Résumé public — Version 1.0 standard — Dernière mise à jour : 25 mai 2026
À quoi sert cette page ?
Cette page présente le résumé public de l'Accord de sous-traitance des données personnelles (Data Processing Agreement, ou « DPA ») annexé à chaque Contrat de Prestation de Services signé avec un client. La version contractuellement applicable à chaque client est celle signée en Annexe 1 du Contrat principal ; elle peut comporter des aménagements spécifiques négociés par le client.
Si vous êtes prospect ou client, vous pouvez demander la version complète du DPA standard par email à contact@dmtobooked.com.
Le présent DPA est conclu conformément à l'article 28 du Règlement (UE) 2016/679 (« RGPD ») et à la loi française n° 78-17 du 6 janvier 1978 modifiée (« Loi Informatique et Libertés »). Il définit les conditions dans lesquelles DMtoBooked traite les données à caractère personnel pour le compte du client.
Le client signataire du Contrat de Prestation de Services agit en qualité de responsable du traitement au sens de l'article 4 (7) du RGPD pour les données de ses propres prospects et leads.
DMtoBooked traite les données pour le compte du client aux seules fins suivantes :
Les données traitées ne comprennent pas, sauf instructions contraires explicites du client, de catégories particulières de données au sens de l'article 9 du RGPD (santé, opinions politiques, origines, etc.) ni de données relatives à des condamnations pénales (article 10 RGPD).
Le client autorise expressément DMtoBooked à recourir aux sous-traitants ultérieurs suivants :
| Sous-traitant ultérieur | Finalité | Localisation | Garanties transfert |
|---|---|---|---|
| Anthropic PBC | Fourniture du modèle d'IA Claude (génération des réponses) | États-Unis | Data Privacy Framework UE-USA + CCT |
| Make.com (Celonis SE) | Plateforme d'orchestration des workflows | Tchéquie (UE) | UE — pas de transfert |
| Airtable (Formagrid Inc.) | Base de données structurée (CRM) | États-Unis | Data Privacy Framework UE-USA + CCT |
| Slack (Salesforce) | Notifications et communication interne | États-Unis | Data Privacy Framework UE-USA + CCT |
| Hostinger International Ltd. | Hébergement web et messagerie pro | Chypre (UE) | UE — pas de transfert |
| Calendly LLC | Prise de rendez-vous automatisée | États-Unis | Data Privacy Framework UE-USA + CCT |
| Meta Platforms Ireland Ltd. | APIs officielles Instagram, Messenger, WhatsApp Business | Irlande (UE) | UE — pas de transfert (résidence UE) |
| Stripe Payments Europe Ltd. | Facturation (hors données des personnes concernées) | Irlande (UE) | UE — pas de transfert |
| GoCardless Ltd. | Prélèvement SEPA (hors données des personnes concernées) | Royaume-Uni | Décision d'adéquation UE-UK (2021) |
Toute modification de cette liste fait l'objet d'une notification écrite au client au moins 30 jours avant la modification effective. Le client dispose alors d'un délai de 15 jours pour s'y opposer ; à défaut d'accord, chacune des parties peut résilier le Contrat sans pénalité.
| Catégorie de données | Durée |
|---|---|
| Conversations actives (en cours) | Toute la durée nécessaire à l'exécution du Contrat |
| Conversations clôturées (RDV pris ou refus) | 12 mois (suivi commercial, analyse statistique) |
| Prospects non convertis (silence) | 6 mois |
| Données après résiliation du Contrat | 30 jours maximum (restitution puis suppression) |
| Logs techniques | 30 à 90 jours (selon sous-traitants ultérieurs) |
Conformément aux articles 15 à 22 du RGPD, les personnes concernées disposent des droits d'accès, de rectification, d'effacement, de portabilité, de limitation et d'opposition. DMtoBooked assiste le client par des mesures techniques et organisationnelles appropriées pour répondre à ces demandes.
Si une personne concernée s'adresse directement à DMtoBooked, sauf instruction contraire du client, DMtoBooked ne répond pas directement et oriente la personne vers le responsable du traitement (le client).
Procédure de suppression dédiée disponible à https://dmtobooked.com/oauth/data-deletion-instructions.
En cas de violation de données concernant les données traitées pour le compte du client, DMtoBooked notifie le client dans un délai maximal de 72 heures après en avoir pris connaissance. La notification comporte la nature de la violation, les catégories et le nombre approximatif de personnes concernées, les conséquences probables, les mesures prises pour remédier à la violation, et les coordonnées du contact RGPD.
Certains traitements peuvent impliquer un transfert de données hors Espace économique européen (États-Unis principalement) via les sous-traitants ultérieurs. Ces transferts reposent sur :
À l'issue du Contrat, au choix du client, DMtoBooked procède :
Dans tous les cas, la suppression définitive intervient dans un délai maximal de 30 jours à compter de la résiliation effective du Contrat. Une attestation écrite de suppression est fournie au client sur demande.
Le client dispose d'un droit d'audit (une fois par année civile maximum, préavis 30 jours) pour vérifier le respect des obligations du DPA. DMtoBooked met également à disposition, sans audit nécessaire, les certifications obtenues, les rapports d'audit publics des sous-traitants ultérieurs (SOC 2, ISO 27001 le cas échéant), et toute documentation utile à la démonstration de la conformité.
La responsabilité de DMtoBooked au titre du DPA est plafonnée dans les conditions prévues à l'article 11 des CGV (plafond égal au montant total des sommes perçues sur les 12 derniers mois). Cette limitation ne s'applique pas en cas de manquement intentionnel ou de faute lourde, ni dans les cas où une telle limitation serait contraire à une disposition impérative du RGPD.
Le présent DPA est régi par le droit français, y compris les dispositions impératives du RGPD et de la Loi Informatique et Libertés. Tout litige relève de la compétence du Tribunal de Commerce de Nancy, conformément à l'article 21 des CGV.
Pour toute question relative au présent DPA ou au traitement des données personnelles :
DMtoBooked — Théo Porquet
Email : contact@dmtobooked.com
Site web : https://dmtobooked.com
Le présent résumé reprend les éléments principaux du DPA standard DMtoBooked Version 1.0. Il ne se substitue pas à la version contractuelle signée en Annexe 1 du Contrat de Prestation de Services entre DMtoBooked et chaque client. En cas de divergence, la version signée prévaut.