Accord de traitement des données 

Date d’entrée en vigueur: 28/03/2026

Accord de traitement des données (ATD)

Le présent Accord de traitement des données (« ATD ») est conclu entre :

  • Responsable du traitement : L’entité Cliente identifiée dans les Conditions générales d’utilisation ou le Plan d’abonnement Bomdiu applicables (ci-après le « Responsable du traitement » ou « vous ») ; et
  • Sous-traitant : Bomdiu SINGLE MEMBER PC, société immatriculée en Grèce (GEMI : 190310106000, TVA : EL803131996), dont le siège social est situé au Geor. Gennimata 21, 555 35 Thessalonique, Grèce (ci-après le « Sous-traitant », « Bomdiu », « nous » ou « notre »).

Ensemble dénommés les « Parties ».

Le présent ATD complète et fait partie intégrante de l’accord entre les Parties relatif à la fourniture de la plateforme B2B Bomdiu pour le secteur agroalimentaire, tel que régi par les Conditions générales d’utilisation (le « Contrat »). En cas de conflit entre le présent ATD et le Contrat, le présent ATD prévaut en ce qui concerne les questions relatives à la protection des données.

1. Définitions

Les termes non définis dans le présent document ont la signification qui leur est attribuée dans le Contrat ou dans le Règlement (UE) 2016/679 (« RGPD »).

  • « Données à caractère personnel » : Toute information se rapportant à une personne physique identifiée ou identifiable qui est traitée par le Sous-traitant pour le compte du Responsable du traitement dans le cadre du Service.
  • « Traitement » : Toute opération ou ensemble d’opérations effectuées sur des Données à caractère personnel, tel que défini à l’art. 4, paragraphe 2, du RGPD.
  • « Sous-traitant ultérieur » : Tout tiers engagé par le Sous-traitant pour traiter des Données à caractère personnel pour le compte du Responsable du traitement.
  • « Violation de données » : Une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de Données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données.
  • « CCT » : Les Clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers, telles qu’adoptées par la Commission européenne.
  • « Législation applicable en matière de protection des données » : Le RGPD, la loi hellénique sur la protection des données (Law 4624/2019) et toute autre législation applicable de l’UE ou d’un État membre en matière de protection des données.

2. Portée et finalité du traitement

2.1. Objet

Le Sous-traitant traite des Données à caractère personnel pour le compte du Responsable du traitement afin de fournir la plateforme B2B Bomdiu pour le secteur agroalimentaire, incluant la gestion des commandes, la gestion des catalogues, la synchronisation des données, l’intelligence économique et le traitement de documents assisté par IA.

2.2. Durée

Le traitement se poursuit pendant toute la durée du Contrat. À la résiliation, les dispositions de la Section 11 du présent ATD s’appliquent.

2.3. Nature et finalité du traitement

Le Sous-traitant traite les Données à caractère personnel aux fins suivantes :

  • Hébergement et exploitation de la plateforme et de ses fonctionnalités
  • Facilitation des commandes et des communications entre Fournisseurs et Acheteurs
  • Synchronisation des données avec les Services connectés (par ex., systèmes ERP)
  • Extraction et organisation assistées par IA de données commerciales à partir de documents (factures, commandes, catalogues)
  • Fourniture de fonctionnalités d’analyse et d’intelligence économique
  • Envoi d’e-mails transactionnels (confirmations de commande, notifications)
  • Fourniture d’un support client

2.4. Types de données à caractère personnel

  • Coordonnées : noms, adresses e-mail, numéros de téléphone, adresses de livraison
  • Informations relatives aux employés/personnel : noms, intitulés de poste, rôles au sein de la plateforme
  • Données relatives aux commandes et aux transactions : historiques de commandes, messages de conversation entre Fournisseur et Acheteur
  • Identifiants techniques : adresses IP (traitées de manière transitoire), identifiants de compte (hachés)

2.5. Catégories de personnes concernées

  • Employés et prestataires du Responsable du traitement (Utilisateurs autorisés)
  • Personnes de contact des clients (Acheteurs) ou fournisseurs (Fournisseurs) du Responsable du traitement
  • Personnel de livraison et contacts logistiques

3. Obligations du Responsable du traitement

Le Responsable du traitement s’engage à :

  1. Veiller à ce que ses instructions relatives au traitement des Données à caractère personnel soient conformes à la Législation applicable en matière de protection des données.
  2. Avoir obtenu tous les consentements nécessaires ou établi une base juridique licite pour le traitement des Données à caractère personnel fournies au Sous-traitant.
  3. Informer le Sous-traitant sans retard injustifié de toute demande de personne concernée qu’il reçoit directement, dans la mesure où celle-ci concerne les activités de traitement du Sous-traitant.
  4. Être seul responsable de l’exactitude, de la qualité et de la licéité des Données à caractère personnel fournies au Sous-traitant.

