Accord de traitement des données personnelles (DPA)
Annexe contractuelle aux Conditions Générales de Vente Webeven
Date d’effet : à compter de la signature du devis et du paiement de l’acompte Version : 1.0 — 30 avril 2026 Référence CGV : article 11.2
1. Préambule et objet
1.1. Identification des Parties
Le présent Accord de traitement des données personnelles (ci-après « DPA ») est conclu entre :
- Webeven, entreprise individuelle exerçant sous le régime de la micro-entreprise, immatriculée au Répertoire SIRENE sous le numéro 791 574 379 00032, dont le siège social est situé 4 rue Paul Kullmann, 68400 Riedisheim, France, représentée par Monsieur Djamel KHIREDDINE en sa qualité d’exploitant, contact
contact@webeven.fr, ci-après dénommée « Webeven » ou « le Sous-Traitant » ou « ST »,
et
- toute personne physique ou morale ayant conclu un contrat de prestation de services avec Webeven en vue de la conception, de l’hébergement, du support ou de la maintenance d’un site web (ci-après le « Site »), ci-après dénommée « le Client » ou « le Responsable de Traitement » ou « RT ».
1.2. Contexte et objet
Dans le cadre du contrat principal régi par les Conditions Générales de Vente Webeven (ci-après « CGV »), le Sous-Traitant peut être amené à traiter des données personnelles pour le compte du Client, notamment via les fonctionnalités du Site embarquant la collecte ou le traitement de données (formulaires de contact, inscriptions newsletter, comptes utilisateurs, paniers ecommerce, espace client, etc.).
À ce titre, le Sous-Traitant agit en qualité de sous-traitant et le Client en qualité de responsable de traitement, au sens de l’article 28 du Règlement (UE) 2016/679 du 27 avril 2016 (ci-après « RGPD »).
Le présent DPA a pour objet de définir les conditions dans lesquelles le Sous-Traitant traite ces données pour le compte du Responsable de Traitement, conformément aux exigences de l’article 28.3 du RGPD et aux clauses contractuelles types adoptées par la Commission européenne (décision d’exécution UE 2021/914 du 4 juin 2021).
1.3. Articulation avec les CGV
Le présent DPA forme une annexe indissociable des CGV. En cas de contradiction entre les CGV et le présent DPA portant sur le traitement de données personnelles, les stipulations du présent DPA prévalent. Pour toute matière non spécifiquement traitée par le présent DPA, les CGV s’appliquent.
2. Définitions
Pour les besoins du présent DPA, les termes suivants ont la signification ci-dessous, conformément à l’article 4 du RGPD :
- Données personnelles : toute information se rapportant à une personne physique identifiée ou identifiable, traitée par le Sous-Traitant pour le compte du Responsable de Traitement dans le cadre du Site.
- Traitement : toute opération ou ensemble d’opérations effectuées sur des Données personnelles, automatisée ou non (collecte, enregistrement, conservation, consultation, transmission, effacement, etc.).
- Personne concernée : la personne physique identifiée ou identifiable à laquelle se rapportent les Données personnelles.
- Responsable de Traitement (ou « RT ») : le Client, qui détermine les finalités et les moyens du traitement.
- Sous-Traitant (ou « ST ») : Webeven, qui traite les Données personnelles pour le compte du Responsable de Traitement.
- Sous-sous-traitant : tiers auquel le Sous-Traitant fait appel pour exécuter tout ou partie des activités de traitement, dans les conditions de l’article 28.2 du RGPD.
- Violation de données personnelles : violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de Données personnelles transmises, conservées ou autrement traitées, ou l’accès non autorisé à de telles données (article 4.12 du RGPD).
- Instruction documentée : toute instruction écrite donnée par le Responsable de Traitement au Sous-Traitant, formalisée notamment dans le devis, le cahier des charges, le bon de commande, ou par échange email signé.
3. Description du traitement
Conformément à l’article 28.3 du RGPD, le présent article décrit les caractéristiques du traitement confié par le Responsable de Traitement au Sous-Traitant.
3.1. Nature et finalité du traitement
Le Sous-Traitant assure, pour le compte du Responsable de Traitement, les opérations techniques nécessaires à :
- la conception, le développement et le déploiement du Site ;
- l’hébergement du Site et de ses bases de données ;
- la maintenance corrective et évolutive du Site dans les limites de la garantie commerciale 3 mois (article 8 des CGV) et du service Webeven Care (article 7 des CGV) ;
- le support technique du Site ;
- la réversibilité des données en fin de contrat (article 14 des CGV).
