Politique de confidentialité

Ce document consolidé décrit comment BackToMe collecte, utilise, conserve et protège les données personnelles, conformément au Règlement (UE) 2016/679 (RGPD) et à la loi Informatique et Libertés. Il intègre la politique de confidentialité (Partie I), les mesures techniques de sécurité au sens de l'article 32 RGPD (Partie II), la liste des sous-traitants ultérieurs (Partie III) et l'Accord de sous-traitance / DPA conclu avec les Clients professionnels (Partie IV).

Sommaire

Partie I — Politique de confidentialité (information RGPD)
Partie II — Mesures de sécurité (article 32 RGPD)
Partie III — Sous-traitants ultérieurs (article 28.4 RGPD)
Partie IV — Accord de sous-traitance (DPA, article 28 RGPD)

Partie I — Politique de confidentialité

1. Responsable du traitement

Le responsable du traitement des données personnelles collectées sur backtome.fr et via le service BackToMe est :

BTM BACKTOME, SASU au capital de 1 000 €
17 rue Jean Philippe Rameau, 70400 Héricourt, France
SIREN 990 637 233 — RCS Vesoul
Représentée par Anis Mokadym, président

2. Contact pour vos droits (DPO)

Pour toute question relative à vos données personnelles ou pour exercer vos droits, vous pouvez écrire à :

Email : contact@backtome.fr
Courrier : BTM BACKTOME — Demande RGPD, 17 rue Jean Philippe Rameau, 70400 Héricourt, France

Une réponse vous sera apportée dans un délai d'un (1) mois, prorogeable de deux (2) mois en cas de demande complexe (article 12 RGPD).

3. Données que nous collectons

3.1. Marchands utilisant le service (Clients)

Lors de la création d'un compte, de la souscription et de l'utilisation du service, nous collectons :

Données d'identification : email, prénom, nom, mot de passe (stocké sous forme de hash) ;
Données professionnelles (optionnelles) : nom de l'entreprise, téléphone, site web ;
Données de paiement : identifiant client Stripe, statut de l'abonnement, plan choisi ; les informations de carte bancaire sont collectées et conservées exclusivement par notre prestataire Stripe, BackToMe n'y a jamais accès ;
Données techniques : adresse IP de connexion, journaux d'activité, identifiants de session.

3.2. Consommateurs soumettant une demande de rétractation

Lorsqu'un consommateur soumet une demande via le widget installé sur le site d'un Client, nous collectons en qualité de sous-traitant du Client les données suivantes :

prénom et nom ;
adresse email ;
numéro de commande / référence (selon le paramétrage du Client) ;
date et heure de soumission ;
adresse IP et user-agent du navigateur (à des fins de preuve et de lutte contre la fraude — purgés après 90 jours).

Le Client (le marchand) est responsable de traitement pour ces données ; BackToMe les héberge et les traite pour son compte dans les conditions définies par l'Accord de sous-traitance (Partie IV) conforme à l'article 28 du RGPD, qui s'ajoute aux CGU et aux CGV.

3.3. Visiteurs du site backtome.fr

Notre site n'utilise aucun cookie de tracking ni outil d'analyse tiers (pas de Google Analytics, Meta Pixel, etc.). Seuls les cookies strictement nécessaires au fonctionnement du service (session, préférences) sont posés.

4. Finalités et bases légales

Finalité	Base légale (RGPD Art. 6)
Création et gestion du compte client	Exécution du contrat (6.1.b)
Facturation et encaissement des paiements	Exécution du contrat (6.1.b) + obligation légale (6.1.c)
Hébergement des rétractations consommateurs	Sous-traitance — base légale du marchand (obligation légale L.221-21 conso)
Conservation des preuves de rétractation	Obligation légale (L.110-4 Code de commerce — 5 ans)
Sécurité du service, lutte contre la fraude	Intérêt légitime (6.1.f)
Envoi d'emails transactionnels (rappels, alertes)	Exécution du contrat (6.1.b)
Statistiques internes anonymisées	Intérêt légitime (6.1.f)

