GoProspect
FonctionnalitésTarifsAmbassadeursDémo
Se connecterDémarrer gratuitement
Légal

Data Processing Agreement (DPA)

Accord de sous-traitance conclu entre Webysphere (éditeur de GoProspect, ci-après le « Sous-traitant ») et le Client (ci-après le « Responsable de traitement »), constituant une annexe contractuellement opposable des Conditions Générales de Vente.

Dernière mise à jour : 2026-05-02

1. Préambule

Le présent Data Processing Agreement (DPA) a pour objet de définir les modalités de traitement des données à caractère personnel par GoProspect lorsqu'il agit en qualité de sous-traitant pour le compte du Client, conformément aux dispositions de l'article 28 du Règlement (UE) 2016/679 (RGPD).

Il s'applique automatiquement dès lors que le Client utilise le Service GoProspect pour traiter des données personnelles dont il est responsable (par exemple : informations relatives à un Prospect identifiable). Il complète, sans s'y substituer, les Conditions Générales de Vente et la Politique de confidentialité.

2. Définitions

Les termes « données à caractère personnel », « traitement », « responsable du traitement », « sous-traitant », « personne concernée », « violation de données » ont la signification qui leur est donnée par l'article 4 du RGPD.

3. Objet du DPA

Le Sous-traitant traite les données personnelles uniquement pour fournir le Service au Responsable, conformément à ses instructions documentées (les CGV et l'utilisation du Service valent instructions). La nature, la finalité, la durée et les catégories de données et de personnes concernées sont décrites à l'Annexe 1.

4. Rôles des parties

  • Le Client agit en qualité de responsable du traitement des données qu'il fournit au Service ou qu'il fait traiter via le Service.
  • GoProspect agit en qualité de sous-traitant au sens de l'article 28 du RGPD, et n'utilise jamais les données du Client à ses propres fins commerciales.

5. Instructions documentées

Le Sous-traitant ne traite les données que sur instructions documentées du Responsable, y compris en ce qui concerne les transferts hors UE. Si le Sous-traitant estime qu'une instruction constitue une violation du RGPD ou d'une autre disposition européenne ou nationale, il en informe sans délai le Responsable.

6. Confidentialité du personnel

Le Sous-traitant veille à ce que toute personne autorisée à traiter les données soit soumise à une obligation de confidentialité contractuelle ou légale, et reçoive la formation nécessaire à la protection des données personnelles.

7. Mesures de sécurité (art. 32 RGPD)

Le Sous-traitant met en œuvre les mesures techniques et organisationnelles appropriées détaillées à l' Annexe 3 pour garantir un niveau de sécurité adapté au risque, conformément à l'article 32 du RGPD.

8. Sous-traitants ultérieurs

Le Responsable autorise le Sous-traitant à recourir aux sous-traitants ultérieurs listés à l' Annexe 2. Le Sous-traitant s'engage à :

  • Conclure avec chaque sous-traitant ultérieur un contrat lui imposant des obligations de protection des données équivalentes à celles du présent DPA ;
  • Informer le Responsable de tout projet d'ajout ou de remplacement de sous-traitant ultérieur (par mise à jour de la présente page et notification email lorsqu'il s'agit de changements substantiels), avec un préavis raisonnable permettant au Responsable de s'y opposer pour motif légitime.

En cas d'opposition motivée et non levable, le Responsable peut résilier le contrat sans pénalité.

9. Droits des personnes concernées

Compte tenu de la nature du traitement, le Sous-traitant aide le Responsable, par des mesures techniques et organisationnelles appropriées, à répondre aux demandes d'exercice des droits des personnes concernées (accès, rectification, effacement, limitation, portabilité, opposition : art. 15 à 22 RGPD). Le Responsable peut effectuer la majorité de ces opérations directement depuis le tableau de bord (export, suppression, modification).

10. Assistance au Responsable

Le Sous-traitant aide le Responsable à se conformer aux obligations prévues aux articles 32 à 36 du RGPD : sécurité du traitement, notification des violations, communication aux personnes concernées, analyses d'impact relatives à la protection des données (AIPD) et consultation préalable de l'autorité de contrôle, dans la mesure de ses moyens raisonnables.

11. Notification de violation

Le Sous-traitant notifie au Responsable toute violation de données à caractère personnel dans les meilleurs délais et au plus tard 72 heures après en avoir pris connaissance, en lui fournissant les éléments prévus à l'article 33.3 du RGPD : nature de la violation, catégories et nombre approximatif de personnes et d'enregistrements concernés, conséquences probables, mesures prises ou proposées pour remédier à la violation.

12. Droit d'audit

Le Sous-traitant met à disposition du Responsable toutes les informations nécessaires pour démontrer le respect des obligations du présent DPA et permet la réalisation d'audits, y compris des inspections, par le Responsable ou un auditeur mandaté par lui, dans les conditions suivantes :

  • Préavis écrit raisonnable d'au moins 30 jours ;
  • Limite d'un audit par période de 12 mois, sauf en cas de suspicion sérieuse de violation ou d'incident avéré ;
  • Audit conduit pendant les heures ouvrées et sans perturber le fonctionnement du Service ;
  • Auditeur soumis à des obligations de confidentialité équivalentes à celles du présent DPA ;
  • Frais d'audit à la charge du Responsable, sauf si l'audit révèle un manquement substantiel imputable au Sous-traitant.

