Accord de Traitement des Données
Conditions de traitement des données personnelles conformément au RGPD
1. Contexte
Le présent accord de traitement des données (« DPA ») est incorporé par référence aux Conditions et fait partie intégrante de l'Accord entre Revial (Prestataire de services) et le Client. Il établit les conditions dans lesquelles le Prestataire de services traite les données personnelles pour le compte du Client.
2. Portée
Lorsque le Client saisit des données personnelles dans les Services, ou lorsque celles-ci sont traitées lors de la fourniture du service, les deux parties reconnaissent que le Client agit en qualité de responsable du traitement et le Prestataire de services en qualité de sous-traitant, traitant les données personnelles pour le compte du Client aux fins de la fourniture du service.
En cas de conflit entre le présent DPA et d'autres dispositions de l'Accord, le présent DPA prévaut.
3. Définitions
Les termes utilisés dans le présent document — tels que « responsable du traitement », « sous-traitant », « personne concernée » et « données personnelles » — ont le sens qui leur est donné par le Règlement général sur la protection des données (UE) 2016/679 et par les autres lois applicables en matière de protection des données.
4. Traitement des données personnelles
La finalité du traitement est la fourniture des Services au Client. Cela inclut le stockage, la maintenance et le traitement opérationnel nécessaire. Les détails du traitement, les groupes concernés et les types de données sont décrits à l'Annexe 1.
Le traitement des données se poursuit pendant toute la durée du service et au-delà si la loi ou les obligations contractuelles l'exigent.
5. Instructions et responsabilité du Client
Le Prestataire de services traite les données conformément aux instructions écrites confirmées dans le présent DPA. Ce document constitue l'intégralité des instructions écrites du Client. Toute instruction supplémentaire nécessite un accord écrit distinct.
Le Client veille à ce que son traitement des données soit conforme aux réglementations applicables en matière de protection des données.
6. Obligations générales du Prestataire de services
Sur demande écrite et aux frais du Client, le Prestataire de services assiste le Client dans le traitement des demandes émanant de personnes concernées ou d'autorités. Cette assistance est facturable aux tarifs horaires standard, sauf convention contraire.
Le Prestataire de services notifie sans délai au Client les demandes des personnes concernées visant à exercer leurs droits au titre du RGPD.
Le Prestataire de services tient un registre de ses activités de traitement afin de démontrer sa conformité et fournit au Client des informations suffisantes sur demande écrite.
7. Sécurité des données
Le Prestataire de services met en œuvre les mesures techniques et organisationnelles appropriées garantissant un niveau de sécurité adéquat et protégeant les données personnelles contre tout traitement non autorisé, perte accidentelle, destruction, dommage, altération ou divulgation. Les mesures de sécurité sont décrites à l'Annexe 2.
Le Prestataire de services peut mettre à jour les mesures de sécurité tout en maintenant des niveaux de protection adéquats.
Dès qu'il a connaissance d'une violation de données personnelles, le Prestataire de services en avise sans délai le Client et prend des mesures raisonnables pour en atténuer les effets. Les notifications comprennent : (a) la description de la nature de la violation et des groupes concernés ; (b) les coordonnées pour toute information complémentaire ; (c) les conséquences probables ; et (d) les mesures correctives mises en œuvre ou proposées.
Le Prestataire de services coopère de manière raisonnable sur le plan commercial aux notifications de violations aux autorités et conserve la documentation des violations pour consultation par le Client.
8. Sous-traitants ultérieurs
Le Prestataire de services peut recourir à des sous-traitants ultérieurs pour la fourniture des services. Les informations relatives aux sous-traitants ultérieurs figurent à l'Annexe 3 ainsi que sur le site web, avec les informations à jour.
Le Prestataire de services notifie par écrit toute modification des sous-traitants ultérieurs au moins quatorze (14) jours à l'avance, laissant au Client un délai suffisant pour s'y opposer. Le Client consent au recours aux sous-traitants ultérieurs tel que décrit.