La finalité du traitement est exclusivement l’exécution de la prestation contractuelle confiée au Sous-Traitant. Le Sous-Traitant ne traite les Données personnelles à aucune autre fin, notamment commerciale, statistique ou de réutilisation.
3.2. Catégories de personnes concernées
Selon le périmètre fonctionnel du Site livré, les Personnes concernées peuvent être :
- les visiteurs du Site ;
- les prospects soumettant un formulaire de contact ou une demande de devis ;
- les abonnés à la newsletter du Client ;
- les clients finaux du Client passant commande sur le Site (ecommerce) ;
- les utilisateurs authentifiés disposant d’un compte ou d’un espace client ;
- les collaborateurs et préposés du Client utilisant les interfaces administratives.
3.3. Catégories de Données personnelles traitées
Selon le périmètre fonctionnel du Site, les catégories de données peuvent comprendre :
- données d’identification : nom, prénom, civilité, identifiant utilisateur ;
- données de contact : email, téléphone, adresse postale ;
- données professionnelles : raison sociale, SIRET, fonction ;
- données de connexion et de navigation : adresses IP, journaux serveur, identifiants de session, user-agent, horodatage des requêtes ;
- données de commande (ecommerce) : produits commandés, montants, historique de commandes, adresse de livraison ;
- données d’authentification : empreintes (« hash ») des mots de passe, jetons de session ;
- contenus libres : messages de contact, contenus utilisateur publiés sur le Site.
Le Sous-Traitant ne traite aucune donnée sensible au sens de l’article 9 du RGPD (origines, opinions, santé, biométrie, orientation, etc.) sauf instruction documentée expresse et spécifique du Responsable de Traitement, qui demeure seul juge de la licéité d’un tel traitement et des mesures de protection renforcées à mettre en œuvre.
S’agissant des données de paiement : lorsque le Site intègre une solution de paiement en ligne, les données bancaires des Personnes concernées sont collectées et traitées directement par le prestataire de paiement (typiquement Stripe Payments Europe Ltd, certifié PCI-DSS), agissant en qualité de responsable de traitement distinct ou de sous-traitant désigné directement par le Responsable de Traitement. Le Sous-Traitant ne stocke à aucun moment de données de carte bancaire en clair sur son infrastructure.
3.4. Durée du traitement
Le traitement est effectué pendant toute la durée du contrat principal, comprenant :
- la phase de conception et développement ;
- la période de Webeven Care offerte (6 mois) à compter de la mise en production ;
- le cas échéant, la durée de souscription à l’abonnement Webeven Care payant (article 7.3 des CGV) ;
- la phase de réversibilité prévue à l’article 14 des CGV.
Au terme du contrat, le sort des Données personnelles est régi par l’article 4.8 ci-après.
4. Obligations du Sous-Traitant
4.1. Conformité aux instructions documentées (art. 28.3.a RGPD)
Le Sous-Traitant s’engage à ne traiter les Données personnelles que sur instruction documentée du Responsable de Traitement, y compris en ce qui concerne les transferts hors Union européenne, sauf obligation légale impérieuse à laquelle il serait soumis. En pareil cas, le Sous-Traitant en informe le Responsable de Traitement préalablement à tout traitement, sauf interdiction légale de cette information.
Constituent des instructions documentées au sens du présent DPA :
- le devis et le cahier des charges signés par le Responsable de Traitement ;
- les bons de commande et avenants signés ;
- les échanges email engageant le Responsable de Traitement (signature ou validation explicite) ;
- les tickets de support traités dans le cadre de Webeven Care.
Si le Sous-Traitant estime qu’une instruction du Responsable de Traitement constitue une violation du RGPD ou de toute autre disposition de droit applicable en matière de protection des données, il en informe immédiatement le Responsable de Traitement par écrit.
4.2. Confidentialité (art. 28.3.b RGPD)
Le Sous-Traitant garantit la confidentialité des Données personnelles traitées. À ce titre :
- l’exploitant unique du Sous-Traitant, Monsieur Djamel KHIREDDINE, est personnellement soumis à une obligation de confidentialité au titre du présent DPA et des CGV ;
- toute personne autorisée à traiter les Données personnelles pour le compte du Sous-Traitant (sous-sous-traitants, prestataires ponctuels) est soumise à une obligation contractuelle de confidentialité équivalente à celle du Sous-Traitant ;
- l’engagement de confidentialité survit à la fin du contrat principal, conformément à l’article 16 des CGV (3 ans après le terme du contrat).
