Data Processing Addendum, DPA

Dernière mise à jour : 2026

Pour les clients soumis au RGPD ou ayant des obligations contractuelles spécifiques en matière de protection des données, OKTee peut fournir un Accord de traitement des données, DPA.

Ce DPA précise les conditions dans lesquelles OKTee traite les données personnelles et certaines données opérationnelles pour le compte de ses clients, dans le cadre de la fourniture des services OKTee.

Dans ce cadre, le client agit généralement en qualité de responsable du traitement, et OKTee agit en qualité de sous-traitant, au sens de l’article 28 du RGPD.

Ce que couvre le DPA OKTee

Le DPA OKTee encadre notamment les traitements réalisés dans le cadre des modules OKTee Ops, OKTee Marketing, OKTee Logistique et des futurs modules Finance.

• Objet, durée et finalité des traitements réalisés par OKTee ;
• Catégories de données traitées dans le cadre des services OKTee ;
• Rôles et responsabilités respectifs du client et d’OKTee ;
• Mesures techniques et organisationnelles de sécurité ;
• Gestion des accès, authentification et contrôle des droits utilisateurs ;
• Traitement des données issues d’Amazon Vendor Central ou Seller Central lorsque le client a autorisé l’accès ;
• Traitement des données issues des systèmes clients, notamment ERP, API client ou catalogue produit ;
• Encadrement des sous-traitants techniques utilisés par OKTee ;
• Notification des incidents de sécurité ou violations de données personnelles lorsque nécessaire ;
• Assistance raisonnable au client pour répondre à ses obligations RGPD ;
• Procédure de suppression ou restitution des données en fin de contrat ;
• Droits d’audit dans des conditions raisonnables et encadrées contractuellement.

Données concernées

Selon les modules activés et les autorisations accordées par le client, OKTee peut traiter différentes catégories de données nécessaires au fonctionnement de la plateforme.

• Données d’identification professionnelle des utilisateurs autorisés ;
• Données de connexion, d’usage et de journalisation ;
• Données d’organisation et de paramétrage client ;
• Données catalogue et références produits ;
• Données de commandes, statuts de commandes et réponses aux commandes ;
• Données de stock, disponibilité, expédition et réception ;
• Données de prix, offre, Buy Box ou Featured Offer lorsque disponibles et autorisées ;
• Données Brand Analytics lorsque disponibles et autorisées ;
• Données financières, factures, paiements, déductions, écarts, shortages ou chargebacks lorsque les accès correspondants sont accordés ;
• Données ERP, API client ou données internes fournies par le client pour permettre le rapprochement avec les données Amazon.

Données Amazon

OKTee peut traiter certaines données issues d’Amazon SP-API uniquement lorsque le client a explicitement autorisé l’accès à son compte Amazon Vendor Central ou Seller Central.

Ces données sont utilisées uniquement pour fournir les services OKTee activés par le client : automatisation opérationnelle, suivi des commandes, analyse catalogue, analyse marketing, monitoring des pages produits, suivi logistique, rapprochement financier, alertes, tableaux de bord et journaux d’audit.

OKTee ne revend pas les données Amazon, ne les partage pas à des fins publicitaires et ne les utilise pas en dehors des services autorisés par le client.

Données issues des systèmes clients

OKTee peut également traiter des données complémentaires issues des systèmes autorisés du client.

À date, cela concerne principalement le catalogue produit du client, récupéré depuis l’ERP client via l’API OKTee ou via l’API du client. Ce catalogue permet de rapprocher les bons de commande Amazon avec les références internes du client, les règles de stock, les règles logistiques et les paramètres d’automatisation utilisés dans OKTee Command Center.

Pour les futurs modules Finance, OKTee pourra traiter d’autres données détenues par le client, notamment des données ERP, comptables, de facturation, de paiement, de déduction ou de rapprochement financier, uniquement lorsque le module concerné sera activé et autorisé par le client.

Sous-traitants

OKTee fait appel à certains sous-traitants techniques pour héberger, synchroniser, superviser, sécuriser et améliorer ses services.

Ces sous-traitants peuvent notamment intervenir pour l’hébergement, la base de données, les workers de synchronisation, l’orchestration de tâches, le monitoring applicatif, l’analyse IA assistée ou la collecte de signaux publics de pages produits.

La liste complète des sous-traitants est disponible sur la page Sous-traitants.

Transferts hors Union européenne

Certains sous-traitants ou services techniques peuvent impliquer des transferts de données hors de l’Union européenne.

Lorsque cela est nécessaire, OKTee veille à ce que ces transferts soient encadrés par des garanties appropriées, notamment les Clauses Contractuelles Types de la Commission Européenne ou tout autre mécanisme reconnu par la réglementation applicable.

Des clauses ou annexes spécifiques peuvent être intégrées au DPA lorsque la situation du client le nécessite, notamment pour les clients situés au Royaume-Uni ou en Suisse.

Mesures techniques et organisationnelles

OKTee applique des mesures techniques et organisationnelles destinées à protéger les données traitées, notamment :

• contrôle des accès par rôle ;
• accès limité aux utilisateurs autorisés ;
• séparation logique des données clients ;
• chiffrement des données en transit ;
• chiffrement des données sensibles au repos lorsque nécessaire ;
• stockage sécurisé des secrets, clés et tokens ;
• journalisation des actions importantes ;
• surveillance applicative et détection d’erreurs ;
• limitation des données transmises aux sous-traitants ;
• procédures de gestion des incidents ;
• révocation possible des accès Amazon par le client.

Les identifiants, secrets, tokens d’accès et clés techniques sont stockés de manière sécurisée et ne sont pas intégrés en dur dans le code applicatif.

Notification d’incident

En cas d’incident de sécurité affectant des données personnelles traitées pour le compte d’un client, OKTee informera le client dans les meilleurs délais après en avoir eu connaissance, conformément aux obligations prévues dans le DPA et la réglementation applicable.

Lorsque cela est applicable, OKTee fournira les informations raisonnablement disponibles pour aider le client à évaluer l’impact de l’incident et à respecter ses propres obligations réglementaires.

Suppression ou restitution des données

À la fin de la relation contractuelle, le client peut demander la suppression ou la restitution des données traitées par OKTee, dans les conditions prévues au contrat et au DPA.

Certaines données peuvent être conservées temporairement lorsque cela est nécessaire pour respecter une obligation légale, assurer la sécurité du service, gérer un litige, maintenir des journaux techniques ou finaliser une opération contractuelle en cours.

Comment obtenir le DPA OKTee

Pour obtenir le DPA OKTee, envoyez une demande à :

Merci de préciser :

• le nom de votre entité légale ;
• l’adresse de votre siège social ;
• le nom et l’adresse e-mail de votre contact juridique, RGPD ou DPO ;
• le cas échéant, les contraintes contractuelles spécifiques à votre organisation.

OKTee vous transmettra une version adaptée du DPA dans les meilleurs délais.

Déjà client ?

Si vous êtes déjà client OKTee, le DPA peut être annexé à votre contrat existant. Vous pouvez contacter votre interlocuteur OKTee habituel ou écrire directement à legal@oktee.io.

Contact

Voir aussi : Politique de confidentialité · Sous-traitants · Sécurité · Intégration Amazon