Accord de Traitement
des Données (DPA)
Version 15 avril 2026 · En vigueur depuis le 15 avril 2026
Neuraweb — SIRET 99129604700020 — Rue Sadi Carnot, 59320 Haubourdin (France)
Ce document constitue un accord de traitement des données (DPA) au sens de l'article 28 du Règlement (UE) 2016/679 (RGPD). Il est conclu entre Neuraweb en qualité de sous-traitant et vous, le client de Sauve Mie, en qualité de responsable du traitement. Il entre en vigueur lors de votre inscription (essai gratuit ou souscription payante) et forme un avenant aux Conditions Générales d'Utilisation.
Article 1 — Définitions
Au sens du présent accord :
- « Responsable du traitement » désigne la boulangerie cliente (personne physique ou morale exploitant un fonds artisanal) qui a souscrit à Sauve Mie et détermine les finalités et les moyens du traitement de données.
- « Sous-traitant » désigne Neuraweb, micro-entreprise immatriculée sous le SIRET 99129604700020, éditrice de la plateforme Sauve Mie.
- « Personnes concernées » désigne les clients finaux de la boulangerie (acheteurs Click & Collect, abonnés flash), ainsi que les employés de la boulangerie utilisateurs de la plateforme.
- « Données personnelles » a le sens donné par l'article 4(1) du RGPD.
- « Violation de données » a le sens donné par l'article 4(12) du RGPD.
- « Sous-traitants ultérieurs » désigne les prestataires tiers auxquels Neuraweb fait appel pour fournir le Service (liste à l'Article 6).
Article 2 — Objet et durée
Le présent accord régit les opérations de traitement effectuées par Neuraweb pour le compte du Responsable du traitement dans le cadre de l'utilisation de la plateforme SaaS Sauve Mie (gestion de stocks, click & collect, paniers flash anti-gaspillage, rapports IA, gestion d'équipe).
Il prend effet à la date d'inscription et demeure en vigueur jusqu'à la résiliation du compte, puis jusqu'à l'expiration des obligations de conservation légales et contractuelles décrites à l'Article 8.
Article 3 — Nature et finalités du traitement
Neuraweb traite des données personnelles uniquement sur instruction documentée du Responsable du traitement, aux fins suivantes :
| Finalité | Base légale (RGPD Art. 6) | Catégories de données |
|---|---|---|
| Authentification des boulangers et employés | Art. 6.1(b) — Exécution du contrat | Email, tokens JWT, liens magiques |
| Gestion opérationnelle de la boulangerie | Art. 6.1(b) — Exécution du contrat | Nom, adresse, téléphone, horaires, spécialités, stocks, production |
| Traitement des commandes Click & Collect | Art. 6.1(b) — Exécution du contrat | Prénom client, email, téléphone, historique commandes |
| Notifications push (paniers flash) | Art. 6.1(a) — Consentement | Endpoint VAPID, statut d'abonnement |
| Génération de rapports IA (Levain) | Art. 6.1(b) — Exécution du contrat | KPIs agrégés et anonymisés (aucune donnée personnelle transmise à l'IA) |
| Gestion de l'équipe (invitations, rôles) | Art. 6.1(b) — Exécution du contrat | Email, prénom, rôle, permissions, last_login |
| Facturation et abonnement | Art. 6.1(c) — Obligation légale | Email, nom, adresse de facturation, stripe_customer_id |
| Journaux d'audit et sécurité | Art. 6.1(f) — Intérêt légitime | user_id, IP, user-agent, action, horodatage |
Neuraweb ne traitera pas les données à des fins autres que celles listées ci-dessus, notamment pas à des fins de prospection commerciale, de profilage à des fins publicitaires, ou de revente à des tiers.
Article 4 — Catégories de personnes concernées
- Boulangers-propriétaires : titulaires du compte Sauve Mie (email, nom, informations de la boulangerie).
- Employés de la boulangerie : collaborateurs invités sur la plateforme (email, prénom, rôle).
- Clients finaux de la boulangerie : acheteurs Click & Collect et abonnés flash (prénom, email, téléphone optionnel, historique d'achats).
Les données traitées n'appartiennent pas aux catégories spéciales visées à l'article 9 du RGPD (données de santé, origine raciale, opinions politiques, etc.).
