Abstract27

Accord de traitement des données (DPA)

Dernière mise à jour : 2026-05-25

Cette traduction française est fournie pour votre confort. En cas de divergence, la version anglaise des présentes fait foi.

Le présent Accord de traitement des données (« DPA ») fait partie intégrante des Conditions d'utilisation conclues entre vous et Abstract 27 Ltd (société immatriculée sous le numéro 07504698), exerçant son activité sous le nom d'Abstract27. Il s'applique chaque fois que nous traitons des données à caractère personnel pour votre compte — généralement les données que votre publication collecte au sujet de ses membres et abonnés. Pour ces données, vous êtes le responsable du traitement et Abstract27 est le sous-traitant. Il est conclu en application de l'article 28 du RGPD du Royaume-Uni et du RGPD de l'Union européenne.

1. Champ d'application, nature et finalité

Nous traitons les données à caractère personnel uniquement pour fournir le Service d'hébergement : stockage et mise à disposition de votre site, envoi des newsletters que vous rédigez, et sauvegarde de vos données. L'objet du traitement est l'exploitation de votre site Ghost ; la durée est celle de votre abonnement ; les catégories de personnes concernées sont vos membres, vos abonnés et les visiteurs de votre site ; et les types de données à caractère personnel sont ceux que votre site collecte, généralement des noms et des adresses e-mail.

2. Nos obligations en tant que sous-traitant

  • Traiter les données à caractère personnel uniquement sur la base de vos instructions documentées, y compris celles données par l'intermédiaire du Service, sauf obligation légale d'agir autrement.
  • Veiller à ce que le personnel autorisé à traiter les données soit tenu à une obligation de confidentialité.
  • Mettre en œuvre des mesures de sécurité techniques et organisationnelles appropriées (voir la section 4).
  • Vous aider, compte tenu de la nature du traitement, à répondre aux demandes des personnes concernées et à respecter vos obligations en matière de sécurité, de notification des violations et d'analyses d'impact.

3. Sous-traitants ultérieurs

Vous nous autorisez à faire appel aux sous-traitants ultérieurs énumérés ci-dessous pour fournir le Service. Nous imposons à chacun d'eux des obligations en matière de protection des données qui ne sont pas moins protectrices que celles prévues par le présent DPA, et nous demeurons responsables de leur exécution.

  • Hetzner — hébergement et calcul (Allemagne)
  • Vultr — sauvegardes chiffrées (Pays-Bas)
  • Mailgun — e-mails transactionnels et de newsletter
  • Bunny — CDN et stockage des médias
  • Porkbun — enregistrement de noms de domaine
  • Creem.io — facturation (Merchant of Record)

Nous vous donnerons un préavis d'au moins 30 jours avant d'ajouter ou de remplacer un sous-traitant ultérieur. Si vous vous opposez raisonnablement à un changement pour des motifs liés à la protection des données, vous pouvez résilier le Service concerné.

4. Mesures de sécurité

Nous protégeons les données à caractère personnel au moyen de mesures adaptées au risque, notamment le chiffrement des données en transit (TLS) et des sauvegardes au repos, des contrôles d'accès et une administration selon le principe du moindre privilège, l'isolation réseau entre clients, et des sauvegardes quotidiennes régulières stockées dans l'UE. Nous limitons l'accès administratif à ce qui est nécessaire pour exploiter et assurer le support du Service.

5. Violations de données à caractère personnel

Nous vous informerons sans retard injustifié après avoir pris connaissance d'une violation de données à caractère personnel affectant vos données, et nous vous fournirons les informations dont vous avez raisonnablement besoin pour respecter vos propres obligations de notification.

6. Restitution et suppression

À la résiliation du Service, et après toute fenêtre d'export décrite dans nos Conditions, nous supprimerons les données à caractère personnel que nous traitons pour votre compte, sauf si nous sommes tenus par la loi de les conserver. Vous pouvez exporter vos données à tout moment pendant la durée du contrat.

7. Audits et transferts internationaux

Nous mettrons à disposition les informations raisonnablement nécessaires pour démontrer le respect du présent DPA. Les données à caractère personnel sont hébergées dans l'UE ; lorsqu'un sous-traitant ultérieur transfère des données en dehors du Royaume-Uni ou de l'EEE, nous nous appuyons sur des garanties appropriées telles que des décisions d'adéquation ou les clauses contractuelles types.

8. Contact

Pour toute question relative au présent DPA ou pour soulever une question de protection des données, contactez-nous via notre page de contact.