MercatoFirst

Dernière mise à jour : 20 avril 2026

Data Processing Agreement

Le présent Data Processing Agreement (le « DPA ») complète les conditions générales d'utilisation et encadre le traitement des données personnelles par MercatoFirst pour le compte de l'agence utilisatrice, conformément à l'article 28 du Règlement (UE) 2016/679 (RGPD).

1. Parties et qualifications

  • Responsable de traitement: l'agence utilisatrice (le « Client »), pour les données qu'elle saisit dans son espace CRM.
  • Sous-traitant: MercatoFirst (l'« Éditeur »), qui héberge et traite ces données strictement sur instruction documentée du Client.

Pour les données du catalogue d'athlètes et les données de compte/facturation, MercatoFirst agit en qualité de responsable de traitement autonome — ces traitements sont décrits dans la politique de confidentialité et sortent du périmètre du présent DPA.

2. Objet et durée

L'Éditeur traite les données personnelles contenues dans l'espace CRM du Client pour la seule finalité de fournir le Service souscrit, pendant toute la durée de l'abonnement et pour une durée complémentaire de trente (30) jours après la résiliation, permettant au Client d'exporter ses données.

3. Nature des données traitées

  • Catégories de personnes concernées : contacts professionnels saisis par le Client (joueurs, entourage, collaborateurs d'agence).
  • Catégories de données : données d'identification (nom, prénom), coordonnées (email, téléphone), données professionnelles (club, poste, statut de suivi), notes et commentaires libres saisis par le Client.
  • Aucune donnée relevant de catégories particulières (art. 9 RGPD) ne doit être saisie dans le Service. Le Client s'engage à s'en abstenir.

4. Sous-traitants ultérieurs

Le Client autorise l'Éditeur à recourir aux sous-traitants ultérieurs suivants, engagés à un niveau de protection équivalent :

  • Supabase — base de données et authentification (région Paris, UE).
  • Vercel — hébergement applicatif (régions UE prioritaires, transferts hors UE couverts par SCCs).
  • Stripe Payments Europe Ltd. — traitement des paiements (Irlande, transferts hors UE couverts par SCCs et Data Privacy Framework).
  • Resend — emails transactionnels (États-Unis, SCCs).
  • Google LLC — authentification OAuth optionnelle (SCCs et Data Privacy Framework).

Toute modification de cette liste sera notifiée au Client par email avec un préavis raisonnable lui permettant de s'y opposer.

5. Mesures techniques et organisationnelles

  • Chiffrement TLS 1.2+ des communications entre le client et le Service.
  • Chiffrement au repos des bases de données.
  • Isolation stricte des données de chaque Client par Row-Level Security au niveau base de données.
  • Accès aux environnements de production limité aux personnes dûment habilitées, avec authentification renforcée.
  • Sauvegardes régulières avec tests de restauration périodiques.
  • Journalisation des accès et opérations sensibles.

6. Droits des personnes concernées

L'Éditeur apporte son concours au Client pour répondre aux demandes d'exercice des droits (accès, rectification, effacement, portabilité, limitation, opposition) formulées par les personnes concernées, dans un délai raisonnable et à des conditions conformes à l'article 28 §3 e) du RGPD.

7. Notification de violation

En cas de violation de données personnelles au sens de l'article 4.12 du RGPD, l'Éditeur notifiera le Client sans délai injustifié et au plus tard dans les 72 heures suivant la prise de connaissance de l'incident, en fournissant les informations nécessaires à la déclaration éventuelle à la CNIL.

8. Audit

Le Client peut, à ses frais, au maximum une fois par an et avec un préavis raisonnable, demander à l'Éditeur la communication des éléments permettant de démontrer la conformité au présent DPA (politique de sécurité, rapports de sous-traitants, journaux pertinents), dans la limite du secret des affaires.

9. Fin du traitement

À l'issue du contrat et du délai de réactivation de 30 jours, l'Éditeur supprime l'ensemble des données du Client de ses systèmes de production, à l'exclusion des données soumises à une obligation légale de conservation (facturation, journaux d'audit).

10. Contact

Pour toute question relative au présent DPA ou pour solliciter un exemplaire signé : kostia@mercatofirst.com.