Accord de traitement des données (DPA — RGPD art. 28)

1. Objet, définitions et articulation contractuelle

Le présent DPA a pour objet de définir les conditions dans lesquelles CloseHunt traite, en qualité de sous-traitant, les données à caractère personnel pour le compte du Client, responsable du traitement, dans le cadre de la fourniture des services de la plateforme CloseHunt (« les Services »). Il met en œuvre les exigences de l'article 28, paragraphe 3, du RGPD.

Les termes « données à caractère personnel », « traitement », « responsable du traitement », « sous-traitant », « sous-traitant ultérieur », « personne concernée », « violation de données à caractère personnel », « autorité de contrôle » et « instructions documentées » ont le sens que leur donne le RGPD. Les « Données de Prospects » désignent les données à caractère personnel décrites à l'Annexe 1, traitées par CloseHunt pour le compte du Client. Les « Données de Compte » désignent les données relatives au compte, à la facturation, à l'authentification, à l'usage et à la sécurité des utilisateurs du Client, pour lesquelles CloseHunt agit en qualité de responsable du traitement distinct (voir article 3).

Le présent DPA complète les CGU et les CGV et s'y incorpore. La Politique d'utilisation acceptable (AUP) y est incorporée par référence et opérationnalise les obligations de licéité incombant au Client en sa qualité de responsable du traitement. En cas de contradiction relative au traitement des données à caractère personnel pour le compte du Client, le présent DPA prévaut sur les CGU et les CGV ; pour toute autre question, l'ordre de priorité défini dans les CGV s'applique. Le présent DPA est régi par le droit français ; tout litige relève du Tribunal de commerce de [VILLE_SIEGE], les parties étant des professionnels (clause attributive de compétence).

2. Durée et nature & finalité du traitement

Le présent DPA produit ses effets à compter de la date d'acceptation des CGU/CGV par le Client et demeure en vigueur pendant toute la durée de fourniture des Services impliquant un traitement de Données de Prospects, puis jusqu'à la restitution ou la suppression des données conformément à l'article 13.

La nature et la finalité du traitement sont la prospection commerciale sortante multicanale et la réponse automatisée aux messages entrants, exécutées de manière autonome par des agents d'intelligence artificielle paramétrés par le Client, à travers huit canaux (e-mail, LinkedIn, WhatsApp, Telegram, Instagram, Messenger, SMS et appels vocaux), pour le compte et selon les instructions du Client. CloseHunt fournit un outil de configuration et d'automatisation : il ne sélectionne pas les destinataires, ne définit pas la stratégie commerciale du Client et ne détermine ni les finalités ni les moyens essentiels de la prospection. Le détail des opérations de traitement figure à l'Annexe 1, qui fait partie intégrante du présent DPA.

CloseHunt n'utilise les Données de Prospects pour aucune finalité propre. En particulier, CloseHunt ne réutilise pas les Données de Prospects pour entraîner ses modèles, ne les revend pas et ne les exploite pas de manière transversale entre clients (no cross-tenant use). Toute réutilisation à des fins propres ferait de CloseHunt un responsable du traitement pour cette opération, ce que le présent DPA prohibe expressément.

3. Rôles des parties

Pour les Données de Prospects décrites à l'Annexe 1, le Client est le RESPONSABLE DU TRAITEMENT au sens de l'article 4, point 7, du RGPD : il décide qui contacter, par quels canaux, avec quel message, à quelle fréquence et sur quelle base juridique ; il assume l'évaluation de l'intérêt légitime (LIA) lorsqu'il s'en prévaut, l'information des personnes concernées (article 14 du RGPD), la licéité substantielle de la prospection au regard du RGPD, de la directive « vie privée et communications électroniques » (ePrivacy) et des règles propres aux plateformes-canaux, ainsi que la responsabilité première de répondre aux demandes des personnes concernées et de notifier toute violation à son autorité de contrôle.

Pour ces mêmes Données de Prospects, CloseHunt est le SOUS-TRAITANT au sens de l'article 4, point 8, du RGPD : il agit uniquement sur les instructions documentées du Client (article 4), met en œuvre les mesures de sécurité (article 6), gère les sous-traitants ultérieurs (article 7), assiste le Client (articles 9 et 10) sans se substituer à lui, et restitue ou supprime les données en fin de contrat (article 13).

