPA couvre les traitements pour lesquels Fliz agit en qualité de sous-traitant au sens de l'article 4, 8) du RGPD. Il ne couvre pas :

  • les traitements pour lesquels Fliz agit en tant que responsable autonome (gestion du compte Client, facturation, prospection commerciale, lutte anti-fraude pour compte propre) — régis par la Politique de confidentialité Affilane ;
  • les traitements pour lesquels les Parties agissent en qualité de responsables conjoints au sens de l'article 26 RGPD (collecte et transmission via le Tag) — régis par l'Annexe 2 (Accord de responsabilité conjointe).

1.3 Hiérarchie

En cas de contradiction entre le présent DPA et les CGS, le DPA prévaut pour ce qui concerne les traitements de données personnelles effectués en qualité de sous-traitant.

Article 2 — Description des traitements (article 28.3 RGPD)

2.1 Objet du traitement

Gestion d'un programme d'affiliation marketing pour le compte du Client, incluant notamment : gestion des Affiliés, tracking des clics et conversions, calcul et paiement des commissions, reporting.

2.2 Durée du traitement

Pendant toute la durée des CGS, augmentée des durées de conservation stipulées à l'Article 6.

2.3 Nature des opérations de traitement

Collecte, enregistrement, organisation, structuration, conservation, consultation, utilisation, communication par transmission, mise à disposition, rapprochement, effacement.

2.4 Finalité du traitement

Fourniture du Service Affilane au Client, conformément aux CGS.

2.5 Catégories de personnes concernées

  • Affiliés enregistrés par le Client, que ce soit :
    • par saisie manuelle dans la Plateforme ;
    • par import CSV ou via API ;
    • par soumission d'un formulaire d'inscription embed (iframe ou script JavaScript fourni par Fliz) intégré sur le site du Client ou sur un autre domaine autorisé par le Client ;
  • Visiteurs du site du Client (via le Tag)
  • Clients finaux du Client dont les commandes déclenchent des commissions

2.6 Catégories de données à caractère personnel

  • Données d'identification : nom, prénom, email, pseudonyme
  • Données de contact : email, téléphone (facultatif)
  • Données professionnelles : dénomination sociale, SIRET, statut juridique, site web
  • Données financières : IBAN/BIC, coordonnées de paiement transmises via Stripe
  • Données fiscales : numéro TVA intracommunautaire, statut de franchise, pays de résidence fiscale
  • Données de performance : clics, conversions, commissions, taux de performance
  • Données de connexion : identifiants, logs d'accès, horodatage
  • Données techniques : adresse IP, User-Agent, fingerprint anonymisé, identifiants de cookie

2.7 Catégories de données sensibles

Fliz ne traite aucune donnée sensible au sens de l'article 9 RGPD (origine raciale ou ethnique, opinions politiques, convictions religieuses, appartenance syndicale, données génétiques ou biométriques, données de santé, orientation sexuelle), ni de données relatives à des condamnations pénales au sens de l'article 10 RGPD. Le Client s'engage à ne pas lui en transmettre.

Article 3 — Obligations du Sous-traitant (Fliz)

3.1 Traitement selon instructions documentées (art. 28.3.a)

Fliz traite les données à caractère personnel uniquement sur instruction documentée du Client, y compris en ce qui concerne les transferts hors Union européenne, sauf obligation légale au titre du droit de l'Union ou du droit d'un État membre à laquelle Fliz est soumise. Dans ce dernier cas, Fliz en informe le Client préalablement, sauf interdiction légale pour des motifs importants d'intérêt public.

Les CGS et le présent DPA, ainsi que la configuration du Service par le Client, constituent les instructions documentées de base. Des instructions complémentaires peuvent être transmises par le Client à hello@affilane.com. Fliz informe immédiatement le Client si, selon son analyse, une instruction constitue une violation du RGPD ou d'une autre disposition de l'Union ou d'un État membre relative à la protection des données.

3.2 Confidentialité (art. 28.3.b)

Fliz veille à ce que les personnes autorisées à traiter les données à caractère personnel s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité. Les collaborateurs et sous-traitants sont formés à la protection des données.