4.3. Sécurité (art. 28.3.c renvoyant à l’art. 32 RGPD)
Le Sous-Traitant met en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, notamment :
Mesures techniques :
- chiffrement TLS 1.2 ou supérieur (HTTPS) sur l’ensemble des flux entrants et sortants du Site ;
- chiffrement « at rest » des bases de données et des sauvegardes lorsque la solution d’hébergement le permet ;
- sauvegardes régulières (hebdomadaires au minimum dans le cadre de Webeven Care) chiffrées et stockées sur une infrastructure distincte ;
- mises à jour de sécurité régulières des composants techniques sous-jacents (système, frameworks, bibliothèques, dépendances) dans le cadre de Webeven Care ;
- monitoring uptime et performance 24/7 ;
- journalisation des accès administratifs et alerting sur événements anormaux.
Mesures organisationnelles :
- principe du moindre privilège : seules les personnes habilitées disposent d’un accès aux environnements de production ;
- authentification forte (MFA) sur l’ensemble des consoles d’administration sensibles (Cloudflare, registrars, hébergeurs, comptes services) ;
- accès aux serveurs par clés SSH ou SSO uniquement, jamais par mot de passe simple ;
- gestion des secrets dans des coffres dédiés (variables d’environnement chiffrées, gestionnaires de secrets) — aucun secret en clair dans le code source ;
- politique de mots de passe forts (longueur minimale, caractères variés, rotation en cas d’incident) ;
- procédure documentée de gestion des violations (article 4.6 ci-après).
Le Sous-Traitant réévalue régulièrement la pertinence de ces mesures au regard de l’évolution des risques et de l’état de l’art, conformément à l’article 32.1 du RGPD.
4.4. Recours à un sous-sous-traitant (art. 28.2 et 28.4 RGPD)
4.4.1. Autorisation générale préalable
Le Responsable de Traitement autorise par avance, par la signature du présent DPA, le Sous-Traitant à recourir aux sous-sous-traitants listés à l’article 5 ci-après pour exécuter les activités de traitement décrites à l’article 3.
4.4.2. Obligations du Sous-Traitant à l’égard des sous-sous-traitants
Pour chaque sous-sous-traitant, le Sous-Traitant conclut un contrat écrit imposant les mêmes obligations de protection des données que celles fixées par le présent DPA, notamment en matière de mesures techniques et organisationnelles, de confidentialité, de notification de violation et d’assistance, conformément à l’article 28.4 du RGPD.
Le Sous-Traitant demeure pleinement responsable devant le Responsable de Traitement de l’exécution par le sous-sous-traitant de ses obligations.
4.4.3. Notification d’ajout ou de remplacement
En cas d’ajout ou de remplacement d’un sous-sous-traitant figurant à l’article 5, le Sous-Traitant informe le Responsable de Traitement par écrit (email à l’adresse de contact du Responsable de Traitement et publication actualisée du DPA sur webeven.fr/dpa) avec un préavis de 30 jours calendaires avant la mise en œuvre du changement.
Le Responsable de Traitement dispose d’un droit d’opposition motivé dans ce délai. En cas d’opposition motivée par des considérations légitimes liées à la protection des données, les Parties recherchent de bonne foi une solution alternative. À défaut d’accord, le Responsable de Traitement pourra résilier le contrat principal sans pénalité, dans les conditions de l’article 14 des CGV (réversibilité).
4.5. Assistance au respect des droits des Personnes concernées (art. 28.3.e RGPD)
Le Sous-Traitant assiste le Responsable de Traitement, par des mesures techniques et organisationnelles appropriées, dans le respect de son obligation de répondre aux demandes d’exercice des droits des Personnes concernées prévus aux articles 15 à 22 du RGPD :
- droit d’accès (art. 15) ;
- droit de rectification (art. 16) ;
- droit à l’effacement (art. 17) ;
- droit à la limitation (art. 18) ;
- droit à la portabilité (art. 20) ;
- droit d’opposition (art. 21) ;
- droits liés à la prise de décision automatisée (art. 22) le cas échéant.
