ACCORD DE TRAITEMENT DE DONNÉES
ENTRE LES SOUSSIGNÉS :
Le Responsable du traitement :
Le Client, dont les coordonnées sont renseignées lors de la souscription aux Services VDR DEALCOCKPIT™ (ci-après « le Client » ou « le Responsable »).
Le Sous-traitant :
DEALCOCKPIT™ SAS, dont le siège social est situé au 5 Grand Rue, 24230 VELINES, France (ci-après « DEALCOCKPIT™ » ou « le Sous-traitant »).
Le présent Accord de Traitement des Données (ci-après « ATD ») est conclu en application de l'article 28 du Règlement Général sur la Protection des Données (Règlement (UE) 2016/679, ci-après « RGPD ») et constitue un avenant intégrant aux Conditions Générales de Vente (CGV) de DEALCOCKPIT™ acceptées par le Client lors de la souscription en ligne. En cas de conflit entre le présent ATD et les CGV, les dispositions de l'ATD prévaudront pour tout ce qui concerne le traitement des données personnelles.
1. DÉFINITIONS
Aux fins du présent ATD, les termes suivants ont les significations définies ci-après :
Données Personnelles : toute information relative à une personne physique identifiée ou identifiable, au sens de l'article 4(1) du RGPD.
Données Client : l'ensemble des Données Personnelles que le Client téléverse, importe, stocke ou partage via les Services VDR DEALCOCKPIT™ (notamment les documents de due diligence, listes de parties prenantes, informations financières et juridiques).
Traitement : toute opération ou ensemble d'opérations effectuées sur des Données Personnelles (collecte, stockage, accès, transmission, suppression, etc.), au sens de l'article 4(2) du RGPD.
Responsable du traitement : la personne physique ou morale qui détermine les finalités et les moyens du Traitement. Aux termes du présent ATD, le Client est le Responsable du traitement des Données Client.
Sous-traitant : la personne physique ou morale qui traite des Données Personnelles pour le compte du Responsable du traitement. Aux termes du présent ATD, DEALCOCKPIT™ est le Sous-traitant.
Sous-traitant ultérieur : tout tiers mandaté par DEALCOCKPIT™ pour effectuer tout ou partie des Services impliquant le Traitement des Données Client.
Violation de Données Personnelles : une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de Données Personnelles ou l'accès non autorisé à celles-ci, au sens de l'article 4(12) du RGPD.
Services VDR : les services de Data Room Virtuelle fournis par DEALCOCKPIT™ au Client en vertu des CGV.
2. RÔLES ET RESPONSABILITÉS
2.1 Qualification des rôles
Les parties reconnaissent et conviennent expressément que :
Le Client est le Responsable du traitement de l'ensemble des Données Client téléversées sur les Services VDR. À ce titre, le Client détermine librement les finalités, les catégories de données traitées et les personnes autorisées à y accéder.
DEALCOCKPIT™ est le Sous-traitant et traite les Données Client exclusivement sur les instructions documentées du Responsable du traitement, dans la stricte mesure nécessaire à la fourniture des Services VDR.
DEALCOCKPIT™ agit en qualité de Responsable du traitement pour ses propres données opérationnelles (comptes clients, facturation, support, sécurité), régies par sa Politique de Confidentialité.
2.2 Instructions du Client
DEALCOCKPIT™ traite les Données Client exclusivement conformément aux instructions documentées du Client, y compris celles résultant de l'utilisation des Services VDR. Si une instruction apparaît contraire au RGPD ou à toute autre loi applicable, DEALCOCKPIT™ en informe immédiatement le Client par écrit avant d'exécuter ladite instruction.
