Accord de traitement des données (DPA)

Dernière mise à jour : 29 mai 2026

1. Parties

Le présent Accord de traitement des données (« DPA ») est conclu entre :

  • Costplus OÜ, société immatriculée en Estonie, dont le siège social est situé Pärnu mnt 139b, 11317 Tallinn, Estonie, numéro d'immatriculation 16936614 (« Sous-traitant », « nous », « notre », ou « Cost+ ») ; et
  • le marchand qui a installé l'application Shopify Cost+ Checkout, ou qui s'est intégré au service Cost+ Checkout d'une autre manière, en acceptant nos Conditions d'utilisation à l'adresse https://costplus.io/shopify-app-terms.htmlResponsable du traitement », « Marchand », ou « vous »),

chacun une « Partie » et ensemble les « Parties ».

Le présent DPA fait partie des Conditions d'utilisation entre les Parties et y est soumis. En cas de conflit entre le présent DPA et les Conditions d'utilisation concernant le traitement des Données personnelles, le présent DPA prévaut.

2. Définitions

Sauf définition contraire, les termes en majuscules ont le sens qui leur est attribué dans le Règlement (UE) 2016/679 (le « RGPD »). À titre indicatif :

  • « Données personnelles » a le sens de l'article 4(1) du RGPD.
  • « Traitement » a le sens de l'article 4(2) du RGPD.
  • « Personne concernée » désigne un client Shopify ou utilisateur final dont les Données personnelles sont traitées dans le cadre du présent DPA.
  • « Sous-traitant ultérieur » désigne tout tiers mandaté par le Sous-traitant pour traiter des Données personnelles pour le compte du Responsable du traitement.
  • « Services » désigne le service Cost+ Checkout (l'application Shopify, les API associées et les pages de paiement hébergées) fourni par le Sous-traitant au Responsable du traitement dans le cadre des Conditions d'utilisation.

3. Objet, nature, finalité et durée du traitement

3.1 Objet

Le Sous-traitant traite les Données personnelles relatives aux clients du Responsable du traitement afin de fournir les Services. Cost+ Checkout est un outil d'orchestration de tunnel qui oriente les acheteurs arrivant depuis des points d'entrée contrôlés par le Marchand (par exemple, des campagnes e-mail, des pages d'atterrissage, des publicités sur les réseaux sociaux ou des liens directs vers la boutique Shopify) vers une expérience de paiement unique et cohérente, et crée la commande correspondante dans la boutique Shopify du Marchand après le paiement.

3.2 Nature et finalité du traitement

Le Sous-traitant traite les Données personnelles aux fins suivantes :

  • Collecte des coordonnées et des informations de livraison de l'acheteur lors du paiement ;
  • Calcul des taxes applicables et des frais de livraison via les propres services de calcul de taxes et de livraison de Shopify ;
  • Création de la commande Shopify correspondante après que l'acheteur a finalisé le paiement ;
  • Traitement des paiements via l'infrastructure de paiement de Cost+ ou le prestataire de paiement configuré par le Marchand ;
  • Répercussion des remboursements, annulations et événements d'exécution initiés par le Marchand dans son administration Shopify dans la configuration Cost+ Checkout du Marchand ;
  • Traitement des demandes des personnes concernées transmises par Shopify via les webhooks GDPR standard (customers/data_request, customers/redact, shop/redact) ;
  • Fourniture d'analyses destinées au marchand, dérivées de données de session agrégées et pseudonymisées.

3.3 Durée

Le Sous-traitant traite les Données personnelles pendant la durée des Services et les conserve pour les périodes définies à la Section 9 ci-dessous.

