⚠️ Brouillon — à faire valider par un avocat avant toute publication
Structure conforme à l'article 28 du RGPD (contenu obligatoire d'un contrat de sous-traitance).
Tout client B2B sérieux demandera ce document avant de signer — mieux vaut l'avoir prêt.
Les zones entre crochets restent à compléter.
Accord de sous-traitance (Data Processing Agreement)
Dernière mise à jour : [DATE]
Le présent accord complète les CGU/CGV et s'applique au
traitement de données à caractère personnel effectué par l'Éditeur pour le compte du Client,
conformément à l'article 28 du RGPD.
1. Qualification des parties
Le Client est responsable de traitement des données à
caractère personnel qu'il saisit dans le Service (ses propres clients, prospects, contacts,
employés).
L'Éditeur ([raison sociale]) agit en tant que
sous-traitant au sens du RGPD pour l'hébergement, le fonctionnement technique
et la maintenance du Service.
2. Objet, nature et finalité du traitement
| Objet | Fourniture d'un logiciel de gestion de la relation client (CRM) en mode SaaS |
| Nature des opérations | Hébergement, stockage, sauvegarde, mise à disposition via interface web,
traitement optionnel par des services tiers IA/téléphonie selon les modules activés par le Client |
| Finalité | Permettre au Client de gérer sa relation commerciale (clients, devis, pipeline,
téléphonie, comptes-rendus) |
| Durée | Durée du contrat d'abonnement, plus la période de grâce définie aux
CGV |
3. Catégories de personnes concernées et de données
Contacts professionnels du Client (clients, prospects), utilisateurs du Service (salariés du
Client). Catégories de données : voir le détail dans la
politique de confidentialité, section 1. Aucune
catégorie de données dites « sensibles » (santé, opinions, origine…) n'est traitée dans le
cadre normal d'utilisation du Service.
4. Obligations du sous-traitant (Éditeur)
- Ne traiter les données que sur instruction documentée du Client (fonctionnement normal du Service).
- Garantir la confidentialité des personnes autorisées à traiter les données (accès cloisonné par
rôle, voir le contrôle d'accès basé sur les rôles du Service).
- Mettre en œuvre les mesures de sécurité appropriées (chiffrement en transit, hachage des mots
de passe, sauvegardes, purge automatique selon la politique de rétention configurée).
- Ne recourir à un sous-traitant ultérieur qu'avec l'autorisation préalable, écrite, générale ou
spécifique, du Client — la liste actuelle des sous-traitants ultérieurs figure dans la
politique de confidentialité, section 4.
Le Client est informé de tout changement, avec la possibilité de s'y opposer.
- Assister le Client pour répondre aux demandes d'exercice des droits des personnes concernées.
- Notifier le Client de toute violation de données à caractère personnel dans un délai de
[72 heures] après en avoir pris connaissance.
- Supprimer ou restituer l'ensemble des données à l'issue de la prestation, selon les modalités
prévues aux CGV (section résiliation).
- Mettre à disposition du Client toute information nécessaire pour démontrer le respect des
obligations du présent article et permettre la réalisation d'un audit, sur demande raisonnable.
5. Sous-traitants ultérieurs autorisés
Le Client autorise, à la date de signature, le recours aux sous-traitants ultérieurs suivants
(activés selon les modules souscrits) :
| Sous-traitant | Prestation | Garanties |
| Railway Corporation | Hébergement | [clauses contractuelles types / région UE] |
| Twilio Inc. | Téléphonie (module optionnel) | Clauses contractuelles types (transferts hors UE) |
| OpenAI / Anthropic | IA — transcription, reformulation (modules optionnels) | Clauses contractuelles types (transferts hors UE) |
| Pappers / API Entreprise (INSEE) | Données financières publiques (module optionnel) | Traitement en France |
6. Mesures de sécurité techniques et organisationnelles
- Authentification par mot de passe haché (jamais stocké en clair), politique de complexité minimale.
- Limitation automatique des tentatives de connexion (protection contre les attaques par force brute).
- Cloisonnement des données par rôle utilisateur (un commercial ne voit que son propre portefeuille,
sauf rôle transversal/admin).
- Connexion chiffrée (HTTPS) de bout en bout.
- Sauvegardes automatiques quotidiennes, conservées [30 jours].
- Purge automatique et irréversible des enregistrements d'appels au terme de la durée de
rétention configurée par le Client (suppression effective chez le sous-traitant technique, pas
seulement en base locale).
- Migrations de schéma de base de données tracées et versionnées.
7. Audit et documentation
Le Client peut demander, une fois par an ou en cas de suspicion raisonnable de manquement, une
description documentée des mesures de sécurité en vigueur. Un audit sur site ou par prestataire
mandaté peut être organisé selon des modalités à convenir (préavis, coût, confidentialité).