Accord de Traitement des Données (DPA)
Dernière mise à jour : 25 mars 2026
1. Introduction
Le présent Accord sur le Traitement des Données (ci-après, « DPA ») est une annexe aux Conditions Généralesentre Digital Technologies OU (« Pilotium », « Sous-traitant ») et le client (« Client », « Responsable du traitement »). Le présent DPA a pour objet de garantir le respect du Règlement Général sur la Protection des Données (RGPD, Règlement UE 2016/679) et de toute autre législation applicable en matière de protection des données.
En utilisant les services de Pilotium, le Client accepte les termes du présent DPA.
2. Rôles des parties
- Responsable du traitement (Contrôleur) :Le Client, qui détermine les finalités et les moyens du traitement des données personnelles de ses leads, membres et clients de la salle de sport.
- Sous-traitant (Processeur) :Pilotium (Digital Technologies OÜ), qui traite les données personnelles au nom et pour le compte du Client conformément aux instructions du présent DPA.
Pilotium agit également en tant que responsable du traitement de ses propres données (données de compte du Client, données de facturation, données d’utilisation de la plateforme), dont le traitement est régi par la Politique de Confidentialité.
3. Données personnelles traitées
Dans le cadre de la prestation du Service, Pilotium peut traiter les catégories de données personnelles suivantes pour le compte du Client :
| Catégorie de données | Exemples |
|---|---|
| Données d’identification des leads | Nom, téléphone, email, ville |
| Données d’interaction | Messages WhatsApp avec les agents d’IA, réponses aux formulaires de captation, réservations de cours d’essai |
| Données d’enquêtes | Réponses des membres de la salle de sport (anonymisées pour les profils d’audience) |
| Données de campagne | Indicateurs publicitaires associés aux leads (impressions, clics, conversions) |
Catégories de personnes concernées :Leads (clients potentiels de la salle de sport), membres actuels de la salle de sport (dans le cas d’enquêtes), personnes interagissant avec les publicités du Client.
4. Finalité et durée du traitement
Pilotium traitera les données personnelles exclusivement aux fins suivantes :
- Gestion des campagnes publicitaires sur les Plateformes Publicitaires (Meta, Google, TikTok, Snapchat) au nom du Client
- Qualification des leads au moyen d’agents d’intelligence artificielle
- Gestion des réservations de cours d’essai
- Génération de rapports et d’analyses de performance pour le Client
- Notifications au Client concernant les nouveaux leads et l’état des campagnes
Le traitement sera maintenu pendant la durée de l’abonnement du Client et pendant les 30 jours suivant la résiliation (période de rétention). Passé ce délai, les données seront supprimées conformément à l’article 9.
5. Obligations de Pilotium en tant que Sous-traitant
Pilotium s’engage à :
- Traiter les données personnelles uniquement conformément aux instructions documentées du Client et aux fins établies dans le présent DPA, sauf lorsqu’une obligation légale l’exige (auquel cas, Pilotium informera préalablement le Client, sauf si la loi l’interdit)
- Garantir que toutes les personnes autorisées à traiter les données se sont engagées à la confidentialité
- Mettre en œuvre les mesures techniques et organisationnelles de sécurité décrites à l’article 7
- Ne pas sous-traiter le traitement sans l’autorisation préalable du Client, conformément à l’article 6
- Assister le Client dans l’accomplissement de ses obligations de réponse aux demandes d’exercice des droits des personnes concernées (accès, rectification, effacement, portabilité, etc.)
- Assister le Client dans l’accomplissement de ses obligations en matière de sécurité du traitement, de notification des violations de données, d’analyses d’impact et de consultations préalables auprès de l’autorité de contrôle
- Au choix du Client, supprimer ou restituer toutes les données personnelles à l’issue de la prestation du service, conformément à l’article 9
- Mettre à la disposition du Client toutes les informations nécessaires pour démontrer le respect des obligations établies par le RGPD art. 28
6. Sous-traitants ultérieurs
Le Client accorde à Pilotium une autorisation générale pour recourir à des sous-traitants ultérieurs. Les sous-traitants ultérieurs actuels sont :
| Sous-traitant ultérieur | Finalité | Localisation |
|---|---|---|
| Meta Platforms, Inc. | Publication et gestion de publicités | UE/É.-U. (DPF) |
| Google LLC | Publication et gestion de publicités | UE/É.-U. (DPF) |
| TikTok Inc. | Publication et gestion de publicités | É.-U./Singapour (SCC) |
| Anthropic PBC | Agent conversationnel d’IA | É.-U. (DPF) |
| Hetzner Online GmbH | Hébergement de serveurs et base de données | UE (Allemagne) |
| Brevo (Sendinblue) SAS | Envoi d’emails transactionnels | UE (France) |
| Resend Inc. | Envoi d’emails transactionnels | É.-U. (DPF) |
Pilotium informera le Client de tout ajout ou remplacement de sous-traitants ultérieurs avec un préavis minimum de 30 jours. Si le Client s’oppose à un nouveau sous-traitant ultérieur pour des motifs justifiés de protection des données, et que l’objection n’est pas résolue dans un délai de 30 jours, le Client pourra résilier le contrat sans pénalité.
