Accord de traitement des données

1. Rôles

Le Photographe est responsable de traitement. EventPics AI est sous-traitant au sens de l'article 28 RGPD. Les parties s'engagent à respecter les clauses-types de la CNIL et du Comité européen de la protection des données (CEPD).

2. Objet du traitement

• Catégories de personnes : invités d'un événement organisé par le client final du Photographe.
• Catégories de données : photos d'événement, selfies, gabarits biométriques (Art. 9 RGPD), email facultatif.
• Finalité : identifier et livrer à chaque invité les photos où il apparaît.
• Durée : selfies et gabarits supprimés à J+30 ; photos supprimées à J+90 après la date de l'événement.

3. Obligations d'EventPics AI

• Traiter les données uniquement sur instruction documentée du Photographe.
• Garantir la confidentialité (chiffrement TLS en transit, AES-256 au repos chez AWS, séparation des accès).
• Notifier le Photographe sans délai en cas de violation de données.
• Assister le Photographe pour répondre aux demandes des personnes concernées (accès, effacement, opposition).
• Supprimer ou restituer les données à la fin de la prestation, sauf obligation légale de conservation.

4. Sous-traitants ultérieurs

Le Photographe autorise le recours aux sous-traitants suivants, tous situés dans l'UE ou disposant de garanties équivalentes :

• Amazon Web Services EMEA SARL — stockage et reconnaissance faciale (UE)
• Supabase Inc. — base de données et authentification
• Vercel Inc. — hébergement
• Resend Inc. — envoi d'emails
• Inngest Inc. — orchestration de tâches

Toute modification de cette liste sera notifiée 30 jours à l'avance.

5. Localisation

Toutes les données sont hébergées dans l'Union européenne. Aucun transfert hors UE n'est effectué dans le cadre de ce contrat.

6. Audit

EventPics AI met à disposition les éléments nécessaires pour démontrer le respect des obligations RGPD, sur demande écrite et avec un préavis raisonnable.