3.3 Sécurité (art. 28.3.c → art. 32)

Fliz prend toutes les mesures requises en vertu de l'article 32 du RGPD. Les mesures techniques et organisationnelles mises en œuvre sont détaillées à l'Annexe 4 des CGS et incluent notamment :

  • chiffrement TLS 1.2 minimum en transit
  • chiffrement AES-256 des données au repos
  • authentification à facteurs multiples (MFA) pour les accès administrateurs
  • séparation des environnements production/développement
  • gestion des habilitations selon le principe du moindre privilège
  • journalisation des accès conservée 12 mois
  • sauvegardes quotidiennes chiffrées conservées 30 jours
  • tests d'intrusion annuels
  • politique interne de sécurité documentée
  • plan de continuité d'activité
  • pour le formulaire d'inscription embed : whitelisting CORS des domaines autorisés par le Client, rate limiting anti-abus (5 soumissions/IP/heure), détection de honeypot, validation stricte des entrées, journalisation horodatée du consentement aux CGU conforme à l'article 7.1 RGPD

Ces mesures sont revues et mises à jour régulièrement en fonction de l'évolution des menaces et de l'état de l'art.

3.4 Sous-traitance ultérieure (art. 28.2 et 28.4)

Autorisation générale préalable. Le Client autorise Fliz à recourir à des sous-traitants ultérieurs pour la fourniture du Service, sous réserve du respect des conditions ci-après.

Liste des sous-traitants ultérieurs. La liste à jour des sous-traitants ultérieurs de Fliz est publiée à affilane.com/legal/subprocessors et communiquée sur demande.

À la date du présent DPA, les sous-traitants ultérieurs sont :

Sous-traitant Rôle Localisation
Vercel Inc. Hébergement applicatif Multi-régions (UE privilégiée)
Supabase Inc. Base de données principale UE (via AWS Irlande/Francfort)
Amazon Web Services EMEA SARL Infrastructure technique UE (Irlande, Francfort)
Stripe Payments Europe Ltd. Paiements UE + US (intra-groupe)
Resend Inc. (ou équivalent) Emails transactionnels UE ou US
Upstash Inc. Cache et file (Redis) UE
Anthropic PBC / OpenAI LLC IA (fonctionnalités optionnelles) US

Modification de la liste. Toute modification de la liste (ajout ou remplacement) fait l'objet d'une notification au Client avec un préavis de trente (30) jours avant effet, par email ou notification dans le Service. Le Client dispose d'un délai de quinze (15) jours à compter de la notification pour formuler par écrit, à hello@affilane.com, une objection motivée (par exemple : risque de transfert hors UE non correctement encadré, antécédents de violation du sous-traitant).

En cas d'objection motivée que Fliz ne peut raisonnablement lever, le Client pourra résilier le contrat sans pénalité, avec effet à la date de changement du sous-traitant.

Équivalence contractuelle. Fliz conclut avec chaque sous-traitant ultérieur un contrat écrit imposant des obligations de protection des données au moins équivalentes à celles du présent DPA (art. 28.4 RGPD).

Responsabilité. Fliz demeure pleinement responsable de l'exécution par le sous-traitant ultérieur de ses obligations en matière de protection des données (art. 28.4 RGPD).

3.5 Assistance à l'exercice des droits des personnes (art. 28.3.e)

Fliz aide le Client, par des mesures techniques et organisationnelles appropriées, à s'acquitter de son obligation de donner suite aux demandes des personnes concernées dans l'exercice de leurs droits (articles 15 à 22 RGPD).

En pratique, Fliz met à disposition dans le Service des fonctionnalités permettant au Client d'exporter, rectifier ou supprimer les données concernant une personne spécifique. En cas de demande complexe nécessitant l'intervention de Fliz, celle-ci est traitée dans un délai compatible avec les délais de réponse du Client (article 12.3 RGPD : un mois prolongeable de deux mois).

Si une personne concernée adresse directement à Fliz une demande relative à un traitement effectué pour le compte du Client, Fliz transmet la demande au Client sous 5 jours ouvrés et s'abstient d'y répondre directement, sauf instruction contraire.