Le Prestataire de services veille à ce que les sous-traitants ultérieurs respectent des obligations substantiellement équivalentes en matière de protection des données et est responsable de leur conformité.
9. Transferts de données personnelles
Le Service utilise des sous-traitants ultérieurs, dont certains sont situés dans l'Espace économique européen (« EEE »), où les données personnelles sont conservées. Certains sous-traitants ultérieurs peuvent opérer en dehors de l'EEE (selon l'Annexe 3), ce que le Client accepte si le sous-traitant ultérieur : (i) effectue les transferts en vertu des Clauses contractuelles types de l'UE applicables (SCC) ; ou (ii) utilise d'autres mécanismes appropriés tels que le cadre EU-U.S. Data Privacy Framework ou des décisions d'adéquation.
10. Audits
Sur demande écrite et aux frais du Client, le Client peut auditer la conformité du Prestataire de services au présent DPA et au RGPD une fois tous les douze (12) mois. Les rapports d'audit sont considérés comme des informations confidentielles du Prestataire de services.
11. Confidentialité des données
Le Prestataire de services s'assure que le personnel et les entités traitant des données dans le cadre du présent DPA respectent une confidentialité appropriée. Les obligations de confidentialité suivent par ailleurs les Conditions.
12. Autres dispositions, prise d'effet et résiliation
Les dispositions des Conditions s'appliquent par ailleurs, y compris les limitations de responsabilité et de dommages et intérêts.
Le présent DPA prend effet avec l'Accord principal et demeure en vigueur jusqu'à la résiliation de l'Accord ou tant que le Prestataire de services traite les données du Client.
Sauf instruction écrite contraire du Client, et sauf si la loi exige leur conservation, le Prestataire de services supprime et détruit les données personnelles traitées dans les délais prévus à l'article 4.4 des Conditions, période pendant laquelle le Client peut récupérer les données depuis le Service.
Annexe 1 : Détails du traitement
Les informations suivantes complètent le présent DPA et décrivent les parties au traitement, la nature, la finalité et la durée du traitement, ainsi que les types de données personnelles et les catégories de personnes concernées, conformément à l'article 28 du RGPD.
Responsable du traitement : Le Client (l'organisation cliente définie dans l'accord principal de Revial). Adresse : l'adresse officielle du Client (telle qu'indiquée dans l'accord principal). Personne de contact : le représentant du Client (p. ex. signataire ou personne de contact en matière de protection des données).
Rôle : Responsable du traitement — Le Client utilise le Service Revial pour le traitement des données personnelles à ses propres fins (ventes et relations clients) et détermine les finalités et les moyens du traitement.
Sous-traitant : Spinder Company Oy (numéro d'identification 3384117-2, société à responsabilité limitée finlandaise). Adresse : c/o Toinen Toimisto, Kempeleentie 7, 90400 Oulu. Personne de contact : le délégué à la protection des données ou la personne de contact de Revial (support@revial.com).
Rôle : Sous-traitant — Revial fournit un service logiciel de ventes basé sur le cloud (y compris des fonctionnalités d'IA) et traite les données personnelles du Client pour le compte du Client afin de fournir le Service conformément aux conditions de l'accord principal.
Nature et finalité du traitement : Le traitement des données personnelles est nécessaire pour que Revial fournisse au Client les fonctionnalités du Service. Le traitement comprend, entre autres, le stockage des données dans le système cloud de Revial (données clients et notes de type CRM), l'organisation et la récupération des données, la production d'analyses et de résumés basés sur l'IA à partir du contenu saisi par le Client (p. ex. résumé automatique de notes de réunion ou génération de brouillons d'e-mails), ainsi que les fonctionnalités de communication (p. ex. intégration e-mail, rappels). Le traitement est majoritairement automatisé et résulte des actions effectuées par le Client dans le Service. Revial ne traite les données que dans la mesure nécessaire à la fourniture et à la maintenance technique du Service.