Article 5 — Obligations de Neuraweb (sous-traitant)
5.1 Traitement sur instruction documentée
Neuraweb traite les données personnelles uniquement sur instruction documentée du Responsable du traitement, sauf obligation légale contraire. Si Neuraweb estime qu'une instruction viole le RGPD ou d'autres règles applicables, elle en informe immédiatement le Responsable par email à l'adresse de contact du compte.
5.2 Confidentialité
Neuraweb s'assure que les personnes autorisées à traiter les données personnelles sont soumises à une obligation contractuelle ou légale de confidentialité appropriée, et ne traitent les données qu'à des fins autorisées.
5.3 Mesures de sécurité (Article 32 RGPD)
Neuraweb met en œuvre et maintient les mesures techniques et organisationnelles suivantes :
- Chiffrement en transit : HTTPS/TLS 1.3 sur l'ensemble des connexions.
- Chiffrement au repos : données chiffrées dans Supabase (AWS eu-west-1 Irlande, AES-256).
- Authentification sans mot de passe : Magic Links à expiration 1 heure (zéro risque de compromission de mot de passe).
- Isolation multi-tenant : Row Level Security (RLS) PostgreSQL — chaque boulangerie ne peut accéder qu'à ses propres données au niveau base de données.
- Cloisonnement des clés API : la clé de service (service role) n'est jamais exposée côté client.
- Journaux d'audit complets : table
audit_logsenregistrant toute modification (qui, quoi, quand, IP). - Limitation de débit : protection anti-abus via Upstash Redis (compteurs éphémères ≤ 24h, sans données personnelles).
- En-têtes de sécurité HTTP : CSP, HSTS (2 ans), X-Frame-Options DENY, X-Content-Type-Options nosniff.
- Stockage sécurisé des médias : photos et logos dans Supabase Storage avec URLs signées à durée limitée.
5.4 Assistance pour l'exercice des droits
Dans la mesure du possible, Neuraweb aide le Responsable du traitement à s'acquitter de son obligation de donner suite aux demandes d'exercice des droits des personnes concernées (accès, rectification, effacement, portabilité, opposition) dans un délai d'un mois. Les demandes doivent être transmises à contact@sauvemie.fr.
5.5 Assistance pour la conformité
Neuraweb aide le Responsable du traitement à garantir le respect des obligations issues des articles 32 à 36 du RGPD (sécurité, notification de violations, analyse d'impact, consultation préalable), compte tenu de la nature du traitement et des informations à sa disposition.
5.6 Suppression ou restitution des données
À la résiliation du compte, Neuraweb :
- Rend disponible l'export complet des données (JSON / CSV) pendant 30 jours après la résiliation.
- Supprime définitivement toutes les données personnelles à l'expiration de ce délai, sauf obligation légale de conservation plus longue.
- Fournit une attestation de suppression sur demande.
5.7 Registre et audit
Neuraweb tient un registre des activités de traitement conformément à l'article 30(2) du RGPD. Elle met à disposition du Responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations du présent accord, et permet la réalisation d'audits ou d'inspections, y compris par un auditeur mandaté, moyennant un préavis raisonnable.
Article 6 — Sous-traitants ultérieurs
Le Responsable du traitement autorise Neuraweb à faire appel aux sous-traitants ultérieurs suivants. Neuraweb s'engage à leur imposer des obligations équivalentes à celles du présent accord et reste responsable de leurs actes :
| Sous-traitant | Rôle | Localisation des données | Garanties de transfert |
|---|---|---|---|
| Supabase Inc. | Base de données PostgreSQL, authentification, stockage de fichiers, temps réel | AWS eu-west-1 (Irlande — UE) | Aucun transfert hors EEE — Données traitées en Europe |
| Resend Inc. | Envoi d'emails transactionnels (Magic Links, confirmations de commande, invitations) | USA (San Francisco) | Clauses Contractuelles Types (CCT) |
| Stripe Inc. | Traitement des paiements, gestion des abonnements, portail client | USA (infrastructure AWS) | Clauses Contractuelles Types (CCT) / Data Privacy Framework |
| Vercel Inc. | Hébergement du frontend (Next.js), CDN global, CI/CD | Infrastructure mondiale (USA, EU) | Clauses Contractuelles Types (CCT) |
| Upstash Inc. | Limitation de débit (Redis éphémère) — aucune donnée personnelle | EU / USA | Clauses Contractuelles Types (CCT) |
| Zhipu AI / z.ai (GLM-4.5) | Génération de rapports IA (KPIs agrégés uniquement, aucune donnée personnelle) | International (Chine / Cloud) | Données anonymisées — pas de transfert de données personnelles |
| Open-Meteo | Données météorologiques pour prévisions de production | Suisse (équivalence UE) | Données anonymisées (géolocalisation seule) |
Neuraweb informera le Responsable du traitement de tout ajout ou remplacement de sous-traitant ultérieur avec un préavis d'au moins 30 jours, permettant au Responsable de s'y opposer. La mise à jour de cette liste sera publiée sur la présente page et notifiée par email.
