Traitement des données : informations DPA
Version en vigueur au 12 juillet 2026 · Article 28 du RGPDArticle 1 : Rôles des parties
Responsable de traitement (l'Éditeur) :
Thibaud LESCROART, entrepreneur individuel (micro-entreprise)
Adresse : Bordeaux, France
SIRET : 992 830 141 00030 · Code APE : 6201Z
Régime TVA : franchise en base (art. 293 B du CGI)
Contact protection des données : recoltiq@gmail.com
Sous-traitant principal :
Google Ireland Ltd (services Firebase / Google Cloud)
Gordon House, Barrow Street, Dublin 4, Irlande (Union européenne)
Google traite les données pour le compte de l'Éditeur dans le cadre de la fourniture des services Firebase (il est sous-traitant au sens de l'art. 4.8 du RGPD), conformément aux conditions de traitement des données de Google Cloud / Firebase (Data Processing Amendment).
1.1 Double qualification des parties
Pour les données de compte (adresse e-mail, authentification, préférences), les données relatives à l'abonnement et les journaux techniques, l'Éditeur détermine les finalités et les moyens du traitement : il est responsable de traitement au sens de l'article 4.7 du RGPD.
Pour les données à caractère personnel relatives à des tiers que l'exploitant saisit ou importe dans l'application (identité et activité de salariés ou de chauffeurs, coordonnées de partenaires commerciaux, mentions figurant sur des documents importés), l'exploitant est seul responsable de traitement et l'Éditeur intervient exclusivement en qualité de sous-traitant, sur la base des instructions documentées que constituent le présent document, les conditions d'utilisation du Service et les paramétrages effectués par l'exploitant dans l'application.
L'exploitant garantit qu'il dispose d'une base légale appropriée pour traiter ces données, qu'il a informé les personnes concernées conformément aux articles 12 à 14 du RGPD et qu'il n'introduit dans le Service aucune donnée relevant de l'article 9 du RGPD ni aucune donnée dont le traitement serait illicite. L'Éditeur ne saurait être tenu responsable d'un manquement de l'exploitant à ces obligations.
Article 2 : Objet et nature du traitement
Dans le cadre du fonctionnement de l'application Recolt'IQ, des données à caractère personnel sont hébergées, stockées, traitées et restituées via l'infrastructure Google Firebase : authentification des comptes, stockage des données d'exploitation, traitements serveur, restitution des indicateurs.
2.1 Catégories de données traitées
- Identité du compte : adresse e-mail (et mot de passe haché).
- Données d'exploitation saisies par l'utilisateur : parcelles, cultures, récoltes, ventes, marges, coûts.
- Identifiants techniques : identifiant d'appareil, jetons de session, journaux de connexion.
Données non traitées : aucune donnée relevant des catégories particulières de l'article 9 du RGPD (origine ethnique, opinions politiques, religieuses, syndicales, santé, vie sexuelle, données biométriques ou génétiques). Aucune donnée de géolocalisation continue. L'Éditeur ne collecte ni ne conserve aucune donnée de carte bancaire : les paiements de l'abonnement Premium sont traités directement par les plateformes de distribution (Apple App Store, Google Play) ou par le prestataire de paiement utilisé pour la souscription en ligne, lesquels agissent en qualité de responsables de traitement autonomes pour les opérations de paiement, conformément à leurs propres politiques de confidentialité. L'Éditeur ne reçoit de ces prestataires que les informations strictement nécessaires à la gestion de l'abonnement (statut, type et période de l'abonnement), à l'exclusion de tout numéro de carte bancaire.
2.2 Catégories de personnes concernées
- Utilisateurs de l'application Recolt'IQ (céréaliers et professionnels agricoles).
- Tiers dont les données sont saisies ou importées par l'exploitant dans les conditions de l'article 1.1 (salariés, chauffeurs, associés, partenaires commerciaux).
2.3 Durée du traitement
Le traitement est effectué pour toute la durée d'utilisation du Service. À la suppression du compte, les modalités décrites à l'article 7 s'appliquent.
