Data Processing Agreement (DPA)
Entre Fatomi (le « Sous-traitant » / "Processor") et Le Client (le « Responsable du traitement » / "Controller")
PRÉAMBULE
Le présent Data Processing Agreement (« DPA ») fait partie intégrante du contrat de service conclu entre Fatomi et le Client, et encadre le traitement de données personnelles effectué par Fatomi et ses sous-traitants pour le compte du Client, conformément aux lois applicables en matière de protection des données personnelles, incluant notamment : • le Règlement Général sur la Protection des Données (RGPD) (Union européenne) ; • le California Consumer Privacy Act / California Privacy Rights Act (CCPA/CPRA) (Californie, USA) ; • la Personal Information Protection and Electronic Documents Act (PIPEDA) (Canada) ; • le United Kingdom General Data Protection Regulation (UK GDPR) ; • toutes autres législations applicables en vigueur, à la date du traitement des données. Ce DPA constitue une annexe obligatoire du contrat de service principal (« Contrat ») liant Fatomi au Client.
1. DÉFINITIONS
Données personnelles : toute information se rapportant à une personne physique identifiée ou identifiable. Traitement : toute opération appliquée à des données personnelles. Responsable du traitement / Controller : entité qui détermine les finalités et les moyens du traitement (RGPD / CCPA). Sous-traitant : entité qui traite des données pour le compte du Responsable du traitement. Prestataire / Subprocessor : entité externe engagée par Fatomi ou ses sous-traitants. Droits des personnes concernées : droits d'accès, rectification, suppression, opposition, portabilité, retrait du consentement, droit à l'information. Données sensibles : catégories nécessitant des protections spécifiques selon les lois applicables. Transferts internationaux : communication de données personnelles vers des pays hors EEE, Canada ou Royaume-Uni. Standard Contractual Clauses (SCCs) : clauses contractuelles types pour encadrer les transferts de données vers des pays tiers. Data Privacy Framework (DPF) : mécanisme de conformité pour transfert de données personnelles (ex : UE-US). Stripe : prestataire de paiements utilisé par Fatomi. Groq : prestataire de services Cloud/IA. Apify : prestataire de services d'automatisation, extraction et scraping. Apollo : prestataire d'enrichissement et de services de prospection (ZenLeads Inc. / Apollo.io). Security Incident : violation de sécurité conduisant à divulgation, destruction, altération non autorisée. Droit d'audit : droit du Client de vérifier l'engagement sécurité de Fatomi et sous-traitants.
2. OBJET
Ce DPA définit les modalités et conditions selon lesquelles Fatomi traite des données personnelles pour le compte du Client. Il précise également les droits, obligations et responsabilités des Parties au regard des lois applicables en matière de protection des données personnelles.
3. DESCRIPTION DES TRAITEMENTS
3.1 Catégories de données traitées
Les catégories susceptibles d'être traitées comprennent, sans s'y limiter : a) Identité et contact ; b) Données professionnelles ; c) Données d'utilisation ; d) Données enrichies ; e) Données de facturation ; f) Données techniques. Le Client reconnaît que Fatomi ne détermine pas ces catégories — elles résultent exclusivement des données fournies par le Client ou générées à la demande du Client.
3.2 Finalités
Fatomi traite les données personnelles pour : • fournir, maintenir et améliorer les services SaaS ; • exécuter des opérations de matching, sourcing, enrichissement et traitement IA ; • assurer la facturation et la gestion des abonnements ; • fournir des interfaces d'administration et outils d'analyse ; • répondre aux demandes des personnes concernées.
3.3 Durée
Les données sont exploitées pendant toute la durée du Contrat, sauf demande contraire du Client dans le respect des obligations légales applicables.
4. OBLIGATIONS DU RESPONSABLE DU TRAITEMENT (CLIENT)
4.1 Licéité de la collecte
Le Client est seul responsable de déterminer la base légale applicable pour chaque traitement (consentement, exécution de contrat, intérêt légitime, etc.) et de fournir toutes les informations légales requises aux personnes concernées (transparence, finalités, destinataires, durées de conservation, droits) via une politique de confidentialité accessible.
4.2 Consentements
Le Client doit obtenir tous les consentements requis, notamment pour l'utilisation de services tiers (ex : Apollo, Apify, Groq, scraping LinkedIn, services d'email/phone lookup, IA externe).
4.3 Minimisation
Le Client doit limiter les données transmises à Fatomi à celles strictement nécessaires pour l'exécution des finalités contractuelles.
4.4 Droits des personnes concernées
Le Client organise et rend effectifs les droits des personnes concernées en lien avec les capacités techniques de Fatomi et des sous-traitants.
4.5 Traitement de tiers
Le Client garantit la légalité des données importées via des tiers et assume toute responsabilité liée à ces traitements, y compris l'information des personnes concernées.
5. OBLIGATIONS DE FATOMI (SOUS-TRAITANT)
5.1 Traitement sur instructions
Fatomi ne traitera les données que sur instructions documentées du Client, exclusivement pour les finalités contractuelles.