4. Obligations du Sous-traitant

4.1. Instructions de traitement

Le Sous-traitant ne traite les Données à caractère personnel que sur la base d’instructions documentées du Responsable du traitement, y compris en ce qui concerne les transferts de Données à caractère personnel vers un pays tiers, à moins qu’il ne soit tenu d’y procéder en vertu du droit de l’Union ou du droit d’un État membre auquel le Sous-traitant est soumis. Dans un tel cas, le Sous-traitant informe le Responsable du traitement de cette obligation juridique avant le traitement, à moins que le droit concerné n’interdise une telle notification.

Les Parties conviennent que le Contrat (y compris le présent ATD) et l’utilisation du Service par le Responsable du traitement constituent les instructions documentées complètes et définitives du Responsable du traitement au Sous-traitant. Toute instruction supplémentaire ou alternative doit faire l’objet d’un accord séparé par écrit.

4.2. Confidentialité

Le Sous-traitant veille à ce que les personnes autorisées à traiter les Données à caractère personnel se soient engagées à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.

4.3. Mesures de sécurité

Le Sous-traitant met en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, y compris, selon le cas :

  • Le chiffrement des Données à caractère personnel en transit (SSL/TLS) et au repos
  • Des mesures visant à garantir la confidentialité, l’intégrité, la disponibilité et la résilience continues des systèmes et services de traitement
  • La capacité de rétablir la disponibilité des Données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique
  • Des contrôles d’accès stricts et des mécanismes d’authentification (accès basé sur les rôles)
  • Des audits et tests de sécurité réguliers
  • Des systèmes de sauvegarde avec stockage chiffré et un cycle de rétention maximal de 30 jours

Le Sous-traitant réexamine et met à jour régulièrement ces mesures afin de tenir compte de l’évolution des technologies, des menaces et de la nature des données traitées.

4.4. Assistance au Responsable du traitement

Le Sous-traitant, compte tenu de la nature du traitement et des informations dont il dispose, aide le Responsable du traitement, par des mesures techniques et organisationnelles appropriées, dans toute la mesure du possible, à s’acquitter de son obligation de donner suite aux demandes des personnes concernées en vertu du Chapitre III du RGPD (accès, rectification, effacement, limitation, portabilité et opposition).

Le Sous-traitant aide également le Responsable du traitement à assurer le respect de :

  • L’obligation de notification des violations de Données à caractère personnel (Articles 33 et 34 du RGPD)
  • Les analyses d’impact relatives à la protection des données (Article 35 du RGPD)
  • La consultation préalable de l’autorité de contrôle (Article 36 du RGPD)

Lorsqu’une telle assistance nécessite un effort significatif dépassant le fonctionnement standard du Service, le Sous-traitant peut facturer des frais raisonnables fondés sur ses coûts réels.

5. Sous-traitants ultérieurs

5.1. Autorisation générale

Le Responsable du traitement accorde par les présentes au Sous-traitant une autorisation écrite générale de recourir à des Sous-traitants ultérieurs pour exécuter des activités de traitement spécifiques pour le compte du Responsable du traitement. Le Sous-traitant veille à ce que chaque Sous-traitant ultérieur soit lié par des obligations en matière de protection des données au moins aussi protectrices que celles énoncées dans le présent ATD.

5.2. Sous-traitants ultérieurs actuels

Les Sous-traitants ultérieurs actuels du Sous-traitant à la date du présent ATD sont énumérés à l’Annexe B. Une liste à jour est également tenue dans la Politique de confidentialité.

5.3. Modifications relatives aux Sous-traitants ultérieurs

Le Sous-traitant informe le Responsable du traitement de toute modification envisagée concernant l’ajout ou le remplacement de Sous-traitants ultérieurs au moins trente (30) jours avant que le nouveau Sous-traitant ultérieur ne commence à traiter les Données à caractère personnel, donnant ainsi au Responsable du traitement la possibilité de s’opposer à ces modifications.

5.4. Droit d’opposition

Si le Responsable du traitement a une objection raisonnable et documentée à l’encontre d’un nouveau Sous-traitant ultérieur fondée sur des motifs de protection des données, le Responsable du traitement en informe le Sous-traitant par écrit dans un délai de quinze (15) jours à compter de la réception de la notification du Sous-traitant. Les Parties discutent de l’objection de bonne foi en vue de parvenir à une résolution commercialement raisonnable.