5. Durées de conservation

Catégorie	Durée de conservation
Compte client actif (profil, paramètres)	Pendant toute la durée d'abonnement + 30 jours (soft-delete) après suppression demandée
Compte client inactif	Notification de suppression après 36 mois sans connexion, puis suppression effective sous 30 jours en l'absence de réponse
Rétractations consommateurs (mode réel)	5 ans à compter de la date de soumission (Art. L.110-4 Code de commerce), puis suppression définitive
Rétractations en mode démonstration	90 jours puis suppression
Adresses IP et user-agents (rétractations)	90 jours, puis anonymisation automatique
Factures et données comptables	10 ans (Art. L.123-22 Code de commerce)
Logs techniques et journaux d'activité	30 jours (logs courants), 12 mois (logs de sécurité)
Journal d'audit (suppressions, exports)	2 ans
Tokens de réinitialisation de mot de passe	24 heures
Tokens d'invitation	7 jours

6. Cookies

Le site backtome.fr utilise uniquement des cookies strictement nécessaires au fonctionnement du service :

cookies de session (Supabase Auth) : maintien de votre connexion au tableau de bord, durée 1 heure renouvelable ;
cookies de préférence : conservation de réglages d'interface, durée 1 an.

Aucun cookie tiers de mesure d'audience, de publicité ou de tracking n'est posé. Le widget de rétractation intégré sur les sites des Clients ne pose aucun cookie.

7. Vos droits

Conformément au RGPD, vous disposez des droits suivants sur vos données personnelles :

Droit d'accès (Art. 15) — obtenir la confirmation que des données vous concernant sont traitées et en recevoir une copie.
Droit de rectification (Art. 16) — corriger des données inexactes ou incomplètes.
Droit à l'effacement (Art. 17) — demander la suppression de vos données, sous réserve de nos obligations légales de conservation (notamment pour les rétractations conservées 5 ans à titre de preuve).
Droit à la limitation (Art. 18) — demander la suspension du traitement dans certains cas.
Droit à la portabilité (Art. 20) — recevoir vos données dans un format structuré et lisible par machine, ou demander leur transfert à un tiers.
Droit d'opposition (Art. 21) — vous opposer à un traitement fondé sur l'intérêt légitime.
Droit de définir des directives post-mortem (article 85 de la loi Informatique et Libertés).
Droit de retirer votre consentement à tout moment (Art. 7) lorsqu'un traitement repose sur celui-ci.

Pour exercer ces droits : contact@backtome.fr. Nous pourrons vous demander une preuve d'identité en cas de doute raisonnable. Nos services sont conçus pour permettre l'exercice direct de la plupart de ces droits depuis le tableau de bord (édition du profil, export CSV, suppression du compte avec window de récupération de 30 jours).

8. Cas particulier des rétractations consommateurs

Lorsqu'un consommateur soumet une rétractation via le widget, le marchand (Client de BackToMe) est responsable de traitement au sens du RGPD ; BackToMe agit en qualité de sous-traitant.

Si vous êtes un consommateur souhaitant exercer vos droits (accès, suppression de votre rétractation lorsque celle-ci n'est plus nécessaire à des fins de preuve, etc.), vous pouvez :

contacter directement le marchand auprès duquel vous avez soumis la demande (l'accusé de réception que vous avez reçu mentionne ses coordonnées) ;
ou nous contacter à contact@backtome.fr en précisant le marchand concerné et votre numéro de référence ; nous transmettrons votre demande au marchand ou y donnerons suite si la base légale le permet.

Les rétractations sont conservées pendant 5 ans à compter de leur soumission, à titre de preuve légale (Art. L.110-4 Code de commerce). Au-delà, elles sont définitivement supprimées.

9. Recours auprès de la CNIL

Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :

en ligne sur www.cnil.fr/fr/plaintes ;
par courrier : 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07.

Partie II — Mesures de sécurité

Cette partie consolide les mesures techniques et organisationnelles mises en œuvre par BackToMe au titre de l'article 32 RGPD. Elle vaut engagement contractuel au titre de la Partie IV (DPA, article 13).