Le Sous-traitant pourra satisfaire à cette obligation par la fourniture de rapports d'audit récents (SOC 2, ISO 27001, attestations équivalentes) émis par les sous-traitants ultérieurs concernés.

13. Transferts internationaux

Tout transfert de données personnelles vers un pays tiers à l'Espace Économique Européen ne peut être effectué qu'à la condition d'être encadré par : (i) une décision d'adéquation de la Commission européenne, (ii) les Clauses Contractuelles Types adoptées par la décision 2021/914, (iii) l'adhésion à un cadre reconnu (ex. EU–US Data Privacy Framework), ou (iv) toute autre garantie appropriée prévue à l'article 46 du RGPD.

14. Sort des données en fin de contrat

À la fin de la prestation, et au choix du Responsable, le Sous-traitant : (i) supprime toutes les données personnelles traitées, ou (ii) les renvoie au Responsable et détruit les copies existantes, sauf obligation légale contraire de conservation.

Par défaut, les audits sont conservés 12 mois après leur génération puis automatiquement supprimés. Le Responsable peut demander une suppression anticipée à tout moment ou exporter ses données depuis son tableau de bord. Les sauvegardes périodiques sont écrasées dans un délai maximum de 30 jours après la suppression.

15. Responsabilité

Chaque partie est responsable du respect de ses propres obligations au titre du RGPD. La responsabilité du Sous-traitant est limitée dans les conditions prévues à l'article 16 des CGV. Cette limitation ne s'applique pas aux dommages résultant du non-respect par le Sous-traitant des obligations spécifiquement imposées au sous-traitant par le RGPD ni des cas dans lesquels le Sous-traitant a agi en dehors ou contrairement aux instructions du Responsable.

16. Durée et droit applicable

Le présent DPA prend effet à la date d'acceptation des CGV par le Responsable et reste en vigueur tant que le Sous-traitant traite des données personnelles pour le compte du Responsable. Il est régi par le droit belge et soumis à la compétence des juridictions de Bruxelles, conformément à l'article 19 des CGV.

Annexe 1 : Détails du traitement

Nature et finalité du traitement

Fourniture d'un service SaaS d'audit automatisé de sites web prospects, comprenant la génération de rapports PDF, de maquettes HTML, d'emails de pitch, de battle cards et de devis.

Durée du traitement

Pendant toute la durée de l'abonnement, étendue aux durées de conservation décrites à l'article 14 et dans la Politique de confidentialité.

Catégories de personnes concernées

  • Utilisateurs autorisés du Client (collaborateurs ayant un compte sur la plateforme) ;
  • Personnes physiques identifiables figurant sur les sites Prospects analysés (responsables, contacts publics, signataires de mentions légales, auteurs d'avis publics indexés) ;
  • Destinataires éventuels des emails de pitch envoyés par le Client.

Catégories de données traitées

  • Données d'identification (nom, prénom, email professionnel) ;
  • Données professionnelles (poste, entreprise, site web) ;
  • Données techniques liées à l'utilisation du Service (logs, cookies) ;
  • Données contenues dans les pages publiques des Prospects indexées par les modules de scraping.

Aucune donnée sensible au sens de l'article 9 du RGPD n'est traitée intentionnellement. Le Responsable s'engage à ne pas soumettre ce type de données via le Service.

Annexe 2 : Sous-traitants ultérieurs

La liste à jour des sous-traitants ultérieurs autorisés est la suivante :

  • Supabase (Irlande / UE) : base de données, authentification, stockage des audits.
  • Hostinger (UE) : hébergement applicatif.
  • Stripe (Irlande, USA) : traitement des paiements par carte bancaire.
  • Resend (USA) : envoi d'emails transactionnels (factures, magic links, notifications).
  • Anthropic (USA) : API Claude pour la génération de texte des audits et du chat agent. Données non utilisées pour entraîner les modèles.
  • kie.ai (USA) : génération d'images via Nano Banana Pro pour les mockups visuels.

Annexe 3 : Mesures techniques et organisationnelles

Contrôle d'accès

  • Authentification des utilisateurs via Supabase (mot de passe haché ou magic link) ;
  • Cloisonnement multi-tenant strict via Row-Level Security (RLS) : aucun utilisateur ne peut accéder aux données d'un autre tenant ;
  • Accès administrateurs limités au strict nécessaire (principe du moindre privilège), tracés et journalisés.

Sécurité des transferts et du stockage

  • Chiffrement TLS 1.2+ pour tout transport de données ;
  • Chiffrement au repos des bases de données et des sauvegardes ;
  • Hébergement principal en Union européenne (Supabase et Hostinger).

Continuité et résilience

  • Sauvegardes quotidiennes automatisées des bases de données ;
  • Plan de reprise d'activité documenté ;
  • Monitoring des incidents 24/7.

Gouvernance

  • Tenue d'un registre des activités de traitement (art. 30 RGPD) ;
  • Procédure documentée de notification des violations sous 72 heures ;
  • Engagement de confidentialité signé par toute personne accédant aux données ;
  • Revue annuelle des sous-traitants ultérieurs et des garanties qu'ils présentent.

Une question sur ce document ?

Écris-nous à aqagencybelgium@gmail.com. Pour les demandes RGPD (accès, rectification, effacement, portabilité, opposition), précise « Demande RGPD » en objet, réponse sous 30 jours.