Accord de traitement des données (DPA).

1.1. Le Sous-traitant.Matthieu Le Drian, entrepreneur individuel, exploitant le service SoloFlowly, immatriculé sous le numéro SIRET 924 760 291 00014, dont l'adresse professionnelle est celle figurant dans les mentions légales du Service, ci-après désigné « SoloFlowly » ou « le Sous-traitant ».

1.2. Le Responsable de traitement.Le Client titulaire d'un compte SoloFlowly, personne physique ou morale utilisant le Service pour les besoins de son activité, ci-après désigné « le Client » ou « le Responsable de traitement ».

Lorsque le Client agit lui-même en qualité de sous-traitant pour le compte d'un tiers, il garantit disposer de l'autorisation et des instructions nécessaires pour confier les traitements concernés à SoloFlowly.

1.3. Intégration aux documents contractuels. Le présent DPA fait partie intégrante des Conditions Générales d'Utilisation et de Vente de SoloFlowly. Son acceptation résulte de l'acceptation desdites Conditions Générales par le Client.

2.1. Traitements couverts.Le présent DPA couvre les traitements de données à caractère personnel que SoloFlowly réalise pour le compte du Client, sur instruction de celui-ci, dans le cadre des modules et fonctionnalités du Service, notamment :

• CRM et gestion des clients ou prospects ;
• agenda, prise de rendez-vous et réservations publiques ;
• devis, facturation, documents commerciaux et suivi des paiements ;
• comptabilité et justificatifs ;
• vitrine publique et contenus associés ;
• marketing email ou SMS via les connecteurs activés par le Client ;
• collecte, modération et diffusion d'avis ;
• coffre documentaire chiffré ;
• masterclass et contenus liés ;
• espace client : partage en lecture seule d'un agrégat des données d'un client identifié via un lien token persistant non rotatif.

2.2. Traitements non couverts.Le présent DPA ne couvre pas les traitements pour lesquels SoloFlowly agit comme responsable de traitement distinct, notamment ceux liés :

• à la création et à l'administration du compte SoloFlowly ;
• à la gestion de la relation contractuelle avec le Client ;
• à la facturation propre de SoloFlowly ;
• au support, à la sécurité générale du Service, à la prévention de la fraude et à l'amélioration du fonctionnement de la plateforme, dans les limites décrites par la Politique de confidentialité.

Ces traitements sont encadrés par les documents d'information et politiques applicables publiés par SoloFlowly.

3.1. Objet. Le présent DPA a pour objet de définir les conditions dans lesquelles SoloFlowly traite les données à caractère personnel confiées par le Client ou collectées via les fonctionnalités activées par celui-ci.

3.2. Durée. Les traitements sont réalisés pendant toute la durée de la relation contractuelle entre SoloFlowly et le Client, puis pendant la période strictement nécessaire à l'exécution des opérations de restitution, suppression, sécurisation ou conservation légalement requises.

3.3. Nature des opérations.Selon les fonctionnalités activées, SoloFlowly peut réaliser les opérations suivantes : collecte ; réception ; enregistrement ; structuration ; hébergement ; conservation ; consultation technique strictement nécessaire ; organisation ; transmission vers des prestataires ou services activés par le Client ; génération de documents ou contenus ; rapprochement avec des données existantes ; suppression, anonymisation ou restitution lorsque ces opérations sont disponibles ou requises.

3.4. Finalités.Les traitements sont réalisés uniquement afin de :

• fournir les fonctionnalités du Service choisies par le Client ;
• permettre au Client de gérer son activité, ses contacts, ses réservations, ses documents, ses campagnes et ses contenus ;
• exécuter les opérations techniques demandées par le Client ;
• assurer la sécurité, la disponibilité et l'intégrité des traitements réalisés dans le cadre du Service ;
• assister le Client dans l'exercice de ses propres obligations lorsque cela relève du rôle de SoloFlowly en tant que sous-traitant.

SoloFlowly ne réutilise pas les données confiées par le Client pour une finalité incompatible avec les présentes.

Les personnes concernées peuvent notamment être :

• les clients, prospects et contacts du Client ;
• les participants à des rendez-vous, prestations, réservations ou masterclass ;
• les auteurs d'avis ou personnes sollicitées pour déposer un avis ;
• les destinataires de communications email ou SMS déclenchées par le Client ;
• toute personne dont les données sont saisies, importées, reçues ou générées via le Service à l'initiative du Client.

