Accord de sous-traitance des données (DPA)

À quoi sert cette page ?

Cette page présente le résumé public de l'Accord de sous-traitance des données personnelles (Data Processing Agreement, ou « DPA ») annexé à chaque Contrat de Prestation de Services signé avec un client. La version contractuellement applicable à chaque client est celle signée en Annexe 1 du Contrat principal ; elle peut comporter des aménagements spécifiques négociés par le client.

Si vous êtes prospect ou client, vous pouvez demander la version complète du DPA standard par email à contact@dmtobooked.com.

1. Cadre juridique

Le présent DPA est conclu conformément à l'article 28 du Règlement (UE) 2016/679 (« RGPD ») et à la loi française n° 78-17 du 6 janvier 1978 modifiée (« Loi Informatique et Libertés »). Il définit les conditions dans lesquelles DMtoBooked traite les données à caractère personnel pour le compte du client.

2. Identification des parties

Sous-traitant

Dénomination : DMtoBooked
Forme juridique : Entrepreneur individuel (micro-entreprise)
Représenté par : Théo Porquet
SIREN : 931 041 776
SIRET : 931 041 776 00036
Adresse : 1 rue de Talime, 54380 Autreville-sur-Moselle, France
Contact RGPD : contact@dmtobooked.com

Responsable du traitement

Le client signataire du Contrat de Prestation de Services agit en qualité de responsable du traitement au sens de l'article 4 (7) du RGPD pour les données de ses propres prospects et leads.

3. Objet du traitement

DMtoBooked traite les données pour le compte du client aux seules fins suivantes :

Réception, traitement et qualification automatisée des messages entrants sur les canaux du client (Instagram DM, Messenger, WhatsApp Business, formulaires web)
Génération de réponses conversationnelles par un système d'IA (Claude, Anthropic) selon les règles définies avec le client
Envoi automatisé de liens de prise de rendez-vous (Calendly) aux prospects qualifiés
Stockage et organisation des conversations dans une base de données dédiée
Notification du client en cas d'événements (RDV pris, demande humaine, dérapage potentiel)
Production de reporting mensuel des performances

4. Catégories de données traitées

Données d'identification : nom, prénom, pseudo / nom d'utilisateur, numéro de téléphone (WhatsApp), adresse email
Données de contact : contenu des messages échangés, métadonnées (horodatage, statut de qualification)
Données de comportement : interactions avec les liens Calendly, timing des échanges, qualification commerciale (Tiède, Chaud, etc.)
Données techniques : identifiants techniques (PSID Facebook, IGSID Instagram, etc.)

Les données traitées ne comprennent pas, sauf instructions contraires explicites du client, de catégories particulières de données au sens de l'article 9 du RGPD (santé, opinions politiques, origines, etc.) ni de données relatives à des condamnations pénales (article 10 RGPD).

5. Sous-traitants ultérieurs (Annexe A)

Le client autorise expressément DMtoBooked à recourir aux sous-traitants ultérieurs suivants :

Sous-traitant ultérieur	Finalité	Localisation	Garanties transfert
Anthropic PBC	Fourniture du modèle d'IA Claude (génération des réponses)	États-Unis	Data Privacy Framework UE-USA + CCT
Make.com (Celonis SE)	Plateforme d'orchestration des workflows	Tchéquie (UE)	UE — pas de transfert
Airtable (Formagrid Inc.)	Base de données structurée (CRM)	États-Unis	Data Privacy Framework UE-USA + CCT
Slack (Salesforce)	Notifications et communication interne	États-Unis	Data Privacy Framework UE-USA + CCT
Hostinger International Ltd.	Hébergement web et messagerie pro	Chypre (UE)	UE — pas de transfert
Calendly LLC	Prise de rendez-vous automatisée	États-Unis	Data Privacy Framework UE-USA + CCT
Meta Platforms Ireland Ltd.	APIs officielles Instagram, Messenger, WhatsApp Business	Irlande (UE)	UE — pas de transfert (résidence UE)
Stripe Payments Europe Ltd.	Facturation (hors données des personnes concernées)	Irlande (UE)	UE — pas de transfert
GoCardless Ltd.	Prélèvement SEPA (hors données des personnes concernées)	Royaume-Uni	Décision d'adéquation UE-UK (2021)

Toute modification de cette liste fait l'objet d'une notification écrite au client au moins 30 jours avant la modification effective. Le client dispose alors d'un délai de 15 jours pour s'y opposer ; à défaut d'accord, chacune des parties peut résilier le Contrat sans pénalité.