Article 7 — Transferts internationaux de données
La majorité des données (Supabase) sont hébergées en Europe (Irlande, UE) et ne quittent donc pas l'Espace Économique Européen (EEE).
Certains sous-traitants ultérieurs sont établis hors de l'EEE. Ces transferts sont encadrés par :
- Clauses Contractuelles Types (CCT) adoptées par la Commission Européenne (décision 2021/914), qui constituent la garantie de transfert principale pour Resend, Stripe, Vercel, Upstash.
- Décision d'adéquation EU-US Data Privacy Framework (juillet 2023), applicable aux entités certifiées comme Stripe.
- Anonymisation préalable pour z.ai (Zhipu AI) : aucune donnée personnelle n'est transmise, uniquement des KPIs agrégés.
Article 8 — Durées de conservation
| Catégorie de données | Durée de conservation | Fondement |
|---|---|---|
| Compte boulangerie actif | Durée de l'abonnement | Exécution du contrat |
| Données de production et stocks | Abonnement + 3 ans | Obligations comptables (Art. L. 123-22 Code de commerce) |
| Commandes clients finaux | 3 ans après dernière activité | Prescription civile (Art. 2224 Code civil) |
| Données équipe (employés) | Durée de l'abonnement | Exécution du contrat |
| Journaux d'audit | Abonnement + 1 an | Sécurité et preuve en cas de litige |
| Tokens Magic Link | 1 heure (expiration automatique) | Sécurité |
| Compteurs anti-abus (Redis) | Maximum 24 heures | Éphémère — données techniques uniquement |
| Données post-résiliation (export) | 30 jours après résiliation | Portabilité (RGPD Art. 20) |
| Abonnements push (VAPID) | Durée du consentement | Consentement utilisateur (Art. 6.1(a)) |
Article 9 — Violations de données personnelles
9.1 Notification au Responsable du traitement
En cas de violation de données personnelles au sens de l'article 4(12) du RGPD, Neuraweb notifie le Responsable du traitement sans délai injustifié et, si possible, dans les 48 heures suivant la prise de connaissance de la violation, par email à l'adresse de contact du compte.
La notification comprend au minimum :
- La nature de la violation (catégories et volume de données concernées).
- Les coordonnées du point de contact de Neuraweb.
- Les conséquences probables de la violation.
- Les mesures prises ou proposées pour remédier à la violation.
9.2 Obligation de notification à la CNIL
Il appartient au Responsable du traitement de notifier la CNIL dans le délai légal de 72 heures (article 33 RGPD) si la violation est susceptible d'engendrer un risque pour les droits et libertés des personnes. Neuraweb fournit toute assistance nécessaire à cette fin.
Article 10 — Droits des personnes concernées
Les personnes concernées peuvent exercer leurs droits (accès, rectification, effacement, portabilité, opposition, limitation) auprès :
- Du Responsable du traitement (la boulangerie) pour les données relatives aux commandes et à leur profil client.
- De Neuraweb à l'adresse contact@sauvemie.fr pour les données liées au compte boulangerie et à l'utilisation de la plateforme.
Neuraweb s'engage à transmettre sans délai au Responsable du traitement toute demande reçue directement d'une personne concernée relative aux données dont le Responsable est maître.
Délai de réponse : 1 mois à compter de la réception de la demande, prorogeable de 2 mois pour les demandes complexes.
Article 11 — Obligations du Responsable du traitement
Le Responsable du traitement s'engage à :
- Fournir des instructions licites et conformes au RGPD.
- Informer les personnes concernées de l'utilisation de la plateforme Sauve Mie dans sa politique de confidentialité.
