Traitement des données : informations DPA
Version en vigueur au 14 juin 2026 : Article 28 du RGPDArticle 1 : Rôles des parties
Responsable de traitement (l'Éditeur) :
Thibaud LESCROART, entrepreneur individuel (micro-entreprise)
Adresse : Bordeaux, France
SIRET : 992 830 141 00030 : Code APE : 6201Z
Régime TVA : franchise en base (art. 293 B du CGI)
Contact protection des données : recoltiq@gmail.com
Sous-traitant principal :
Google Ireland Ltd (services Firebase / Google Cloud)
Gordon House, Barrow Street, Dublin 4, Irlande : Union européenne
L'Éditeur détermine les finalités et les moyens du traitement (il est responsable de traitement au sens de l'art. 4.7 du RGPD). Google traite les données pour le compte de l'Éditeur dans le cadre de la fourniture des services Firebase (il est sous-traitant au sens de l'art. 4.8 du RGPD), conformément aux conditions de traitement des données de Google Cloud / Firebase (Data Processing Amendment).
Article 2 : Objet et nature du traitement
Dans le cadre du fonctionnement de l'application Recolt'IQ, des données à caractère personnel sont hébergées, stockées, traitées et restituées via l'infrastructure Google Firebase : authentification des comptes, stockage des données d'exploitation, traitements serveur, restitution des indicateurs.
2.1 Catégories de données traitées
- Identité du compte : adresse e-mail (et mot de passe haché).
- Données d'exploitation saisies par l'utilisateur : parcelles, cultures, récoltes, ventes, marges, coûts.
- Identifiants techniques : identifiant d'appareil, jetons de session, journaux de connexion.
Données non traitées : aucune donnée relevant des catégories particulières de l'article 9 RGPD (origine ethnique, opinions politiques, religieuses, syndicales, santé, vie sexuelle, données biométriques ou génétiques). Aucune donnée de géolocalisation continue. Aucune donnée bancaire : l'application est entièrement gratuite et ne comporte aucun paiement.
2.2 Catégories de personnes concernées
- Utilisateurs de l'application Recolt'IQ (céréaliers et professionnels agricoles).
2.3 Durée du traitement
Le traitement est effectué pour toute la durée d'utilisation du Service. À la suppression du compte, les modalités décrites à l'article 7 s'appliquent.
Article 3 : Garanties apportées par le sous-traitant (art. 28.3)
Au titre des conditions de traitement des données de Google Cloud / Firebase, le sous-traitant s'engage notamment à :
- ne traiter les données que sur instruction documentée du responsable de traitement ;
- garantir la confidentialité des personnes autorisées à traiter les données ;
- mettre en œuvre des mesures techniques et organisationnelles de sécurité appropriées (art. 32 RGPD) ;
- encadrer le recours à ses propres sous-traitants ultérieurs ;
- assister le responsable de traitement pour répondre aux demandes des personnes concernées et pour ses obligations de sécurité et de notification ;
- supprimer ou restituer les données en fin de prestation ;
- mettre à disposition les informations nécessaires pour démontrer le respect de l'article 28 et permettre des audits.
Article 4 : Mesures de sécurité (art. 32 RGPD)
- Chiffrement des données en transit (TLS) et au repos, fourni nativement par l'infrastructure Google Cloud / Firebase.
- Règles de sécurité Firestore et Cloud Storage : chaque utilisateur n'accède qu'à ses propres données, aucun accès croisé n'étant possible.
- Authentification gérée par Firebase Authentication (mots de passe hachés, jetons signés à durée limitée).
- Journalisation des accès et surveillance des anomalies.
- Sauvegardes et redondance assurées par l'infrastructure Google Cloud.
Article 5 : Sous-traitants ultérieurs et transferts hors UE
Les données de Recolt'IQ sont hébergées sur l'infrastructure Google Firebase en Union européenne. Google peut faire appel à ses propres sous-traitants ultérieurs (au sein du groupe Google) pour l'exploitation des services Firebase. Certaines opérations techniques de support ou de supervision peuvent impliquer un accès depuis des pays tiers.
Tout transfert éventuel de données hors Union européenne est encadré par les Clauses Contractuelles Types (CCT) adoptées par la Commission européenne dans sa décision d'exécution (UE) 2021/914 du 4 juin 2021, conformément à l'article 46 du RGPD, ainsi que par les mesures techniques complémentaires mises en œuvre par Google.
Article 6 : Notification d'une violation de données
En cas de violation de données à caractère personnel au sens de l'article 4.12 du RGPD, l'Éditeur, informé par son sous-traitant, s'engage à :
- notifier la CNIL dans les 72 heures lorsque la violation est susceptible d'engendrer un risque pour les droits et libertés des personnes (art. 33 RGPD) ;
- informer les personnes concernées dans les meilleurs délais lorsque la violation est susceptible d'engendrer un risque élevé (art. 34 RGPD) ;
- mettre en œuvre les mesures nécessaires pour mettre fin à l'incident et en prévenir la récurrence.
Article 7 : Fin du traitement
À la suppression du compte par l'utilisateur, ou en cas de cessation du Service :
- les données du compte et d'exploitation sont supprimées des systèmes dans un délai maximum de 30 jours, à l'exception des données soumises à une obligation légale de conservation (par exemple les journaux de sécurité, conservés 13 mois maximum) ;
- en cas de cessation du Service, l'Éditeur s'efforce d'informer les utilisateurs avec un préavis raisonnable et de leur permettre de récupérer leurs données avant la fermeture.
Article 8 : Droits des personnes concernées
Les utilisateurs disposent d'un droit d'accès, de rectification, d'effacement, de limitation, d'opposition et de portabilité sur leurs données. Ces droits s'exercent directement auprès de l'Éditeur à recoltiq@gmail.com ou, pour l'effacement, via la suppression du compte dans l'application. Le détail de ces droits figure dans la politique de confidentialité.
Article 9 : Droit applicable
Le présent document est régi par le droit français et le RGPD. Tout litige relatif à son interprétation relève, à défaut de résolution amiable préalable, de la compétence des tribunaux du ressort de Bordeaux.
Annexe : Liste des sous-traitants
| Sous-traitant | Rôle | Localisation | Encadrement juridique |
|---|---|---|---|
| Google Ireland Ltd (Firebase Authentication) | Authentification des comptes | Union européenne | RGPD applicable directement, conditions de traitement Google Cloud / Firebase, CCT pour transfert éventuel |
| Google Ireland Ltd (Cloud Firestore) | Base de données (données d'exploitation) | Union européenne | RGPD applicable directement, conditions de traitement Google Cloud / Firebase, CCT pour transfert éventuel |
| Google Ireland Ltd (Cloud Storage) | Stockage de fichiers | Union européenne | RGPD applicable directement, conditions de traitement Google Cloud / Firebase, CCT pour transfert éventuel |
| Google Ireland Ltd (Cloud Functions) | Traitements serveur | Union européenne | RGPD applicable directement, conditions de traitement Google Cloud / Firebase, CCT pour transfert éventuel |
| Google Ireland Ltd (Firebase Hosting) | Hébergement du site recolt-iq.fr | Union européenne | RGPD applicable directement, conditions de traitement Google Cloud / Firebase, CCT pour transfert éventuel |