RGPD

Accord de traitement des données

DPA — Article 28 du RGPD. En vigueur avril 2026. Intégré aux CGV Allod Automate.

1. Parties et objet

Le présent Accord de Traitement des Données (« DPA ») complète les Conditions Générales de Vente (« CGV ») conclues entre :

  • Le Responsable de Traitement : le Client professionnel utilisateur des services Allod Automate.
  • Le Sous-traitant : Allod Automate, prestataire des services d'automatisation.

Il est conclu conformément à l'article 28 du Règlement (UE) 2016/679 (ci-après « RGPD ») et précise les engagements de chaque partie s'agissant du traitement des données à caractère personnel dans le cadre de l'exécution des prestations Allod Automate.

2. Description du traitement

2.1 Nature et finalité

Le Sous-traitant héberge et exécute pour le compte du Responsable de Traitement des workflows d'automatisation (n8n) susceptibles de traiter des données à caractère personnel des clients, prospects, employés ou tiers du Responsable de Traitement.

2.2 Durée

Le traitement est effectué pendant toute la durée des CGV, et jusqu'à suppression effective des données dans les conditions prévues à l'article 10.

2.3 Catégories de personnes concernées

  • Clients et prospects du Responsable de Traitement ;
  • Employés ou collaborateurs du Responsable de Traitement ;
  • Toute autre personne dont les données sont traitées par les workflows configurés par le Responsable de Traitement.

2.4 Catégories de données

La nature précise des données dépend des workflows configurés par le Responsable de Traitement. Typiquement : données d'identification (nom, prénom, email, téléphone), données de contact, données transactionnelles, logs techniques d'exécution. Le Responsable de Traitement s'engage à ne pas traiter de catégories particulières de données (données de santé, opinions politiques, etc.) sans accord écrit préalable du Sous-traitant.

3. Obligations du Sous-traitant

Conformément à l'article 28.3 du RGPD, le Sous-traitant s'engage à :

  • Traiter les données uniquement sur instruction documentée du Responsable de Traitement (les instructions étant matérialisées par la configuration des workflows) ;
  • Garantir que les personnes autorisées à traiter les données sont soumises à une obligation de confidentialité ;
  • Mettre en œuvre les mesures techniques et organisationnelles décrites à l'article 5 ;
  • Respecter les conditions de sous-traitance ultérieure prévues à l'article 4 ;
  • Assister le Responsable de Traitement dans ses obligations de réponse aux droits des personnes concernées ;
  • Aider le Responsable de Traitement dans ses obligations en matière de sécurité, de notification de violations et d'analyses d'impact ;
  • À l'issue de la prestation, restituer ou supprimer les données selon l'article 10 ;
  • Mettre à disposition toutes les informations nécessaires pour démontrer le respect du présent DPA.

4. Sous-traitants ultérieurs

Le Responsable de Traitement autorise expressément le recours aux sous-traitants ultérieurs listés ci-après.

Sous-traitant Rôle Localisation Garanties
Hetzner Online GmbH Hébergement des serveurs et de la base de données Finlande (UE) DPA conforme art. 28 RGPD, ISO 27001

Toute modification de cette liste (ajout, remplacement) sera notifiée au Responsable de Traitement au moins 30 jours avant sa mise en œuvre. Le Responsable de Traitement peut s'y opposer pour motif légitime dans ce délai ; à défaut, le changement est réputé accepté.

Le Sous-traitant demeure pleinement responsable vis-à-vis du Responsable de Traitement du respect, par ses sous-traitants ultérieurs, des obligations équivalentes à celles du présent DPA.