Article 3 : Garanties apportées par le sous-traitant (art. 28.3)
Au titre des conditions de traitement des données de Google Cloud / Firebase, le sous-traitant s'engage notamment à :
- ne traiter les données que sur instruction documentée du responsable de traitement ;
- garantir la confidentialité des personnes autorisées à traiter les données ;
- mettre en œuvre des mesures techniques et organisationnelles de sécurité appropriées (art. 32 RGPD) ;
- encadrer le recours à ses propres sous-traitants ultérieurs ;
- assister le responsable de traitement pour répondre aux demandes des personnes concernées et pour ses obligations de sécurité et de notification ;
- supprimer ou restituer les données en fin de prestation ;
- mettre à disposition les informations nécessaires pour démontrer le respect de l'article 28 et permettre des audits.
Article 3 bis : Engagements de l'Éditeur en qualité de sous-traitant
Lorsque l'Éditeur agit en qualité de sous-traitant de l'exploitant (article 1.1), il s'engage à :
- ne traiter les données concernées que pour fournir les fonctionnalités du Service, sur la base des instructions documentées de l'exploitant, constituées du présent document, des conditions d'utilisation du Service et des actions et paramétrages effectués par l'exploitant dans l'application ; toute instruction supplémentaire sortant de ce cadre doit faire l'objet d'un accord écrit préalable et peut donner lieu à une facturation raisonnable ;
- garantir que les personnes autorisées à accéder aux données sont soumises à une obligation de confidentialité appropriée ;
- mettre en œuvre les mesures techniques et organisationnelles décrites à l'article 4 ;
- compte tenu de la nature du traitement, aider l'exploitant à donner suite aux demandes d'exercice des droits des personnes concernées, par des mesures techniques appropriées (fonctions de consultation, de rectification, d'export et de suppression intégrées à l'application) ; toute demande d'assistance excédant ces fonctionnalités est traitée dans un délai raisonnable et peut donner lieu à une facturation raisonnable ;
- notifier à l'exploitant, dans les meilleurs délais après en avoir pris connaissance, toute violation de données à caractère personnel affectant les données traitées pour son compte, en lui fournissant les informations utiles à ses propres obligations au titre des articles 33 et 34 du RGPD ;
- aider l'exploitant, dans une mesure raisonnable et compte tenu des informations dont il dispose, à s'acquitter de ses obligations au titre des articles 32 à 36 du RGPD ;
- supprimer ou restituer les données en fin de contrat dans les conditions prévues à l'article 7 ;
- mettre à la disposition de l'exploitant les informations nécessaires pour démontrer le respect du présent article, selon les modalités d'audit prévues à l'article 3 ter.
L'Éditeur informe l'exploitant si, à son avis, une instruction constitue une violation du RGPD ou d'une autre disposition applicable en matière de protection des données.
Article 3 ter : Audits et vérifications
Compte tenu de la taille de l'Éditeur (entrepreneur individuel) et de la nature mutualisée du Service, le droit de vérification de l'exploitant s'exerce selon les modalités suivantes :
- en premier lieu, par la mise à disposition de la documentation pertinente : le présent document, la description des mesures de sécurité figurant à l'article 4 et les certifications et rapports d'audit des sous-traitants ultérieurs (l'infrastructure Google Cloud / Firebase fait notamment l'objet de certifications ISO 27001, ISO 27017 et ISO 27018 et de rapports SOC 1, SOC 2 et SOC 3, consultables dans la documentation publique de Google) ;
- en second lieu, par la réponse écrite de l'Éditeur à un questionnaire d'audit raisonnable, au maximum une (1) fois par période de douze (12) mois, moyennant un préavis écrit de trente (30) jours ;
- un audit sur site ne peut être demandé que s'il est exigé par une autorité de contrôle compétente ou si la documentation et le questionnaire se révèlent objectivement insuffisants ; il est alors réalisé aux frais de l'exploitant, pendant les heures ouvrées, moyennant un préavis écrit de trente (30) jours et sous engagement de confidentialité, sans accès aux données d'autres clients ni aux locaux des sous-traitants ultérieurs, la vérification de ces derniers s'exerçant exclusivement selon leurs mécanismes d'audit propres.
Les informations obtenues dans le cadre d'une vérification sont confidentielles et ne peuvent être utilisées qu'aux fins de contrôle de la conformité au présent document.
Article 4 : Mesures de sécurité (art. 32 RGPD)
- Chiffrement des données en transit (TLS) et au repos, fourni nativement par l'infrastructure Google Cloud / Firebase.
- Règles de sécurité Firestore et Cloud Storage : chaque utilisateur n'accède qu'à ses propres données, aucun accès croisé n'étant possible.
- Authentification gérée par Firebase Authentication (mots de passe hachés, jetons signés à durée limitée).