Pilotium garantit que tous les sous-traitants ultérieurs sont liés par des obligations de protection des données équivalentes à celles établies dans le présent DPA.
7. Mesures de sécurité
Pilotium met en œuvre les mesures techniques et organisationnelles suivantes pour protéger les données personnelles :
- Chiffrement : TLS 1.2+ en transit, AES-256-CBC au repos
- Contrôle d’accès :Accès basé sur les rôles (principe du moindre privilège), authentification par clé SSH, mots de passe chiffrés avec bcrypt
- Sécurité du réseau : Pare-feu (UFW), protection contre les intrusions (fail2ban), protection DDoS (Cloudflare)
- Hébergement :Serveurs situés dans l’UE (Hetzner Online GmbH, Allemagne)
- Sauvegardes :Copies de sauvegarde périodiques dans l’UE
- Données de paiement :Traitées par Stripe (certifié PCI-DSS) ; les données de carte ne sont pas stockées sur les serveurs de Pilotium
- Confidentialité :Tout le personnel ayant accès aux données personnelles est soumis à des obligations de confidentialité
- Surveillance :Supervision continue des systèmes et alertes de sécurité
8. Violations de données
En cas de violation de données affectant des données personnelles traitées pour le compte du Client, Pilotium :
- Notifiera le Client sans retard injustifié, et en tout état de cause dans un délai maximum de 48 heures à compter de la prise de connaissance de la violation
- Fournira au Client toutes les informations disponibles sur la nature de la violation, les catégories de données affectées, les conséquences probables et les mesures adoptées ou proposées pour y remédier
- Coopérera pleinement avec le Client pour satisfaire aux obligations de notification à l’autorité de contrôle (art. 33 RGPD) et aux personnes concernées (art. 34 RGPD)
- Documentera toutes les violations de données et les mesures correctives adoptées
9. Restitution et suppression des données
Après la résiliation de l’abonnement du Client :
- Le Client pourra demander l’exportation de ses données de leads et de campagnes pendant les 30 jours suivant la résiliation
- Passé la période de rétention de 30 jours, Pilotium supprimera toutes les données personnelles traitées pour le compte du Client, sauf si une obligation légale exige leur conservation (auquel cas, les données seront bloquées et accessibles uniquement pour satisfaire à ladite obligation)
- Pilotium fournira au Client une confirmation écrite de la suppression, sur demande
10. Droits des personnes concernées
Si Pilotium reçoit une demande d’une personne concernée (lead ou autre personne dont les données sont traitées pour le compte du Client) visant à exercer ses droits en vertu du RGPD (accès, rectification, effacement, portabilité, opposition, etc.) :
- Pilotium informera le Client de ladite demande sans retard injustifié
- Pilotium ne répondra pas directement à la demande, sauf si le Client l’y autorise ou si la loi l’exige
- Pilotium apportera au Client l’assistance raisonnablement nécessaire pour répondre à la demande
11. Transferts internationaux
Lorsque le traitement de données personnelles pour le compte du Client implique des transferts en dehors de l’Espace économique européen, Pilotium garantit que des garanties adéquates sont mises en place :
- Décisions d’adéquation de la Commission européenne (art. 45 RGPD)
- EU-U.S. Data Privacy Framework (DPF) pour les prestataires adhérents
- Clauses contractuelles types (CCT) approuvées par la Commission européenne pour les autres cas
12. Audit
Pilotium mettra à la disposition du Client toutes les informations raisonnablement nécessaires pour démontrer le respect des obligations établies dans le présent DPA et à l’art. 28 du RGPD. Le Client (ou un auditeur désigné, soumis à la confidentialité) pourra réaliser un audit annuel, avec un préavis minimum de 30 jours, pendant les heures ouvrables et sans interférer avec les opérations de Pilotium.
13. Responsabilité
La responsabilité de chaque partie en relation avec le présent DPA est régie par les limitations établies dans les Conditions Générales. Rien dans le présent DPA ne limite la responsabilité de l’une ou l’autre des parties à l’égard des personnes concernées ni auprès des autorités de protection des données conformément au RGPD.
14. Durée
Le présent DPA entre en vigueur lors de l’acceptation des Conditions Générales et restera en vigueur tant que Pilotium traitera des données personnelles pour le compte du Client. Les obligations de confidentialité et celles relatives à la suppression des données survivront à la cessation du présent DPA.
15. Droit applicable
Le présent DPA est régi par le même droit applicable aux Conditions Générales(droit de la République d’Estonie pour les clients de l’UE).
16. Contact
Pour toute question relative au présent DPA ou au traitement des données personnelles, contactez-nous à [email protected].