La finalité du traitement est de permettre l'amélioration des processus de vente du Client : le Client peut stocker et gérer des prospects commerciaux, des données et contacts clients, suivre des conversations commerciales et utiliser les analyses et suggestions générées par l'IA dans le cadre de son activité commerciale.
Objet et durée du traitement : L'objet du traitement est constitué des données personnelles fournies par le Client ou collectées pour le compte du Client, liées aux activités de vente et de relation client du Client. Le traitement commence lorsque le Client télécharge pour la première fois des données personnelles dans le Service Revial et se poursuit pendant toute la durée de l'accord principal. Le traitement des données personnelles cesse à la résiliation de l'accord principal et lorsque toutes les données personnelles du Client ont été restituées ou supprimées de l'environnement de Revial conformément au présent DPA. En règle générale, le traitement est continu pendant la durée du contrat (des données personnelles sont ajoutées, modifiées, analysées et supprimées par le Client régulièrement dans le cadre de l'utilisation du Service).
Types de données personnelles : Les principales catégories de données personnelles suivantes sont traitées dans le Service :
- Coordonnées : noms, titres professionnels, nom de l'employeur ou de l'organisation, adresses e-mail professionnelles, numéros de téléphone, adresses postales et autres coordonnées similaires. (P. ex. coordonnées des prospects commerciaux et clients du Client, coordonnées professionnelles des employés du Client.)
- Contenu des communications : contenu des conversations et messages liés aux contacts commerciaux et clients. Cela peut inclure des notes de réunion, des enregistrements de réunions et d'appels ainsi que leurs transcriptions, des messages e-mail et fils de discussion, des conversations sur des plateformes de chat ou de messagerie, des propositions et projets de contrats, ainsi que d'autres documents contenant des commentaires, opinions, informations de planification, etc.
- Données d'événements et de suivi : informations relatives aux actions et interactions dans le processus de vente. Par exemple, les enregistrements des dates de réunion et des participants, des propositions envoyées, des dates d'appels ou de présentations, et des résultats associés (tels que « proposition acceptée/refusée », « appel de suivi prévu à la date X »). Ces données peuvent contenir le nom d'une personne et d'autres informations dans le cadre des enregistrements.
- Données de compte utilisateur et de journaux : informations de base relatives aux comptes des utilisateurs autorisés du Client (p. ex. employés) dans le Service, telles que nom, nom d'utilisateur, adresse e-mail, ainsi que les données de journaux générées par l'utilisation du Service, comme les heures de connexion, les actions clés effectuées par l'utilisateur (p. ex. ajout ou modification d'enregistrements), l'adresse IP du dispositif de l'utilisateur, et d'autres données techniques d'événements. Ces données peuvent être considérées comme des données personnelles lorsqu'elles se rapportent à une personne identifiable (l'utilisateur du Client).
- Catégories particulières de données personnelles (p. ex. origine raciale/ethnique, opinions politiques, convictions religieuses, données de santé ou biométriques, données relatives aux condamnations pénales) ne sont ni destinées ni autorisées à être traitées dans le Service.
Catégories de personnes concernées : Les données personnelles traitées par le Client dans le Service peuvent concerner les catégories suivantes de personnes concernées :
- Personnel du Client : employés, représentants ou autres utilisateurs du Service dont les données personnelles (principalement coordonnées professionnelles et données de compte utilisateur) sont traitées dans le cadre de l'utilisation du Service. (P. ex. commerciaux ou membres d'équipe dont les actions sont enregistrées dans le système et dont les coordonnées peuvent apparaître dans des invitations à des réunions ou des communications.)
- Clients et prospects du Client : personnes physiques (entrepreneurs individuels, personnes de contact de clients professionnels, clients consommateurs) visées par les activités de vente ou de marketing du Client et dont les données sont stockées dans le système. Ce groupe inclut, par exemple, des prospects (« leads »), des clients existants, des personnes de contact de partenaires commerciaux et d'autres contacts professionnels. Leurs données peuvent inclure des coordonnées et du contenu de communications, comme décrit ci-dessus.
