DPA

1. Objet et cadre de l'accord

Le présent Accord de traitement des données (ci-après le « DPA », pour Data Processing Agreement) encadre les conditions dans lesquelles Zylior traite des données à caractère personnel pour le compte de ses clients, dans le cadre de l'utilisation de la plateforme Zylior. Il s'inscrit dans le respect du Règlement (UE) 2016/679 (ci-après le « RGPD »), et notamment de son article 28 relatif aux relations entre responsable du traitement et sous-traitant.

Ce DPA fait partie intégrante des Conditions Générales d'Utilisation et de Vente conclues entre Zylior et le client. En cas de contradiction entre le présent DPA et ces conditions sur les questions de protection des données, les dispositions du présent DPA prévalent.

Il est réputé accepté dès lors que le client souscrit à un abonnement Zylior ou utilise la plateforme pour traiter des données personnelles concernant des tiers (prospects, leads, contacts, clients finaux).

2. Définitions

Les termes employés dans le présent DPA conservent le sens que leur donne le RGPD. À titre indicatif :

• Donnée à caractère personnel : toute information se rapportant à une personne physique identifiée ou identifiable.
• Traitement : toute opération appliquée à des données personnelles (collecte, enregistrement, conservation, modification, consultation, communication, suppression, etc.).
• Responsable du traitement : l'entité qui détermine les finalités et les moyens du traitement. Dans le cadre du présent DPA, il s'agit du client.
• Sous-traitant : l'entité qui traite les données pour le compte du responsable du traitement. Dans le cadre du présent DPA, il s'agit de Zylior.
• Sous-traitant ultérieur : tout prestataire auquel Zylior fait appel pour exécuter des activités de traitement spécifiques pour le compte du client.
• Personne concernée : la personne physique à laquelle se rapportent les données personnelles.
• Violation de données : toute violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès non autorisé à des données personnelles.

3. Rôles et répartition des responsabilités

Dans le cadre de l'utilisation de la plateforme, les rôles sont répartis comme suit :

• Le client agit en qualité de responsable du traitement pour les données personnelles qu'il importe, collecte ou génère via Zylior (notamment les données de prospects, de leads, de contacts et de clients finaux dans le cadre de ses campagnes ads, contenu, leads, RDV et automatisation).
• Zylior agit en qualité de sous-traitant : il traite ces données uniquement sur instruction documentée du client, telle que matérialisée par l'usage des fonctionnalités de la plateforme et par le présent DPA.

Le client garantit qu'il dispose d'une base légale valable (consentement, intérêt légitime, exécution d'un contrat, etc.) pour chaque traitement qu'il met en œuvre via Zylior, et qu'il a satisfait à ses propres obligations d'information envers les personnes concernées.

Pour ses propres besoins de gestion de compte, de facturation, de sécurité et d'amélioration du service, Zylior agit en qualité de responsable du traitement distinct. Ces traitements sont décrits dans la Politique de confidentialité.

4. Nature, finalité et durée du traitement

Nature et finalité

Zylior traite les données personnelles dans le seul but de fournir les services de la plateforme : centralisation de la croissance d'un portefeuille de micro-SaaS, gestion des campagnes publicitaires, production de contenu, génération et qualification de leads, prise de rendez-vous et automatisation des workflows, le tout propulsé par l'IA.

Les opérations de traitement incluent notamment la collecte, l'enregistrement, l'organisation, la structuration, la conservation, la consultation, l'utilisation, la communication aux sous-traitants ultérieurs autorisés, ainsi que l'effacement des données.

Durée

Le traitement est réalisé pendant toute la durée du contrat liant le client à Zylior. Il prend fin à la résiliation ou à l'expiration du contrat, sous réserve des dispositions relatives au retour et à la suppression des données prévues à l'article 11.

5. Catégories de données et de personnes concernées

Catégories de personnes concernées

• Prospects et leads collectés par le client via ses campagnes ;
• Contacts professionnels et clients finaux du client ;
• Utilisateurs et membres de l'équipe du client disposant d'un accès à la plateforme.

Catégories de données traitées

• Données d'identification : nom, prénom, civilité ;
• Coordonnées : adresse e-mail, numéro de téléphone, adresse postale ;
• Données professionnelles : société, fonction, secteur d'activité, taille d'entreprise ;
• Données de relation commerciale : historique d'échanges, statut du lead, rendez-vous, notes, scoring ;
• Données de connexion et techniques : adresse IP, identifiants, journaux d'activité, données d'usage de la plateforme ;
• Tout contenu librement renseigné par le client dans les champs de la plateforme.

Zylior n'a pas vocation à traiter de catégories particulières de données (données dites « sensibles » au sens de l'article 9 du RGPD). Le client s'engage à ne pas importer de telles données sans avoir préalablement mis en place les garanties appropriées et informé Zylior.

6. Obligations de Zylior en tant que sous-traitant

Conformément à l'article 28 du RGPD, Zylior s'engage à :

• ne traiter les données que sur instruction documentée du client, y compris en matière de transfert hors de l'Union européenne, sauf obligation légale contraire — auquel cas Zylior informe le client avant le traitement, sauf interdiction légale ;
• veiller à ce que les personnes autorisées à traiter les données soient soumises à une obligation de confidentialité appropriée ;
• mettre en œuvre les mesures techniques et organisationnelles appropriées décrites à l'article 7 ;
• respecter les conditions de recours à un sous-traitant ultérieur définies à l'article 8 ;
• aider le client à répondre aux demandes d'exercice des droits des personnes concernées (article 9) ;
• assister le client dans le respect de ses obligations en matière de sécurité, de notification de violation, d'analyse d'impact et de consultation préalable de l'autorité de contrôle ;
• à la fin du contrat, supprimer ou restituer les données conformément à l'article 11 ;
• mettre à la disposition du client toute information nécessaire pour démontrer le respect de ses obligations et permettre les audits prévus à l'article 10 ;
• informer immédiatement le client si, selon lui, une instruction constitue une violation du RGPD ou d'une autre disposition applicable en matière de protection des données.