4. Types de Données personnelles et catégories de Personnes concernées

4.1 Types de Données personnelles

  • Nom et prénom ;
  • Adresse e-mail ;
  • Numéro de téléphone (si fourni) ;
  • Adresse de livraison (rue, ville, code postal, pays, ligne d'adresse 2 facultative, province/état) ;
  • Adresse de facturation (mêmes champs) ;
  • Détails de la commande, incluant les lignes d'articles, les identifiants de produits, les quantités, les prix, les codes de réduction appliqués, le total de la commande, la devise et le statut d'exécution ;
  • Métadonnées liées au paiement (jeton ou référence du moyen de paiement, identifiants d'autorisation et de capture) — les numéros de compte primaires complets (PAN) n'entrent jamais dans les systèmes du Sous-traitant ; ils sont tokenisés par l'infrastructure de paiement conforme PCI DSS de Cost+ ou par le prestataire de paiement configuré par le Marchand.

4.2 Catégories de Personnes concernées

  • Les clients (acheteurs) du Responsable du traitement qui finalisent leur paiement via Cost+ Checkout.

5. Obligations du Sous-traitant

Le Sous-traitant s'engage à :

5.1 Instructions documentées

Traiter les Données personnelles uniquement sur la base des instructions documentées du Responsable du traitement, y compris en ce qui concerne les transferts de Données personnelles vers un pays tiers ou une organisation internationale, sauf obligation légale prévue par le droit de l'Union ou d'un État membre à laquelle le Sous-traitant est soumis. Dans ce cas, le Sous-traitant en informe le Responsable du traitement avant le traitement, sauf si cette loi l'interdit pour des motifs importants d'intérêt public. Les Parties conviennent que les Conditions d'utilisation, le présent DPA et l'utilisation des Services par le Responsable du traitement via les options de configuration standard constituent des instructions documentées au sens de l'article 28(3)(a) du RGPD.

5.2 Confidentialité

Veiller à ce que les personnes autorisées à traiter les Données personnelles se soient engagées à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.

5.3 Mesures de sécurité

Mettre en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, conformément à l'article 32 du RGPD. Un résumé de ces mesures est présenté à l'Annexe 1. Le Responsable du traitement reconnaît que l'Annexe 1 peut être mise à jour périodiquement pour refléter les améliorations apportées au dispositif de sécurité du Sous-traitant, et qu'une telle mise à jour n'entraînera pas de réduction substantielle du niveau de sécurité.

5.4 Sous-traitants ultérieurs

Ne faire appel à des Sous-traitants ultérieurs que dans les conditions prévues à la Section 7 ci-dessous.

5.5 Assistance concernant les droits des Personnes concernées

Compte tenu de la nature du traitement, aider le Responsable du traitement par des mesures techniques et organisationnelles appropriées, dans la mesure du possible, pour l'exécution de l'obligation du Responsable du traitement de répondre aux demandes d'exercice des droits des Personnes concernées en vertu du Chapitre III du RGPD.

5.6 Assistance concernant les autres obligations du Responsable du traitement

Aider le Responsable du traitement à assurer le respect des obligations prévues aux articles 32 à 36 du RGPD, en tenant compte de la nature du traitement et des informations dont dispose le Sous-traitant.

5.7 Restitution ou suppression à la fin des Services

Au choix du Responsable du traitement, supprimer ou restituer l'ensemble des Données personnelles au Responsable du traitement à la fin de la prestation des Services liés au traitement, et supprimer les copies existantes, sauf si le droit de l'Union ou d'un État membre impose la conservation des Données personnelles. Le Sous-traitant supprimera les Données personnelles dans les 90 jours suivant la fin des Services, sauf si une conservation plus longue est requise par la Section 9.

5.8 Registre des traitements

Tenir un registre écrit de toutes les catégories d'activités de traitement effectuées pour le compte du Responsable du traitement, conformément à l'article 30(2) du RGPD.

5.9 Audits

Mettre à la disposition du Responsable du traitement toutes les informations nécessaires pour démontrer le respect de l'article 28 du RGPD, et permettre et contribuer aux audits, y compris les inspections, menés par le Responsable du traitement ou un autre auditeur mandaté par lui. Le Responsable du traitement prend en charge tout coût lié à ces audits au-delà des informations standard déjà disponibles via les Services. Le Responsable du traitement devra donner un préavis raisonnable (au moins 30 jours), mener les audits pendant les heures ouvrables normales et ne pas perturber les opérations du Sous-traitant.