Pour les Données de Compte, CloseHunt agit en qualité de responsable du traitement distinct et autonome, régi par sa Politique de confidentialité et non par le présent DPA. Le Client ne saurait revendiquer aucun contrôle sur les Données de Compte au titre du présent DPA. Les analyses agrégées et anonymisées produites par CloseHunt à des fins d'amélioration et de sécurité des Services, qui ne permettent pas de réidentifier une personne concernée, ne constituent pas des Données de Prospects.

Lorsque le Client est établi hors de l'Union européenne mais cible des personnes situées dans l'Union, il demeure responsable du traitement soumis au RGPD ; il lui appartient de désigner, le cas échéant, un représentant au sens de l'article 27 du RGPD et un délégué à la protection des données au sens de l'article 37. CloseHunt n'assume aucune de ces fonctions pour le compte du Client.

4. Traitement sur instructions documentées et devoir d'alerte

CloseHunt ne traite les Données de Prospects que sur la base des instructions documentées du Client, y compris en ce qui concerne les transferts de données à caractère personnel vers un pays tiers, sauf obligation imposée par le droit de l'Union ou le droit d'un État membre auquel CloseHunt est soumis ; dans ce cas, CloseHunt informe le Client de cette obligation juridique avant le traitement, sauf si ce droit interdit une telle information pour des motifs importants d'intérêt public.

Constituent l'intégralité des instructions documentées du Client au sens de l'article 28, paragraphe 3, point a) du RGPD : (i) le présent DPA et les CGU/CGV ; (ii) le paramétrage de la plateforme par le Client (agents, séquences, segments, canaux, règles d'envoi et de réponse) ; et (iii) les actions effectuées par le Client ou ses utilisateurs au sein de la plateforme. Toute instruction complémentaire doit être convenue par écrit et peut donner lieu à facturation si elle excède les fonctionnalités standard.

Conformément au dernier alinéa de l'article 28, paragraphe 3, du RGPD, CloseHunt informe immédiatement le Client si, à son avis, une instruction constitue une violation du RGPD ou d'autres dispositions du droit de l'Union ou du droit national relatives à la protection des données. CloseHunt peut suspendre l'exécution de l'instruction concernée jusqu'à confirmation, modification ou retrait par le Client, sans que cela constitue un manquement. Ce droit d'alerte ne fait pas peser sur CloseHunt une obligation de conseil juridique ni de contrôle de la base juridique, de l'information des personnes ou de la licéité de la prospection du Client, qui demeurent de la seule responsabilité du Client.

5. Confidentialité du personnel

CloseHunt veille à ce que les personnes autorisées à traiter les Données de Prospects — salariés, prestataires et sous-traitants — s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité, conformément à l'article 28, paragraphe 3, point b) du RGPD.

CloseHunt limite l'accès aux Données de Prospects aux seules personnes ayant besoin d'y accéder pour l'exécution des Services (principe du besoin d'en connaître et du moindre privilège). Les engagements de confidentialité survivent à la cessation des fonctions ou du contrat des personnes concernées. CloseHunt s'assure que ces personnes sont sensibilisées à leurs obligations en matière de protection des données.

6. Mesures de sécurité (art. 32)

Compte tenu de l'état de l'art, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques pour les droits et libertés des personnes, CloseHunt met en œuvre les mesures techniques et organisationnelles appropriées exigées par l'article 32 du RGPD et décrites à l'Annexe 1. Ces mesures sont réputées constituer les mesures de sécurité convenues entre les parties.

CloseHunt peut faire évoluer ses mesures techniques et organisationnelles, à condition que le niveau de protection des Données de Prospects ne soit pas substantiellement diminué. Le Client reconnaît qu'il lui appartient d'évaluer si ces mesures sont appropriées au regard des risques propres à son traitement et d'activer et maintenir activées les fonctionnalités de protection mises à sa disposition (notamment la gestion des oppositions/STOP, les listes de suppression et la journalisation des consentements et oppositions).