10. Architecture et hébergement

BackToMe est une application entièrement hébergée dans l'Union européenne pour le stockage des données :

Base de données et authentification : Supabase, infrastructure physique à Paris (France). Toute la donnée de comptes, sites et rétractations y réside.
Frontend (rendu des pages) : Vercel, edge network mondial avec PoP UE prioritaires, protection DDoS au niveau plateforme.
Nom de domaine, zone DNS et email professionnel : OVH SAS, hébergement intégralement en France.

Aucun stockage de données client n'est effectué hors UE. Les transferts ponctuels vers des sous-traitants américains (Vercel, Resend) sont encadrés par le Data Privacy Framework et des clauses contractuelles types — détail en Partie III.

11. Chiffrement

En transit — toutes les communications avec BackToMe (tableau de bord, widget, API) sont chiffrées via TLS 1.2 minimum, avec configuration moderne (HSTS activé, suite cipher restreinte). Les pages sont notées A+ par les outils standards (SSL Labs, Mozilla Observatory).

Au repos — les données de la base PostgreSQL sont chiffrées AES-256 au niveau du stockage Supabase. Les sauvegardes héritent du même niveau de chiffrement.

Mots de passe utilisateurs — hashés via bcrypt avec sel unique par utilisateur. Aucun mot de passe n'est stocké en clair, ni accessible par BackToMe à un quelconque moment. Une réinitialisation se fait toujours via lien email à usage unique.

12. Cloisonnement multi-tenant — Row-Level Security

BackToMe applique un cloisonnement strict des données entre clients via le mécanisme Row-Level Security (RLS) de PostgreSQL. Concrètement :

Chaque ligne de la base porte une référence à son propriétaire (compte, organisation).
Les politiques RLS sont évaluées par le moteur de base de données lui-même, à chaque requête, indépendamment du code applicatif.
Une faille du code applicatif ne peut pas faire fuiter les données d'un autre client : le moteur PostgreSQL bloquerait la requête.
Les invitations multi-utilisateurs respectent les rôles définis dans les CGU (propriétaire, administrateur, lecteur).

Toute table du schéma public de la base de données est créée avec la directive ENABLE ROW LEVEL SECURITYet au moins une politique d'accès. Les advisors de sécurité Supabase sont consultés lors de chaque évolution du schéma pour vérifier l'absence d'exposition involontaire.

13. Journal d'audit

Les actions sensibles affectant le cycle de vie des comptes, des sites et des accès partagés sont consignées dans un journal d'audit horodaté côté serveur, conservé vingt-quatre (24) mois :

suppression d'un site (soft-delete puis purge définitive à 30 jours) et restauration éventuelle ;
suppression d'un compte (soft-delete puis purge définitive à 30 jours) et restauration éventuelle ;
retrait d'un accès partagé sur un site, qu'il s'agisse d'une révocation par un administrateur ou d'un départ volontaire d'un membre ;
export CSV des rétractations d'un site (auteur, horodatage, périmètre exporté).

Les événements d'authentification (connexions, tentatives échouées, déconnexions, réinitialisations de mot de passe, changements d'email) sont consignés séparément dans le journal natif de l'hébergeur Supabase (auth.audit_log_entries), conservé selon la politique de l'hébergeur.

Sur demande motivée à contact@backtome.fr, le Client peut obtenir l'extrait d'audit qui le concerne.

14. Disponibilité et sauvegardes

BackToMe vise une disponibilité supérieure à 99 % sur l'année hors fenêtres de maintenance annoncées. En cas d'indisponibilité supérieure à 48 heures consécutives imputable directement à BackToMe, le Client peut demander un avoir au prorata des jours d'interruption (cf. CGV art. 11).

Sauvegardes — la base de données bénéficie des sauvegardes automatiques quotidiennes Supabase ainsi que d'une fonctionnalité de Point-in-Time Recoverypermettant un retour à toute seconde des sept (7) derniers jours, dans le cadre de l'abonnement Supabase souscrit par BackToMe.

15. Contrôle d'accès interne

L'accès aux systèmes de production est strictement limité :

Aucun accès direct à la base par défaut — seules les opérations applicatives (via API authentifiée) sont autorisées.
Les accès administrateurs sont protégés par authentification forte (2FA imposée sur les comptes Supabase, Vercel, GitHub, Stripe).
Les opérations sensibles (migrations de schéma, accès à des données nominales pour debug) sont tracées et conservées dans le journal d'audit fournisseur.
Application stricte du principe du moindre privilège.