À cette fin, sur demande écrite du Responsable de Traitement, le Sous-Traitant fournit dans les délais nécessaires au respect de l’article 12.3 du RGPD (un mois prorogeable de deux mois en cas de complexité) les extractions, modifications, suppressions ou exports requis.
L’assistance ordinaire (extractions standard, suppressions ciblées) est incluse dans les heures de support de Webeven Care. L’assistance exceptionnelle nécessitant un développement spécifique est facturée au tarif horaire de 89 € HT/heure prévu à l’article 7.4 des CGV, sur devis préalable accepté par le Responsable de Traitement.
4.6. Notification de violation de Données personnelles (art. 28.3.f renvoyant à l’art. 33 RGPD)
4.6.1. Délai de notification
En cas de Violation de Données personnelles affectant les Données traitées pour le compte du Responsable de Traitement, le Sous-Traitant notifie au Responsable de Traitement ladite violation dans les meilleurs délais et au plus tard 48 heures après en avoir pris connaissance, conformément à l’article 11.4 des CGV.
Cette notification permet au Responsable de Traitement de respecter son propre délai de notification de 72 heures à l’autorité de contrôle (CNIL) prévu à l’article 33.1 du RGPD.
4.6.2. Contenu de la notification
La notification du Sous-Traitant comporte au minimum, conformément à l’article 33.3 du RGPD :
- la nature de la Violation (catégories et nombre approximatif de Personnes concernées et d’enregistrements affectés) ;
- le nom et les coordonnées du point de contact auprès duquel des informations supplémentaires peuvent être obtenues (Djamel KHIREDDINE,
contact@webeven.fr) ; - les conséquences probables de la Violation ;
- les mesures prises ou que le Sous-Traitant propose de prendre pour remédier à la Violation et en limiter les conséquences.
Si l’ensemble de ces informations n’est pas disponible dans le délai de 48 heures, le Sous-Traitant transmet une notification initiale puis complète l’information de manière échelonnée sans retard injustifié, conformément à l’article 33.4 du RGPD.
4.7. Assistance à l’analyse d’impact et à la consultation préalable (art. 28.3.f renvoyant aux art. 35 et 36 RGPD)
Le Sous-Traitant assiste le Responsable de Traitement, sur demande écrite et motivée, dans la réalisation des analyses d’impact relatives à la protection des données (AIPD, article 35 du RGPD) et, le cas échéant, dans la consultation préalable de l’autorité de contrôle (article 36 du RGPD).
Cette assistance s’exerce dans la limite des informations à la disposition du Sous-Traitant, à un coût raisonnable facturé au tarif horaire de 89 € HT/heure prévu à l’article 7.4 des CGV, sur devis préalable accepté par le Responsable de Traitement.
4.8. Sort des Données personnelles en fin de contrat (art. 28.3.g RGPD)
À l’issue de la prestation, ou en cas de résiliation pour quelque cause que ce soit, le Responsable de Traitement choisit, par écrit (email suffisant), entre les deux options suivantes :
- (a) Restitution intégrale des Données personnelles dans un format ouvert et structuré (export base de données SQL, JSON, CSV, archive de fichiers), conformément à l’article 14 des CGV (réversibilité) ;
- (b) Suppression sécurisée de l’ensemble des Données personnelles présentes sur l’infrastructure du Sous-Traitant, à l’exclusion des copies de sauvegarde dont la suppression interviendra au terme de leur cycle de rotation (typiquement 30 jours suivant la fin effective du contrat).
Le Sous-Traitant exécute l’option choisie dans un délai maximum de 15 jours ouvrés suivant la fin du contrat, conformément à l’article 14.1 des CGV.
À défaut d’instruction du Responsable de Traitement dans les 30 jours suivant la fin du contrat, le Sous-Traitant procède à la restitution intégrale des données puis à leur suppression, sauf obligation légale de conservation.
Sur demande, le Sous-Traitant délivre au Responsable de Traitement un certificat de destruction attestant la suppression effective des Données.
4.9. Mise à disposition d’informations et droit d’audit (art. 28.3.h RGPD)
4.9.1. Mise à disposition d’informations
Le Sous-Traitant met à la disposition du Responsable de Traitement, sur simple demande écrite, toutes les informations nécessaires pour démontrer le respect des obligations prévues par le présent DPA et l’article 28 du RGPD, notamment :
- la liste actualisée des sous-sous-traitants (article 5) ;
- les politiques de sécurité documentées (mesures techniques et organisationnelles) ;
- les éventuelles certifications, attestations ou rapports d’audit obtenus par le Sous-Traitant ou ses sous-sous-traitants ;
- les rapports de conformité des principaux sous-sous-traitants (Cloudflare, Brevo, etc.).