3. DESCRIPTION DU TRAITEMENT
Le tableau ci-dessous décrit les activités de traitement réalisées par DEALCOCKPIT™ en qualité de Sous-traitant :
|
Objet |
Catégories de données |
Catégories de données subjects |
Finalité |
|
Hébergement et stockage de documents |
Documents téléversés par le Client (pouvant contenir des données personnelles de toute nature selon le contenu) |
Toute personne physique référencée dans les documents du Client |
Fourniture d'un service sécurisé de stockage et d'échange de documents |
|
Gestion des accès utilisateurs |
Nom d'utilisateur, adresse e-mail, rôle, journaux de connexion |
Utilisateurs autorisés par le Client |
Contrôle d'accès et sécurité de la data room |
|
Journalisation et piste d'audit |
Journaux d'activité (accès, téléchargements, modifications) |
Utilisateurs autorisés par le Client |
Traçabilité et sécurité opérationnelle |
|
Support technique |
Données nécessaires à la résolution d'incidents |
Utilisateurs du Client ayant soumis une demande de support |
Résolution d'incidents et assistance technique |
La durée du Traitement correspond à la durée des Services VDR, prolongée de la période de transition de trente (30) jours prévue à l'article 10 du présent ATD.
4. OBLIGATIONS DE DEALCOCKPIT™ EN QUALITÉ DE SOUS-TRAITANT
4.1 Obligations générales
DEALCOCKPIT™ s'engage à :
Traiter les Données Client uniquement aux fins décrites à l'article 3 et conformément aux instructions documentées du Client.
Veiller à ce que les personnes autorisées à traiter les Données Client soient soumises à des obligations de confidentialité appropriées.
Ne pas divulguer les Données Client à des tiers, à l'exception des Sous-traitants ultérieurs autorisés conformément à l'article 5 du présent ATD, ou lorsque la loi l'exige.
Informer immédiatement le Client si, à son avis, une instruction enfreint le RGPD ou toute autre loi applicable, avant d'exécuter ladite instruction.
Assister le Client, dans la mesure du raisonnable et eu égard à la nature du Traitement, dans l'accomplissement de son obligation de répondre aux demandes des personnes concernées exerçant leurs droits.
Assister le Client dans le respect de ses obligations relatives à la sécurité, à la notification des violations, aux analyses d'impact sur la protection des données et à la consultation préalable.
4.2 Mesures de sécurité
DEALCOCKPIT™ met en œuvre et maintient des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, notamment :
Chiffrement des données en transit (TLS) et au repos (AES-256 ou équivalent).
Contrôles d'accès stricts, avec authentification renforcée pour les utilisateurs internes.
Journalisation et surveillance des accès aux données.
Tests de sécurité réguliers et gestion des vulnérabilités.
Plans de continuité d'activité et de reprise après sinistre.
5. SOUS-TRAITANTS ULTÉRIEURS
5.1 Autorisation générale
Le Client autorise DEALCOCKPIT™ à faire appel à des Sous-traitants ultérieurs pour la fourniture des Services VDR, à condition que DEALCOCKPIT™ :
Conclue avec chaque Sous-traitant ultérieur un contrat imposant des obligations de protection des données équivalentes à celles prévues dans le présent ATD.
Reste pleinement responsable envers le Client de l'exécution par ses Sous-traitants ultérieurs de leurs obligations.