16. Protection contre les abus

Rate-limiting applicatif par IP et par compte sur les endpoints sensibles (création de rétractation, login, reset password), avec compteurs persistés et purgés régulièrement, ainsi qu'un journal des dépassements ;
Protection DDoS au niveau plateforme (Vercel) sur l'ensemble du domaine ;
Validation stricte côté serveur de toutes les entrées utilisateur ;
Protection CSRF sur toutes les actions mutantes du tableau de bord, via les Server Actions Next.js ;
Headers de sécurité appliqués au niveau global : HSTS (deux ans, preload-ready), X-Content-Type-Options: nosniff, X-Frame-Options: SAMEORIGIN, Referrer-Policy: strict-origin-when-cross-origin, Permissions-Policy restrictive.

17. Cycle de développement sécurisé

Revues de code systématiques avec attention particulière aux failles classiques (OWASP Top 10).
Mises à jour régulières des dépendances, surveillance des CVE via Dependabot.
Tests d'intégration ciblés sur les chemins sensibles : authentification, RLS, paiements, journal d'audit.
Aucun secret en code source : clés API et JWT stockés exclusivement dans des variables d'environnement.

18. Signaler une vulnérabilité

Vous avez identifié un problème de sécurité ? Contactez-nous à contact@backtome.fr en indiquant « Sécurité — » en objet. Nous accusons réception sous 48 heures ouvrées.

Pour les signalements responsables (responsible disclosure) :

Ne tentez pas de récupérer, modifier ou supprimer des données qui ne vous appartiennent pas.
Donnez-nous un délai raisonnable pour corriger avant toute divulgation publique.
Ne lancez pas de tests destructifs (DoS, brute-force massif, ingénierie sociale du personnel).

En contrepartie, nous nous engageons à ne pas engager de poursuites contre les chercheurs respectant ces règles, à corriger rapidement les vulnérabilités confirmées et à créditer publiquement (si vous le souhaitez) les contributions significatives.

19. Notification de violation de données

En cas de violation de données susceptible d'engendrer un risque pour les droits et libertés des personnes concernées :

BackToMe notifiera les Clients concernés sous 72 heures à compter de la prise de connaissance, par email à l'adresse de contact renseignée ;
BackToMe notifiera la CNIL dans le délai prévu à l'article 33 RGPD ;
les personnes concernées sont informées sans délai si le risque est élevé (article 34 RGPD) ;
le détail de cette obligation au titre de la sous-traitance figure à la Partie IV, article 28.

Partie III — Sous-traitants ultérieurs

En sa qualité de sous-traitant du Client (cf. Partie IV), BackToMe est tenu, conformément à l'article 28.4 RGPD, de communiquer la liste des prestataires tiers auxquels il recourt pour exécuter le Service. Tous sont engagés contractuellement par des accords offrant des garanties équivalentes à celles de la Partie IV.

20. Liste à jour

Prestataire	Fonction	Localisation	Garanties de transfert
Supabase Inc.	Base de données PostgreSQL et authentification (cœur du stockage des comptes et rétractations)	UE — Paris, France	Hébergement physique en UE, DPA signé
Stripe Payments Europe Ltd	Paiements par carte bancaire, gestion des abonnements et facturation	Irlande (UE)	Entité européenne — DPA inclus dans les conditions Stripe
Vercel Inc.	Hébergement frontend (rendu des pages, edge network, protection DDoS au niveau plateforme)	États-Unis (PoP UE)	EU-US Data Privacy Framework + Clauses contractuelles types (CCT)
OVH SAS	Bureau d'enregistrement du nom de domaine, hébergement de la zone DNS faisant autorité, et hébergement des emails professionnels (boîtes `@backtome.fr`) — aucune donnée personnelle de Client n'y transite, hors logs DNS techniques et adresse email des correspondants entrants	UE — France	Hébergement intégralement en France. Certifications ISO/IEC 27001, 27017, 27018 et HDS
Resend, Inc.	Envoi des emails transactionnels : confirmations, accusés de réception aux consommateurs, notifications aux Clients pros, rappels de facturation	États-Unis	Clauses contractuelles types (CCT) + Transfer Impact Assessment
GitHub Inc.	Hébergement du code source (aucune donnée personnelle de Client n'y est stockée — code applicatif uniquement)	États-Unis	EU-US Data Privacy Framework + CCT

21. Procédure de modification

Lorsque BackToMe envisage d'ajouter ou de remplacer un sous-traitant ultérieur, il en informe les Clients pros par email à l'adresse de contact renseignée dans leur compte, avec un préavis raisonnable d'au moins trente (30) jours avant la mise en service effective.