3.6 Assistance en matière de sécurité, violations et AIPD (art. 28.3.f)

Violation de données personnelles (art. 33-34). Fliz notifie au Client sans retard injustifié et, en tout état de cause, dans un délai maximum de 48 heures après en avoir pris connaissance, toute violation de données à caractère personnel affectant les traitements effectués pour le compte du Client. Cette notification contient :

  • la description de la nature de la violation, y compris, si possible, les catégories et le nombre approximatif de personnes concernées et d'enregistrements concernés ;
  • le nom et les coordonnées du point de contact de Fliz ;
  • la description des conséquences probables ;
  • la description des mesures prises ou proposées pour remédier à la violation et, le cas échéant, limiter les conséquences négatives.

Fliz assiste le Client dans les notifications à l'autorité de contrôle (72h, art. 33) et aux personnes concernées (art. 34), dans la mesure des informations dont elle dispose en sa qualité de sous-traitant.

Analyse d'Impact relative à la Protection des Données (AIPD, art. 35). Fliz assiste le Client dans la réalisation d'AIPD sur demande, en fournissant les informations techniques nécessaires sur les traitements effectués et les mesures de sécurité mises en œuvre.

Consultation préalable (art. 36). Fliz assiste le Client en cas de consultation préalable auprès de la CNIL, en fournissant les informations techniques pertinentes.

3.7 Restitution ou suppression (art. 28.3.g)

Au terme du contrat, au choix du Client exprimé par écrit :

  • Restitution : les données sont mises à disposition du Client dans un format structuré, couramment utilisé et lisible par machine (CSV, JSON) pendant une période de 30 jours à compter de la fin du contrat ;
  • Suppression : les données sont supprimées dans un délai maximum de 30 jours.

À l'issue de ce délai, toutes les copies des données sont supprimées, sauf obligation légale de conservation (notamment obligations comptables 10 ans au titre de l'article L.123-22 du Code de commerce, obligations LCB-FT 5 ans au titre de l'article L.561-12 du CMF). Dans ce cas, Fliz informe le Client de la nature et de la durée de cette conservation résiduelle.

Les sauvegardes existantes sont purgées dans le cadre du cycle normal de rotation (maximum 30 jours).

Sur demande, Fliz atteste par écrit de la suppression effective.

3.8 Audit et inspection (art. 28.3.h)

Fliz met à disposition du Client toutes les informations nécessaires pour démontrer le respect des obligations prévues par l'article 28 RGPD et permet la réalisation d'audits, y compris des inspections, par le Client ou un autre auditeur qu'il a mandaté.

Modalités d'audit :

  • Fréquence : un (1) audit par année civile, sauf motif légitime supplémentaire (incident de sécurité significatif, évolution majeure du traitement, demande de l'autorité de contrôle) ;
  • Préavis : trente (30) jours, ramené à huit (8) jours en cas d'incident ;
  • Durée : maximum cinq (5) jours ouvrés ;
  • Frais : à la charge du Client, sauf si l'audit révèle un manquement significatif de Fliz ;
  • Périmètre : conformité du traitement aux stipulations du présent DPA ;
  • Confidentialité : l'auditeur signe un accord de confidentialité préalable.

Fliz peut satisfaire à cette obligation en mettant à disposition du Client :

  • les rapports d'audits externes (ISO 27001, SOC 2 Type II le cas échéant), résumés de tests d'intrusion, politiques internes pertinentes ;
  • des réponses écrites à un questionnaire de due diligence.

Le Client accepte ces documents comme substituts d'audit sur site lorsqu'ils sont adéquats et à jour.

3.9 Registre des activités de traitement (art. 30.2)

Fliz tient un registre de toutes les catégories d'activités de traitement effectuées pour le compte du Client, conforme à l'article 30.2 RGPD. Ce registre est tenu à la disposition de l'autorité de contrôle sur demande.

3.10 Délégué à la Protection des Données

Fliz désigne hello@affilane.com (objet : « [RGPD] ») comme point de contact interne sur les questions relatives à la protection des données. Fliz n'a pas désigné de DPO au sens de l'article 37 RGPD, cette désignation n'étant pas obligatoire compte tenu de la nature de ses traitements.

