Accord de traitement des données (DPA)

Préambule

Le présent accord de traitement des données (« DPA », pour Data Processing Agreement) complète les CGU et CGV de MovUP. Il formalise les obligations respectives de l'Éditeur et du Client en matière de protection des données personnelles, conformément à l'article 28 du règlement (UE) 2016/679 (RGPD).

Lorsque le Client utilise MovUP pour traiter des données relatives à ses propres prospects, contacts et clients, il agit en qualité de Responsable de traitement. L'Éditeur agit alors en qualité de Sous-traitant et traite ces données uniquement sur instruction documentée du Client.

1. Objet et durée

Le présent DPA s'applique pour toute la durée de l'abonnement du Client au Service MovUP. Il prend automatiquement fin à la résiliation de l'abonnement, sauf pour les obligations qui survivent par leur nature (confidentialité, restitution ou destruction des données).

2. Nature et finalité du traitement

L'Éditeur traite les données du Client aux seules fins de :

• Stockage et hébergement des données saisies par le Client
• Mise à disposition des fonctionnalités du Service (pipeline, agenda, carte, devis, mail)
• Sauvegarde et restauration en cas d'incident
• Sécurité et lutte contre les abus
• Support technique sur demande explicite du Client

Aucun autre traitement n'est effectué sur ces données. En particulier, l'Éditeur n'utilise pas les données du Client pour entraîner des modèles d'intelligence artificielle, à des fins commerciales propres, ou pour les communiquer à des tiers à des fins marketing.

3. Catégories de données et de personnes concernées

Personnes concernées :

• Prospects et contacts professionnels saisis par le Client
• Clients du Client
• Salariés et collaborateurs du Client utilisateurs du Service

Catégories de données traitées :

• Identité (nom, prénom, fonction)
• Coordonnées professionnelles (email, téléphone, adresse)
• Données entreprise (raison sociale, SIRET, secteur)
• Historique des échanges et statut commercial
• Données de facturation

Aucune donnée sensible au sens de l'article 9 du RGPD ne doit être saisie dans MovUP. Le Client s'engage à ne pas importer de données de santé, d'opinions politiques, religieuses, syndicales, d'orientation sexuelle, de données génétiques ou biométriques.

4. Obligations de l'Éditeur (sous-traitant)

L'Éditeur s'engage à :

• Traiter les données uniquement selon les instructions documentées du Client (les CGU, CGV, paramétrages du Service et présent DPA constituent ces instructions).
• Garantir la confidentialité des données et veiller à ce que les personnes autorisées à les traiter soient soumises à une obligation de confidentialité.
• Mettre en œuvre les mesures techniques et organisationnelles appropriées (article 32 RGPD), détaillées en annexe et dans la Politique de confidentialité.
• Notifier au Client toute violation de données concernant ses données dans les meilleurs délais après en avoir pris connaissance, et au plus tard sous 48 heures, en lui fournissant toutes les informations nécessaires pour qu'il remplisse ses propres obligations vis-à-vis de la CNIL et des personnes concernées.
• Aider le Client, dans la mesure du possible, à répondre aux demandes d'exercice des droits des personnes concernées.
• Mettre à disposition du Client toutes les informations nécessaires pour démontrer le respect des obligations RGPD et permettre la réalisation d'audits.
• À l'issue de la prestation, sur instruction du Client, restituer ou détruire les données dans un délai maximum de 90 jours, sauf obligation légale de conservation.

5. Obligations du Client (responsable de traitement)

Le Client s'engage à :

• Ne saisir et importer dans MovUP que des données collectées de manière licite, loyale et transparente.
• Disposer d'une base légale valide pour chaque traitement (intérêt légitime B2B, consentement, exécution d'un contrat, obligation légale).
• Informer les personnes concernées du traitement de leurs données via MovUP, dans le respect des articles 13 et 14 du RGPD.
• Tenir un registre de ses traitements (article 30 RGPD) si applicable.
• Respecter les durées de conservation appropriées et purger régulièrement ses bases.
• Répondre en première ligne aux demandes d'exercice de droits formulées par les personnes concernées.
• Ne pas utiliser MovUP pour des traitements à risque élevé sans avoir réalisé une analyse d'impact (AIPD / DPIA) préalable.

6. Sous-traitants ultérieurs

Le Client autorise l'Éditeur à recourir à des sous-traitants ultérieurs pour la fourniture du Service. La liste actualisée est publiée sur la page Sous-traitants.

Tout ajout ou remplacement de sous-traitant fera l'objet d'une notification au Client par email au moins 30 jours avant l'entrée en vigueur. Le Client dispose d'un droit d'opposition motivé pendant cette période ; à défaut d'opposition, le changement est réputé accepté.

L'Éditeur impose à ses sous-traitants ultérieurs des obligations équivalentes à celles du présent DPA, par contrat écrit.

7. Transferts internationaux

Lorsqu'un transfert de données hors UE/EEE est nécessaire, l'Éditeur s'appuie sur les garanties suivantes :

• Décisions d'adéquation de la Commission européenne (Royaume-Uni, Suisse)
• Data Privacy Framework UE-USA pour les prestataires américains certifiés
• Clauses contractuelles types (SCC 2021/914)
• Mesures techniques complémentaires : chiffrement, pseudonymisation, contrôle des accès

Une analyse d'impact des transferts (TIA) est tenue à disposition du Client sur simple demande à dpo@movup.io.

8. Audit et contrôle

Le Client peut, sur préavis raisonnable de 30 jours et au maximum une fois par an (sauf incident de sécurité avéré), demander un audit du respect par l'Éditeur des obligations du présent DPA. L'audit peut être réalisé par le Client lui-même ou par un tiers indépendant soumis à confidentialité.

L'Éditeur peut satisfaire à cette obligation par la communication de rapports d'audit existants, certifications (ISO 27001, SOC 2) ou attestations de ses sous-traitants techniques majeurs.

Annexe — Mesures techniques et organisationnelles

L'Éditeur met en œuvre les mesures suivantes, conformes à l'état de l'art et à l'article 32 du RGPD :

• Confidentialité : chiffrement TLS 1.3, chiffrement des bases au repos, hachage des mots de passe (bcrypt ≥ coût 12), cloisonnement multi-tenant strict.
• Intégrité : journalisation des accès, contrôle des droits, validation des entrées, protections CSRF/XSS/SQLi.
• Disponibilité : sauvegardes chiffrées quotidiennes, procédures de restauration testées, redondance via les sous-traitants techniques.
• Résilience : plan de continuité documenté, monitoring 24/7, alertes automatisées.
• Tests réguliers : revue de code, audits de dépendances automatisés, mises à jour de sécurité.
• Gouvernance : politique de sécurité interne, formation du personnel, procédure incident documentée, point de contact securite@movup.io.

Contact

Toute question relative au présent DPA : dpo@movup.io.