- Représentants de tiers : autres personnes pouvant apparaître dans les données stockées par le Client. Par exemple, si un représentant d'une autre entreprise ou un référent participe à la réunion commerciale du Client, son nom et ses propos peuvent figurer dans les notes ou la transcription de la réunion. De même, si le Client enregistre les coordonnées de la personne de contact d'un client final dans le système dans le cadre du processus de vente, cette personne est une personne concernée dans le Service.
Durée et fin du traitement : Le traitement des données personnelles se poursuit pendant toute la durée de la relation contractuelle. Le Client peut déterminer des durées de conservation pendant l'utilisation du Service (p. ex. en supprimant régulièrement les données devenues inutiles). Revial se conforme également aux instructions du Client en matière de suppression de données pendant la durée du contrat. À la résiliation de l'Accord, les données personnelles seront soit restituées au Client, soit définitivement supprimées, conformément à la section 12 du DPA.
Annexe 2 : Mesures techniques et organisationnelles de sécurité de Revial
Revial a mis en œuvre les mesures techniques et organisationnelles essentielles suivantes pour protéger les données personnelles contre tout traitement non autorisé ou illicite, perte, destruction ou dommage. Les mesures ont été conçues en tenant compte de l'état de l'art, des coûts de mise en œuvre, de la nature, de la portée et des finalités du traitement, ainsi que des risques pour les données personnelles.
Contrôle d'accès : L'accès aux données personnelles du Client est limité aux personnes autorisées ayant une nécessité professionnelle de traiter ces données. Revial utilise des droits d'accès basés sur les rôles : les employés et les processus système ne bénéficient que des privilèges minimaux (principes du « need-to-know » et du « least privilege »). La connexion au système nécessite une authentification forte ; l'accès aux interfaces administratives du service exige au minimum un identifiant et un mot de passe, et pour les systèmes critiques, en plus, une authentification multifactorielle (MFA) lorsque cela est possible. Les mots de passe par défaut sont modifiés lors de la phase de déploiement. Les droits d'accès sont réexaminés régulièrement et, lorsque le rôle d'un employé change ou que son emploi prend fin, son accès aux données personnelles est supprimé ou bloqué sans délai. Toutes les personnes disposant de droits d'accès doivent s'engager à la confidentialité (comme décrit à la section 11).
Chiffrement : Revial protège les données personnelles par des méthodes de chiffrement fortes, à la fois en transit et au repos. Tout le trafic réseau entre le navigateur (ou autre application cliente) de l'utilisateur et le serveur de Revial est chiffré à l'aide du protocole TLS (Transport Layer Security) (version 1.2 minimum ou ultérieure), empêchant l'interception non autorisée des données lors de leur transmission. Les données sur les serveurs et dans les bases de données sont chiffrées au repos à l'aide d'algorithmes de chiffrement forts (p. ex. AES-256). Les clés de chiffrement sont gérées de manière sécurisée (en utilisant les services de gestion des clés du fournisseur cloud ou des mécanismes équivalents), et l'accès aux clés est limité à un petit nombre de personnes autorisées. Les sauvegardes et les supports amovibles contenant des données personnelles sont également chiffrés afin de garantir la protection des données en toutes circonstances.
Sécurité réseau et applicative : L'infrastructure cloud de Revial utilise des pare-feux et la segmentation du réseau pour protéger les données personnelles et les données clients. Seuls les services et ports essentiels sont exposés sur Internet ; autrement, l'accès aux bases de données et services internes est limité au réseau interne de Revial ou à des connexions VPN. Revial utilise des fournisseurs de routage et de diffusion de contenu qui assurent également la protection DDoS. Au niveau applicatif, Revial a mis en œuvre des mécanismes pour empêcher les événements malveillants courants (p. ex. limitation de fréquence pour les actions suspectes comme les tentatives de connexion par force brute). Revial met continuellement à jour ses composants logiciels contre les vulnérabilités connues : les correctifs de sécurité critiques sont installés rapidement, au plus tard dans les quelques jours ouvrables suivant leur publication. Le code et l'infrastructure de Revial font l'objet d'analyses de vulnérabilités régulières à l'aide d'outils automatisés. De plus, Revial commande périodiquement à des experts externes des tests d'intrusion de ses systèmes ; les résultats de ces tests sont examinés et toute faiblesse identifiée est corrigée sans délai.