6. Obligations du Responsable du traitement

Le Responsable du traitement garantit que :

  • Il a établi une base juridique valide en vertu de l'article 6 du RGPD (et, le cas échéant, de l'article 9 du RGPD) pour toutes les Données personnelles qu'il met à la disposition du Sous-traitant via les Services ;
  • Il a fourni toutes les informations de transparence requises aux Personnes concernées en vertu des articles 13 et 14 du RGPD, y compris le fait que Cost+ Checkout est utilisé pour traiter les données de paiement et de commande ;
  • Il a correctement configuré Cost+ Checkout (y compris les règles de flux, les pays autorisés, les moyens de paiement et tout script ou bloc personnalisé) de sorte que les Services ne traitent que les Données personnelles nécessaires aux finalités licites du Marchand ;
  • Il répondra aux demandes des Personnes concernées transmises par le Sous-traitant dans les délais requis par la loi.

7. Sous-traitants ultérieurs

7.1 Autorisation générale

Le Responsable du traitement donne une autorisation générale au Sous-traitant pour faire appel à des Sous-traitants ultérieurs pour l'exécution des Services. Une liste des Sous-traitants ultérieurs actuels est maintenue à l'Annexe 2 et mise à jour régulièrement.

7.2 Notification des modifications

Le Sous-traitant informera le Responsable du traitement de toute modification prévue de la liste des Sous-traitants ultérieurs (ajout ou remplacement) avec un préavis d'au moins 30 jours, offrant ainsi au Responsable du traitement la possibilité de s'y opposer pour des motifs raisonnables. Si le Responsable du traitement s'y oppose et que les Parties ne parviennent pas à un accord dans un délai de 30 jours, le Responsable du traitement peut résilier la partie concernée des Services à sa convenance.

7.3 Obligations transmises

Le Sous-traitant imposera à chaque Sous-traitant ultérieur, par voie contractuelle, les mêmes obligations de protection des données que celles prévues dans le présent DPA, et demeurera pleinement responsable envers le Responsable du traitement de l'exécution des obligations de chaque Sous-traitant ultérieur.

8. Transferts internationaux de données

8.1 Hébergement principal

Le Sous-traitant héberge les Services dans l'Union européenne et traite les Données personnelles principalement au sein de l'UE/EEE. Certains Sous-traitants ultérieurs autorisés (par exemple, certains partenaires d'acquisition de paiements) sont situés en dehors de l'EEE ; dans ce cas, le Sous-traitant garantit que le transfert est protégé par une décision d'adéquation ou par des Clauses Contractuelles Types telles que définies à la Section 8.2, et identifie les Sous-traitants ultérieurs concernés à l'Annexe 2.

8.2 Transferts vers des Sous-traitants ultérieurs

Lorsqu'un Sous-traitant ultérieur est situé en dehors de l'UE/EEE, le Sous-traitant s'assure que les transferts sont couverts par une décision d'adéquation au titre de l'article 45 du RGPD, ou par des Clauses Contractuelles Types adoptées par la Commission européenne (Module 2 : responsable du traitement vers sous-traitant ou Module 3 : sous-traitant vers sous-traitant, selon le cas), ou par un autre mécanisme de transfert valide au titre du Chapitre V du RGPD.

8.3 Transferts ultérieurs

Shopify agit lui-même en tant que responsable du traitement indépendant pour les données clients que le Responsable du traitement a saisies dans sa boutique Shopify. La réception par le Sous-traitant de ces données depuis Shopify, ainsi que la restitution à Shopify des données de commandes créées par Shopify, sont couvertes par les propres conditions de protection des données de Shopify avec le Marchand et ne constituent pas des transferts ultérieurs au sens du présent DPA.