• Chiffrement des données à caractère personnel en transit (TLS) et au repos ;
• Hébergement et stockage primaire au sein de l'Union européenne (voir Annexe 1 et article 8) ;
• Contrôle d'accès fondé sur les rôles, authentification renforcée et principe du moindre privilège ;
• Cloisonnement logique des données entre clients (isolation multi-tenant) ;
• Stockage chiffré des clés d'API d'enrichissement fournies par le Client et des secrets de connexion aux canaux ;
• Journalisation, traçabilité et surveillance des accès et des opérations ;
• Sauvegardes et procédures de restauration permettant de rétablir la disponibilité et l'accès aux données ;
• Gestion des vulnérabilités et tests réguliers de l'efficacité des mesures.

7. Sous-traitance ultérieure

Le Client autorise de manière générale, par écrit, le recours par CloseHunt à des sous-traitants ultérieurs pour l'exécution des Services, conformément à l'article 28, paragraphes 2 et 4, du RGPD. La liste des catégories de sous-traitants ultérieurs actuellement engagés figure à l'Annexe 2 ; CloseHunt en tient une version à jour qu'il met à la disposition du Client.

CloseHunt informe le Client préalablement à toute adjonction ou tout remplacement de sous-traitant ultérieur, moyennant un préavis raisonnable (en principe trente (30) jours), par courrier électronique et/ou notification au sein de la plateforme. Le Client peut s'opposer à un changement pour des motifs raisonnables et documentés tenant à la protection des données, dans le délai du préavis. Les parties s'efforcent de bonne foi de résoudre l'objection ; à défaut de solution, le Client peut, à titre de seul et unique recours, résilier sans pénalité le Service affecté par le changement.

CloseHunt impose à chaque sous-traitant ultérieur, par contrat, des obligations de protection des données substantiellement équivalentes à celles du présent DPA (flow-down), en particulier des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées. CloseHunt demeure pleinement responsable envers le Client de l'exécution, par ses sous-traitants ultérieurs, de leurs obligations en matière de protection des données.

Les fournisseurs d'enrichissement tiers configurés par le client au moyen de ses propres clés d'API (« bring-your-own-key ») sont engagés sur le compte et sur instruction du Client : ils ne constituent pas des sous-traitants ultérieurs de CloseHunt et relèvent d'un arrangement contractuel propre au Client. CloseHunt agit à leur égard en simple intermédiaire technique (conduit) acheminant les données selon le paramétrage du Client.

8. Transferts internationaux

Les Données de Prospects sont hébergées et stockées de manière primaire au sein de l'Union européenne (hébergement / infrastructure cloud — Scaleway SAS, France/UE). Lorsqu'un sous-traitant ultérieur traite des Données de Prospects en dehors de l'Espace économique européen — notamment pour l'inférence d'intelligence artificielle —, ce transfert s'effectue sur le fondement, par ordre de priorité : (i) d'une décision d'adéquation de la Commission européenne, en ce compris le cadre de protection des données UE–États-Unis (EU-US Data Privacy Framework) pour les importateurs certifiés ; (ii) à défaut, des clauses contractuelles types adoptées par la décision d'exécution (UE) 2021/914, réputées incorporées par référence et pré-armées (Module 2 responsable-vers-sous-traitant lorsque CloseHunt traite hors EEE, et Module 3 sous-traitant-vers-sous-traitant ultérieur), assorties d'une analyse d'impact des transferts (Transfer Impact Assessment) au titre de la clause 14 ; (iii) à titre exceptionnel, d'une dérogation prévue à l'article 49 du RGPD.

Les parties conviennent que les clauses contractuelles types s'appliquent automatiquement, sans formalité supplémentaire, en cas d'expiration, de retrait ou d'invalidation d'une certification au titre du cadre de protection des données ou d'une décision d'adéquation, leurs annexes étant alors renseignées par renvoi aux Annexes 1 et 2 du présent DPA. Le Client agit en qualité d'exportateur de données et CloseHunt en qualité d'importateur ou d'exportateur ultérieur selon le flux concerné.

Pour les flux de données provenant du Royaume-Uni, l'Addendum international de transfert de données du Royaume-Uni (UK IDTA Addendum) s'ajoute aux clauses contractuelles types ; pour les flux de données provenant de Suisse, les clauses sont lues conformément au droit suisse (la PFPDT étant l'autorité compétente, les références au RGPD s'entendant comme renvoyant à la LPD révisée). Ces addenda ne s'appliquent que lorsque l'outil de transfert pertinent est mobilisé.

