Data Processing Agreement (DPA) — PreviewLink

1. Rôles et définitions

Le Client détermine les finalités et moyens du traitement (« responsable »/« contrôleur »). PreviewLink exécute les instructions du Client (« fournisseur »/« sous-traitant »). « Renseignements personnels » désigne toute information relative à une personne identifiable.

2. Objet et durée

Objet : fournir la plateforme PreviewLink (prospection, enrichissement, génération/édition, déploiement). Durée : pendant l’abonnement ou l’usage du service et jusqu’à suppression/retour des données selon la section 12.

3. Catégories de données et finalités

• Compte & profil (courriel, métadonnées techniques) — gestion d’accès et sécurité.
• Prospection/Enrichissement (coordonnées provenant de sources publiques, statut/score) — exécution des tâches demandées par le Client.
• Génération/Déploiement (prompts, fichiers, IDs de jobs, URL/ID Vercel) — livraison des livrables.
• Paiement (statuts/montants via Stripe, sans données de carte) — facturation à crédits.
• Fiabilité (journaux serveurs, alertes d’erreurs) — diagnostic et sécurité opérationnelle.

4. Instructions du Client

PreviewLink ne traite les données que sur instruction documentée du Client (y compris via l’app, l’API interne ou n8n). Si une instruction enfreint la loi, PreviewLink en informera le Client si légalement permis.

5. Confidentialité

Le personnel de PreviewLink est soumis à une obligation de confidentialité et reçoit les accès minimums nécessaires (« moindre privilège »).

6. Mesures de sécurité

• Chiffrement en transit (HTTPS/TLS), gestion des clés et secrets côté serveur.
• Contrôles d’accès, RLS pour la lecture Supabase, séparation des environnements.
• Journalisation, alertes (ex. Discord), sauvegardes et reprise limitée.
• Revue des accès et principe de moindre privilège pour n8n et API interne (localhost).

7. Sous-traitants autorisés

Le Client autorise l’usage des sous-traitants suivants, utilisés de façon proportionnée : Supabase (auth/DB), Vercel (hébergement), Stripe (paiement), Apify (collecte Google Places), OpenAI / Anthropic (génération/édition), Discord (alertes). PreviewLink assure des engagements contractuels équivalents (DPA/clauses types). Le Client sera notifié de tout changement matériel, avec droit d’objection raisonnable.

8. Transferts internationaux

Les données peuvent être traitées hors du Canada. PreviewLink met en place des garanties appropriées (p. ex. clauses contractuelles types/équivalents) et minimise les données envoyées aux modèles IA.

9. Demandes des personnes concernées

PreviewLink assiste raisonnablement le Client pour répondre aux demandes d’accès, de correction, de portabilité ou de suppression, lorsque ces demandes concernent des données traitées par PreviewLink.

10. Incidents de sécurité

En cas d’incident de sécurité ayant un impact réel sur les renseignements personnels du Client, PreviewLink avisera le Client sans délai indu après en avoir pris connaissance, partagera les informations disponibles et coopérera à l’atténuation et, au besoin, aux notifications légales.

11. Audits et attestations

Sur demande raisonnable, PreviewLink fournira des informations sur ses contrôles (p. ex. fiches de sécurité, architecture). Les audits sur site, si requis par la loi, seront limités, planifiés, non intrusifs et à la charge du Client.

12. Suppression ou retour des données

À la fin du service ou sur instruction écrite du Client, PreviewLink supprimera ou retournera les données personnelles détenues pour le Client, sauf obligation légale de conservation (p. ex. facturation). Les sauvegardes seront purgées selon les cycles opérationnels.

13. Responsabilité et hiérarchie des documents

Les limites de responsabilité des Conditions d’utilisations’appliquent. En cas de conflit entre ce DPA et les Conditions, le DPA prévaut pour les aspects de protection des renseignements personnels.