9. Conservation et suppression

Le Sous-traitant conserve les Données personnelles pour les durées suivantes :

  • Données de session actives (sessions de paiement en cours n'ayant pas abouti) : supprimées 30 jours après l'expiration de la session ;
  • Données de commandes finalisées (sessions ayant abouti à une commande Shopify) : conservées pendant 7 ans pour satisfaire aux obligations légales de conservation en matière fiscale et comptable en Estonie et dans la plupart des juridictions de l'UE, puis supprimées ;
  • Jetons de paiement et enregistrements d'autorisation : conservés pendant la durée de conservation du moyen de paiement sous-jacent (généralement 7 ans) ;
  • Données de journaux (journaux de requêtes, journaux de livraison de webhooks) : conservés pendant 90 jours, puis supprimés par rotation ;
  • Journaux d'audit / d'événements de sécurité : conservés pendant 1 an.

À la résiliation des Services, le Sous-traitant supprimera ou restituera les Données personnelles conformément à la Section 5.7 ci-dessus, sous réserve des durées de conservation imposées par la législation applicable.

10. Notification de violation de données

Le Sous-traitant notifiera le Responsable du traitement sans délai injustifié, et en tout état de cause dans les 48 heures, dès qu'il aura connaissance d'une violation de Données personnelles affectant les données du Responsable du traitement. La notification contiendra au minimum les informations requises par l'article 33(3) du RGPD dans la mesure où elles sont disponibles, et sera mise à jour à mesure que de nouvelles informations seront connues.

11. Responsabilité

La responsabilité des Parties au titre du présent DPA est soumise aux dispositions relatives à la responsabilité des Conditions d'utilisation, étant entendu que toute limitation de responsabilité prévue dans les Conditions d'utilisation n'exclut ni ne limite la responsabilité pour toute matière pour laquelle une telle exclusion ou limitation serait illicite en vertu du droit applicable en matière de protection des données.

12. Droit applicable et juridiction

Le présent DPA est régi par le droit estonien, sans égard à ses règles de conflit de lois. Les Parties se soumettent à la compétence exclusive des tribunaux du comté de Harju, Estonie, pour tout litige découlant du présent DPA ou en lien avec celui-ci, sous réserve de toute disposition légale impérative relative à la compétence en matière de litiges de consommateurs ou de personnes concernées.

13. Durée et résiliation

Le présent DPA prend effet à la date à laquelle le Responsable du traitement installe ou utilise les Services pour la première fois et prend fin automatiquement à la résiliation des Conditions d'utilisation. Les clauses qui, par leur nature, doivent survivre à la résiliation (notamment les Sections 5.7, 9, 10 et 12) resteront en vigueur.

14. Intégralité de l'accord

Le présent DPA, conjointement avec les Conditions d'utilisation disponibles à l'adresse https://costplus.io/shopify-app-terms.html et la Politique de confidentialité disponible à l'adresse https://costplus.io/privacy-policy.html, constitue l'intégralité de l'accord entre les Parties concernant l'objet des présentes et remplace tout accord préalable.

Annexe 1 — Mesures techniques et organisationnelles

Le Sous-traitant met en œuvre les mesures techniques et organisationnelles suivantes pour protéger les Données personnelles :

Chiffrement

  • Toutes les données en transit sont chiffrées avec TLS 1.2 ou supérieur, avec des certificats gérés via Let's Encrypt et rotation automatique.
  • Les jetons d'accès à l'API Shopify et les identifiants des prestataires de paiement tiers sont chiffrés au repos avec AES-256-GCM, les clés de couche applicative étant gérées via HashiCorp Vault Transit ou un système équivalent de gestion des clés.
  • Les sauvegardes de bases de données sont chiffrées avant transfert vers un stockage hors site.

Contrôle d'accès

  • L'accès aux systèmes de production est restreint à un ensemble défini de personnels autorisés disposant de comptes nominatifs, d'une authentification par clé SSH pour l'accès aux serveurs, et d'une authentification multifacteur matérielle ou TOTP pour les interfaces d'administration.
  • Les mots de passe marchands au niveau applicatif sont hachés avec Argon2id et des paramètres à forte consommation mémoire.
  • L'accès aux Données personnelles est journalisé et conservé conformément à la Section 9 du DPA.