Journalisation et supervision : Revial supervise ses systèmes afin de détecter les menaces de sécurité et les conditions d'erreur. Les systèmes clés font l'objet d'une collecte complète de journaux : les enregistrements incluent les connexions utilisateur, les actions significatives (p. ex. ajout, modification et suppression d'enregistrements), les messages d'erreur système et l'utilisation des ressources serveur. Ces données de journalisation sont protégées contre toute modification non autorisée et sont conservées pendant une période définie. Revial a mis en place des alertes automatiques — par exemple, des tentatives de connexion infructueuses répétées, des requêtes de base de données inhabituellement volumineuses ou des pics de performance serveur déclenchent des notifications à l'équipe d'exploitation. L'équipe de Revial examine régulièrement les données de journalisation et les alertes. Toute anomalie (p. ex. tentatives d'accès non authentifiées ou requêtes de données inhabituelles) est examinée sans délai. Les données de journalisation sont également utilisées à des fins d'investigation en cas de violations de sécurité.
Formation et fiabilité du personnel : La sécurité et la protection des données font partie de la culture d'entreprise de Revial. Les nouveaux employés sont formés aux politiques de sécurité et de protection des données de Revial, et l'ensemble du personnel suit au moins une formation annuelle couvrant les principes du RGPD, les bonnes pratiques de sécurité (p. ex. identification des attaques par hameçonnage) et les directives internes de l'entreprise sur le traitement des données personnelles. Des vérifications d'antécédents peuvent être effectuées pour les employés occupant des rôles critiques lors de la phase de recrutement, dans les limites autorisées par le droit applicable. Tous les employés de Revial ont signé des accords de confidentialité et s'engagent à respecter les politiques de sécurité et de protection des données de l'entreprise. Revial a défini des mesures disciplinaires internes en cas de manquement d'un employé à ses obligations en matière de protection des données ou de sécurité.
Sauvegardes et continuité : Revial garantit la disponibilité et l'intégrité des données personnelles en réalisant des sauvegardes régulières. Les bases de données contenant des données personnelles sont sauvegardées quotidiennement (ou plus fréquemment si la continuité d'activité l'exige). Les sauvegardes sont stockées chiffrées dans un emplacement distinct (p. ex. stockage d'un autre fournisseur cloud ou dans une autre région), protégé contre les menaces physiques et logiques. Revial a défini des objectifs de reprise : dans les cas critiques, l'objectif de temps de reprise (RTO) est généralement de 24 à 48 heures, et la perte de données maximale (objectif de point de reprise, RPO) est d'au maximum 24 heures (c'est-à-dire que les sauvegardes sont suffisamment fréquentes pour qu'au pire un jour de données puisse être perdu). La restauration des sauvegardes est testée régulièrement afin de s'assurer que les données peuvent être lues et restaurées comme prévu en cas de perturbation réelle. Revial dispose d'un plan de reprise après sinistre : si l'infrastructure serveur principale subit une défaillance majeure, Revial peut lancer ses services dans un environnement de secours (potentiellement dans un autre centre de données ou une autre région cloud) aussi rapidement que possible.
