Accord de Traitement des Données (DPA)
Annexe RGPD à nos Conditions Générales de Vente
Le présent document est rédigé en français et en anglais. En cas de divergence d'interprétation, la version française fait foi.
Préambule.Préambule
Le présent Accord de Traitement des Données (« DPA ») fait partie intégrante des Conditions Générales de Vente (« CGV ») conclues entre POULZZ SUARL (le « Sous-traitant ») et l'Utilisateur (le « Responsable de traitement »).
Il a pour objet de définir les conditions dans lesquelles le Sous-traitant traite les Données à caractère personnel pour le compte du Responsable de traitement, dans le cadre de la fourniture du service SenWaAPI.
Le présent DPA est conforme à l'article 28 du Règlement (UE) 2016/679 (« RGPD »). Pour les transferts hors UE, il s'appuie sur les Clauses Contractuelles Types adoptées par la Commission européenne par décision 2021/914 du 4 juin 2021 (Module 2 : responsable à sous-traitant).
Acceptation : en cochant la case « J'accepte les CGV » lors de l'inscription, l'Utilisateur accepte également le présent DPA. Une version PDF imprimable est disponible via le bouton « Imprimer / PDF » en haut de cette page. Une version signée électroniquement peut être demandée à [email protected].
1.Définitions
Les termes « Données à caractère personnel », « Traitement », « Responsable de traitement », « Sous-traitant », « Personne concernée », « Violation de données » ont la signification qui leur est donnée à l'article 4 du RGPD.
2.Objet et durée du traitement
Le présent DPA s'applique pendant toute la durée de fourniture du service SenWaAPI au Responsable de traitement, telle que définie dans les CGV.
À la cessation du contrat (quelle qu'en soit la cause), les obligations du Sous-traitant relatives à la confidentialité, à la sécurité et à la suppression des données survivent jusqu'à exécution complète de ces obligations.
3.Instructions du Responsable de traitement
Le Sous-traitant ne traite les Données à caractère personnel que sur instruction documentée du Responsable de traitement. Constituent des instructions documentées :
- Les CGV et le présent DPA
- Les appels effectués par le Responsable via l'API ou le tableau de bord
- Les paramètres de configuration définis par le Responsable (webhooks, sessions, etc.)
- Toute instruction écrite ultérieure transmise à [email protected]
Si une instruction du Responsable de traitement enfreint, selon le Sous-traitant, le RGPD ou une autre disposition légale, le Sous-traitant en informe immédiatement le Responsable.
4.Confidentialité du personnel
Le Sous-traitant garantit que toutes les personnes autorisées à traiter les Données à caractère personnel sont soumises à une obligation de confidentialité contractuelle ou légale, et qu'elles n'accèdent aux Données qu'aux fins de l'exécution du contrat.
5.Sécurité du traitement
Le Sous-traitant met en œuvre les mesures techniques et organisationnelles appropriées décrites à l'Annexe II du présent DPA, afin de garantir un niveau de sécurité adapté au risque, conformément à l'article 32 du RGPD.
6.Recours à des sous-sous-traitants
Le Responsable de traitement autorise le Sous-traitant à recourir aux sous-sous-traitants listés à l'Annexe III du présent DPA pour la fourniture du Service.
En cas de changement (ajout ou remplacement) de sous-sous-traitant, le Sous-traitant en informe le Responsable au moins trente (30) jours avant la prise d'effet, par publication sur cette page DPA et notification par email aux Responsables ayant souscrit à un plan payant. Le Responsable peut s'opposer au changement pour des motifs raisonnables liés à la protection des données dans un délai de quinze (15) jours, auquel cas le Sous-traitant et le Responsable rechercheront une solution amiable, faute de quoi le Responsable pourra résilier le contrat sans pénalité.
Le Sous-traitant impose à ses sous-sous-traitants les mêmes obligations de protection des données que celles prévues au présent DPA, notamment via des accords écrits conformes à l'article 28(4) du RGPD.
7.Droits des personnes concernées
Compte tenu de la nature du traitement, le Sous-traitant aide le Responsable de traitement à répondre aux demandes d'exercice des droits des personnes concernées (accès, rectification, effacement, limitation, portabilité, opposition).
Si une personne concernée s'adresse directement au Sous-traitant pour exercer ses droits, le Sous-traitant la redirige vers le Responsable de traitement et informe ce dernier sans délai indu.
8.Assistance au Responsable de traitement
Le Sous-traitant assiste le Responsable de traitement, dans la mesure du possible et compte tenu de la nature du traitement, dans le respect des obligations suivantes :
- Analyse d'impact relative à la protection des données (AIPD/DPIA, art. 35 RGPD)
- Consultation préalable de l'autorité de contrôle (art. 36 RGPD)
- Notification de violations de données (art. 33-34 RGPD)
- Réponse aux demandes des personnes concernées (art. 12-22 RGPD)
9.Notification de violation de données
Le Sous-traitant notifie au Responsable de traitement toute Violation de Données à caractère personnel dans les soixante-douze (72) heures suivant sa connaissance, par email à l'adresse associée au Compte du Responsable.
La notification comprend a minima :
- La nature de la violation, les catégories et le nombre approximatif de personnes concernées
- Les catégories et le nombre approximatif d'enregistrements concernés
- Les conséquences probables de la violation
- Les mesures prises ou proposées pour remédier à la violation et atténuer ses effets
10.Transferts internationaux
Lorsque le Sous-traitant transfère des Données à caractère personnel vers un pays tiers ou une organisation internationale, il s'assure que ce transfert est encadré par :
- Une décision d'adéquation de la Commission européenne (notamment EU-US Data Privacy Framework pour les transferts vers des entités américaines certifiées) ; ou
- Les Clauses Contractuelles Types (SCCs) de la Commission européenne (décision 2021/914) ; ou
- Toute autre garantie appropriée prévue à l'article 46 du RGPD
Les détails des transferts effectués par chaque sous-sous-traitant figurent à l'Annexe III.