Infrastructure

  • Les Services sont hébergés dans des centres de données de niveau Tier-III ou équivalent situés dans l'Union européenne.
  • Séparation logique entre les environnements de test et de production ; aucune donnée de production n'est utilisée dans les environnements de développement ou de test.
  • Mise à jour régulière des systèmes d'exploitation, des environnements d'exécution et des dépendances tierces.

Personnel

  • Le personnel ayant accès aux Données personnelles est lié par des obligations écrites de confidentialité qui survivent à la fin de leur engagement.
  • Formation à la sensibilisation à la sécurité lors de l'intégration et de manière périodique pour tout le personnel ayant accès aux Données personnelles ou à l'infrastructure de production.

Réponse aux incidents

  • Procédure documentée de réponse aux incidents de sécurité couvrant la détection, le confinement, l'investigation, la notification (y compris au Responsable du traitement dans les 48 heures conformément à la Section 10) et le bilan post-incident.
  • Révision trimestrielle des procédures de réponse aux incidents et des informations de contact.

Prévention des pertes de données

  • Contrôles d'accès au niveau applicatif limités aux marchands et sessions individuels ; aucun marchand ne peut accéder aux données d'un autre marchand via l'API.
  • Journalisation des audits de tous les accès aux Données personnelles, conservée conformément à la Section 9.
  • Tests de restauration réguliers des sauvegardes chiffrées.

Développement sécurisé

  • Code source hébergé dans un dépôt privé avec révision obligatoire de toutes les modifications avant fusion.
  • Analyse automatisée des dépendances et mises à jour régulières des bibliothèques tierces.
  • Tests d'intrusion au moins une fois par an dès que les Services sont disponibles en accès général.

Annexe 2 — Sous-traitants autorisés

À la date de dernière mise à jour du présent DPA, les sous-traitants suivants sont autorisés à traiter des Données personnelles pour le compte du Responsable du traitement :

Sous-traitant ultérieurFinalitéLocalisationMécanisme de transfert
OVH SASHébergement d'infrastructure cloud (calcul, stockage, réseau) et sauvegardes hors site chiffréesFrance (UE)Intra-EEA
SMTP2GOE-mails transactionnels et de notificationEUIntra-EEA
Infrastructure de paiement Cost+ (Costplus OÜ)Tokenisation des paiements, autorisation, capture, remboursementEUIntra-EEA
Ginger PaymentsPasserelle de paiement / routage des transactionsPays-Bas (UE)Intra-EEA
FinteqHubPasserelle de paiement / orchestrationChypre et Lituanie (UE)Intra-EEA
ComplyPayFournisseur de services bancaires en tant que service (BaaS)Danemark (UE)Intra-EEA
RapydAcquisition / traitement des paiementsUE / Royaume-UniIntra-EEA ; transferts vers le Royaume-Uni en vertu de la décision d'adéquation UE-RU
SHIFT4Acquisition / traitement des paiementsUE / Royaume-UniIntra-EEA ; transferts vers le Royaume-Uni en vertu de la décision d'adéquation UE-RU
ElavonAcquisition / traitement des paiementsUE / Royaume-UniIntra-EEA ; transferts vers le Royaume-Uni en vertu de la décision d'adéquation UE-RU
ClearhausAcquisition / traitement des paiementsDanemark (UE)Intra-EEA
PayneticsAcquisition de paiements / émission de monnaie électroniqueBulgarie (UE)Intra-EEA
DiditVérification d'identité, conformité KYB / KYC / AMLÉtats-Unis / Espagne (UE)Clauses contractuelles types (art. 46 RGPD)

Le Sous-traitant maintiendra une version à jour de cette liste à l'adresse https://costplus.io/dpa/sub-processors et informera le Responsable du traitement de tout ajout ou remplacement conformément à la section 7.2 du présent DPA.

Fin de l'Accord de traitement des données.