- Journalisation des accès et surveillance des anomalies.
- Sauvegardes et redondance assurées par l'infrastructure Google Cloud.
Article 5 : Sous-traitants ultérieurs et transferts hors UE
Les données de Recolt'IQ sont hébergées sur l'infrastructure Google Firebase en Union européenne. Google peut faire appel à ses propres sous-traitants ultérieurs (au sein du groupe Google) pour l'exploitation des services Firebase. Certaines opérations techniques de support ou de supervision peuvent impliquer un accès depuis des pays tiers.
Tout transfert éventuel de données hors Union européenne est encadré par les Clauses Contractuelles Types (CCT) adoptées par la Commission européenne dans sa décision d'exécution (UE) 2021/914 du 4 juin 2021, conformément à l'article 46 du RGPD, ainsi que par les mesures techniques complémentaires mises en œuvre par Google.
L'exploitant autorise de manière générale l'Éditeur à recourir aux sous-traitants ultérieurs listés en annexe du présent document. L'Éditeur informe les utilisateurs de tout ajout ou remplacement d'un sous-traitant ultérieur au moins trente (30) jours avant sa prise d'effet, par mise à jour de la présente page et, pour les changements substantiels, par notification dans l'application ou par courrier électronique. À défaut d'objection écrite et motivée adressée à recoltiq@gmail.com avant la date de prise d'effet, le changement est réputé accepté. En cas d'objection légitime fondée sur des motifs de protection des données, et si aucune solution raisonnable ne peut être proposée, l'exploitant peut résilier le Service et supprimer son compte sans frais ni pénalité : cette faculté de résiliation constitue son seul recours au titre de cette objection. L'Éditeur impose à tout sous-traitant ultérieur, par contrat, des obligations de protection des données équivalentes à celles prévues au présent document et demeure responsable envers l'exploitant de l'exécution par ces sous-traitants de leurs obligations.
Article 6 : Notification d'une violation de données
En cas de violation de données à caractère personnel au sens de l'article 4.12 du RGPD, l'Éditeur, informé par son sous-traitant, s'engage à :
- notifier la CNIL dans les 72 heures lorsque la violation est susceptible d'engendrer un risque pour les droits et libertés des personnes (art. 33 RGPD) ;
- informer les personnes concernées dans les meilleurs délais lorsque la violation est susceptible d'engendrer un risque élevé (art. 34 RGPD) ;
- mettre en œuvre les mesures nécessaires pour mettre fin à l'incident et en prévenir la récurrence.
Article 7 : Fin du traitement
Avant la suppression de son compte, l'exploitant peut exporter ses données via les fonctions d'export intégrées à l'application (documents PDF et fichiers Excel) ou demander à l'Éditeur une copie de ses données dans un format structuré et couramment utilisé, fournie dans un délai de trente (30) jours.
À la suppression du compte par l'utilisateur, ou en cas de cessation du Service :
- les données du compte et d'exploitation sont supprimées des systèmes actifs dans un délai maximum de trente (30) jours ; les copies de sauvegarde résiduelles sont écrasées selon les cycles normaux de rotation de l'infrastructure, sans excéder quatre-vingt-dix (90) jours supplémentaires, et ne font l'objet d'aucune restauration sauf obligation légale ;
- font exception les données soumises à une obligation légale de conservation, notamment les journaux de sécurité (conservés treize (13) mois au maximum) et les pièces justificatives comptables et fiscales relatives aux abonnements (conservées pendant les durées légales applicables) ;
- passé ces délais, l'Éditeur n'est plus en mesure de restaurer les données, ce que l'utilisateur reconnaît expressément ; il lui appartient d'exporter ses données avant la suppression de son compte ;
- en cas de cessation du Service, l'Éditeur informe les utilisateurs avec un préavis raisonnable, d'au moins trente (30) jours sauf cas de force majeure, décision d'un fournisseur d'infrastructure ou obligation légale, et leur permet de récupérer leurs données avant la fermeture ;
- sur demande écrite adressée à recoltiq@gmail.com, l'Éditeur confirme par écrit la suppression effective des données.
Article 8 : Droits des personnes concernées
Les utilisateurs disposent d'un droit d'accès, de rectification, d'effacement, de limitation, d'opposition et de portabilité sur leurs données. Ces droits s'exercent directement auprès de l'Éditeur à recoltiq@gmail.com ou, pour l'effacement, via la suppression du compte dans l'application. Le détail de ces droits figure dans la politique de confidentialité.