4.9.2. Audit du Responsable de Traitement
Le Responsable de Traitement dispose d’un droit d’audit sur le Sous-Traitant, dans les conditions suivantes :
- audit réalisé par le Responsable de Traitement ou par un auditeur tiers indépendant mandaté par lui, soumis à une obligation de confidentialité ;
- préavis raisonnable de 30 jours calendaires ;
- audit limité à un audit par période de 12 mois, sauf en cas de Violation de Données suspectée ou avérée auquel cas l’audit peut intervenir sans délai ;
- périmètre limité aux éléments strictement nécessaires à la vérification du respect du présent DPA, à l’exclusion de toute information couverte par le secret des affaires concernant d’autres clients du Sous-Traitant ;
- frais d’audit à la charge du Responsable de Traitement, sauf si l’audit révèle un manquement substantiel du Sous-Traitant à ses obligations contractuelles auquel cas les frais seront supportés par le Sous-Traitant ;
- audit conduit pendant les heures ouvrées du Sous-Traitant et de manière à ne pas perturber excessivement son activité.
Le Sous-Traitant peut s’acquitter de son obligation d’audit en transmettant au Responsable de Traitement les certifications ou rapports d’audit indépendants existants couvrant le périmètre concerné (notamment ISO 27001, SOC 2 Type II des sous-sous-traitants tels que Cloudflare).
5. Sous-sous-traitants autorisés
Conformément à l’article 4.4, le Responsable de Traitement autorise les sous-sous-traitants suivants pour les activités de traitement décrites à l’article 3 :
| Sous-sous-traitant | Rôle / activité | Localisation des données | Encadrement des transferts hors UE | Référence DPA |
|---|---|---|---|---|
| Cloudflare, Inc. (101 Townsend Street, San Francisco, CA 94107, USA) | Hébergement (Cloudflare Pages), exécution de fonctions edge (Workers), stockage clé-valeur (KV), routage email entrant (Email Routing), protection anti-bot (Turnstile), gestion DNS, CDN | Réseau mondial, edge UE — siège US | Décision d’adéquation EU-US Data Privacy Framework (10/07/2023) + clauses contractuelles types UE 2021/914 | cloudflare.com/cloudflare-customer-dpa |
| Sendinblue SA (Brevo) (7 rue de Madrid, 75008 Paris, France) | Envoi d’emails transactionnels (accusés de réception, notifications du Site) | France (UE) | Sans objet (traitement intra-UE) | brevo.com/legal/dataprocessingagreement |
| o2switch SAS (222-224 boulevard Gustave Flaubert, 63000 Clermont-Ferrand, France) | Hébergement des boîtes email professionnelles configurées sur le nom de domaine du Responsable de Traitement (article 7.7 des CGV) | France (UE) | Sans objet (traitement intra-UE) | o2switch.fr/conditions-generales-vente/ |
| Anthropic PBC (548 Market Street PMB 90375, San Francisco, CA 94104, USA) | API d’intelligence artificielle utilisée pour les fonctionnalités d’assistance conversationnelle embarquées dans le Site (assistant FAQ, chatbot client). Aucune Donnée personnelle structurée n’est transmise au-delà du contenu libre des messages saisis par les utilisateurs ; absence de réutilisation des contenus pour l’entraînement de modèles. | Siège US, traitement US | Décision d’adéquation EU-US Data Privacy Framework + clauses contractuelles types UE 2021/914 | anthropic.com/legal/dpa |
| GitHub, Inc. (88 Colin P Kelly Jr Street, San Francisco, CA 94107, USA — filiale Microsoft Corp.) | Hébergement du dépôt de code source du Site (référentiel privé). Le code source ne contient aucune Donnée personnelle de production. | Siège US | Décision d’adéquation EU-US Data Privacy Framework + clauses contractuelles types UE 2021/914 | docs.github.com/site-policy/privacy-policies |
Cette liste est publiée et tenue à jour sur la page webeven.fr/dpa. Toute modification donne lieu à la notification prévue à l’article 4.4.3.
6. Durée et fin du DPA
6.1. Durée
Le présent DPA prend effet à la date de signature du devis par le Responsable de Traitement et le versement de l’acompte mentionné à l’article 3.4 des CGV. Il demeure en vigueur pendant toute la durée du contrat principal, y compris les périodes successives de Webeven Care offert puis payant le cas échéant.
