Accord de traitement des données à caractère personnel
Le présent Accord de traitement des données (ci-après le « DPA ») est conclu au sens de l'article 28 du Règlement (UE) 2016/679 du 27 avril 2016 (ci-après le « RGPD »).
Il est conclu entre :
Le présent DPA complète les CGPS . En cas de contradiction relative à la protection des données à caractère personnel, le présent DPA prévaut.
Le présent DPA définit les conditions dans lesquelles le Sous-traitant traite, pour le compte du Responsable de traitement, les données à caractère personnel nécessaires à la fourniture des services de la plateforme Neocamino (CRM, Formulaires, Emailing, Réseaux sociaux, Prospection LinkedIn).
Le Sous-traitant s'engage à :
Les données de la plateforme sont hébergées en France, dans les datacenters d'OVH à Roubaix. Les fichiers et images sont stockés sur Amazon S3 en Irlande (région UE) ; les emails des clients sont acheminés via Amazon SES en France (région UE, Paris).
Certains sous-traitants ultérieurs sont établis, ou susceptibles de traiter des données, hors de l'Union européenne (notamment aux États-Unis). Ces transferts sont encadrés par les Clauses Contractuelles Types (CCT / SCC) adoptées par la Commission européenne (décision d'exécution (UE) 2021/914), assorties le cas échéant de mesures supplémentaires. La liste des transferts figure à l'article 6.
Le Responsable de traitement autorise le recours aux sous-traitants ultérieurs listés ci-dessous. Le Sous-traitant informe le Responsable de traitement de tout ajout ou remplacement d'un sous-traitant ultérieur, afin de lui permettre d'émettre des objections.
| Sous-traitant | Finalité | Localisation | Garantie de transfert |
|---|---|---|---|
| OVH SAS | Hébergement (serveurs, base de données) | France (Roubaix) | — |
| Amazon Web Services (S3) | Stockage des fichiers et images | Irlande (UE) | — |
| Amazon Web Services (SES) | Envoi des emails des clients (marketing et transactionnel) | France (UE, Paris) | — |
| Postmark (ActiveCampaign) | Envoi des notifications applicatives | États-Unis | SCC |
| Google (Analytics) | Mesure d'audience de l'application | États-Unis | SCC |
| OpenAI | Génération de contenu et enrichissement de contacts | États-Unis | SCC |
| FullEnrich | Enrichissement de contacts | Union européenne (DigitalOcean) | — |
| DataForSEO | Enrichissement de contacts | Union européenne / hors UE (Azure, Google Cloud) | SCC |
| SocieteInfo | Enrichissement de données société | France / Union européenne | — |
| AuthorityLabs | Suivi de positions SEO | États-Unis | SCC |
| Sentry (sentry.io) | Supervision des erreurs applicatives | États-Unis | SCC |
| Google reCAPTCHA | Protection contre les robots | États-Unis | SCC |
| Cloudflare (Turnstile) | Protection contre les robots | États-Unis | SCC |
| Chargebee | Facturation | États-Unis / Inde | SCC |
| Slack | Notifications internes | États-Unis | SCC |
Intégrations à l'initiative du Client. Lorsque le Client connecte ses propres comptes tiers (LinkedIn, Meta / Facebook, X / Twitter, Google, HubSpot), les transferts vers ces services relèvent de sa responsabilité et sont régis par les conditions propres de ces plateformes. Ils ne constituent pas des sous-traitants ultérieurs de Neocamino.
Pendant toute la durée du Contrat, les données sont conservées pour la durée nécessaire à la fourniture des services.
À la résiliation du Contrat, le Responsable de traitement dispose d'un délai de 30 jours pour demander l'export et la restitution de ses données. À l'issue de ce délai, le Sous-traitant procède à leur suppression. Les données présentes dans les sauvegardes de la base de données sont purgées au fil de la rotation des sauvegardes, dans un délai maximum de 90 jours, sauf obligation légale de conservation.
Le Sous-traitant met en œuvre les mesures de sécurité visées à l'article 3 et notifie toute violation de données dans les conditions qui y sont prévues. Toute demande relative à la protection des données peut être adressée à : rgpd@neocamino.com.
Le présent DPA prend effet à la signature du Contrat et demeure en vigueur pendant toute sa durée. En cas de contradiction avec les CGPS concernant la protection des données à caractère personnel, les stipulations du présent DPA prévalent.