9. Assistance aux droits des personnes concernées

Conformément à l'article 28, paragraphe 3, point e) du RGPD, CloseHunt aide le Client, par des mesures techniques et organisationnelles appropriées et dans la mesure du possible, à s'acquitter de son obligation de donner suite aux demandes d'exercice des droits des personnes concernées (accès, rectification, effacement, limitation, portabilité, opposition — y compris le droit absolu d'opposition à la prospection au titre de l'article 21, paragraphe 2, du RGPD).

À cette fin, CloseHunt met à la disposition du Client des fonctionnalités en libre-service : export des données (DSAR), rectification et effacement, mise en œuvre et respect des listes de suppression, gestion et application des oppositions et des mots-clés STOP, et journalisation des consentements, oppositions et événements. Une page publique d'opposition est disponible à l'adresse https://closehunt.io/opt-out.

Si une personne concernée adresse directement à CloseHunt une demande relative à des Données de Prospects, CloseHunt la transmet sans retard injustifié au Client et n'y répond pas de son propre chef, sauf instruction du Client ou obligation légale. Le Client demeure seul responsable de l'appréciation juridique et de la réponse substantielle à chaque demande. L'assistance excédant les fonctionnalités standard de la plateforme peut donner lieu à facturation, compte tenu de la nature du traitement et des informations dont CloseHunt dispose.

10. Assistance en matière de sécurité, de violations, d'AIPD et de consultation préalable (art. 32 à 36)

Conformément à l'article 28, paragraphe 3, point f) du RGPD, et compte tenu de la nature du traitement et des informations dont il dispose, CloseHunt aide le Client à garantir le respect des obligations prévues aux articles 32 à 36 du RGPD, à savoir la sécurité du traitement, la notification des violations, la communication des violations aux personnes concernées, l'analyse d'impact relative à la protection des données (AIPD) et la consultation préalable de l'autorité de contrôle.

CloseHunt notifie au Client toute violation de données à caractère personnel affectant les Données de Prospects sans retard injustifié après en avoir pris connaissance, afin de permettre au Client de respecter, le cas échéant, son obligation de notification à l'autorité de contrôle dans le délai de soixante-douze (72) heures prévu à l'article 33 du RGPD. La notification de CloseHunt comporte les informations raisonnablement disponibles à ce moment (nature de la violation, catégories et nombre approximatif de personnes et d'enregistrements concernés, conséquences probables et mesures prises ou envisagées) et est complétée à mesure que de nouveaux éléments deviennent disponibles.

Il est expressément convenu que le Client, en sa qualité de responsable du traitement, est seul responsable de notifier la violation à son autorité de contrôle (article 33) et, le cas échéant, de la communiquer aux personnes concernées (article 34). La notification d'une violation par CloseHunt n'emporte aucune reconnaissance de faute ou de responsabilité de sa part. Toute assistance excédant les fonctionnalités et informations standard peut donner lieu à facturation.

11. Tenue des registres, audits et inspections

CloseHunt tient le registre des activités de traitement effectuées pour le compte du Client prévu à l'article 30, paragraphe 2, du RGPD. Conformément à l'article 28, paragraphe 3, point h) du RGPD, CloseHunt met à la disposition du Client toutes les informations nécessaires pour démontrer le respect des obligations du présent article et du RGPD.

Le Client peut exercer son droit d'audit en priorité par la consultation de la documentation, de la description des mesures techniques et organisationnelles, ainsi que des rapports d'audit indépendants ou certifications dont CloseHunt dispose. Lorsque ces éléments ne suffisent pas à démontrer la conformité, le Client (ou un auditeur mandaté par lui, tenu à la confidentialité et n'étant pas un concurrent de CloseHunt) peut réaliser un audit sur site, dans les conditions suivantes : préavis écrit raisonnable d'au moins trente (30) jours ; au maximum une fois par période de douze (12) mois (sauf exigence d'une autorité de contrôle ou survenance d'une violation justifiant un audit supplémentaire) ; pendant les heures ouvrées ; dans le respect d'un accord de confidentialité ; sans perturber l'activité de CloseHunt ni compromettre la sécurité ou la confidentialité des données d'autres clients ; et aux frais du Client.

