logo

Demander une démo

logo

Demander une démo

logo

Préambule

Le présent Contrat de Traitement des Données (ci-après « DPA ») est conclu entre :

● SKULT, SAS au capital de 2 000 €, SIREN 999 211 337, dont le siège social est situé au

809 Chemin Lassalle, 82000 Montauban, agissant en qualité de sous-traitant (ci-après

« le Prestataire »)

et

● Le Client, tel qu'identifié dans le Bon de commande conclu avec le Prestataire, agissant

en qualité de responsable de traitement (ci-après « le Client »)

Le présent DPA complète les Conditions Générales de Vente du Prestataire (ci-après « CGV »)

et s'applique à tout traitement de données personnelles réalisé par le Prestataire pour le compte

du Client dans le cadre de l'exécution du Service. En cas de contradiction entre le DPA et les

CGV sur les questions relatives à la protection des données, le DPA prévaut.

Article 1 — Objet

Le présent DPA définit les conditions dans lesquelles le Prestataire est autorisé à traiter des

données personnelles pour le compte du Client dans le cadre de la fourniture du Service de

veille et de détection d'alertes commerciales décrit aux CGV.

Article 2 — Durée

Le présent DPA entre en vigueur à la date de signature du Bon de commande et prend fin à la

date d'expiration ou de résiliation du contrat, sous réserve des obligations de suppression ou de

restitution des données prévues à l'Article 9.

Article 3 — Nature, finalité et base légale du traitement

3.1 Nature du traitement

Collecte, enregistrement, organisation, structuration, conservation, adaptation, consultation,

utilisation, communication, effacement et destruction de données personnelles, réalisés dans le

cadre de l'exécution du Service.

3.2 Finalité du traitement

Les traitements réalisés par le Prestataire pour le compte du Client ont pour finalité exclusive :

● le paramétrage de l'Agent IA selon les instructions du Client (périmètre géographique,

typologies de missions, cas d'usage métier) ;

● la fourniture des Alertes commerciales au Client via la Plateforme ;

● la gestion des accès utilisateurs du Client à la Plateforme ;

● la réponse aux demandes de support et d'ajustement du Client.

3.3 Base légale

Les traitements réalisés pour le compte du Client sont fondés sur l'exécution du contrat conclu

entre les parties.

Article 4 — Catégories de données traitées

Dans le cadre de l'exécution du Service, le Prestataire est susceptible de traiter, pour le compte du Client, les catégories de données suivantes : 

Catégorie Description 

Données d'identification des utilisateurs :

Noms, prénoms, adresses email professionnelles des utilisateurs du Client ayant accès à la Plateforme 

Données de paramétrage : Cibles, mots-clés, zones géographiques, typologies de missions, exemples d'alertes fournis par le Client

Données de qualification : Annotations, feedbacks, priorisations et qualifications d'alertes effectués par les utilisateurs du Client 

Données de connexion : Logs d'accès à la Plateforme des utilisateurs du Client 

Ne sont pas visées par le présent DPA les données relatives aux élus et agents publics collectées par le Prestataire à partir de sources publiques ou via ses prestataires d'enrichissement tiers, qui relèvent du traitement autonome du Prestataire en qualité de responsable de traitement. 



Article 5 — Catégories de personnes concernées

● Représentants et utilisateurs du Client ayant accès à la Plateforme.

Article 6 — Obligations du Prestataire en qualité de sous-traitant 

6.1 Traitement sur instruction documentée 

Le Prestataire traite les données personnelles uniquement sur instruction documentée du Client, telle qu'elle résulte du Bon de commande, des CGV et du présent DPA. Si le Prestataire estime qu'une instruction constitue une violation du RGPD ou de toute autre disposition applicable en matière de protection des données, il en informe le Client sans délai. 

6.2 Confidentialité 

Le Prestataire s'assure que les personnes autorisées à traiter les données personnelles du Client sont soumises à une obligation de confidentialité appropriée, contractuelle ou légale. 

6.3 Sécurité 

Le Prestataire met en œuvre les mesures techniques et organisationnelles décrites à l'Article 14 des CGV, conformément à l'article 32 du RGPD. Ces mesures comprennent notamment : 

● contrôle d'accès et gestion des habilitations par profil utilisateur ; 

● journalisation des accès ; 

● chiffrement des données en transit (TLS) et au repos lorsqu'approprié ; ● sauvegardes régulières et cloisonnement des environnements ; 

● politique de confidentialité interne applicable aux collaborateurs et sous-traitants.