6. Mesures techniques et organisationnelles (Annexe B)

Mesures organisationnelles

Engagement de confidentialité du dirigeant (M. Théo Porquet, unique personne traitant les données en V1)
Principe du moindre privilège — accès limité au strict nécessaire
Politique de sécurité interne documentée

Mesures techniques

Authentification forte : mots de passe complexes uniques + 2FA active sur tous les services critiques (Make, Airtable, Slack, Anthropic, Calendly, Hostinger)
Chiffrement en transit : HTTPS / TLS pour toutes les communications API
Chiffrement au repos : assuré par les sous-traitants ultérieurs (Anthropic, Airtable, Make)
Cloisonnement : séparation des données par client (base Airtable dédiée, dossier Make dédié, canal Slack dédié)
Sauvegardes : assurées par les sous-traitants ultérieurs (Airtable, Make, Hostinger)

Procédures spécifiques

Liste d'exclusion DM personnels : filtrage automatique des contacts personnels fournis par le client
Détection IA des conversations non-prospect : tag automatique « Humain » en cas de détection d'un échange non-commercial
Monitoring continu des scénarios avec alertes en cas d'anomalie

7. Durées de conservation

Catégorie de données	Durée
Conversations actives (en cours)	Toute la durée nécessaire à l'exécution du Contrat
Conversations clôturées (RDV pris ou refus)	12 mois (suivi commercial, analyse statistique)
Prospects non convertis (silence)	6 mois
Données après résiliation du Contrat	30 jours maximum (restitution puis suppression)
Logs techniques	30 à 90 jours (selon sous-traitants ultérieurs)

8. Droits des personnes concernées

Conformément aux articles 15 à 22 du RGPD, les personnes concernées disposent des droits d'accès, de rectification, d'effacement, de portabilité, de limitation et d'opposition. DMtoBooked assiste le client par des mesures techniques et organisationnelles appropriées pour répondre à ces demandes.

Si une personne concernée s'adresse directement à DMtoBooked, sauf instruction contraire du client, DMtoBooked ne répond pas directement et oriente la personne vers le responsable du traitement (le client).

Procédure de suppression dédiée disponible à https://dmtobooked.com/oauth/data-deletion-instructions.

9. Notification des violations de données

En cas de violation de données concernant les données traitées pour le compte du client, DMtoBooked notifie le client dans un délai maximal de 72 heures après en avoir pris connaissance. La notification comporte la nature de la violation, les catégories et le nombre approximatif de personnes concernées, les conséquences probables, les mesures prises pour remédier à la violation, et les coordonnées du contact RGPD.

10. Transferts internationaux

Certains traitements peuvent impliquer un transfert de données hors Espace économique européen (États-Unis principalement) via les sous-traitants ultérieurs. Ces transferts reposent sur :

L'adhésion des sous-traitants ultérieurs américains au Data Privacy Framework UE-USA (décision d'adéquation UE 2023/1795 du 10 juillet 2023)
À titre subsidiaire, les Clauses Contractuelles Types (CCT) adoptées par la Commission européenne (décision 2021/914 du 4 juin 2021)
Pour le Royaume-Uni (GoCardless) : la décision d'adéquation de la Commission européenne du 28 juin 2021

11. Sort des données à l'issue du Contrat

À l'issue du Contrat, au choix du client, DMtoBooked procède :

Soit à la restitution de l'ensemble des données (export Airtable CSV ou JSON, par email sécurisé)
Soit à la suppression définitive des données

Dans tous les cas, la suppression définitive intervient dans un délai maximal de 30 jours à compter de la résiliation effective du Contrat. Une attestation écrite de suppression est fournie au client sur demande.

12. Audit et documentation

Le client dispose d'un droit d'audit (une fois par année civile maximum, préavis 30 jours) pour vérifier le respect des obligations du DPA. DMtoBooked met également à disposition, sans audit nécessaire, les certifications obtenues, les rapports d'audit publics des sous-traitants ultérieurs (SOC 2, ISO 27001 le cas échéant), et toute documentation utile à la démonstration de la conformité.

13. Responsabilité

La responsabilité de DMtoBooked au titre du DPA est plafonnée dans les conditions prévues à l'article 11 des CGV (plafond égal au montant total des sommes perçues sur les 12 derniers mois). Cette limitation ne s'applique pas en cas de manquement intentionnel ou de faute lourde, ni dans les cas où une telle limitation serait contraire à une disposition impérative du RGPD.

14. Droit applicable

Le présent DPA est régi par le droit français, y compris les dispositions impératives du RGPD et de la Loi Informatique et Libertés. Tout litige relève de la compétence du Tribunal de Commerce de Nancy, conformément à l'article 21 des CGV.

15. Contact RGPD

Pour toute question relative au présent DPA ou au traitement des données personnelles :

DMtoBooked — Théo Porquet
Email : contact@dmtobooked.com
Site web : https://dmtobooked.com

Le présent résumé reprend les éléments principaux du DPA standard DMtoBooked Version 1.0. Il ne se substitue pas à la version contractuelle signée en Annexe 1 du Contrat de Prestation de Services entre DMtoBooked et chaque client. En cas de divergence, la version signée prévaut.