Article 4 — Transferts de données hors Union européenne

4.1 Principe

Certains sous-traitants ultérieurs peuvent être amenés à traiter des données aux États-Unis ou dans d'autres pays tiers. Ces transferts sont encadrés conformément aux articles 44 à 49 du RGPD.

4.2 Mécanismes de transfert applicables

Décisions d'adéquation (art. 45) :

  • EU-US Data Privacy Framework (Décision d'exécution (UE) 2023/1795 de la Commission du 10 juillet 2023), applicable aux sous-traitants US certifiés DPF. Cette décision a été confirmée par le Tribunal de l'UE le 3 septembre 2025 (T-553/23, Latombe c/ Commission).
  • Autres décisions d'adéquation : Royaume-Uni, Suisse, Japon, Corée du Sud, Canada (secteur commercial), Israël, Argentine, Nouvelle-Zélande, Uruguay, Îles Féroé, Andorre, Guernesey, Jersey, Île de Man.

Clauses Contractuelles Types (art. 46.2.c) : Lorsqu'aucune décision d'adéquation ne s'applique, Fliz met en œuvre les CCT 2021/914 adoptées par la Décision d'exécution (UE) 2021/914 de la Commission du 4 juin 2021, selon le module approprié :

  • Module 2 : responsable vers sous-traitant (Client → Fliz vers sous-traitants ultérieurs) ;
  • Module 3 : sous-traitant vers sous-traitant (Fliz vers sous-sous-traitants hors UE).

Les CCT sont signées avec chaque sous-traitant concerné et disponibles sur demande.

4.3 Évaluation d'impact des transferts (TIA)

Fliz réalise une évaluation d'impact des transferts (Transfer Impact Assessment) conformément aux Recommandations 01/2020 du CEPD du 18 juin 2021 (version 2.0), incluant l'analyse de la législation du pays tiers, des demandes d'accès des autorités publiques, et des mesures supplémentaires à mettre en œuvre.

4.4 Mesures supplémentaires

Lorsque nécessaire, Fliz met en œuvre des mesures supplémentaires telles que : pseudonymisation, chiffrement de bout en bout avec clés détenues dans l'UE, minimisation des données transférées, segmentation géographique des traitements.

4.5 Liste des pays concernés par un transfert

La liste à jour des pays destinataires de transferts est publiée à affilane.com/legal/subprocessors.

Article 5 — Obligations du Responsable de traitement (Client)

Le Client s'engage à :

  1. Licéité : disposer d'une base légale valable au sens de l'article 6 RGPD pour chaque traitement confié à Fliz, et, si nécessaire, d'un consentement recueilli conformément à l'article 7 RGPD.

  2. Information : fournir aux personnes concernées les informations requises par les articles 13 et 14 RGPD lors de la collecte des données, incluant notamment l'identité du Client, les finalités, les catégories de destinataires (dont Fliz en qualité de sous-traitant), les transferts internationaux, les durées de conservation, les droits des personnes.

  3. Instructions documentées : donner des instructions licites et documentées à Fliz. En utilisant le Service conformément aux CGS, le Client est réputé donner les instructions résultant de la configuration choisie.

  4. Registre : tenir son propre registre des activités de traitement conformément à l'article 30.1 RGPD.

  5. Consentement cookies : recueillir le consentement préalable des visiteurs de son site au dépôt du Tag Fliz dans les conditions décrites à l'Article 7.2 des CGS et à l'Annexe 2.

  6. Données sensibles : ne pas transmettre à Fliz de données relevant des catégories particulières au sens de l'article 9 RGPD ni de données relatives à des condamnations pénales au sens de l'article 10 RGPD.

  7. Coopération : coopérer avec Fliz en cas de demande des personnes concernées, d'audit d'autorité, ou de violation de données.

Article 6 — Durée et conservation

6.1 Durée

Le présent DPA est applicable pendant toute la durée des CGS. Les obligations relatives à la confidentialité, à la sécurité et à la suppression des données survivent à la fin du contrat.

