Accord de traitement des données (DPA)
Clause de sous-traitance — article 28 du RGPD · Version 2026-06
Le présent accord encadre le traitement, par Fusion SmartConnect (EURL Fusion Groupe) ci-après « le Sous-traitant », des données à caractère personnel pour le compte de ses clients professionnels ci-après « le Responsable de traitement », dans le cadre de l'utilisation du service CRM. Il complète les CGV et la politique RGPD.
1. Objet, durée, nature et finalité
Le Sous-traitant héberge et exploite une application CRM permettant au Responsable de gérer son activité (clients, chantiers, devis, factures, RH, planning). Le traitement dure le temps de l'abonnement, prolongé des durées légales de conservation. La finalité est strictement la fourniture du service souscrit.
2. Catégories de personnes et de données
- Personnes concernées : utilisateurs du Responsable (salariés), ses clients finaux, prospects et contacts.
- Données traitées : identité, coordonnées, données contractuelles et de facturation, données métier saisies par le Responsable. Aucune catégorie particulière (données « sensibles ») n'est requise par le service.
3. Obligations du Sous-traitant (art. 28.3)
- Ne traiter les données que sur instruction documentée du Responsable (l'utilisation du service valant instruction).
- Garantir la confidentialité : accès limité aux personnes habilitées et tenues au secret.
- Mettre en œuvre les mesures de sécurité de l'article 32 (voir §6).
- Respecter les conditions de recours à un sous-traitant ultérieur (voir §4).
- Assister le Responsable pour répondre aux demandes d'exercice des droits (accès, rectification, effacement, portabilité, opposition) et pour ses obligations de sécurité, de notification de violation et d'analyse d'impact (AIPD).
- Au terme du contrat, restituer ou supprimer les données au choix du Responsable (voir §7).
- Mettre à disposition les informations nécessaires pour démontrer la conformité et permettre des audits.
4. Sous-traitants ultérieurs
Le Responsable autorise le recours aux sous-traitants ci-dessous. Tout ajout est notifié avec possibilité d'objection motivée.
| Prestataire | Rôle | Localisation |
|---|---|---|
| OVHcloud | Hébergement serveur principal | France (Gravelines) |
| IONOS | Hébergement serveur de secours (redondance) | Union européenne |
| Stripe Payments Europe | Paiement & facturation | UE (Irlande) |
| Microsoft 365 | Messagerie professionnelle | UE |
L'intelligence artificielle d'assistance juridique fonctionne en local sur nos serveurs (modèle hébergé sur le serveur) : aucune donnée n'est envoyée à un tiers pour cette fonction.
5. Transferts hors UE
Les données sont hébergées et traitées dans l'Union européenne. Aucun transfert hors UE n'est réalisé pour le fonctionnement du service. Tout transfert éventuel serait encadré par des clauses contractuelles types (CCT).
6. Mesures techniques et organisationnelles (art. 32)
- Chiffrement des flux (HTTPS/TLS) et des sauvegardes (AES-256).
- Cloisonnement : une base de données isolée par client.
- Pare-feu, détection d'intrusion (fail2ban), accès serveur par clé uniquement.
- Mots de passe hachés (bcrypt), journalisation des accès, double authentification disponible.
- Sauvegardes chiffrées quotidiennes et réplication temps réel sur un second hébergeur (continuité d'activité).
- Supervision et alertes automatiques en cas d'incident.
7. Restitution et suppression
À tout moment et au terme du contrat, le Responsable peut demander l'export de ses données (format réutilisable) et leur suppression définitive. Sauf obligation légale de conservation, la suppression intervient sous 30 jours, sauvegardes incluses.
8. Violation de données
En cas de violation de données à caractère personnel, le Sous-traitant en informe le Responsable dans les meilleurs délais après en avoir pris connaissance, avec les éléments utiles pour permettre, le cas échéant, la notification à la CNIL sous 72 heures.
9. Contact
Pour toute demande relative à la protection des données : rgpd@fusion-smartconnect.net.