6.4 Droits des personnes concernées 

Le Prestataire assiste le Client, dans la mesure du possible et eu égard à la nature du traitement, pour lui permettre de s'acquitter de son obligation de répondre aux demandes d'exercice des droits des personnes concernées (accès, rectification, effacement, limitation, opposition, portabilité) dans les délais prévus par le RGPD. 

Lorsque le Prestataire reçoit directement une demande d'une personne concernée relative à un traitement réalisé pour le compte du Client, il en informe le Client sans délai et ne répond pas à cette demande sans instruction préalable du Client, sauf obligation légale contraire. 

6.5 Notification de violation de données 

Le Prestataire notifie au Client toute violation de données personnelles le concernant dans les meilleurs délais après en avoir pris connaissance, et en tout état de cause dans un délai permettant au Client de respecter ses obligations réglementaires, notamment le délai de 72 heures prévu par l'article 33 du RGPD. Cette notification comprend les informations visées à l'Article 15 des CGV. 

6.6 Analyse d'impact (AIPD) 

Le Prestataire fournit au Client toute assistance raisonnablement nécessaire pour la réalisation d'analyses d'impact relatives à la protection des données (AIPD) lorsque celles-ci sont requises en application de l'article 35 du RGPD. 

6.7 Audit 

Le Prestataire met à la disposition du Client toutes les informations nécessaires pour démontrer le respect des obligations prévues par le présent DPA, et permet la réalisation d'audits, y compris des inspections, par le Client ou un auditeur mandaté par lui, moyennant un préavis écrit d'au moins trente (30) jours ouvrés. Les coûts d'audit sont à la charge du Client. Un audit par période de douze (12) mois est de droit ; tout audit supplémentaire est soumis à l'accord préalable du Prestataire.



Article 7 — Sous-traitants ultérieurs 

7.1 Autorisation générale 

Le Client autorise le Prestataire à faire appel aux sous-traitants ultérieurs listés à l'Article 7.2 du présent DPA. Le Prestataire impose à ces sous-traitants ultérieurs des obligations équivalentes à celles prévues dans le présent DPA en matière de protection des données.

7.2 Liste des sous-traitants ultérieurs approuvés 

Sous-traitant 

Rôle Localisation des données 

Supabase Inc. 

Hébergement et stockage des données de la Plateforme (base de données) 

Union européenne (région Paris — AWS eu-west-3) 

Fullenrich Enrichissement de données de contact B2B (emails et téléphones professionnels d'élus et 

agents publics) 

7.3 Modification de la liste 

UE / USA (CCT EU 2021/914 applicables) 

Le Prestataire informe le Client de tout ajout ou remplacement de sous-traitant ultérieur susceptible d'affecter les données traitées pour son compte, avec un préavis raisonnable. Le Client peut s'opposer à ce changement par notification écrite dans un délai de quinze (15) jours. En cas d'opposition non résolue dans ce délai, chaque partie peut résilier le contrat sans pénalité, sous réserve d'un préavis de trente (30) jours. 



Article 8 — Transferts hors Union européenne 

Tout transfert de données personnelles vers un pays tiers à l'Union européenne et à l'Espace économique européen est réalisé dans le respect du chapitre V du RGPD, et notamment par la mise en place des clauses contractuelles types adoptées par la décision d'exécution (UE) 2021/914 de la Commission européenne. Le Prestataire documente ces transferts et les garanties associées, et les met à disposition du Client sur demande.

Article 9 — Restitution et suppression des données 

À l'issue du contrat, quelle qu'en soit la cause : 

● le Prestataire restitue au Client, sur demande formulée avant l'expiration du contrat, l'ensemble des données personnelles traitées pour son compte, dans un format lisible et structuré ; 

● à défaut de demande de restitution, ou à l'issue du délai de trente (30) jours prévu aux CGV, le Prestataire procède à la suppression définitive et irréversible des données personnelles traitées pour le compte du Client sur l'ensemble de ses systèmes et ceux de ses sous-traitants ultérieurs, sauf obligation légale de conservation contraire ; 

● à la demande du Client, le Prestataire délivre une attestation écrite de suppression effective dans un délai de quinze (15) jours.

Article 10 — Registre des activités de traitement 

Le Prestataire tient, en sa qualité de sous-traitant, un registre de toutes les catégories d'activités de traitement effectuées pour le compte du Client, conformément à l'article 30(2) du RGPD. Ce registre est mis à disposition du Client et de la CNIL sur demande. 

Article 11 — Droit applicable 

Le présent DPA est soumis au droit français. Tout litige relatif à son interprétation ou à son exécution relève de la compétence des tribunaux désignés aux CGV. 

Ce document constitue l'Annexe RGPD aux Conditions Générales de Vente SKULT v2.0



Logo ChatGPT
Demander à ChatGPT
En savoir plus sur Skult