5. Mesures de sécurité

Le Sous-traitant met en œuvre les mesures techniques et organisationnelles suivantes :

  • Chiffrement des credentials de bout en bout (architecture zero-knowledge) : les identifiants fournis par le Responsable de Traitement pour ses outils tiers sont chiffrés dans son navigateur via X25519 ECDH + AES-256-GCM avant transmission. La clé privée reste sur l'instance du Responsable de Traitement ;
  • Chiffrement des communications en transit (TLS 1.3) ;
  • Chiffrement des sauvegardes au repos (GPG) ;
  • Isolation des instances clientes (conteneurs séparés, réseau virtuel dédié) ;
  • Journalisation des accès administrateurs ;
  • Authentification forte et rotation des secrets d'infrastructure ;
  • Sauvegardes quotidiennes chiffrées, rétention 30 jours ;
  • Mises à jour de sécurité appliquées régulièrement aux composants d'infrastructure ;
  • Procédure interne de gestion des violations de données.

6. Violation de données

En cas de violation de données à caractère personnel, le Sous-traitant notifie le Responsable de Traitement dans les meilleurs délais et au plus tard sous 48 heures après en avoir pris connaissance, par email à l'adresse de contact communiquée par le Responsable de Traitement.

La notification comprend : la nature de la violation, les catégories et nombre approximatif de personnes concernées, les conséquences probables, et les mesures prises ou proposées pour y remédier.

7. Droits des personnes concernées

Le Responsable de Traitement reste seul responsable du traitement des demandes d'exercice de droits (accès, rectification, effacement, portabilité, opposition, limitation) émanant des personnes concernées.

Le Sous-traitant assiste le Responsable de Traitement dans cette tâche en lui fournissant, dans un délai raisonnable et à ses frais raisonnables, les informations techniques nécessaires à la satisfaction de ces droits (export, suppression ciblée).

8. Transferts hors UE

Les données sont hébergées exclusivement sur des serveurs situés dans l'Union Européenne (Hetzner, Finlande). Aucun transfert de données en dehors de l'Espace Économique Européen n'est effectué par le Sous-traitant.

Si un workflow configuré par le Responsable de Traitement implique un transfert vers un outil tiers hors UE (ex : API d'un service basé aux États-Unis), ce transfert relève de la responsabilité exclusive du Responsable de Traitement, qui doit s'assurer de la licéité du transfert (clauses contractuelles types, décision d'adéquation, etc.).

9. Audit

Le Responsable de Traitement peut, à ses frais et après un préavis raisonnable de 30 jours, auditer le respect par le Sous-traitant du présent DPA, au plus une fois par année civile, sauf en cas de violation avérée.

L'audit est mené sous couvert de confidentialité, pendant les heures ouvrées, et ne doit pas perturber le fonctionnement de l'infrastructure. À la demande du Sous-traitant, il peut être mené par un tiers indépendant et certifié.

10. Sort des données en fin de contrat

À l'issue de la prestation, le Sous-traitant propose au Responsable de Traitement, à son choix :

  • La restitution complète des données au format portable (JSON export des workflows, dump SQL) ;
  • Ou la suppression définitive des données (bases actives + sauvegardes à l'expiration du cycle de rétention).

Le choix doit être exprimé par le Responsable de Traitement dans les 30 jours suivant la résiliation. À défaut, les données sont supprimées automatiquement, étant précisé que les sauvegardes sont purgées selon le cycle normal (30 jours).

Les documents conservés au titre d'obligations légales (facturation notamment) sont archivés séparément et ne sont plus utilisés pour le traitement.

11. Responsabilité et articulation avec les CGV

Les limitations de responsabilité prévues aux CGV s'appliquent au présent DPA, sauf stipulation contraire. En cas de contradiction entre le DPA et les CGV s'agissant du traitement de données personnelles, le DPA prévaut.

12. Modification du DPA

Le Sous-traitant peut modifier le présent DPA pour tenir compte d'évolutions législatives ou techniques. Les modifications substantielles sont notifiées au Responsable de Traitement avec un préavis de 30 jours.

13. Contact

Pour toute question relative au présent DPA ou à la protection des données : contact@allod.one

Dernière mise à jour : avril 2026.