- Disposer d'une base légale valide pour chaque traitement qu'il confie à Neuraweb.
- Notifier Neuraweb de toute modification des instructions susceptible d'impacter les traitements.
- S'assurer que les données personnelles transmises à Neuraweb sont exactes et à jour.
Article 12 — Responsabilité
Chaque partie est responsable des violations du RGPD qui lui sont imputables. En cas de condamnation d'une partie à réparer un dommage imputable à la faute de l'autre partie, cette dernière devra indemniser la première à concurrence de la part du dommage lui incombant.
La responsabilité de Neuraweb en qualité de sous-traitant est limitée, dans les conditions prévues par les CGU, au montant des abonnements versés par le Responsable du traitement au cours des 12 derniers mois précédant le fait générateur, sauf faute intentionnelle ou grossière.
Article 13 — Droit applicable et juridiction
Le présent accord est régi par le droit français. En cas de litige, les parties s'efforceront de trouver une solution amiable. À défaut, le litige sera soumis aux tribunaux compétents dans le ressort du siège de Neuraweb (Haubourdin, Nord, France).
Toute réclamation auprès de l'autorité de contrôle peut être adressée à la CNIL (Commission Nationale de l'Informatique et des Libertés) — www.cnil.fr.
Article 14 — Modifications
Neuraweb se réserve le droit de modifier le présent accord pour refléter des évolutions légales, réglementaires ou opérationnelles. Toute modification substantielle sera notifiée par email avec un préavis d'au moins 30 jours avant son entrée en vigueur. La poursuite de l'utilisation du service vaut acceptation des nouvelles conditions.
Article 15 — Acceptation et signature électronique
En cochant la case « J'accepte les CGU, la Politique de confidentialité et le DPA » lors de votre inscription (essai gratuit de 14 jours ou souscription payante), le Responsable du traitement reconnaît avoir lu, compris et accepté le présent accord dans son intégralité, et déclare avoir l'autorité pour engager son organisation. Cette acceptation constitue une signature électronique au sens de l'article 1366 du Code civil français et de l'article 3(10) du Règlement eIDAS.
La date et l'horodatage de l'acceptation sont enregistrés dans les journaux d'audit sécurisés de Sauve Mie à des fins de preuve.
Annexe A — Registre des activités de traitement (sous-traitant)
Conformément à l'article 30(2) du RGPD, Neuraweb tient le registre suivant en qualité de sous-traitant :
| Traitement | Responsable(s) | Catégories de données | Sous-traitants ultérieurs | Transferts hors EEE |
|---|---|---|---|---|
| Authentification et gestion de sessions | Boulangers, employés | Email, tokens JWT, Magic Links | Supabase | Irlande (EEE) |
| Gestion du profil boulangerie | Boulangers | Nom, adresse, téléphone, horaires, SIRET, spécialités, logo | Supabase, Vercel | Irlande (Supabase) + Infrastructure mondiale (Vercel, CCT) |
| Commandes Click & Collect | Clients finaux | Prénom, email, téléphone, paniers, montants | Supabase, Resend | Irlande + USA (CCT pour Resend) |
| Notifications push flash | Clients finaux (opt-in) | Endpoint VAPID | Supabase | Irlande (EEE) |
| Rapports IA Levain | N/A (données agrégées) | KPIs anonymisés uniquement | z.ai / GLM-4.5 | Données anonymisées |
| Facturation et abonnements | Boulangers | Email, nom, adresse, stripe_customer_id | Stripe | USA (CCT / DPF) |
| Journaux d'audit | Boulangers, employés | user_id, IP, user-agent, action | Supabase | USA (CCT) |
| Limitation de débit | N/A | Compteurs anonymisés (max 24h) | Upstash Redis | EU/USA (CCT) |
Annexe B — Contact et réclamations
| Sujet | Contact |
|---|---|
| Exercice des droits RGPD | contact@sauvemie.fr |
| Notification de violation de données | contact@sauvemie.fr |
| Demande d'audit ou d'inspection | contact@sauvemie.fr |
| Réclamation auprès de l'autorité de contrôle | CNIL — www.cnil.fr/fr/plaintes |
| Adresse postale Neuraweb | Rue Sadi Carnot, 59320 Haubourdin, France |
Sauve Mie — Neuraweb
SIRET 99129604700020 · Haubourdin (59) · Version 15 avril 2026