ACCORD DE TRAITEMENT DES DONNÉES (DATA PROCESSING AGREEMENT)

01 Juin 2025

ACCORD DE TRAITEMENT DES DONNÉES

Entre les parties :

Préambule

Le présent accord vise à assurer la conformité des traitements de données personnelles réalisés par Saalz pour le compte du Client, conformément aux articles 28.3 et 28.4 du Règlement (UE) 2016/679 (RGPD).

1. OBJET DU CONTRAT

Ce contrat encadre les traitements de données personnelles réalisés par Saalz pour le Client, dans le cadre de l’utilisation de la plateforme CRM Saalz.

2. DESCRIPTION DU TRAITEMENT

Catégories de personnes concernées : prospects et clients du Client (professionnels B2B).
Catégories de données traitées : nom, prénom, email professionnel, numéro de téléphone, poste occupé, société, données publiques issues de LinkedIn et de sources publiques.
Nature des traitements : enrichissement de données, stockage temporaire, gestion de la relation client et prospection commerciale.
Finalités : permettre au Client de gérer ses opérations de prospection et de relation client.
Durée de conservation des données : pendant la durée contractuelle et jusqu’à 12 mois après la résiliation, sauf obligations légales contraires.

3. INSTRUCTIONS DOCUMENTÉES DU CLIENT

Saalz agit exclusivement sur instructions documentées du Client, sauf si une disposition du droit de l’Union ou du droit français l’y oblige. Dans ce cas, Saalz informera le Client de cette obligation, sauf interdiction légale.

Saalz informera le Client si, selon lui, une instruction constitue une violation du RGPD ou d’une autre réglementation applicable.

4. SÉCURITÉ DU TRAITEMENT

Saalz met en œuvre des mesures techniques et organisationnelles adaptées afin de garantir la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes et des données (détaillées en Annexe 1).

L’accès aux données est strictement limité aux collaborateurs habilités et soumis à un engagement de confidentialité.

5. DOCUMENTATION & AUDIT

Saalz tient à la disposition du Client l’ensemble des informations nécessaires à la démonstration de la conformité aux obligations prévues au présent contrat.

Sur demande motivée et en cas d’indice sérieux de non-conformité, le Client pourra auditer les traitements réalisés, directement ou par un auditeur indépendant, avec un préavis de 30 jours. Ces audits seront réalisés durant les horaires ouvrables, dans des limites raisonnables de fréquence.

Saalz s’engage à collaborer avec les autorités de contrôle en cas de demande.

6. SOUS-TRAITANCE ULTERIEURE

Saalz bénéficie d’une autorisation générale pour faire appel à des sous-traitants (cf. liste des sous-traitants tenue à jour).

Saalz informera le Client de toute modification au moins 8 jours avant l’ajout d’un nouveau sous-traitant, afin de permettre au Client de formuler une objection motivée. À défaut d’objection dans ce délai, le nouveau sous-traitant sera réputé accepté.

Saalz impose contractuellement aux sous-traitants des engagements de protection des données équivalents à ceux prévus dans le présent DPA.

7. TRANSFERTS INTERNATIONAUX DE DONNÉES

Les données sont hébergées au sein de l’Union Européenne (Hetzner Cloud, Allemagne). Certains sous-traitants peuvent traiter ponctuellement des données hors UE sous couvert de clauses contractuelles types (SCC) approuvées par la Commission Européenne.

Aucun transfert hors UE n’est réalisé sans encadrement juridique conforme au RGPD (Chapitre V).

8. ASSISTANCE AU CLIENT

Saalz assiste le Client :

dans la gestion des demandes d’exercice des droits (accès, rectification, opposition, suppression, limitation, portabilité) des personnes concernées ;
en cas d’analyse d’impact relative à la protection des données (PIA/DPIA) lorsque les traitements le nécessitent ;
pour toute consultation préalable éventuelle auprès de la CNIL.

Les demandes d’exercice de droits reçues directement par Saalz seront systématiquement transmises au Client, sauf accord spécifique.

9. VIOLATIONS DE DONNÉES

En cas de violation de données personnelles, Saalz en informera le Client sans délai indu après en avoir pris connaissance.

La notification comportera notamment :

Lorsque toutes les informations ne sont pas immédiatement disponibles, Saalz fournira les éléments progressivement au fur et à mesure de leur obtention.

10. SORT DES DONNÉES EN FIN DE CONTRAT

A l’expiration du contrat, les données du Client sont conservées pendant une période de 12 mois pour permettre une réactivation éventuelle.

Passé ce délai, les données sont supprimées de façon définitive, sauf obligations légales contraires. Les sauvegardes suivent la même politique d’effacement différé.

11. RESPONSABILITÉ ET LIMITATION

Le Client reste responsable de la licéité des données collectées et traitées via Saalz. Saalz agit uniquement en qualité de sous-traitant technique.

En cas de non-respect grave et répété des obligations du présent contrat par l’une des parties, l’autre partie pourra suspendre ou résilier l’accord.

12. DROIT APPLICABLE ET JURIDICTION

Le présent accord est régi par le droit français. Tout litige sera de la compétence exclusive des tribunaux du ressort du siège social de SITENCO.

ANNEXE 1 — MESURES TECHNIQUES ET ORGANISATIONNELLES DE SÉCURITÉ

Chiffrement des données : chiffrement SSL/TLS des communications, chiffrement AES des données au repos, hachage Bcrypt des mots de passe.
Infrastructure cloisonnée : serveurs isolés sur cloud Hetzner (Allemagne), VPC sécurisé.
Contrôle d’accès : authentification forte, gestion des rôles RBAC, contrôle des accès internes avec traçabilité.
Journalisation et logs : enregistrement des accès et actions critiques, conservation des logs 12 mois.
Backups : sauvegardes quotidiennes sécurisées, rétention limitée, tests réguliers de restauration.
Monitoring et détection d’intrusion : surveillance proactive, alertes en cas d’activité suspecte.
Tests et audits internes : tests de sécurité récurrents sur les mises à jour applicatives.
Conformité des sous-traitants : sélection de fournisseurs conformes RGPD et engagement contractuel renforcé.