5.2 Confidentialité
Fatomi s'engage à assurer la confidentialité des données personnelles traitées et à limiter les accès à son personnel strictement nécessaire.
5.3 Sécurité
Fatomi met en place des mesures techniques et organisationnelles appropriées, incluant : • Chiffrement des données au repos (AES-256 ou équivalent) et en transit (TLS 1.2+ / TLS 1.3), • Authentification forte & RBAC, • Journaux d'accès & audit, • Sauvegardes régulières et sécurisées, • Tests d'intrusion périodiques, • Politique de gestion des mots de passe, • Plan de réponse aux incidents formalisé.
5.4 Assistance
Fatomi aide le Client à répondre aux demandes des personnes concernées et à réaliser des démarches légales (audits, DPIA, exportation de données) selon les obligations légales applicables.
5.5 Droit d'audit
Le Client peut, une fois par an ou après un incident de sécurité majeur, à ses frais, auditer la conformité de Fatomi aux mesures de sécurité prévues dans ce DPA, soit via des audits directs, soit via la remise de rapports de conformité (ex : SOC2, ISO27001), sous réserve de confidentialité raisonnable.
6. SOUS-TRAITANTS (SUBPROCESSORS)
6.1 Liste des sous-traitants
Fatomi peut recourir à des sous-traitants pour exécuter tout ou partie des traitements requis pour la fourniture des Services. Chaque sous-traitant est engagé avec des obligations de confidentialité, de sécurité et de conformité aux lois applicables. Ces sous-traitants incluent notamment : • Supabase ; • Stripe ; • Groq ; • Apify ; • Apollo
6.2 Engagements des sous-traitants
Fatomi garantit que chaque sous-traitant respecte des engagements de confidentialité, sécurité et conformité au moins équivalents à ce DPA. Notification & objection Fatomi informera le Client de toute modification substantielle de la liste des sous-traitants ; le Client peut formuler une objection motivée. En l'absence d'accord dans un délai raisonnable, le Client peut résilier le contrat sans pénalité.
6.3 Clause spécifique – Services Cloud/IA via Groq
6.3.1 Rôle du Client Le Client reconnaît que pour certains traitements nécessitant des capacités de calcul, Fatomi recourt à Groq. Groq traite les données selon les instructions du Client. 6.3.2 Responsabilités Le Client doit assurer la légalité des données transmises à Groq et informer les personnes concernées.
6.4 Clause spécifique – Services d'automatisation via Apify
6.4.1 Rôle du Client Le Client reconnaît que Fatomi peut recourir à Apify pour des traitements spécifiques. Apify traite les données selon les instructions du Client. 6.4.2 Transferts et sécurité Dans le cadre des traitements via Apify, des transferts internationaux peuvent s'appliquer. Les mécanismes requis (ex : SCCs) seront mis en œuvre selon la loi. 6.4.3 Sous-sous-traitants d'Apify Le Client peut consulter la liste des sous-traitants d'Apify et formuler une objection conformément aux mécanismes d'Apify.
6.5 Clause spécifique – Services via Apollo
6.5.1 Rôle d'Apollo Apollo agit : • comme Sous-traitant : pour enrichir les données selon les instructions du Client, • comme Contrôleur indépendant : lorsqu'il enrichit les données dans sa Contributor Database en vue d'améliorer ses services. 6.5.2 Données transmises à Apollo Les données susceptibles d'être transmises à Apollo incluent, sans s'y limiter : • Informations d'identité professionnelle (nom, titre, entreprise) ; • Coordonnées (email, téléphone, adresse) ; • Données techniques (IP, logs) ; • Toute donnée nécessaire à l'exécution des services Apollo. 6.5.3 Obligations du Client Le Client est responsable : • d'obtenir tous les consentements requis pour la transmission des données à Apollo ; • d'informer les personnes concernées que leurs données peuvent être traitées par Apollo et enrichies dans la Contributor Database ; • de refléter l'usage d'Apollo dans sa politique de confidentialité. 6.5.4 Transferts internationaux Les transferts vers Apollo ou ses sous-traitants peuvent impliquer des pays hors EEE, Royaume-Uni ou Canada. Apollo utilise le Data Privacy Framework et/ou les SCCs selon les besoins légaux. 6.5.5 Sous-traitants et objections Apollo peut utiliser des sous-traitants (subprocessors). Le Client peut formuler une objection motivée dans les délais prévus par le DPA d'Apollo. Si non résolu, le Client peut résilier les services Apollo selon les règles d'Apollo. 6.5.6 Sécurité, audits et notifications Apollo met en œuvre des mesures de sécurité appropriées. Apollo notifiera les incidents de sécurité dans les délais requis (max. 72h). Le Client peut demander des rapports d'audit. 6.5.7 Droits des personnes concernées Apollo assiste, dans la mesure du possible, le Client (via Fatomi) dans la gestion des demandes d'exercice des droits des personnes concernées (accès, rectification, suppression, opposition, limitation). Toutefois : • Le Client reste responsable de la réception et du traitement principal de ces demandes ; • Le Client garantit qu'il informera les personnes concernées de la participation d'Apollo aux traitements ; • Le Client s'engage à respecter les droits des personnes concernées conformément aux lois applicables, y compris lorsque les données sont traitées ou enrichies par Apollo.