Si aucune résolution ne peut être trouvée dans un délai de trente (30) jours à compter de l’objection du Responsable du traitement, ce dernier peut résilier le Contrat (ou la partie concernée du Service) en adressant un préavis écrit, sans pénalité. Le Sous-traitant rembourse les frais prépayés correspondant à la partie non utilisée de la période d’abonnement suivant la date d’effet de la résiliation.

5.5. Responsabilité des Sous-traitants ultérieurs

Le Sous-traitant reste pleinement responsable envers le Responsable du traitement de l’exécution des obligations de chaque Sous-traitant ultérieur en vertu du présent ATD.

6. Transferts internationaux de données

6.1. Principe général

Le Sous-traitant ne transfère pas de Données à caractère personnel vers un pays situé en dehors de l’Espace économique européen (EEE), sauf si des garanties appropriées sont en place conformément au Chapitre V du RGPD.

6.2. Mécanismes de transfert

Lorsque des transferts en dehors de l’EEE sont nécessaires, le Sous-traitant s’appuie sur un ou plusieurs des mécanismes suivants :

  • Clauses contractuelles types de l’UE (CCT) : Le Sous-traitant a conclu des CCT (Décision d’exécution (UE) 2021/914 de la Commission) avec les Sous-traitants ultérieurs concernés.
  • Cadre de protection des données UE-États-Unis (DPF) : Pour les Sous-traitants ultérieurs basés aux États-Unis et certifiés au titre du DPF, le Sous-traitant peut s’appuyer sur le DPF comme mécanisme de transfert valide. Le Sous-traitant vérifie périodiquement le statut de certification de ces Sous-traitants ultérieurs.
  • Mesures supplémentaires : Lorsque requis par les évaluations d’impact des transferts (TIA), le Sous-traitant met en œuvre des garanties techniques ou organisationnelles supplémentaires, telles que le chiffrement en transit et au repos.

6.3. Évaluations d’impact des transferts

Le Sous-traitant effectue des évaluations d’impact des transferts pour les transferts de données vers des pays tiers et met des résumés à la disposition du Responsable du traitement sur demande raisonnable.

7. Notification de violation de données

7.1. Notification au Responsable du traitement

Le Sous-traitant notifie au Responsable du traitement, sans retard injustifié et en tout état de cause dans un délai de quarante-huit (48) heures, après avoir eu connaissance d’une Violation de données affectant les Données à caractère personnel traitées pour le compte du Responsable du traitement.

7.2. Contenu de la notification

La notification comprend, dans la mesure où ces informations sont connues au moment de la notification :

  1. Une description de la nature de la Violation de données, y compris les catégories et le nombre approximatif de personnes concernées et d’enregistrements de Données à caractère personnel concernés.
  2. Le nom et les coordonnées du point de contact du Sous-traitant pour obtenir des informations complémentaires.
  3. Une description des conséquences probables de la Violation de données.
  4. Une description des mesures prises ou proposées pour remédier à la Violation de données, y compris les mesures visant à en atténuer les éventuels effets négatifs.

S’il n’est pas possible de fournir toutes les informations en même temps, le Sous-traitant les fournit de manière échelonnée sans autre retard injustifié.

7.3. Coopération

Le Sous-traitant coopère avec le Responsable du traitement et prend des mesures commerciales raisonnables pour aider à l’investigation, à l’atténuation et à la remédiation de la Violation de données. Le Sous-traitant n’informe aucun tiers d’une Violation de données sans avoir préalablement consulté le Responsable du traitement, sauf obligation légale.

8. Audits et inspections

8.1. Droits d’audit

Le Sous-traitant met à la disposition du Responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues à l’Article 28 du RGPD et au présent ATD, et permet la réalisation d’audits, y compris d’inspections, menés par le Responsable du traitement ou un auditeur indépendant mandaté par le Responsable du traitement, et y contribue.

8.2. Procédures d’audit

Les audits sont soumis aux conditions suivantes :

  1. Le Responsable du traitement adresse un préavis écrit d’au moins trente (30) jours avant la réalisation d’un audit, sauf lorsqu’un audit est requis en raison d’une Violation de données ou d’une injonction d’une autorité de contrôle.
  2. Les audits sont réalisés pendant les heures normales de bureau et de manière à ne pas perturber de façon déraisonnable les activités du Sous-traitant.
  3. Le Responsable du traitement supporte les coûts de tout audit qu’il initie, sauf si l’audit révèle un manquement substantiel du Sous-traitant au présent ATD.
  4. Les audits ne peuvent excéder un (1) par année civile, sauf en cas de Violation de données ou si une autorité de contrôle ordonne ou demande un audit supplémentaire.
  5. L’auditeur (s’il s’agit d’un tiers) est tenu par des obligations de confidentialité acceptables pour le Sous-traitant.