CloseHunt contribue aux audits et inspections menés par le Client ou par l'auditeur mandaté, dans les limites définies au présent article. Ces modalités visent à concilier l'effectivité du droit d'audit avec la sécurité de l'environnement multi-tenant et la protection des secrets d'affaires de CloseHunt et de ses autres clients.

12. Responsabilité et articulation avec les CGU/CGV

Chaque partie est responsable, à l'égard des personnes concernées et des autorités de contrôle, du respect des obligations que le RGPD met à sa charge en raison de son rôle, conformément à l'article 82 du RGPD. CloseHunt n'est responsable, en sa qualité de sous-traitant, que du manquement aux obligations du RGPD spécifiquement applicables aux sous-traitants ou de l'inobservation des instructions licites du Client.

Le Client garantit qu'il dispose, pour chaque personne concernée, d'une base juridique valable au titre de l'article 6 du RGPD (en règle générale l'intérêt légitime au sens de l'article 6, paragraphe 1, point f), étayé par une évaluation documentée pour la prospection B2B, ou le consentement lorsqu'il est requis), qu'il respecte l'ensemble des règles applicables en matière de prospection, de communications électroniques (ePrivacy) et les conditions des plateformes-canaux, par canal et par pays, qu'il a le droit de téléverser et de cibler chaque contact, qu'il informe les personnes concernées conformément à l'article 14 du RGPD, et qu'il honore les oppositions. Ces garanties sont précisées dans la Politique d'utilisation acceptable (AUP) et dans les CGV.

Le Client indemnise CloseHunt contre toute réclamation de tiers, action d'une autorité de contrôle, sanction ou demande d'une personne concernée découlant de la collecte ou de la source des données par le Client, de ses décisions de ciblage, de l'absence de base juridique ou de consentement, du non-respect des règles anti-spam ou des règles des canaux, ou de toute instruction du Client. La responsabilité de CloseHunt est par ailleurs limitée et plafonnée dans les conditions prévues par les CGV. Lorsque CloseHunt est tenu d'indemniser une personne concernée pour un dommage trouvant son origine dans une décision relevant du Client en sa qualité de responsable du traitement, CloseHunt dispose d'un droit de recours pour obtenir du Client le remboursement de la part de responsabilité correspondante (article 82, paragraphe 5, du RGPD). Aucune stipulation du présent DPA n'a pour objet ou pour effet d'exclure une responsabilité que le RGPD rend non exclusible à l'égard des personnes concernées.

13. Sort des données en fin de contrat

Au terme de la fourniture des Services, au choix du Client, CloseHunt supprime ou restitue l'ensemble des Données de Prospects et supprime les copies existantes, conformément à l'article 28, paragraphe 3, point g) du RGPD, sauf si le droit de l'Union ou le droit d'un État membre exige leur conservation. Dans ce dernier cas, CloseHunt isole et protège les données conservées et n'en poursuit aucun autre traitement.

Le Client dispose d'une fonctionnalité d'export en libre-service lui permettant de récupérer ses données avant la cessation des Services. CloseHunt procède à la restitution ou à la suppression dans un délai de trente (30) jours suivant la cessation des Services ou la demande du Client (sous réserve des délais techniques de purge des sauvegardes). À défaut d'instruction du Client à l'expiration de ce délai, CloseHunt procède à la suppression par défaut.

Les enregistrements de suppression et d'opposition (listes de suppression, journaux d'opt-out) peuvent être conservés au-delà, sous une forme minimisée, dans l'unique but de permettre au Client et à CloseHunt d'honorer les oppositions des personnes concernées et de démontrer leur respect. Sur demande, CloseHunt remet au Client une attestation de suppression ou de restitution.

14. Contact, dispositions finales et droit applicable

Pour toute question relative à la protection des données dans le cadre du présent DPA, le Client peut contacter CloseHunt aux adresses [email protected] et [email protected]. Les questions juridiques peuvent être adressées à [email protected] et les demandes d'assistance à [email protected].