5.2 Liste des Sous-traitants ultérieurs autorisés
Les Sous-traitants ultérieurs actuellement autorisés sont les suivants :
|
Sous-traitant ultérieur |
Finalité |
Localisation |
Garanties |
|
Amazon Web Services EMEA SARL (AWS) |
Hébergement d'infrastructure, stockage et traitement des données (régions EU-WEST-1 Dublin, Irlande et EU-WEST-3 Paris, France) |
Union européenne (Irlande — France) |
Certifié ISO 27001, SOC 1/2/3, conforme au RGPD. Accord de traitement des données AWS en vigueur. |
|
Brevo (formerly Sendinblue) |
E-mails transactionnels et marketing |
Union européenne |
Conforme au RGPD. Hébergement UE. |
|
HubSpot Ireland Limited |
CRM, suivi client et marketing |
Union européenne (Irlande) |
Conforme au RGPD. Hébergement UE. Accord de traitement des données HubSpot en vigueur. |
|
Intelligence artificielle — Aucun prestataire tiers |
DEALCOCKPIT™ ne fait appel à aucun prestataire IA tiers pour analyser, indexer ou traiter le contenu des Données Client. Aucun document téléversé dans la data room n'est transmis à un modèle d'IA externe. DEALCOCKPIT™ s'engage à ne jamais utiliser les Données Client pour entraîner, affiner ou améliorer un modèle d'IA, que ce soit en interne ou via un tiers, sans le consentement écrit préalable du Client. |
N/A (aucun traitement en cours) |
Engagement contractuel ferme. Aucun entraînement IA garanti. |
5.3 Modifications de la liste
DEALCOCKPIT™ informe le Client de tout ajout ou remplacement d'un Sous-traitant ultérieur avec un préavis minimum de trente (30) jours. Le Client dispose du droit de formuler une objection motivée. En cas d'objection légitime non résolue, le Client peut résilier le contrat conformément aux CGV.
6. ENGAGEMENTS EN MATIÈRE D'IA
6.1 Absence de traitement IA en cours
DEALCOCKPIT™ déclare qu'à la date d'entrée en vigueur du présent ATD, aucun système d'IA tiers n'est utilisé pour analyser, indexer, résumer ou traiter de quelque manière que ce soit le contenu des Données Client stockées dans les Services VDR.
6.2 Interdiction d'entraîner une IA avec les Données Client
DEALCOCKPIT™ s'engage irrévocablement à ne jamais utiliser les Données Client, directement ou indirectement, pour :
Entraîner, affiner ou améliorer tout modèle d'intelligence artificielle, qu'il soit développé en interne ou fourni par un tiers.
Constituer des jeux de données d'entraînement, de validation ou d'évaluation pour des systèmes d'IA.
Alimenter des systèmes d'apprentissage automatique ou tout traitement algorithmique visant à améliorer des modèles prédictifs au-delà de la stricte fourniture des Services VDR.
Cet engagement s'applique que les Données Client soient anonymisées, pseudonymisées ou agrégées, dès lors qu'elles sont dérivables des documents téléversés par le Client.
7. TRANSFERTS HORS DE L'UNION EUROPÉENNE
DEALCOCKPIT™ s'engage à garantir que les Données Client sont hébergées et traitées exclusivement au sein de l'Union européenne. Tout transfert de Données Client vers un pays tiers serait soumis à la conclusion préalable de Clauses Contractuelles Types (CCT) approuvées par la Commission européenne, ou de toute autre garantie appropriée prévue par le RGPD. Le Client serait informé à l'avance de tout transfert de ce type.
8. VIOLATION DE DONNÉES PERSONNELLES
8.1 Notification
Dès la découverte d'une Violation de Données Personnelles affectant les Données Client, DEALCOCKPIT™ en notifie le Client dans les meilleurs délais et, dans la mesure du possible, dans un délai maximum de quarante-huit (48) heures à compter du moment où il en a eu connaissance.
La notification comprend, dans la mesure où les informations sont disponibles :
La nature de la Violation de Données Personnelles, les catégories approximatives et le nombre de personnes concernées, ainsi que les enregistrements affectés.
Les coordonnées d'un interlocuteur chez DEALCOCKPIT™.
Les conséquences probables de la violation et les mesures prises ou envisagées pour y remédier.
8.2 Responsabilité de la notification à l'autorité de contrôle
Il incombe au Client, en tant que Responsable du traitement, de notifier l'autorité de contrôle compétente (notamment la CNIL) dans le délai de 72 heures prévu à l'article 33 du RGPD. DEALCOCKPIT™ assiste le Client dans cette démarche en lui fournissant toutes les informations nécessaires.