11.Audits et inspections
Le Sous-traitant met à la disposition du Responsable de traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues par l'article 28 du RGPD.
Le Responsable de traitement peut, à ses frais, demander la réalisation d'un audit une fois par année calendaire, sur préavis écrit de trente (30) jours, dans les locaux du Sous-traitant ou à distance. L'audit ne peut perturber le fonctionnement normal du Service.
Pour limiter les contraintes opérationnelles, le Sous-traitant met à disposition, à la demande, les rapports d'audit de ses sous-sous-traitants (SOC 2, ISO 27001, certifications PCI-DSS) lorsque disponibles.
12.Restitution ou suppression des données
À la cessation du contrat, et selon le choix du Responsable de traitement notifié par écrit à [email protected], le Sous-traitant :
- Restitue les Données à caractère personnel au format JSON exportable, ou
- Supprime les Données à caractère personnel et supprime les copies existantes, sauf obligation légale de conservation
À défaut d'instruction du Responsable dans les trente (30) jours suivant la cessation du contrat, le Sous-traitant procède à la suppression des Données conformément aux durées de conservation indiquées dans la Politique de confidentialité.
Annexe I.Description du traitement
- Nature du traitement
- Hébergement, transmission et journalisation de messages WhatsApp transitant via l'infrastructure du Sous-traitant
- Finalité
- Permettre au Responsable d'envoyer et de recevoir des messages WhatsApp programmatiquement via une API REST/MCP
- Catégories de personnes concernées
- Destinataires et expéditeurs des messages WhatsApp (clients du Responsable, prospects, contacts)
- Catégories de données
- Numéros de téléphone WhatsApp, contenu des messages (texte, médias), métadonnées d'envoi (timestamps, statuts de livraison)
- Données sensibles
- Aucune catégorie particulière de données au sens de l'art. 9 RGPD n'est traitée par défaut. Si le Responsable choisit d'envoyer de telles données, il en assume seul la responsabilité
- Durée du traitement
- Pour la durée du contrat. Les messages sont traités en pass-through (non conservés après livraison)
Annexe II.Mesures techniques et organisationnelles (TOMs)
Le Sous-traitant met en œuvre les mesures suivantes, conformément à l'article 32 du RGPD :
- Chiffrement en transit : TLS 1.2+ pour toutes les communications API, navigateur, et entre sous-sous-traitants
- Chiffrement au repos : base de données chiffrée (AES-256), sauvegardes chiffrées
- Hachage des secrets : bcrypt pour mots de passe, SHA-256 pour clés API et refresh tokens, jamais en clair
- Pseudonymisation : les identifiants analytiques (PostHog) sont pseudonymisés
- Contrôle d'accès : authentification JWT à courte durée + refresh tokens hachés ; MFA sur tous les comptes administrateurs internes
- Principe du moindre privilège : accès aux données limité aux personnels nécessitant strictement l'accès
- Journalisation : audit_logs traçant toutes les actions sensibles (création/suppression de compte, génération de clés API, accès admin)
- Cloisonnement multi-tenant : chaque compte utilisateur dispose d'un identifiant unique et d'une RLS (Row-Level Security) PostgreSQL
- Sauvegardes : sauvegardes quotidiennes chiffrées, conservées 7 jours en région UE
- Plan de continuité : restauration testée trimestriellement, RTO < 4h, RPO < 24h
- Mises à jour de sécurité : mises à jour mensuelles du système, correctifs critiques sous 48h
- Tests d'intrusion : audit de sécurité interne biannuel, tests externes (pentest) recommandés annuellement
- Sensibilisation : formation continue du personnel sur la protection des données et la sécurité opérationnelle
- Gestion des incidents : procédure documentée de réponse aux incidents, équipe de réponse identifiée
Annexe III.Liste des sous-sous-traitants autorisés
Les sous-sous-traitants suivants sont autorisés à traiter des Données à caractère personnel pour le compte du Sous-traitant :
| Sous-sous-traitant | Finalité | Localisation des données | Garanties |
|---|---|---|---|
| Supabase Inc. | Base de données PostgreSQL, authentification, stockage | UE — Francfort (Allemagne) | DPA Supabase + SCCs UE 2021/914 |
| Stripe Payments Europe Ltd. | Traitement des paiements EUR/USD par carte | Irlande (UE), avec accès limité par Stripe Inc. (USA) | DPA Stripe + EU-US DPF + PCI-DSS |
| Wave Mobile Money | Traitement des paiements XOF | Sénégal | Contrat de prestation + loi SN 2008-12 |
| IONOS SE | Envoi d'emails transactionnels via SMTP | Allemagne (UE) | DPA IONOS |
| PostHog Inc. | Analytique produit (intérêt légitime) | Union européenne (PostHog Cloud EU, Francfort) | DPA PostHog (hébergement UE) |
| IONOS SE | Hébergement serveur applicatif | Allemagne (UE) | DPA IONOS + certification ISO 27001 |
| Meta Platforms Ireland Ltd. | Acheminement des messages WhatsApp | Irlande (UE) + États-Unis (Meta Platforms Inc.) | EU-US Data Privacy Framework |
Cette liste est mise à jour en temps réel sur cette page. Toute modification fait l'objet d'une notification préalable au Responsable de traitement dans les conditions prévues à la section 6.
Contact.Contact pour les questions DPA
Pour toute question relative au présent DPA ou pour demander une version signée électroniquement, contactez : [email protected].