7. TRANSFERTS INTERNATIONAUX DE DONNÉES
Le Client reconnaît que certaines données peuvent être transférées en dehors de l'Espace Économique Européen (EEE), du Royaume-Uni, du Canada ou d'autres juridictions disposant d'un niveau de protection adéquat. Ces transferts sont réalisés : • conformément aux Clauses Contractuelles Types (SCCs) de la Commission européenne ou de l'ICO (UK), • via le Data Privacy Framework (DPF) lorsqu'il est applicable, • ou à travers tout autre mécanisme légalement reconnu. Le Client doit refléter ces transferts dans sa politique de confidentialité.
8. DROITS DES PERSONNES CONCERNÉES
Fatomi assiste le Client dans l'exercice des droits des personnes concernées. Toutefois, le Client demeure seul responsable de : • Réceptionner et répondre aux demandes, • Vérifier l'identité du demandeur, • Mettre en œuvre les actions correctives demandées (ex. suppression, rectification), • Consigner et tracer les demandes reçues et les délais de traitement. Le Client doit répondre aux demandes dans un délai conforme aux lois applicables, à savoir : • 1 mois maximum selon le RGPD (article 12.3) ; • 45 jours selon le CCPA (pouvant être étendu à 90 jours dans certains cas) ; • 30 jours selon la PIPEDA.
9. NOTIFICATION DES VIOLATIONS DE DONNÉES
Fatomi notifiera sans retard injustifié toute violation de données personnelles portée à sa connaissance et susceptible d'entraîner un risque pour les droits et libertés des personnes concernées. La notification comprendra, dans la mesure du possible : • La nature de l'incident, • Les catégories de données concernées, • Le nombre approximatif de personnes concernées, • Les mesures prises ou proposées. Le Client est responsable de : • Notifier l'autorité de protection des données compétente, • Notifier les personnes concernées si nécessaire, • Documenter et archiver les violations conformément à ses obligations. Fatomi devra coordonner avec ses sous-traitants pour obtenir des informations pertinentes et notifier dans les meilleurs délais. Fatomi s'engage à obtenir des informations de ses sous-traitants dans un délai compatible avec ses propres obligations de notification (généralement 72 heures selon le RGPD), en s'appuyant sur des accords contractuels ou délais convenus. En cas de retard ou d'indisponibilité des données nécessaires, Fatomi informera immédiatement le Client de l'impossibilité de respecter ce délai.
10. DURÉE, RESTITUTION ET SUPPRESSION
10.1 Durée du DPA
Ce DPA prend effet à la date de signature du Contrat principal et reste en vigueur aussi longtemps que Fatomi traite des données personnelles pour le compte du Client.
10.2 Restitution des données
Le Client peut, dans un délai de 30 jours suivant la fin du Contrat, demander à Fatomi une copie de toutes les données personnelles fournies, dans un format lisible par machine (CSV, JSON...).
10.3 Suppression des données
Sauf obligation légale contraire, Fatomi procédera à la suppression définitive des données personnelles au terme du délai de restitution.
11. LIMITATION DE RESPONSABILITÉ
11.1 Limitation pour Fatomi
Fatomi ne peut être tenue responsable : • des traitements réalisés par ses sous-traitants (ex. Stripe, Apollo, Groq, Apify) agissant comme contrôleurs indépendants, • des traitements réalisés par le Client ou ses propres sous-traitants, • des données illégalement collectées ou transmises par le Client.
11.2 Responsabilité du Client
Le Client est seul responsable : • de la légalité des données transmises à Fatomi, • de l'obtention des consentements nécessaires, • de la transparence vis-à-vis des personnes concernées, • de la conformité de sa politique de confidentialité.
11.3 Indemnisation
Le Client indemnisera Fatomi de toute réclamation découlant de données illégales, instructions non conformes ou absence d'information des personnes concernées.
12. LOI APPLICABLE
Ce DPA est régi par la loi applicable définie dans le Contrat principal. En cas de contradiction, les dispositions du DPA prévalent pour toutes les questions relatives à la protection des données personnelles.
ANNEXE A — Liste des sous-traitants
| Sous-traitant | Rôle | Localisation | Lien DPA / Politique |
|---|---|---|---|
| Supabase | Stockage de données, base de données | UE / US | https://supabase.com/legal |
| Stripe | Paiement, facturation | US / Monde | https://stripe.com/privacy |
| Groq | Services IA Cloud | US | https://groq.com/privacy-policy |
| Apify | Scraping, automatisation de tâches | UE (Tchéquie) / Monde | https://docs.apify.com/legal/privacy-policy |
| Apollo (ZenLeads Inc.) | Enrichissement, prospection | US | https://www.apollo.io/privacy-policy |