9. DROITS DES PERSONNES CONCERNÉES
Lorsque DEALCOCKPIT™ reçoit directement une demande d'exercice de droits (droit d'accès, de rectification, d'effacement, de portabilité, d'opposition) relative aux Données Client, DEALCOCKPIT™ en informe le Client sans délai et ne répond pas lui-même à la demande (sauf instruction expresse du Client), le Client étant le seul Responsable du traitement habilité à répondre.
DEALCOCKPIT™ s'engage à fournir au Client l'assistance technique nécessaire pour lui permettre de répondre à ces demandes dans les délais imposés par le RGPD (en principe un mois).
10. CONSERVATION DES DONNÉES — CLÔTURE DU DOSSIER ET FIN DE CONTRAT
10.1 Suppression des données lors de la clôture du dossier
Les Données Client (documents, fichiers et contenus téléversés dans la data room) sont automatiquement et irréversiblement supprimées lors de la clôture du dossier par le Client, y compris des supports de sauvegarde dans un délai raisonnable. Le Client est informé que cette suppression est définitive et qu'aucune restauration ne sera possible après la clôture. Il appartient au Client de télécharger et d'archiver les documents qu'il souhaite conserver avant de clôturer le dossier.
10.2 Conservation des journaux
Par dérogation à l'article 10.1, DEALCOCKPIT™ conserve les journaux d'activité générés lors de l'utilisation des Services VDR (traces d'accès, téléchargements, modifications, connexions) pendant une durée de douze (12) mois après la clôture du dossier, aux fins suivantes :
Sécurité et détection d'incidents.
Conformité aux obligations légales et réglementaires applicables.
Défense des intérêts légitimes de DEALCOCKPIT™ en cas de litige.
Ces journaux peuvent contenir des références indirectes à des Données Personnelles (identifiants utilisateurs, adresses IP). Ils sont conservés de manière sécurisée, isolés de tout traitement actif, et accessibles uniquement au personnel autorisé de DEALCOCKPIT™ à des fins de sécurité ou de conformité.
10.3 Fin de contrat
À la résiliation ou à l'expiration du contrat, tout dossier encore ouvert à cette date est automatiquement clôturé et les Données Client correspondantes supprimées conformément à l'article 10.1. DEALCOCKPIT™ fournit au Client, sur demande écrite adressée à support@dealcockpit.io, un certificat de suppression des Données Client.
11. AUDIT ET CONTRÔLE
Le Client dispose du droit de vérifier la conformité de DEALCOCKPIT™ à ses obligations au titre du présent ATD, dans les conditions suivantes :
DEALCOCKPIT™ met à la disposition du Client toutes les informations nécessaires pour démontrer le respect de ses obligations en qualité de Sous-traitant.
Le Client peut demander un audit, à ses propres frais, conduit par un tiers indépendant soumis à une obligation de confidentialité, moyennant un préavis écrit d'au moins trente (30) jours ouvrés. DEALCOCKPIT™ peut refuser un auditeur présentant un conflit d'intérêts.
DEALCOCKPIT™ peut satisfaire à l'obligation d'audit en fournissant les certifications et rapports d'audit de ses Sous-traitants ultérieurs concernés (notamment AWS), ou en mandatant un auditeur tiers indépendant.
12. DISPOSITIONS FINALES
12.1 Durée
Le présent ATD entre en vigueur à la date d'acceptation des CGV par le Client et demeure en vigueur pendant toute la durée du contrat de services, puis jusqu'à la suppression complète des Données Client conformément à l'article 10.
12.2 Droit applicable
Le présent ATD est régi par le droit français et le RGPD. Tout litige relatif à son interprétation ou à son exécution sera soumis à la compétence exclusive des tribunaux de Paris, France.
12.3 Ordre de priorité
En cas de conflit entre le présent ATD et les CGV de DEALCOCKPIT™, les dispositions de l'ATD prévaudront pour toutes les questions relatives au traitement des données personnelles.
12.4 Contact
Pour toute question relative au présent ATD ou à l'exercice de droits sur des Données Personnelles : support@dealcockpit.io