PARTIE A — Version Française
Accord de Traitement des Données (DPA)
Section 3 — Version 1.0 · 1er mars 2025
Responsable du traitement
| Responsable du Traitement | TrustedPulse Ltd |
| Adresse | 71-75 Shelton Street, London, WC2H 9JQ, Royaume-Uni |
| Directeur de publication | Mohamed Adrif — [email protected] |
| DPO | [email protected] |
| Autorité compétente | ICO (UK) — ico.org.uk | CNIL (France) — cnil.fr |
Art. 1
Qualification des Parties
| Prestation | TrustedPulse | Client |
|---|---|---|
| Collecte d'avis natifs (invitations) | Sous-traitant | Responsable de traitement |
| Agrégation d'avis tiers (Google, etc.) | Sous-traitant | Responsable de traitement |
| Analyse IA des avis (anonymisée) | Responsable distinct | Non applicable |
| Détection de fraude | Responsable distinct | Non applicable |
| Données des collaborateurs (back-office) | Responsable distinct | Responsable distinct |
Art. 2
Obligations du Sous-traitant (TrustedPulse)
Lorsque TrustedPulse agit en qualité de Sous-traitant, il s'engage à :
- Ne traiter les données que sur instruction documentée du Client ;
- Informer le Client si une instruction constitue une violation du RGPD ;
- Garantir la confidentialité des personnes autorisées à traiter les données ;
- Mettre en œuvre les mesures de sécurité appropriées (AES-256, pseudonymisation, RBAC) ;
- Notifier le Client dans les 72 heures suivant toute violation de données ;
- Aider le Client à satisfaire aux demandes d'exercice de droits des personnes concernées ;
- Supprimer ou restituer les données à l'issue du Contrat selon le choix du Client.
Art. 3
Sous-traitants ultérieurs
Le Client autorise TrustedPulse à faire appel aux sous-traitants ultérieurs suivants :
| Sous-traitant | Pays | Type de traitement | Garanties |
|---|---|---|---|
| OVH Inc. | Canada (Montréal) | Hébergement API + BDD | SCC UE + DPA |
| Vercel Inc. | USA (EU region) | Hébergement frontend | DPA + Privacy Shield successor |
| Supabase Inc. | USA (EU region) | Base de données PostgreSQL | DPA + SCC |
| Cloudflare Inc. | USA (EU CDN) | CDN + Widget + Sécurité | DPA + SCC + Privacy Shield |
| Stripe Inc. | USA / Irlande | Paiements | PCI-DSS Lvl 1 + DPA |
| Twilio Inc. | USA | Envoi SMS | DPA + SCC |
| Resend Inc. | USA | Envoi emails | DPA |
| OpenAI LLC | USA | Analyse IA (données anonymisées) | DPA + opt-out training |
| Sentry.io | USA | Monitoring erreurs | DPA + pseudonymisation |
En cas d'ajout ou de remplacement d'un sous-traitant, TrustedPulse notifiera le Client avec un préavis de 30 jours.
Art. 4
Transferts hors UE/EEE
Les transferts vers les États-Unis sont encadrés par les Clauses Contractuelles Types (SCC) adoptées par la Commission européenne (Décision 2021/914) ou tout mécanisme équivalent reconnu par le RGPD / UK GDPR.
Art. 5
Détails des traitements
| Solution | Finalité | Base légale | Conservation |
|---|---|---|---|
| Collecte d'avis | Inviter, collecter et publier des avis vérifiés | Contrat (Art. 6.1.b) | Abonnement + 2 ans |
| Agrégation tiers | Centraliser les avis Google, Trustpilot, Facebook | Intérêt légitime (Art. 6.1.f) | Durée abonnement |
| Analyse IA | Sentiment, fraude, tendances (anonymisé) | Intérêt légitime | Durée analyse |
| Détection fraude | Identifier les faux avis | Intérêt légitime | 3 ans |
| Facturation | Gérer les abonnements et paiements | Contrat (Art. 6.1.b) | Contrat + 5 ans |