Gestion des incidents : Revial a établi un plan écrit de gestion des incidents de sécurité. Il définit les actions et responsabilités en cas de violations de sécurité suspectées ou détectées (y compris un plan de communication, une voie d'escalade et une coopération avec les autorités). Le personnel de Revial est formé à identifier et signaler sans délai les incidents de sécurité en interne. Lorsqu'une violation de données personnelles potentielle est détectée, l'équipe incident désignée de Revial ouvre une enquête : elle isole les systèmes affectés (si nécessaire, en les mettant temporairement hors ligne), identifie la cause et l'étendue de la violation et prend des mesures correctives. Revial documente chaque étape et procède à un examen post-incident pour tirer les enseignements de l'événement. Revial notifie les violations de données personnelles au Client conformément au DPA et l'assiste dans toute notification nécessaire aux autorités ou aux personnes concernées.
Gestion des sous-traitants ultérieurs : Revial s'assure que les sous-traitants ultérieurs qu'il utilise (voir Annexe 3) respectent des mesures de sécurité au moins aussi strictes que celles de Revial. Avant de recourir à un nouveau sous-traitant ultérieur, Revial évalue les pratiques et certifications de sécurité du prestataire (p. ex. certification ISO 27001, rapport SOC2) et s'assure contractuellement de l'engagement du sous-traitant ultérieur aux obligations de protection des données. Revial exige de ses sous-traitants ultérieurs qu'ils maintiennent, entre autres, la confidentialité, une formation adéquate du personnel, une protection technique et une notification rapide à Revial des violations de sécurité. Revial supervise le niveau de sécurité de ses principaux sous-traitants ultérieurs, par exemple en demandant régulièrement leurs rapports d'audit ou les notifications d'événements de sécurité. Si des lacunes sont identifiées dans les opérations d'un sous-traitant ultérieur, Revial prend des mesures (p. ex. exiger des corrections ou, si nécessaire, changer de prestataire de services).
Annexe 3 : Sous-traitants ultérieurs
| Sous-traitant ultérieur | Description (Fonction) | Localisation |
|---|---|---|
| Supabase, Inc. | Plateforme de base de données cloud, d'authentification et de stockage. Héberge la base de données du service Revial contenant les données personnelles du Client (contacts, notes, transcriptions, fichiers). | UE (Stockholm) |
| Stripe, Inc. | Prestataire de services de paiement. Traite les informations de paiement et de facturation du Client pour des transactions de paiement sécurisées. | UE |
| OpenAI, L.L.C. | Prestataire de services d'IA (API de modèle de langage). Traite le contenu textuel soumis au Service (p. ex. notes de réunion, brouillons de messages) pour produire des résultats basés sur l'IA (résumés, suggestions). | UE (principal) / USA (régi par SCC) |
| Skribe VOF (Skribby) | Service de transcription de réunions. Traite les enregistrements audio de réunions et produit des transcriptions textuelles pour l'utilisation du Client. | UE (Belgique) |
| Resend, Inc. | Prestataire de services de messagerie. Traite la distribution des e-mails pour les fonctionnalités de communication du Service. | USA (SCC) |
| Google LLC | Intégration du calendrier (API Google Calendar). Permet la synchronisation des données de calendrier du Client avec le Service après autorisation du Client. | USA (SCC, EU-U.S. Data Privacy Framework) |
| Microsoft Corporation | Intégration du calendrier et de la messagerie (API Microsoft Graph). Permet la synchronisation des données Microsoft 365 du Client avec le Service après autorisation du Client. | USA (SCC, EU-U.S. Data Privacy Framework) |
| PostHog, Inc. | Service d'analyse. Collecte et traite des données d'utilisation anonymisées pour améliorer le Service et l'expérience utilisateur. | UE (Francfort) |
| Zapier, Inc. | Plateforme d'intégration. Permet les automatisations et intégrations configurées par le Client avec des services tiers sous la direction et l'autorisation du Client. Remarque : intégration dirigée par le Client. | USA (SCC) |
| Vercel, Inc. | Infrastructure cloud pour l'application Revial. Fournit l'hébergement de l'interface du service et des fonctions backend, ainsi que la diffusion de contenu CDN (permettant la disponibilité mondiale du service). | UE (principal) et CDN mondial (UE/USA, SCC pour les transferts) |