Article 8 bis : Répartition des responsabilités et limites
Conformément à l'article 82 du RGPD, l'Éditeur répond des dommages causés par un traitement lorsqu'il n'a pas respecté les obligations du RGPD incombant spécifiquement aux sous-traitants ou lorsqu'il a agi en dehors des instructions licites de l'exploitant ; l'exploitant répond des dommages résultant de ses propres manquements en qualité de responsable de traitement, notamment quant à la licéité des données qu'il saisit dans le Service et à l'information des personnes concernées.
L'attention des utilisateurs est en outre appelée sur les points suivants :
- Compte de démonstration : le compte de démonstration public est accessible à tout visiteur ; les données qui y sont saisies ne bénéficient d'aucune confidentialité et peuvent être consultées, modifiées ou supprimées par des tiers à tout moment. Il ne doit y être saisi aucune donnée réelle ni aucune donnée à caractère personnel.
- Mode hors-ligne : les données consultables sans connexion sont conservées localement sur l'appareil de l'utilisateur, sous sa garde exclusive ; il lui appartient de protéger l'accès à son appareil (code de verrouillage, chiffrement du terminal, mises à jour du système).
- Partages avec des tiers autorisés : lorsque l'exploitant partage l'accès à certaines données avec des chauffeurs, salariés ou exploitants rattachés, il le fait sous sa propre responsabilité de responsable de traitement ; l'Éditeur fournit les mécanismes techniques de restriction d'accès décrits à l'article 4.
- Assistant IA : les réponses de l'assistant sont fournies à titre indicatif ; il est recommandé de ne pas soumettre à l'assistant de données à caractère personnel relatives à des tiers.
Article 9 : Droit applicable
Le présent document est régi par le droit français et le RGPD. Tout litige relatif à son interprétation relève, à défaut de résolution amiable préalable, de la compétence des tribunaux du ressort de Bordeaux.
Annexe : Liste des sous-traitants
| Sous-traitant | Rôle | Localisation | Encadrement juridique |
|---|---|---|---|
| Google Ireland Ltd (Firebase Authentication) | Authentification des comptes | Union européenne | RGPD applicable directement, conditions de traitement Google Cloud / Firebase, CCT pour transfert éventuel |
| Google Ireland Ltd (Cloud Firestore) | Base de données (données d'exploitation) | Union européenne | RGPD applicable directement, conditions de traitement Google Cloud / Firebase, CCT pour transfert éventuel |
| Google Ireland Ltd (Cloud Storage) | Stockage de fichiers | Union européenne | RGPD applicable directement, conditions de traitement Google Cloud / Firebase, CCT pour transfert éventuel |
| Google Ireland Ltd (Cloud Functions) | Traitements serveur | Union européenne | RGPD applicable directement, conditions de traitement Google Cloud / Firebase, CCT pour transfert éventuel |
| Google Ireland Ltd (Firebase Hosting) | Hébergement du site recolt-iq.fr | Union européenne | RGPD applicable directement, conditions de traitement Google Cloud / Firebase, CCT pour transfert éventuel |
| Groq, Inc. (assistant IA) | Génération des réponses de l'assistant intégré à l'application : les messages envoyés à l'assistant sont transmis au fournisseur aux seules fins de production de la réponse | États-Unis | Clauses Contractuelles Types (décision d'exécution (UE) 2021/914) et conditions de traitement des données du fournisseur |
| Apple Distribution International Ltd (service APNs) | Acheminement des notifications push sur les appareils iOS (jeton d'appareil uniquement) | Irlande, avec transferts possibles vers les États-Unis | RGPD, engagements contractuels d'Apple, CCT pour les transferts éventuels |
| Google LLC (Firebase Cloud Messaging) | Acheminement des notifications push sur les appareils Android et web (jeton d'appareil uniquement) | Union européenne et États-Unis | Conditions de traitement Google Cloud / Firebase, CCT, certification EU-US Data Privacy Framework |
Le fournisseur de l'assistant IA peut être remplacé par un fournisseur offrant des garanties équivalentes (notamment Google Gemini, Anthropic Claude ou OpenRouter) ; la présente annexe est alors mise à jour dans les conditions prévues à l'article 5. L'assistant est conçu pour répondre à des questions relatives à l'utilisation de l'application : il est recommandé de ne pas y saisir de données à caractère personnel relatives à des tiers.