Le présent DPA est régi par le droit français et complété par les Annexes 1 et 2 qui en font partie intégrante. Tout différend entre les parties, qui sont des professionnels, relatif à la formation, à l'interprétation ou à l'exécution du présent DPA relève de la compétence exclusive du Tribunal de commerce de [VILLE_SIEGE], conformément à la clause attributive de compétence figurant dans les CGV. CloseHunt est édité par [DENOMINATION], [FORME_SOCIALE] au capital de [CAPITAL_SOCIAL], dont le siège social est situé [ADRESSE_SIEGE], immatriculée au RCS de [RCS_VILLE] sous le numéro [SIREN], TVA intracommunautaire [TVA_INTRA], directeur de la publication [DIRECTEUR_PUBLICATION]. L'hébergeur est Scaleway SAS, 8 rue de la Ville l'Évêque, 75008 Paris, France.

Annexe 1 — Description du traitement et mesures de sécurité

La présente Annexe contient les éléments descriptifs exigés par l'article 28, paragraphe 3, du RGPD et la description des mesures techniques et organisationnelles visées à l'article 6.

• Objet du traitement : exécution des Services de prospection commerciale automatisée et de réponse aux messages entrants fournis par CloseHunt au Client.
• Nature et finalité : prospection commerciale sortante multicanale et réponse automatisée aux messages entrants, exécutées par des agents d'IA paramétrés par le Client, pour le compte du Client, à travers huit canaux (e-mail, LinkedIn, WhatsApp, Telegram, Instagram, Messenger, SMS, appels vocaux).
• Durée du traitement : durée de fourniture des Services impliquant un traitement de Données de Prospects, puis jusqu'à restitution ou suppression conformément à l'article 13.
• Catégories de personnes concernées : prospects, leads et contacts professionnels ciblés par le Client et personnes répondant aux messages (« repliers »).
• Types de données à caractère personnel : identifiants et coordonnées professionnelles (nom, prénom, adresse e-mail professionnelle, numéro de téléphone, identifiants et comptes de messagerie sociale), fonction et entreprise, attributs d'enrichissement, contenu des messages envoyés et des réponses reçues, statut d'opposition/consentement et journaux associés.
• Données exclues : aucune donnée relevant des catégories particulières au sens de l'article 9 du RGPD, aucune donnée relative à des condamnations ou infractions, et aucune donnée de mineurs ne doit être traitée ; leur téléversement et leur ciblage sont interdits par l'AUP.
• Mesures de sécurité (art. 32) : chiffrement en transit et au repos ; hébergement et stockage primaire dans l'Union européenne ; contrôle d'accès fondé sur les rôles et moindre privilège ; isolation logique entre clients ; stockage chiffré des clés d'enrichissement et secrets de canaux ; journalisation et surveillance ; sauvegardes et restauration ; gestion des vulnérabilités et tests réguliers.
• Obligations et droits du responsable du traitement : tels qu'énoncés au présent DPA, notamment aux articles 3, 4, 9, 12 et 13.

Annexe 2 — Catégories de sous-traitants ultérieurs

CloseHunt recourt aux catégories de sous-traitants ultérieurs suivantes pour le traitement des Données de Prospects, sous autorisation générale du Client (article 7). CloseHunt tient à jour la liste des entités correspondantes et informe le Client préalablement à tout changement, conformément à l'article 7.

• Hébergement / infrastructure cloud (Scaleway SAS, France/UE) — hébergement et stockage des données ;
• Inférence IA (OpenAI, Anthropic) — génération et traitement des messages par les agents d'IA ;
• Paiement (Stripe) — traitement des paiements et de la facturation (concerne principalement les Données de Compte) ;
• Infrastructure de délivrabilité e-mail — acheminement et délivrabilité des messages e-mail ;
• Infrastructure de messagerie sociale et instantanée — acheminement des messages sur les canaux sociaux et de messagerie instantanée ;
• Passerelle SMS — acheminement des messages SMS ;
• Infrastructure d'appels vocaux — acheminement et traitement des appels vocaux.
• Pour mémoire, les fournisseurs d'enrichissement tiers configurés par le client (clés fournies par le Client) ne sont pas des sous-traitants ultérieurs de CloseHunt mais relèvent d'un arrangement propre au Client (article 7).