8.3. Preuves alternatives

Le Sous-traitant peut satisfaire aux demandes d’audit en fournissant au Responsable du traitement des rapports d’audit de tiers pertinents, des certifications (par ex., SOC 2, ISO 27001) ou d’autres preuves de conformité, à condition que ces éléments répondent raisonnablement aux objectifs d’audit du Responsable du traitement.

9. Traitement assisté par IA

9.1. Portée

Le Sous-traitant utilise des technologies d’intelligence artificielle et d’apprentissage automatique dans le cadre du Service pour aider à l’extraction, à l’organisation et au traitement de données commerciales à partir de documents tels que des factures, des commandes et des catalogues.

9.2. Sous-traitants ultérieurs pour l’IA

Les Données à caractère personnel traitées par le biais des fonctionnalités d’IA peuvent être transmises aux Sous-traitants ultérieurs d’IA suivants (également énumérés à l’Annexe B) :

  • Cloudflare (Workers AI) : Pour l’inférence IA sur l’infrastructure de Cloudflare, y compris les modèles open source. Localisation des données : UE (principal), États-Unis. Mécanisme de transfert : DPF UE-États-Unis ; CCT.
  • Google (Vertex AI) : Pour l’inférence IA. Localisation des données : région UE. Mécanisme de transfert : CCT ; DPA Google.

9.3. Minimisation des données

Seules les données strictement nécessaires à la fourniture de la fonctionnalité d’IA concernée sont transmises aux Sous-traitants ultérieurs d’IA.

9.4. Absence d’entraînement de modèles

Les Données à caractère personnel traitées par le biais des fonctionnalités d’IA sont utilisées uniquement à des fins d’inférence et ne sont pas utilisées pour entraîner des modèles d’IA. Le Sous-traitant s’assure que ses Sous-traitants ultérieurs d’IA sont contractuellement interdits de conserver ou d’utiliser les Données à caractère personnel à des fins d’entraînement de modèles.

9.5. Contrôle humain

Les résultats générés par l’IA sont présentés pour examen et confirmation par un être humain avant toute action. Aucune décision automatisée ayant des effets juridiques ou des effets significatifs similaires n’est prise uniquement par l’IA sans examen humain.

10. Prise de décision automatisée

Le Sous-traitant ne procède pas à une prise de décision individuelle automatisée ni à un profilage produisant des effets juridiques concernant les personnes concernées ou les affectant de manière significative similaire, au sens de l’Article 22 du RGPD. Si cela venait à changer, le Sous-traitant en informera le Responsable du traitement et mettra à jour le présent ATD en conséquence.

11. Restitution et suppression des données

11.1. Exportation des données

À la résiliation ou à l’expiration du Contrat, le Responsable du traitement dispose d’un délai de quatre-vingt-dix (90) jours (« Fenêtre de récupération ») pour exporter ses Données à caractère personnel depuis le Service. Le Sous-traitant met les données à disposition pour l’exportation dans un format structuré, couramment utilisé et lisible par machine (par ex., CSV ou JSON via les fonctionnalités d’exportation de la plateforme ou l’API).

11.2. Suppression

À l’issue de la Fenêtre de récupération, le Sous-traitant supprime ou anonymise l’ensemble des Données à caractère personnel traitées pour le compte du Responsable du traitement, sauf si la conservation est requise par le droit de l’Union ou d’un État membre. Le Sous-traitant confirme la suppression par écrit à la demande du Responsable du traitement.

11.3. Conservation des sauvegardes

Les Données à caractère personnel peuvent subsister dans des sauvegardes chiffrées pendant une durée maximale de trente (30) jours suivant leur suppression des systèmes de production, conformément au calendrier de rotation des sauvegardes du Sous-traitant. Les données de sauvegarde ne font l’objet d’aucun traitement actif et ne sont restaurées que dans le cadre de scénarios de reprise après sinistre.

11.4. Conservation légale

Le Sous-traitant peut conserver des Données à caractère personnel limitées lorsque cela est nécessaire pour se conformer à des obligations légales (par ex., les documents fiscaux en vertu de la loi grecque 4987/2022, art. 36 : 5 ans, extensible à 10 ans pour les audits en cours), résoudre des litiges ou faire appliquer le Contrat. Dans la mesure du possible, ces données conservées seront isolées et soumises à des restrictions d’accès.