Selon les modules activés et les usages du Client, les catégories de données traitées peuvent inclure :

5.1. Données d'identification et de contact :nom, prénom ou dénomination affichée ; adresse email ; numéro de téléphone ; adresse postale ; informations professionnelles ou de contact associées.

5.2. Données CRM et relation client :notes, commentaires, préférences et historiques de suivi ; date de dernier contact ; segmentation commerciale ou marketing ; informations librement saisies par le Client dans les champs prévus à cet effet.

5.3. Données liées à l'agenda et aux réservations : titres, dates, horaires et lieux de rendez-vous ; prestations ou services réservés ; messages laissés lors d'une réservation ; coordonnées du réservant ; données associées à la création ou au rattachement automatique d'un client CRM.

5.4. Données de devis, facturation et suivi d'activité : devis, factures, lignes de documents, montants, taxes, échéances et statuts ; snapshots des coordonnées facturées afin de préserver l'intégrité des documents émis ; informations relatives aux encaissements, aux demandes de paiement et aux statuts associés ; justificatifs et documents téléversés lorsque le module concerné est utilisé.

5.5. Données marketing et réputation :campagnes email ou SMS, contenus, sujets et paramètres ; segments ou critères d'audience ; demandes d'avis, jetons de suivi, dates d'envoi et de réponse ; avis, notes, commentaires, nom d'auteur, adresse email de contact lorsqu'elle est fournie ; événements techniques reçus via les webhooks de messagerie, tels que délivrance, ouverture, clic, bounce ou désinscription, avec les métadonnées retournées par le prestataire concerné.

5.6. Données de vitrine et contenus publics :nom d'activité, présentation, biographie, coordonnées publiées ; liens vers réseaux sociaux ; images, logos, couvertures et photographies téléversées ou publiées ; contenus associés aux pages publiques du Client.

5.7. Coffre documentaire.Le module Coffre peut traiter : des métadonnées de fichiers, telles que le nom, la taille, le type, la date, le statut de partage ou les identifiants techniques ; des fichiers chiffrés côté navigateur avant transmission au serveur. Le contenu des fichiers déposés dans le Coffre est chiffré côté client conformément à l'article 13 du présent DPA.

5.8. Données techniques liées aux traitements couverts. Dans la mesure strictement nécessaire au fonctionnement des modules concernés : identifiants techniques ; tokens applicatifs ou de partage ; informations de suivi d'opérations ; événements nécessaires à la traçabilité d'un envoi ou d'un état métier.

Le Service n'est pas conçu pour le traitement, à grande échelle ou de manière systématique, de données relevant de l'article 9 du RGPD ou de données relatives à des condamnations pénales et infractions au sens de l'article 10 du RGPD.

Le Client demeure responsable :

• de déterminer si les informations qu'il saisit dans les champs libres, notes, messages, documents ou campagnes contiennent de telles données ;
• de ne les traiter via SoloFlowly que lorsqu'il dispose d'une base légale appropriée, d'une information adéquate des personnes concernées et des garanties nécessaires ;
• de limiter les données saisies à ce qui est pertinent pour son usage.

SoloFlowly traite les données uniquement :

• conformément aux stipulations du présent DPA ;
• conformément aux CGU/CGV et à la documentation du Service ;
• conformément aux actions et paramétrages opérés par le Client dans son espace ;
• conformément à toute instruction écrite complémentaire licite, raisonnable et compatible avec le Service.

Si SoloFlowly estime qu'une instruction enfreint le RGPD ou une autre règle applicable en matière de protection des données, il en informe le Client dans la mesure permise par le droit applicable.