Pendant ce délai, le Client peut formuler une objection motivée (incompatibilité avec sa politique interne, incertitude sur le pays de transfert, etc.) à contact@backtome.fr. Si l'objection est légitime et qu'aucune solution alternative ne peut être trouvée, le Client pourra résilier son abonnement sans frais, conformément à l'article 8 des CGV.

L'absence d'objection écrite passé le délai de 30 jours vaut acceptation tacite de la modification.

22. Transferts hors Union européenne

Pour les transferts hors UE listés ci-dessus, BackToMe s'assure de garanties appropriées au sens du chapitre V du RGPD : adhésion au cadre EU-US Data Privacy Framework (décision d'adéquation de la Commission européenne du 10 juillet 2023) lorsqu'applicable, à défaut recours aux clauses contractuelles types(Décision d'exécution UE 2021/914), assortis d'une évaluation du niveau de protection effectif (Transfer Impact Assessment).

Partie IV — Accord de sous-traitance (DPA)

La présente Partie IV constitue l'Accord de sous-traitance (DPA — Data Processing Agreement) conclu entre BackToMe et ses Clients professionnels, conforme à l'article 28 du Règlement (UE) 2016/679 (RGPD). Elle encadre le traitement par BackToMe des données personnelles dont le Client est responsable de traitement, et notamment les données collectées via le widget de rétractation installé sur son site.

23. Cadre et acceptation

La présente Partie IV constitue un avenant aux Conditions Générales de Vente et aux Conditions Générales d'Utilisation conclues entre :

BTM BACKTOME, SASU au capital de 1 000 €, RCS Vesoul 990 637 233, agissant en qualité de sous-traitant (ci-après « BackToMe ») ;
et le Client ayant souscrit au mode réel du Service, agissant en qualité de responsable de traitement (ci-après le « Responsable »).

L'acceptation des CGV par le Responsable lors de la souscription emporte acceptation pleine et entière de la présente Partie IV, sans qu'il soit nécessaire d'effectuer un acte de signature distinct (article 28.9 RGPD — forme électronique admise).

En cas de contradiction entre la présente Partie IV et les CGV ou les CGU, la Partie IV prévaut uniquement pour les questions relatives au traitement de données personnelles.

24. Définitions

Les termes en majuscules ont le sens qui leur est donné par l'article 4 du RGPD : « données à caractère personnel », « traitement », « responsable du traitement », « sous-traitant », « violation de données », « personne concernée », etc. Les termes propres au Service (Client, Compte, Site, Widget, Mode réel) ont le sens qui leur est donné par les CGU.

25. Objet du traitement

BackToMe traite, pour le compte du Responsable, les données personnelles transmises via le Service dans le cadre des finalités suivantes :

collecte et hébergement des demandes de rétractation soumises par les consommateurs finaux du Responsable via le Widget installé sur les sites du Responsable ;
archivage horodaté à valeur probante, conforme à l'article L.221-21 du Code de la consommation ;
envoi automatique d'accusés de réception sur support durable aux consommateurs ;
notifications email au Responsable à chaque demande reçue ;
mise à disposition du tableau de bord permettant au Responsable de consulter, exporter et gérer les rétractations.

26. Catégories de données et de personnes concernées

Le traitement porte exclusivement sur les catégories de données suivantes, transmises par les consommateurs ou clients finaux du Responsable exerçant ou ayant exercé leur droit de rétractation :

nom et prénom ;
adresse email ;
numéro de commande ou référence de produit (selon paramétrage du Responsable) ;
contenu textuel libre saisi par le consommateur (motif éventuel de rétractation) ;
adresse IP et user-agent du navigateur (à des fins de preuve et anti-fraude — anonymisés après 90 jours) ;
horodatage de la soumission.

