ACCORD DE TRAITEMENT DES DONNÉES (DATA PROCESSING AGREEMENT)

01 Juin 2025

ACCORD DE TRAITEMENT DES DONNÉES

Entre les parties :

Préambule

Le présent accord vise à assurer la conformité des traitements de données personnelles réalisés par Saalz pour le compte du Client, conformément aux articles 28.3 et 28.4 du Règlement (UE) 2016/679 (RGPD).

1. OBJET DU CONTRAT

Ce contrat encadre les traitements de données personnelles réalisés par Saalz pour le Client, dans le cadre de l’utilisation de la plateforme CRM Saalz.

2. DESCRIPTION DU TRAITEMENT

3. INSTRUCTIONS DOCUMENTÉES DU CLIENT

Saalz agit exclusivement sur instructions documentées du Client, sauf si une disposition du droit de l’Union ou du droit français l’y oblige. Dans ce cas, Saalz informera le Client de cette obligation, sauf interdiction légale.
Saalz informera le Client si, selon lui, une instruction constitue une violation du RGPD ou d’une autre réglementation applicable.

4. SÉCURITÉ DU TRAITEMENT

Saalz met en œuvre des mesures techniques et organisationnelles adaptées afin de garantir la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes et des données (détaillées en Annexe 1).
L’accès aux données est strictement limité aux collaborateurs habilités et soumis à un engagement de confidentialité.

5. DOCUMENTATION & AUDIT

Saalz tient à la disposition du Client l’ensemble des informations nécessaires à la démonstration de la conformité aux obligations prévues au présent contrat.
Sur demande motivée et en cas d’indice sérieux de non-conformité, le Client pourra auditer les traitements réalisés, directement ou par un auditeur indépendant, avec un préavis de 30 jours. Ces audits seront réalisés durant les horaires ouvrables, dans des limites raisonnables de fréquence.
Saalz s’engage à collaborer avec les autorités de contrôle en cas de demande.

6. SOUS-TRAITANCE ULTERIEURE

Saalz bénéficie d’une autorisation générale pour faire appel à des sous-traitants (cf. liste des sous-traitants tenue à jour).
Saalz informera le Client de toute modification au moins 8 jours avant l’ajout d’un nouveau sous-traitant, afin de permettre au Client de formuler une objection motivée. À défaut d’objection dans ce délai, le nouveau sous-traitant sera réputé accepté.
Saalz impose contractuellement aux sous-traitants des engagements de protection des données équivalents à ceux prévus dans le présent DPA.

7. TRANSFERTS INTERNATIONAUX DE DONNÉES

Les données sont hébergées au sein de l’Union Européenne (Hetzner Cloud, Allemagne). Certains sous-traitants peuvent traiter ponctuellement des données hors UE sous couvert de clauses contractuelles types (SCC) approuvées par la Commission Européenne.
Aucun transfert hors UE n’est réalisé sans encadrement juridique conforme au RGPD (Chapitre V).

8. ASSISTANCE AU CLIENT

Saalz assiste le Client :
Les demandes d’exercice de droits reçues directement par Saalz seront systématiquement transmises au Client, sauf accord spécifique.

9. VIOLATIONS DE DONNÉES

En cas de violation de données personnelles, Saalz en informera le Client sans délai indu après en avoir pris connaissance.
La notification comportera notamment :
Lorsque toutes les informations ne sont pas immédiatement disponibles, Saalz fournira les éléments progressivement au fur et à mesure de leur obtention.

10. SORT DES DONNÉES EN FIN DE CONTRAT

A l’expiration du contrat, les données du Client sont conservées pendant une période de 12 mois pour permettre une réactivation éventuelle.
Passé ce délai, les données sont supprimées de façon définitive, sauf obligations légales contraires. Les sauvegardes suivent la même politique d’effacement différé.

11. RESPONSABILITÉ ET LIMITATION

Le Client reste responsable de la licéité des données collectées et traitées via Saalz. Saalz agit uniquement en qualité de sous-traitant technique.
En cas de non-respect grave et répété des obligations du présent contrat par l’une des parties, l’autre partie pourra suspendre ou résilier l’accord.

12. DROIT APPLICABLE ET JURIDICTION

Le présent accord est régi par le droit français. Tout litige sera de la compétence exclusive des tribunaux du ressort du siège social de SITENCO.

ANNEXE 1 — MESURES TECHNIQUES ET ORGANISATIONNELLES DE SÉCURITÉ