SoloFlowly s'engage à :

• traiter les données uniquement pour les finalités prévues au présent DPA et selon les instructions documentées du Client ;
• garantir que les personnes autorisées à traiter les données sont soumises à une obligation appropriée de confidentialité ;
• mettre en œuvre les mesures techniques et organisationnelles appropriées décrites à l'article 12 ;
• ne pas vendre ni louer les données confiées par le Client ;
• encadrer le recours aux sous-traitants ultérieurs conformément à l'article 10 ;
• assister le Client, dans la mesure raisonnablement possible et compte tenu de la nature du traitement, pour répondre aux demandes d'exercice des droits des personnes concernées ;
• assister le Client pour ses analyses d'impact relatives à la protection des données et, le cas échéant, ses consultations préalables, lorsque les informations utiles relèvent raisonnablement de SoloFlowly ;
• notifier au Client toute violation de données à caractère personnel affectant les traitements couverts par le présent DPA, dans les meilleurs délais après en avoir eu connaissance, avec les informations disponibles à ce stade ;
• mettre à disposition du Client les informations raisonnablement nécessaires pour démontrer le respect des obligations découlant de l'article 28 du RGPD ;
• coopérer de bonne foi dans le cadre des demandes légitimes d'audit ou de contrôle prévues à l'article 14.

Le Client s'engage à :

• déterminer les finalités et moyens essentiels des traitements qu'il met en œuvre via SoloFlowly ;
• disposer d'une base légale appropriée pour les données traitées ;
• fournir aux personnes concernées les informations requises par le RGPD ;
• veiller à la qualité, à la pertinence et à la proportionnalité des données saisies ou importées ;
• utiliser les fonctionnalités de campagnes, d'avis, de réservation et de paiement conformément au droit applicable, notamment en matière de prospection, consentement, désinscription et facturation ;
• configurer ses comptes tiers, tels que Gmail (Google), Brevo ou Stancer, conformément à ses propres obligations contractuelles et réglementaires ;
• conserver une copie ou un export des données qu'il estime nécessaires à ses obligations légales, comptables, fiscales ou probatoires ;
• informer SoloFlowly sans délai de toute instruction particulière ou de toute contrainte propre à son activité susceptible d'avoir un impact sur les traitements confiés.

10.1. Autorisation générale. Le Client autorise SoloFlowly à recourir à des sous-traitants ultérieurs et services techniques nécessaires à la fourniture du Service, sous réserve qu'ils présentent des garanties appropriées en matière de protection des données.

SoloFlowly informe le Client de tout ajout ou remplacement significatif d'un sous-traitant ultérieur intervenant dans la chaîne principale de traitement. Le Client peut formuler une objection motivée dans un délai raisonnable. En l'absence d'alternative raisonnablement disponible, les parties peuvent convenir d'une adaptation du Service ou d'une résiliation dans les conditions contractuelles applicables.

10.2. Prestataires identifiés.À la date de la présente version, les principaux prestataires ou services pouvant intervenir sont les suivants :

10.3. Cas particulier des services connectés par le Client. Pour certains services, notamment Gmail (Google), Brevo et Stancer, le Client connecte son propre compte au Service SoloFlowly à l'aide d'identifiants ou clés API lui appartenant (clé API ou jeton OAuth selon le prestataire). Dans ce cadre :

• le Client conserve sa relation contractuelle directe avec le prestataire concerné ;
• SoloFlowly exécute les opérations techniques demandées par le Client via le Service ;
• les clés API saisies dans SoloFlowly sont stockées sous forme chiffrée lorsque le Service les conserve ;
• SoloFlowly ne traite pas les données bancaires de carte des payeurs finaux lorsque le paiement est redirigé vers l'interface du prestataire de paiement ;
• SoloFlowly peut toutefois conserver les identifiants, statuts, montants, URLs de paiement et métadonnées nécessaires au suivi des opérations dans son interface.

10.4. Absence de réplication exhaustive des bases tierces. Lorsque le Client connecte un outil externe, SoloFlowly ne réplique pas par principe l'intégralité des bases détenues chez ce prestataire. Le Service traite uniquement les données nécessaires aux fonctionnalités activées, aux actions déclenchées par le Client et au suivi technique associé.

L'hébergement principal et certains traitements sont réalisés au sein de l'Union européenne ou de l'Espace économique européen lorsque la configuration et les prestataires retenus le permettent.

Toutefois, certains prestataires ou services tiers peuvent impliquer des transferts de données hors Espace économique européen.

Lorsque de tels transferts relèvent de la chaîne de traitement mise en œuvre par SoloFlowly, ils doivent être encadrés par un mécanisme reconnu par le droit applicable, notamment : une décision d'adéquation ; les Clauses Contractuelles Types de la Commission européenne ; tout autre mécanisme légalement applicable.