12. Responsabilité

La responsabilité des Parties au titre du présent ATD est soumise aux limitations et exclusions de responsabilité prévues dans le Contrat, sauf dans la mesure où la Législation applicable en matière de protection des données en dispose autrement.

13. Durée et modifications

13.1. Durée

Le présent ATD prend effet à la date à laquelle le Responsable du traitement accepte le Contrat et reste en vigueur aussi longtemps que le Sous-traitant traite des Données à caractère personnel pour le compte du Responsable du traitement.

13.2. Modifications

Le présent ATD peut être modifié par le Sous-traitant afin de refléter les évolutions de la Législation applicable en matière de protection des données ou des orientations des autorités de contrôle. Les modifications substantielles sont notifiées au Responsable du traitement au moins trente (30) jours à l’avance. La poursuite de l’utilisation du Service par le Responsable du traitement après l’entrée en vigueur de la modification vaut acceptation. Si le Responsable du traitement n’accepte pas la modification, il peut résilier le Contrat conformément à la Section 17 des Conditions générales d’utilisation.

14. Droit applicable et juridiction compétente

Le présent ATD est régi par le droit de la République hellénique (Grèce) et relève de la compétence exclusive des Tribunaux de Thessalonique, conformément au Contrat.

Annexe A — Description du traitement

ÉlémentDescription
ObjetTraitement de Données à caractère personnel pour fournir la plateforme B2B Bomdiu pour le secteur agroalimentaire
DuréeDurée du Contrat plus les périodes de conservation post-résiliation telles que décrites à la Section 11
Nature du traitementCollecte, conservation, organisation, extraction, consultation, utilisation, communication par transmission, rapprochement, interconnexion, limitation, effacement, destruction
FinalitéHébergement de la plateforme, facilitation des commandes, synchronisation des données, traitement de documents assisté par IA, analyses, communications transactionnelles, support client
Types de données à caractère personnelCoordonnées (nom, e-mail, téléphone, adresse), informations relatives aux employés (nom, intitulé de poste), données de commandes/transactions, messages de conversation, identifiants techniques (adresse IP, identifiants hachés)
Catégories de personnes concernéesEmployés et prestataires du Responsable du traitement, personnes de contact des clients/fournisseurs du Responsable du traitement, personnel de livraison/logistique

Annexe B — Sous-traitants ultérieurs autorisés

Les Sous-traitants ultérieurs suivants sont autorisés à la date de publication du présent ATD :

Sous-traitant ultérieurServiceDonnées traitéesLocalisation des donnéesMécanisme de transfert
CloudflareCDN, base de données (D1), hébergement (Workers/Pages), analyse web, inférence IA (Workers AI)Données techniques, données de compte, données opérationnellesUE (principal), États-UnisDPF UE-États-Unis ; CCT
PlanetScaleHébergement de base de donnéesDonnées de compte, données opérationnellesUECCT
UpCloudHébergement d’infrastructureDonnées de compte, données opérationnellesUEN/A (EEE uniquement)
Fly.ioHébergement de servicesDonnées de compte, données opérationnellesUEN/A (EEE uniquement)
ResendEnvoi d’e-mails transactionnelsCoordonnées (nom, e-mail), contenu des notificationsÉtats-UnisDPF UE-États-Unis ; CCT
PostHogAnalyse produit, enregistrement de session (EU Cloud)Événements d’analyse d’utilisation, données d’enregistrement de session (contenu et interactions affichés à l’écran, pouvant inclure des données personnelles selon le cas), identifiants internes d’organisation/clientUEN/A (EEE uniquement)
Google (Vertex AI)Inférence IA (traitement de documents)Contenu de documents (factures, commandes, catalogues) pouvant contenir des coordonnéesRégion UECCT ; DPA Google
Better AuthInfrastructure d’authentification (tableau de bord, protection contre les abus, journaux d’audit)Données de compte, événements d’authentification, événements de sécurité (adresses IP, empreintes numériques du navigateur, localisations de connexion), adresses e-mailÉtats-UnisCCT

Remarque : L’outil d’analyse Umami est auto-hébergé sur l’infrastructure propre de Bomdiu et ne constitue pas un Sous-traitant ultérieur.

Contact

Pour toute question relative au présent ATD, veuillez contacter :

Bomdiu SINGLE MEMBER PC GEMI : 190310106000 TVA : EL803131996 Geor. Gennimata 21 555 35 Thessalonique Grèce Téléphone : +30 231 176 8265 E-mail : privacy@bomdiu.com Site web : https://bomdiu.com