6.2. Survie de certaines obligations
Nonobstant la fin du DPA, les obligations suivantes survivent au terme du contrat principal pour la durée nécessaire à leur mise en œuvre :
- les obligations de confidentialité (article 4.2) — pendant 3 ans à compter du terme, conformément à l’article 16 des CGV ;
- les obligations relatives au sort des Données (article 4.8) — jusqu’à exécution complète ;
- les obligations de réversibilité (article 4.8 et article 14 des CGV) — pendant 30 jours suivant la fin effective du contrat ;
- les obligations de notification d’une Violation de Données survenue pendant la période contractuelle mais découverte postérieurement (article 4.6).
6.3. Résiliation
La résiliation du contrat principal entraîne de plein droit la résiliation du présent DPA, sous réserve des obligations qui survivent en application de l’article 6.2 ci-dessus.
7. Limitation de responsabilité
7.1. Articulation avec l’article 12 des CGV
La responsabilité du Sous-Traitant au titre du présent DPA s’exerce dans les conditions et limites de l’article 12 des CGV (limitation de responsabilité), auquel les Parties se réfèrent expressément.
7.2. Article 82 du RGPD — préservation des droits des Personnes concernées
Conformément à l’article 12.3 des CGV, les limitations de responsabilité ne s’appliquent pas en cas de manquement à une obligation légale d’ordre public, et notamment en matière de Données personnelles. Le présent DPA ne porte pas atteinte aux droits des Personnes concernées au titre de l’article 82 du RGPD : chaque Partie demeure responsable, à l’égard des Personnes concernées et des autorités de contrôle, des dommages causés par ses propres manquements aux obligations du RGPD.
7.3. Recours et action récursoire
Conformément à l’article 82.5 du RGPD, lorsqu’une Partie a versé une réparation totale du dommage subi par une Personne concernée, elle est en droit de réclamer auprès de l’autre Partie la part correspondant à la responsabilité de cette dernière dans la survenance du dommage.
8. Droit applicable et juridiction
8.1. Droit applicable
Le présent DPA est soumis au droit français, à l’exclusion de toute autre législation, conformément à l’article 18.1 des CGV. Les dispositions impératives du RGPD et de la loi n° 78-17 du 6 janvier 1978 modifiée s’appliquent en tout état de cause.
8.2. Règlement amiable
Les Parties s’engagent à rechercher une solution amiable à tout différend relatif à l’interprétation ou à l’exécution du présent DPA, dans les conditions de l’article 18.2 des CGV.
8.3. Juridiction compétente
À défaut de résolution amiable, les juridictions compétentes sont celles désignées à l’article 18.4 des CGV, soit le Tribunal de commerce de Strasbourg pour les contrats avec un Client professionnel.
9. Acceptation du DPA
Le présent DPA constitue une annexe indissociable des CGV Webeven. La signature du devis Webeven, l’acceptation par email comportant la mention « bon pour accord » ou équivalent, ou le versement de l’acompte vaut acceptation sans réserve du présent DPA par le Responsable de Traitement.
Le Responsable de Traitement reconnaît que cette signature emporte également autorisation préalable du recours aux sous-sous-traitants listés à l’article 5, conformément à l’article 4.4.1.
10. Dispositions finales
10.1. Modification du DPA
Le Sous-Traitant se réserve la faculté de modifier le présent DPA pour l’adapter aux évolutions législatives, réglementaires ou techniques. Toute modification est notifiée au Responsable de Traitement par email avec un préavis de 30 jours calendaires et publiée sur webeven.fr/dpa. Le Responsable de Traitement dispose, en cas de désaccord substantiel avec une modification, du droit de résilier le contrat principal sans pénalité, dans les conditions de l’article 17 des CGV.
10.2. Nullité partielle
Si une stipulation du présent DPA est déclarée nulle ou inapplicable par une juridiction compétente, les autres stipulations demeurent pleinement en vigueur.
10.3. Documents associés
- Conditions Générales de Vente — contrat principal
- Politique de confidentialité — traitements Webeven en qualité de responsable
- Mentions légales — identification de l’éditeur
- Politique cookies
DPA Webeven — Version 1.0 — 30 avril 2026.
Pour toute question relative à la protection des données : contact@webeven.fr.