Le Client est invité à consulter les politiques, DPA et informations de transfert des prestataires tiers qu'il active directement, notamment lorsque ceux-ci reposent sur son propre compte ou sa propre relation contractuelle.

SoloFlowly met en œuvre, dans l'état du Service et selon les modules concernés, des mesures destinées à assurer un niveau de sécurité adapté aux risques.

12.1. Mesures applicatives démontrées.Ces mesures comprennent notamment :

• authentification des utilisateurs par l'infrastructure prévue à cet effet ;
• séparation logique des données par utilisateur ou compte via des politiques de contrôle d'accès en base, notamment Row Level Security lorsque ces politiques sont configurées ;
• restrictions d'accès aux fonctions d'administration ;
• chiffrement des secrets applicatifs tiers conservés dans le Service, tels que certaines clés API Brevo ou Stancer, ou les jetons OAuth Google (Gmail) ;
• chiffrement côté client du contenu des fichiers déposés dans le Coffre ;
• contrôles sur certains téléversements, notamment taille, type MIME déclaré et vérifications de signature de fichier lorsque ces mécanismes sont présents ;
• authentification de certains endpoints techniques sensibles, tels que les webhooks ou tâches planifiées ;
• mécanismes applicatifs de limitation d'abus sur certains points d'entrée publics ;
• validation et assainissement de certains contenus HTML ou URL avant affichage ;
• mesures de cohérence et d'idempotence sur certaines opérations sensibles, notamment paiements ou réservations.

12.2. Mesures dépendant de l'infrastructure.Certaines mesures de sécurité, telles que : le chiffrement au repos de l'infrastructure ; les politiques de sauvegarde ; les journaux techniques d'infrastructure ; la sécurité des datacenters ; la rotation ou la durée de conservation de certains logs techniques ; dépendent également des garanties, paramètres et engagements contractuels des prestataires d'hébergement ou de services utilisés.

SoloFlowly veille à sélectionner des prestataires présentant des garanties appropriées, sans pour autant créer par le présent DPA une promesse technique plus large que les mesures effectivement disponibles ou contractuellement fournies.

13.1. Principe de chiffrement. Les fichiers déposés dans le module Coffre sont chiffrés côté navigateur du Client avant leur transmission au serveur, selon les mécanismes techniques mis en œuvre par le Service. La clé permettant de déchiffrer le contenu est dérivée d'un secret choisi par le Client et n'est pas transmise à SoloFlowly sous une forme permettant d'accéder au contenu en clair.

13.2. Conséquences.En conséquence :

• SoloFlowly ne dispose pas d'un accès ordinaire au contenu déchiffré des documents stockés dans le Coffre ;
• SoloFlowly peut en revanche traiter les métadonnées techniques nécessaires au fonctionnement du module, telles que nom de fichier, taille, type, dates, identifiants ou états de partage ;
• en cas de perte du secret permettant le déchiffrement, SoloFlowly peut être dans l'incapacité technique de restaurer l'accès au contenu concerné.

Le Client reconnaît cette caractéristique du module Coffre et demeure responsable de la gestion de son secret de déchiffrement.

Le Client demeure responsable du traitement des demandes d'exercice des droits reçues de la part des personnes concernées.

SoloFlowly assiste le Client, dans la mesure raisonnablement possible et compte tenu des fonctionnalités disponibles, afin de lui permettre de répondre aux demandes relatives notamment : au droit d'accès ; au droit de rectification ; au droit à l'effacement ; au droit d'opposition ; au droit à la limitation ; au droit à la portabilité lorsque celui-ci est applicable.

Lorsque SoloFlowly reçoit directement une demande portant manifestement sur des données traitées pour le compte du Client, SoloFlowly peut rediriger la personne concernée vers le Client ou transmettre la demande au Client lorsque cela est pertinent.

15.1. Principe. À la fin de la relation contractuelle, SoloFlowly met en œuvre les opérations de restitution, d'accès, d'export ou de suppression disponibles dans le Service ou raisonnablement réalisables au regard de l'état technique du produit.