Aucune donnée sensibleau sens de l'article 9 RGPD (santé, opinions, biométrie, etc.) n'est collectée par défaut. Le Responsable s'engage à ne pas configurer le Widget de manière à provoquer une telle collecte.

27. Durée du traitement

BackToMe traite les données pendant toute la durée d'abonnement du Responsable au mode réel. À l'issue de l'abonnement, les données sont conservées dans les conditions prévues à l'article 30 ci-dessous, dans la limite des obligations légales de conservation pesant sur le Responsable (notamment 5 ans pour les preuves commerciales, art. L.110-4 Code de commerce).

28. Obligations de BackToMe (sous-traitant)

28.1. Traitement sur instructions documentées

BackToMe ne traite les données que sur les instructions documentées du Responsable, lesquelles sont constituées de la présente Partie IV, des paramètres choisis par le Responsable dans son tableau de bord, des CGU et CGV, et de toute instruction écrite ultérieure adressée à contact@backtome.fr.

Si BackToMe estime qu'une instruction est contraire au RGPD, il en informera immédiatement le Responsable et pourra suspendre l'exécution jusqu'à clarification. Si BackToMe est tenu, en application du droit de l'Union ou d'un État membre, de procéder à un traitement non couvert par les instructions du Responsable, il en informera le Responsable avant traitement, sauf si ce droit l'interdit pour des motifs importants d'intérêt public.

28.2. Confidentialité du personnel

BackToMe veille à ce que les personnes autorisées à traiter les données s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité. L'accès aux données est strictement limité aux personnes dont les fonctions le justifient (principe du moindre privilège).

28.3. Mesures de sécurité

BackToMe met en œuvre les mesures techniques et organisationnelles appropriées au sens de l'article 32 RGPD pour assurer un niveau de sécurité adapté au risque. Ces mesures sont décrites en Partie II et valent engagement contractuel au titre de la présente Partie IV.

28.4. Sous-traitants ultérieurs

Le Responsable autorise expressément BackToMe à recourir à des sous-traitants ultérieurs pour l'exécution du Service. La liste à jour faisant foi figure à la Partie III. BackToMe impose à chacun de ses sous-traitants ultérieurs, par contrat, des obligations de protection des données équivalentesà celles de la présente Partie IV (art. 28.4 RGPD). La procédure d'information préalable et d'objection est décrite à l'article 21 (Partie III).

28.5. Aide à l'exercice des droits des personnes

BackToMe met à disposition du Responsable, dans le tableau de bord, les outils nécessaires pour répondre aux demandes des personnes concernées (articles 15 à 22 RGPD) : recherche par email, export individuel ou en masse, suppression manuelle, journal d'audit. Si une demande est adressée directement à BackToMe par une personne concernée, BackToMe la transmettra au Responsable sans délai et l'assistera, dans la mesure du possible, à y donner suite.

28.6. Notification de violation de données

En cas de violation de données personnelles, BackToMe notifiera le Responsable dans les meilleurs délais et, en tout état de cause, dans les soixante-douze (72) heuressuivant la prise de connaissance de l'incident, par email à l'adresse de contact renseignée dans le compte. La notification précisera, dans la mesure des informations disponibles : la nature de la violation, les catégories et le volume approximatif de données et de personnes concernées, les conséquences probables, les mesures prises ou proposées, le point de contact de BackToMe pour le suivi. Voir aussi article 19 (Partie II).

28.7. Aide aux analyses d'impact (AIPD)

BackToMe assiste le Responsable, dans la mesure raisonnable et compte tenu des informations dont il dispose, pour la réalisation des analyses d'impact relatives à la protection des données (AIPD, art. 35 RGPD) et pour les éventuelles consultations préalables auprès de la CNIL (art. 36 RGPD).

