Accord de Traitement des Données (DPA)

Article 1 — Objet du DPA

Le présent Accord de Traitement des Données (ci-après « DPA ») est conclu entre :

• Le Sous-traitant : Marius Moreau / Plenly, Entreprise Individuelle, SIRET 103 114 410 95 21, Nantes (44000), France
• Le Responsable de traitement : le Client souscrivant un Abonnement Plenly et utilisant le Service pour traiter des données personnelles de ses propres clients ou prospects

Le présent DPA a pour objet de définir les conditions dans lesquelles Plenly, en tant que sous-traitant au sens de l'article 28 du RGPD, traite des données à caractère personnel pour le compte du Client, conformément au Règlement UE 2016/679 (RGPD).

Article 2 — Définitions

• « RGPD » : Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016.
• « Données Personnelles » : toute information se rapportant à une personne physique identifiée ou identifiable (art. 4§1 RGPD).
• « Traitement » : toute opération appliquée à des Données Personnelles (art. 4§2 RGPD).
• « Responsable de traitement » : le Client qui détermine les finalités et les moyens du traitement.
• « Sous-traitant » : Plenly, qui traite les Données Personnelles pour le compte du Client.
• « Sous-traitant ultérieur » : tout prestataire auquel Plenly fait appel pour réaliser des activités de traitement pour le compte du Client.
• « Violation de données » : toute violation de sécurité entraînant la destruction, perte, altération ou divulgation non autorisée de Données Personnelles.

Article 3 — Objet et durée du traitement

Nature des opérations : collecte, enregistrement, organisation, structuration, stockage, extraction, consultation, utilisation, communication par transmission, effacement et destruction de Données Personnelles dans le cadre de l'utilisation du Service Plenly.

Finalité : fourniture du Service Plenly tel que décrit dans les CGU, notamment la gestion commerciale assistée par IA.

Durée : le présent DPA prend effet à la date de souscription de l'Abonnement et expire à la date de résiliation effective du Compte, sous réserve des obligations de conservation légales.

Article 4 — Catégories de personnes concernées

• Clients et prospects du Client (agents commerciaux indépendants)
• Contacts professionnels des marques représentées par le Client
• Toute autre personne physique dont les données sont saisies par le Client dans Plenly

Article 5 — Catégories de données traitées

• Données d'identification : nom, prénom, dénomination sociale
• Coordonnées professionnelles : adresse email, numéro de téléphone, adresse postale
• Données commerciales : historique des commandes, devis, factures, commissions
• Communications : notes vocales, transcriptions, emails (avec autorisation OAuth)

Article 6 — Obligations de Plenly (sous-traitant)

Plenly s'engage à :

• Traiter les Données Personnelles uniquement sur instruction documentée du Client (les CGU constituant lesdites instructions), sauf obligation légale contraire
• Garantir que les personnes autorisées à traiter les Données Personnelles s'engagent à respecter la confidentialité
• Mettre en œuvre les mesures de sécurité appropriées prévues à l'article 9
• Ne pas recruter de sous-traitant ultérieur sans autorisation préalable du Client (l'acceptation des CGU vaut autorisation pour les sous-traitants listés à l'Annexe 3)
• Aider le Client à répondre aux demandes d'exercice de droits des personnes concernées
• Notifier le Client de toute Violation de données dans un délai de 72 heures
• Supprimer ou restituer les Données Personnelles à la fin du traitement
• Mettre à disposition du Client toutes les informations nécessaires pour démontrer le respect de ses obligations

Article 7 — Obligations du Client (responsable de traitement)

Le Client s'engage à :

• Disposer d'une base légale valide (consentement, intérêt légitime, exécution de contrat) pour chaque traitement de Données Personnelles effectué via Plenly
• Informer les personnes concernées de l'utilisation de Plenly pour traiter leurs données, conformément à l'article 13 du RGPD
• N'introduire dans Plenly que des données dont il est autorisé à effectuer le traitement
• Ne pas saisir de catégories particulières de données au sens de l'article 9 du RGPD (données de santé, opinions politiques, etc.) sans accord préalable écrit de Plenly
• Notifier Plenly de toute demande d'exercice de droits reçue de personnes concernées dans les meilleurs délais

Article 8 — Sous-traitants ultérieurs

Le Client autorise Plenly à faire appel aux sous-traitants ultérieurs listés en Annexe 3. En cas d'ajout ou de remplacement d'un sous-traitant ultérieur, Plenly en informe le Client par email avec un préavis de 30 jours. Le Client dispose d'un droit d'opposition motivé. À défaut d'opposition dans ce délai, le nouveau sous-traitant est réputé approuvé.

Plenly impose à ses sous-traitants ultérieurs les mêmes obligations de protection des données que celles prévues au présent DPA.

Article 9 — Sécurité et confidentialité

Plenly met en œuvre les mesures techniques et organisationnelles suivantes (voir Annexe 2 pour le détail) :

• Chiffrement TLS 1.2+ en transit et AES-256 au repos
• Authentification forte (JWT + OTP)
• Contrôle d'accès sur la base du principe du moindre privilège
• Journalisation des accès et des opérations sensibles
• Sauvegardes régulières et testées
• Hébergement en Europe (Vercel Frankfurt + Supabase Frankfurt)

Article 10 — Notification des violations de données

En cas de Violation de données concernant les Données Personnelles traitées pour le compte du Client, Plenly notifie le Client dans un délai de 72 heures après en avoir pris connaissance, par email à l'adresse fournie lors de l'inscription. La notification inclut : la nature de la violation, les catégories et volumes de données concernées, les conséquences probables et les mesures prises ou envisagées.

Article 11 — Assistance au responsable de traitement

Plenly assiste le Client, dans la mesure du possible et compte tenu de la nature du traitement, pour lui permettre de s'acquitter de ses obligations : réponse aux droits des personnes concernées (accès, rectification, effacement, portabilité, opposition), analyse d'impact (AIPD) si requise, et notification des violations aux autorités compétentes.

Article 12 — Transferts internationaux

Tout transfert de Données Personnelles hors de l'Union Européenne est encadré par les Clauses Contractuelles Types (CCT) de la Commission européenne (décision 2021/914). La liste des sous-traitants ultérieurs établis hors UE et les garanties applicables figurent en Annexe 3.

Article 13 — Audits

Le Client peut, à ses frais et avec un préavis de 30 jours, mandater un auditeur indépendant soumis à une obligation de confidentialité pour vérifier le respect par Plenly de ses obligations au titre du présent DPA. La fréquence des audits est limitée à une fois par an, sauf en cas de Violation de données avérée.

Article 14 — Restitution ou suppression des données

À l'expiration du DPA, Plenly s'engage, au choix du Client exprimé dans les 30 jours suivant la résiliation : (i) à restituer l'ensemble des Données Personnelles dans un format structuré et couramment utilisé, ou (ii) à procéder à leur suppression définitive et sécurisée. Plenly adresse au Client une attestation de suppression sur demande. Les données peuvent être conservées au-delà de ce délai uniquement en vertu d'une obligation légale.

Article 15 — Responsabilité

Chaque partie est responsable de ses propres manquements au présent DPA. En cas de réclamation d'une personne concernée ou d'une autorité de contrôle résultant d'un manquement imputable au Client, ce dernier garantit Plenly contre tout recours. La responsabilité de Plenly au titre du présent DPA est limitée aux dommages directs et au plafond prévu dans les CGU.

Contact

Pour toute question relative au présent DPA : contact@plenly.io