Accord de Traitement des Données

Comment Piraja traite les données pour ses clients en conformité avec le RGPD et les réglementations mondiales sur la vie privée.

1. Introduction

Cet Accord de Traitement des Données ("DPA") fait partie des Conditions de Service entre Piraja CRM ("Sous-traitant", "nous") et le client ("Responsable", "vous") qui utilise les services de Piraja CRM.

Ce DPA s'applique lorsque nous traitons des Données Personnelles en votre nom dans le cadre de la fourniture de nos services. Ce DPA est conçu pour garantir le respect de l'Article 28 du Règlement Général sur la Protection des Données (UE) 2016/679 ("RGPD") et des dispositions équivalentes en vertu des lois sur la protection des données applicables dans le monde entier.

2. Définitions

• Données Personnelles : Toute information se rapportant à une personne physique identifiée ou identifiable, telle que définie dans la législation sur la protection des données applicable.
• Traitement : Toute opération effectuée sur des Données Personnelles, y compris la collecte, l'enregistrement, l'organisation, la structuration, le stockage, l'adaptation, la récupération, la consultation, l'utilisation, la divulgation, la combinaison, la restriction, l'effacement ou la destruction.
• Personne Concernée : La personne physique identifiée ou identifiable à laquelle se rapportent les Données Personnelles.
• Sous-traitant : Tout tiers engagé par le Sous-traitant pour traiter des Données Personnelles en votre nom.

3. Portée et Objectif du Traitement

Nous traitons des Données Personnelles uniquement dans le but de fournir les services de Piraja CRM, y compris :

• Gestion de la relation client : Stockage et gestion des informations de contact, des organisations et des individus.
• Communication : Traitement des données d'email pour le module d'intégration de boîte aux lettres (Gmail, Outlook).
• Facturation et facturation : Traitement des informations de paiement et de facturation via Stripe.
• Support et gestion des tickets : Gestion des tickets de support et des cas de service.
• Analyse : Analyses d'utilisation agrégées et anonymisées pour améliorer le service.

4. Catégories de Personnes Concernées et de Données Personnelles

Les personnes concernées peuvent inclure :

• Vos employés et membres d'équipe (comptes utilisateurs)
• Vos clients et contacts (dossiers CRM)
• Vos partenaires commerciaux et fournisseurs

Catégories de Données Personnelles traitées :

• Informations de contact (nom, email, numéro de téléphone, adresse)
• Informations professionnelles (titre, entreprise, département)
• Enregistrements de communication (emails, notes, journaux d'activité)
• Données financières (factures, références de paiement — les données de carte sont traitées uniquement par Stripe)
• Données techniques (adresses IP, informations sur le navigateur pour l'authentification)

5. Obligations du Sous-traitant

Nous devons :

a) Traiter les Données Personnelles uniquement sur vos instructions documentées, sauf si la loi applicable l'exige.

b) Veiller à ce que les personnes autorisées à traiter les Données Personnelles se soient engagées à la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.

c) Mettre en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, y compris :

• Chiffrement des données en transit (TLS/HTTPS) et au repos
• Chiffrement AES-256-GCM pour les tokens OAuth
• Sécurité au niveau des lignes (RLS) sur les tables de base de données
• Évaluations et audits de sécurité réguliers
• Contrôles d'accès et authentification via Supabase Auth

d) Ne pas engager un autre sous-traitant sans votre autorisation écrite générale préalable. Nous maintenons une liste de sous-traitants approuvés (voir Section 8).

e) Vous aider à répondre aux demandes des Personnes Concernées (accès, rectification, effacement, portabilité, restriction et objection).

f) Vous aider à garantir le respect de vos obligations en matière de sécurité, de notification des violations, d'évaluations d'impact sur la protection des données et de consultation préalable.

g) À votre choix, supprimer ou retourner toutes les Données Personnelles après la fin de la fourniture des services, et supprimer les copies existantes à moins que la loi applicable n'exige leur conservation.

h) Mettre à votre disposition toutes les informations nécessaires pour démontrer le respect de ce DPA et permettre et contribuer aux audits.

6. Obligations du Responsable

Vous devez :

a) Veiller à ce que votre utilisation de nos services et vos instructions à notre égard soient conformes aux lois sur la protection des données applicables.

b) Avoir obtenu tous les consentements nécessaires et les bases légales pour le traitement des Données Personnelles partagées avec nous.

c) Nous notifier rapidement de toute demande de Personne Concernée nécessitant notre assistance.

7. Notification de Violation de Données

Nous vous notifierons sans délai excessif (et en tout état de cause dans les 72 heures) après avoir pris connaissance d'une violation de Données Personnelles. La notification comprendra :

• Une description de la nature de la violation
• Les catégories et le nombre approximatif de Personnes Concernées et d'enregistrements de Données Personnelles affectés
• Les conséquences probables de la violation
• Les mesures prises ou proposées pour remédier à la violation

8. Sous-traitants

Nous utilisons les sous-traitants suivants pour fournir nos services :

Nous vous informerons de tout changement prévu concernant les sous-traitants, vous donnant une occasion raisonnable de vous opposer.

9. Transferts Internationaux de Données

Lorsque des Données Personnelles sont transférées en dehors de l'Espace Économique Européen (EEE), nous veillons à ce que des garanties appropriées soient en place, y compris :

• Clauses Contractuelles Types (CCT) approuvées par la Commission Européenne
• Décisions d'adéquation le cas échéant
• Mesures complémentaires selon les besoins

Nos principaux sous-traitants maintiennent leurs propres mécanismes et certifications de transfert de données.

10. Conservation et Suppression des Données

• Nous conservons les Données Personnelles uniquement aussi longtemps que nécessaire pour fournir nos services.
• Vous pouvez configurer les périodes de conservation des données dans les paramètres de l'application.
• Un purgation automatique des données s'effectue selon des horaires configurables.
• À la résiliation des services, nous supprimerons vos données dans les 30 jours, sauf si la loi exige leur conservation.
• Vous pouvez demander l'exportation des données à tout moment via l'application.

11. Droits d'Audit

Vous avez le droit d'auditer notre conformité avec ce DPA. Les audits doivent être :

• Réalisés avec un préavis raisonnable (au moins 30 jours)
• Limités à une fois par an, sauf en cas de violation de données
• Réalisés pendant les heures normales de bureau
• À la charge du Responsable

Nous pouvons satisfaire les demandes d'audit en fournissant des certifications pertinentes, des rapports d'audit ou d'autres documents.

12. Responsabilité

La responsabilité de chaque partie en vertu de ce DPA est soumise aux limitations et exclusions énoncées dans les Conditions de Service.

13. Durée et Résiliation

Ce DPA restera en vigueur pendant la durée de notre traitement des Données Personnelles en votre nom. Il prendra automatiquement fin lorsque nous ne traiterons plus de Données Personnelles pour vous.

Les dispositions qui, par leur nature, devraient survivre à la résiliation (y compris les obligations de suppression des données, la confidentialité et la responsabilité) survivront.

14. Droit Applicable

Ce DPA sera régi par la même loi qui régit les Conditions de Service, sans préjudice des lois obligatoires sur la protection des données qui peuvent s'appliquer.

15. Contact

Pour toute question concernant ce DPA ou pour exercer vos droits, contactez-nous à :

Email : support@piraja.io