6.2 Durées de conservation

Les durées de conservation appliquées par Fliz correspondent à la finalité du traitement :

Catégorie Durée
Données opérationnelles (tracking, commissions) Durée du contrat + 3 ans (archivage intermédiaire)
Logs de connexion et de sécurité 12 mois
Journaux de consentement cookies (preuve) 5 ans
Données comptables (factures, paiements) 10 ans (art. L.123-22 C. com.)
Données LCB-FT 5 ans (art. L.561-12 CMF)

À l'expiration des durées applicables, les données sont supprimées ou anonymisées irréversiblement.

Article 7 — Responsabilité

7.1 Responsabilité

Chaque Partie est responsable, à l'égard des personnes concernées, des dommages causés par son propre manquement à ses obligations, conformément à l'article 82 RGPD.

7.2 Recours entre Parties

Dans les rapports entre elles, les Parties conviennent que :

  • Fliz supporte les conséquences d'un dommage résultant d'un manquement à ses obligations de sous-traitant ;
  • Le Client supporte les conséquences d'un dommage résultant de ses propres manquements (notamment : instruction illicite, défaut d'information, défaut de consentement, données sensibles transmises à tort).

7.3 Sanctions CNIL

Si une sanction est prononcée par l'autorité de contrôle à l'encontre d'une Partie pour un manquement imputable à l'autre Partie, celle-ci prendra à sa charge le montant de la sanction et les frais de défense raisonnablement engagés.

7.4 Plafond

Le plafond de responsabilité applicable au présent DPA est celui défini à l'Article 13 des CGS, étant précisé que les sanctions pécuniaires prononcées au titre du RGPD et répercutées entre Parties en application de l'Article 7.3 ne sont pas soumises à ce plafond.

Article 8 — Dispositions générales

8.1 Modification

Fliz peut modifier le présent DPA selon la procédure de l'Article 15.1 des CGS (préavis 15 jours, droit de résiliation pendant le préavis).

8.2 Loi applicable et juridiction

Le présent DPA est régi par le droit français. Les juridictions compétentes sont celles désignées à l'Article 22 des CGS (Tribunal de commerce de Paris).

8.3 Nullité partielle

La nullité d'une stipulation n'affecte pas la validité des autres.

Article 9 — Annexes du DPA

Annexe DPA 1 — Description détaillée des traitements

Se référer à l'Article 2 du présent DPA.

Annexe DPA 2 — Mesures techniques et organisationnelles de sécurité

Se référer à l'Annexe 4 des CGS.

Annexe DPA 3 — Liste des sous-traitants ultérieurs

Liste à jour publiée à affilane.com/legal/subprocessors et intégrée à l'Article 3.4 du présent DPA.

Annexe DPA 4 — Transferts internationaux

Liste des pays destinataires publiée à affilane.com/legal/subprocessors.

Accord de Sous-Traitance établi en conformité avec :

  • Règlement (UE) 2016/679 du 27 avril 2016 (RGPD), notamment articles 28, 30.2, 32, 33, 44-49
  • Décision d'exécution (UE) 2021/914 du 4 juin 2021 (Clauses Contractuelles Types)
  • Décision d'exécution (UE) 2021/915 du 4 juin 2021 (CCT intra-UE R→ST, application facultative)
  • Décision d'exécution (UE) 2023/1795 du 10 juillet 2023 (EU-US Data Privacy Framework)
  • Loi n° 78-17 du 6 janvier 1978 modifiée (Informatique et Libertés)
  • Lignes directrices 07/2020 du CEPD sur les notions de responsable et de sous-traitant (v. 2.1 du 7 juillet 2021)
  • Recommandations 01/2020 du CEPD sur les mesures complémentaires aux transferts (v. 2.0 du 18 juin 2021)
  • Jurisprudence : CJUE 16 juillet 2020, Schrems II, C-311/18 ; CJUE 29 juillet 2019, Fashion ID, C-40/17 ; Tribunal UE 3 sept. 2025, T-553/23, Latombe
  • Sanctions CNIL de référence sur l'article 28 : SAN-2021-020 SlimPay (180 k€) ; délib. 15 avril 2022 Dedalus Biologie (1,5 M€) ; délib. 10 nov. 2022 Discord (800 k€) ; délib. 12 oct. 2023 Canal+ (600 k€)
Sur cette page