Accord de traitement des données à caractère personnel

Le présent Accord de traitement des données (ci-après le « DPA ») est conclu au sens de l'article 28 du Règlement (UE) 2016/679 du 27 avril 2016 (ci-après le « RGPD »).

Il est conclu entre :

  • NEOCAMINO, SAS, dont le siège social est situé 22 rue Laure Diebold, 69009 LYON, ci-après le « Sous-traitant » ;
  • et le Client, tel qu'identifié dans les Conditions Générales de Prestations de Services (« CGPS »), ci-après le « Responsable de traitement ».

Le présent DPA complète les CGPS . En cas de contradiction relative à la protection des données à caractère personnel, le présent DPA prévaut.

 

1. Objet

Le présent DPA définit les conditions dans lesquelles le Sous-traitant traite, pour le compte du Responsable de traitement, les données à caractère personnel nécessaires à la fourniture des services de la plateforme Neocamino (CRM, Formulaires, Emailing, Réseaux sociaux, Prospection LinkedIn).

 

2. Description du traitement

  • Nature et finalité : hébergement, stockage, traitement et transmission des données saisies ou importées par le Client dans le cadre de son utilisation des services.
  • Durée : durée du Contrat, sous réserve des obligations légales de conservation.
  • Catégories de personnes concernées : contacts, prospects, clients, destinataires d'emails et abonnés gérés par le Responsable de traitement.
  • Catégories de données : identité (nom, prénom), coordonnées (email, téléphone, adresse), données professionnelles (société, fonction, URL LinkedIn), données de navigation et d'engagement (ouvertures, clics), ainsi que toute autre donnée saisie par le Client.
  • Données sensibles : aucune donnée sensible (article 9 du RGPD) n'est requise ; le Client s'interdit d'en traiter via la plateforme sans base légale appropriée.

 

3. Obligations du Sous-traitant

Le Sous-traitant s'engage à :

  1. ne traiter les données que sur instruction documentée du Responsable de traitement, le Contrat et l'utilisation des services valant instructions, sauf obligation légale ;
  2. garantir la confidentialité des données et n'en autoriser l'accès qu'aux membres du personnel habilités et soumis à une obligation de confidentialité ;
  3. mettre en œuvre les mesures techniques et organisationnelles appropriées (article 32 du RGPD) : chiffrement des données en transit (TLS), contrôle d'accès, sauvegardes, journalisation et cloisonnement des environnements ;
  4. respecter les conditions de recours aux sous-traitants ultérieurs prévues à l'article 6 ci-après ;
  5. aider le Responsable de traitement à répondre aux demandes d'exercice des droits des personnes concernées et à remplir ses obligations (articles 32 à 36 du RGPD) ;
  6. notifier au Responsable de traitement toute violation de données à caractère personnel dans les meilleurs délais, et au plus tard 48 heures après en avoir pris connaissance ;
  7. au terme du Contrat, supprimer ou restituer les données dans les conditions prévues à l'article 7 ;
  8. mettre à la disposition du Responsable de traitement les informations nécessaires pour démontrer sa conformité et permettre la réalisation d'audits.

 

4. Localisation des données et hébergement

Les données de la plateforme sont hébergées en France, dans les datacenters d'OVH à Roubaix. Les fichiers et images sont stockés sur Amazon S3 en Irlande (région UE) ; les emails des clients sont acheminés via Amazon SES en France (région UE, Paris).

 

5. Transferts hors Union européenne

Certains sous-traitants ultérieurs sont établis, ou susceptibles de traiter des données, hors de l'Union européenne (notamment aux États-Unis). Ces transferts sont encadrés par les Clauses Contractuelles Types (CCT / SCC) adoptées par la Commission européenne (décision d'exécution (UE) 2021/914), assorties le cas échéant de mesures supplémentaires. La liste des transferts figure à l'article 6.

 

6. Sous-traitants ultérieurs

Le Responsable de traitement autorise le recours aux sous-traitants ultérieurs listés ci-dessous. Le Sous-traitant informe le Responsable de traitement de tout ajout ou remplacement d'un sous-traitant ultérieur, afin de lui permettre d'émettre des objections.

Sous-traitant Finalité Localisation Garantie de transfert
OVH SASHébergement (serveurs, base de données)France (Roubaix)
Amazon Web Services (S3)Stockage des fichiers et imagesIrlande (UE)
Amazon Web Services (SES)Envoi des emails des clients (marketing et transactionnel)France (UE, Paris)
Postmark (ActiveCampaign)Envoi des notifications applicativesÉtats-UnisSCC
Google (Analytics)Mesure d'audience de l'applicationÉtats-UnisSCC
OpenAIGénération de contenu et enrichissement de contactsÉtats-UnisSCC
FullEnrichEnrichissement de contactsUnion européenne (DigitalOcean)
DataForSEOEnrichissement de contactsUnion européenne / hors UE (Azure, Google Cloud)SCC
SocieteInfoEnrichissement de données sociétéFrance / Union européenne
AuthorityLabsSuivi de positions SEOÉtats-UnisSCC
Sentry (sentry.io)Supervision des erreurs applicativesÉtats-UnisSCC
Google reCAPTCHAProtection contre les robotsÉtats-UnisSCC
Cloudflare (Turnstile)Protection contre les robotsÉtats-UnisSCC
ChargebeeFacturationÉtats-Unis / IndeSCC
SlackNotifications internesÉtats-UnisSCC

Intégrations à l'initiative du Client. Lorsque le Client connecte ses propres comptes tiers (LinkedIn, Meta / Facebook, X / Twitter, Google, HubSpot), les transferts vers ces services relèvent de sa responsabilité et sont régis par les conditions propres de ces plateformes. Ils ne constituent pas des sous-traitants ultérieurs de Neocamino.

 

7. Durée de conservation et sort des données après résiliation

Pendant toute la durée du Contrat, les données sont conservées pour la durée nécessaire à la fourniture des services.

À la résiliation du Contrat, le Responsable de traitement dispose d'un délai de 30 jours pour demander l'export et la restitution de ses données. À l'issue de ce délai, le Sous-traitant procède à leur suppression. Les données présentes dans les sauvegardes de la base de données sont purgées au fil de la rotation des sauvegardes, dans un délai maximum de 90 jours, sauf obligation légale de conservation.

 

8. Sécurité et notification des violations de données

Le Sous-traitant met en œuvre les mesures de sécurité visées à l'article 3 et notifie toute violation de données dans les conditions qui y sont prévues. Toute demande relative à la protection des données peut être adressée à : rgpd@neocamino.com.

 

9. Durée et prévalence

Le présent DPA prend effet à la signature du Contrat et demeure en vigueur pendant toute sa durée. En cas de contradiction avec les CGPS concernant la protection des données à caractère personnel, les stipulations du présent DPA prévalent.