15.2. Données pouvant être conservées.Certaines données peuvent ne pas être supprimées immédiatement ou intégralement lorsque leur conservation est justifiée, notamment :

• par une obligation légale, comptable, fiscale ou probatoire ;
• par le maintien de l'intégrité de documents déjà émis, tels que les factures et leurs snapshots ;
• par les nécessités de sécurité, de prévention de la fraude ou de gestion d'un litige ;
• par les cycles techniques normaux liés aux sauvegardes, lorsqu'elles existent ;
• par la conservation de données strictement nécessaires au respect d'une désinscription ou d'une opposition à la prospection.

15.3. Absence de garantie d'export complet universel dans l'état actuel. Le Client doit conserver ou exporter, au fur et à mesure de son usage, les données qu'il estime nécessaires à ses obligations et à la continuité de son activité. SoloFlowly peut proposer des fonctions d'export partielles ou spécifiques selon les modules. Le présent DPA ne doit pas être interprété comme garantissant, à lui seul, l'existence permanente d'un export intégral et exhaustif de toutes les données dans tous les formats.

15.4. Suppression et comptes résiliés. Les modalités concrètes de suppression des données à l'issue d'une résiliation sont précisées par les fonctionnalités disponibles, les documents contractuels applicables et, le cas échéant, les instructions spécifiques acceptées par SoloFlowly. SoloFlowly s'engage à ne pas conserver les données du Client au-delà de ce qui est nécessaire à l'exécution du Service, aux obligations applicables et aux intérêts légitimes de sécurité ou de preuve.

En cas de violation de données à caractère personnel affectant les traitements couverts par le présent DPA, SoloFlowly informe le Client dans les meilleurs délais après en avoir eu connaissance.

Dans la mesure des informations disponibles, cette notification peut inclure :

• la nature de l'incident ;
• les catégories de données ou de personnes potentiellement concernées ;
• les conséquences probables connues ;
• les mesures prises ou envisagées pour remédier à l'incident ;
• les informations utiles pour permettre au Client d'apprécier ses propres obligations de notification.

Les parties coopèrent de bonne foi afin de documenter l'incident et d'en limiter les effets.

SoloFlowly met à disposition du Client les informations raisonnablement nécessaires pour démontrer le respect de ses obligations en tant que sous-traitant.

Le Client peut demander une vérification de conformité du présent DPA :

• au maximum une fois par période de douze mois, sauf incident de sécurité, demande d'une autorité ou manquement sérieux raisonnablement suspecté ;
• moyennant un préavis raisonnable ;
• dans des conditions proportionnées à l'objet de la demande ;
• sans porter atteinte à la confidentialité, à la sécurité ou aux droits des autres clients de SoloFlowly.

SoloFlowly peut privilégier la communication de documents, attestations, réponses écrites ou éléments de conformité avant toute inspection plus intrusive.

Chaque partie demeure responsable du respect des obligations qui lui incombent au titre du RGPD.

SoloFlowly répond de ses propres manquements en tant que sous-traitant. Le Client demeure responsable notamment :

• de la licéité des traitements qu'il décide ;
• de l'information des personnes concernées ;
• des bases légales ;
• du contenu des données saisies ;
• des campagnes, communications et usages réalisés via les modules du Service ;
• de ses relations contractuelles directes avec les prestataires tiers qu'il choisit d'activer à l'aide de ses propres comptes ou identifiants.

Les limitations ou modalités d'engagement de responsabilité applicables entre les parties sont définies dans les CGU/CGV, sous réserve des règles impératives de droit applicable.

En cas de contradiction entre le présent DPA et les CGU/CGV sur une question directement relative au traitement des données personnelles pour le compte du Client, le présent DPA prévaut.

Le présent DPA est soumis au droit français.

Tout litige relatif à son interprétation ou à son exécution relève des juridictions compétentes désignées dans les CGU/CGV, sous réserve des règles impératives applicables.

Le présent DPA a été rédigé pour refléter l'état fonctionnel du Service tel qu'il est connu à la date indiquée.

SoloFlowly doit maintenir une cohérence entre :

• le présent DPA ;
• les CGU/CGV ;
• la Politique de confidentialité ;
• la Politique cookies le cas échéant ;
• la liste effective des prestataires ;
• l'état réel des fonctionnalités d'export, suppression, rétention, paiement et logs.

Toute évolution substantielle du produit ou de l'architecture technique doit conduire à vérifier si une mise à jour du présent DPA est nécessaire.

Le présent DPA se lit conjointement avec les conditions générales d'utilisation, les conditions générales de vente et la politique de confidentialité.