29. Obligations du Responsable

Le Responsable :

est responsable de la licéité du traitement et notamment de l'information appropriée des consommateurs concernés (mentions d'information art. 13 RGPD au sein de sa propre politique de confidentialité) ;
garantit que les paramètres qu'il configure dans le Widget (champs collectés, libellés, emails-types) sont conformes au RGPD et au droit applicable ;
est seul juge des suites à donner aux demandes de rétractation reçues, et en assure le traitement effectif (notamment le remboursement) auprès des consommateurs concernés ;
conserve les identifiants d'accès au tableau de bord en lieu sûr et notifie sans délai BackToMe en cas de soupçon de compromission.

30. Sort des données en fin de prestation

À la fin de la prestation (résiliation, non-renouvellement, expiration), le Responsable a accès pendant quatre-vingt-dix (90) joursà son tableau de bord en mode lecture, lui permettant d'exporter ses données au format CSV. Au-delà :

les rétractations soumises sont conservées pendant cinq (5) ans à compter de leur date de soumission, à des fins de preuve légale (Art. L.110-4 Code de commerce) — au bénéfice du Responsable ;
au terme de cette durée, les données sont supprimées définitivement ;
les éléments du compte (profil, paramètres, sites) sont supprimés sous 30 jours après la fin de la prestation, sauf demande contraire du Responsable.

Le Responsable peut, à tout moment durant la fenêtre de 90 jours, demander une suppression anticipée par email à contact@backtome.fr, sous réserve qu'aucune obligation légale de conservation pesant sur lui ne s'y oppose.

31. Audits

BackToMe met à la disposition du Responsable, sur demande raisonnable adressée à contact@backtome.fr, toutes les informations nécessaires pour démontrer le respect de la présente Partie IV (documentation technique, liste à jour des sous-traitants ultérieurs, rapports d'audit ou certifications éventuels — SOC 2, ISO 27001).

Le Responsable peut, à ses frais, conduire un audit annuel ou mandater un auditeur indépendant tenu au secret professionnel. La date, la portée et les modalités de l'audit sont arrêtées d'un commun accord, en respectant un préavis raisonnable et en évitant toute perturbation du Service. Le rapport d'audit ne peut être communiqué à des tiers sans accord écrit préalable de BackToMe.

32. Responsabilité

Chaque partie est responsable des conséquences d'un manquement aux obligations qui lui incombent en propre au titre du RGPD. Conformément à l'article 82 RGPD, BackToMe répond uniquement des dommages causés par un traitement effectué en méconnaissance des obligations qui lui sont propres en qualité de sous-traitant ou par non-respect des instructions licites du Responsable ; le Responsable répond des dommages résultant de ses propres choix de traitement, paramétrages, instructions, et de la licéité du traitement.

Le plafond de responsabilité prévu à l'article 12 des CGV (douze derniers mois de paiements) s'applique également à la présente Partie IV, sous réserve des dispositions impératives applicables aux dommages causés aux personnes concernées par une violation du RGPD.

33. Durée — modifications — droit applicable

La présente Partie IV prend effet à la date de souscription au mode réel et reste en vigueur tant que BackToMe traite des données personnelles pour le compte du Responsable, augmenté du temps nécessaire à l'exécution des opérations prévues à l'article 30.

BackToMe peut modifier la présente Partie IV pour la mettre en conformité avec l'évolution de la réglementation, des recommandations de la CNIL ou de l'EDPB, ou pour refléter une évolution du Service. Les modifications substantielles sont notifiées par email au moins trente (30) joursavant leur entrée en vigueur. La poursuite de l'utilisation du Service au-delà de cette date vaut acceptation. À défaut, le Responsable peut résilier sans frais conformément aux CGV.

La présente Partie IV est soumise au droit français et au droit de l'Union européenne. Les juridictions compétentes sont celles désignées à l'article 17 des CGV.

34. Contact

Toute question, demande ou notification au titre de la présente Partie IV doit être adressée à contact@backtome.fr, en mentionnant en objet « DPA — [nom du compte] ».

35. Modifications de la présente politique

Cette politique de confidentialité (toutes parties confondues) peut être mise à jour pour refléter les évolutions du service, de notre infrastructure ou de la réglementation. Toute modification substantielle sera notifiée aux Clients par email au moins quinze (15) jours avant son entrée en vigueur — ou trente (30) jours pour les modifications affectant la Partie IV (DPA). La date de dernière mise à jour figure en haut de cette page.