7. Mesures de sécurité

Zylior met en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, conformément à l'article 32 du RGPD. Ces mesures comprennent notamment le chiffrement des données en transit et au repos, le contrôle strict des accès, la journalisation des opérations, des sauvegardes régulières, la séparation des environnements et des procédures de gestion des incidents.

Le détail des mesures mises en œuvre, ainsi que l'organisation de la sécurité chez Zylior, est décrit sur la page Sécurité, qui fait partie intégrante du présent DPA et est régulièrement mise à jour.

Notification des violations de données

En cas de violation de données à caractère personnel, Zylior notifie le client dans les meilleurs délais après en avoir pris connaissance, et au plus tard dans les 48 heures. La notification précise, dans la mesure du possible, la nature de la violation, les catégories et le nombre approximatif de personnes concernées, les conséquences probables et les mesures prises ou proposées pour y remédier. Zylior apporte au client une assistance raisonnable pour lui permettre de respecter ses propres obligations de notification auprès de l'autorité de contrôle et, le cas échéant, des personnes concernées.

8. Sous-traitants ultérieurs

Le client autorise de manière générale Zylior à recourir à des sous-traitants ultérieurs pour l'exécution de certaines activités de traitement (hébergement infrastructure, services d'e-mailing, fournisseurs d'IA, outils analytiques, etc.).

Zylior s'engage à :

• n'engager que des sous-traitants ultérieurs présentant des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées ;
• imposer à chaque sous-traitant ultérieur, par contrat, des obligations de protection des données équivalentes à celles du présent DPA ;
• demeurer pleinement responsable envers le client de l'exécution par le sous-traitant ultérieur de ses obligations ;
• tenir à jour la liste de ses sous-traitants ultérieurs et informer le client de tout projet d'ajout ou de remplacement, afin de lui permettre d'émettre des objections légitimes dans un délai raisonnable.

La liste à jour des sous-traitants ultérieurs est disponible sur demande à l'adresse hello@zylior.com.

Transferts hors de l'Union européenne

Lorsqu'un traitement implique un transfert de données vers un pays situé hors de l'Espace économique européen, Zylior s'assure que ce transfert est encadré par un mécanisme reconnu par le RGPD : décision d'adéquation de la Commission européenne ou, à défaut, clauses contractuelles types complétées des mesures supplémentaires nécessaires.

9. Assistance et droits des personnes concernées

Zylior met à la disposition du client les fonctionnalités et outils nécessaires pour lui permettre de répondre aux demandes d'exercice de leurs droits par les personnes concernées : droit d'accès, de rectification, d'effacement, de limitation, d'opposition et de portabilité.

Si une demande d'exercice de droits est adressée directement à Zylior, celui-ci la transmet au client dans les meilleurs délais et ne répond pas directement à la personne concernée, sauf instruction du client ou obligation légale.

Compte tenu de la nature du traitement, Zylior aide également le client, dans la mesure du possible et par des mesures techniques et organisationnelles appropriées, à s'acquitter de ses obligations relatives à la sécurité des traitements, à la notification des violations, aux analyses d'impact relatives à la protection des données et à la consultation préalable de l'autorité de contrôle.

10. Audit et démonstration de conformité

Zylior met à la disposition du client toutes les informations nécessaires pour démontrer le respect des obligations prévues à l'article 28 du RGPD et le présent DPA.

À cet effet, le client peut, au maximum une fois par an et sous réserve d'un préavis raisonnable d'au moins trente jours, demander la réalisation d'un audit. Cet audit peut prendre la forme :

• de la communication de la documentation pertinente (politiques de sécurité, rapports d'audit, certifications le cas échéant) ;
• d'un questionnaire de conformité ;
• d'un audit sur site mené par le client ou un tiers indépendant mandaté par lui, soumis à un engagement de confidentialité.

Les audits sont réalisés pendant les heures ouvrées, de manière à ne pas perturber l'activité de Zylior, et dans le respect de la confidentialité des données des autres clients. Les coûts directs d'un audit sur site sont à la charge du client, sauf si l'audit révèle un manquement substantiel de Zylior à ses obligations.

11. Retour et suppression des données en fin de contrat

À l'expiration ou à la résiliation du contrat, et selon le choix exprimé par le client, Zylior procède :

• soit à la restitution de l'ensemble des données personnelles traitées pour le compte du client, dans un format structuré et couramment utilisé ;
• soit à la suppression définitive de ces données.

À défaut d'instruction du client dans un délai de trente jours suivant la fin du contrat, Zylior procède à la suppression des données. Cette suppression intervient également de manière définitive sur les sauvegardes, dans les limites des cycles techniques de rotation des sauvegardes.

Zylior conserve néanmoins les données dont la conservation est imposée par une obligation légale ou réglementaire, pour la seule durée et aux seules fins prévues par cette obligation. Sur demande, Zylior fournit au client une attestation de suppression des données.

12. Durée, modification et contact

Le présent DPA produit ses effets pendant toute la durée du traitement des données personnelles par Zylior pour le compte du client. Il peut être mis à jour pour tenir compte de l'évolution de la réglementation, des pratiques de sécurité ou des fonctionnalités de la plateforme ; la version applicable est celle publiée sur le site au moment du traitement concerné.

Pour toute question relative au présent DPA ou à l'exercice des droits, le client peut écrire à hello@zylior.com.