Accord de Traitement des Données (DPA)
Dernière mise à jour : 26 août 2025
Le présent accord est conclu entre :
Zenivia SAS, 1 rue des Bergeronettes, 93330 Neuilly-sur-Marne, France — immatriculée au RCS de Bobigny (n° en cours) — (« Zenivia », le Sous-traitant)
ET
Tout client professionnel signataire des CGV Zenivia (le « Client », le Responsable du Traitement).
1. Définitions
« Accord » : un tout indivisible constitué du Bon de Commande (le cas échéant), des CGV, de la Politique de Confidentialité et du présent DPA, accepté par le Client avant d’utiliser les Services de Zenivia.
« Loi Applicable sur la Protection des Données » : l’ensemble des lois, règlements et autres normes nationales et européennes applicables au traitement des données personnelles mis en œuvre en vertu de l’Accord, y compris en particulier le Règlement (UE) 2016/679 du 27 avril 2016 (« RGPD ») et ses lois nationales de mise en œuvre (notamment la loi n° 78-17 du 6 janvier 1978 dite « Informatique et Libertés »), ainsi que, le cas échéant, les règles applicables en matière de communications électroniques, cookies et marketing direct (« e-Privacy »).
« Responsable du Traitement » : la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement des données personnelles. Aux fins du présent DPA, le Client agit en tant que Responsable du Traitement.
« Sous-traitant » : la personne physique ou morale, autorité publique, agence ou autre organisme qui traite des données personnelles pour le compte du Responsable du Traitement. Aux fins du présent DPA, Zenivia agit en tant que Sous-traitant.
« Données Personnelles » : toute information se rapportant à une personne physique identifiée ou identifiable (« Personne Concernée »).
« Traitement » : toute opération ou ensemble d’opérations effectuées sur des Données Personnelles, par des moyens automatisés ou non, telles que la collecte, l’enregistrement, l’organisation, la structuration, le stockage, l'adaptation ou la modification, l’extraction, la consultation, l’utilisation, la divulgation par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.
« Services » : l’ensemble des services fournis par Zenivia aux Clients en vertu des termes de l’Accord.
« Sous-traitant secondaire » : tout autre sous-traitant engagé par Zenivia pour traiter les Données Personnelles du Client.
2. Intégration & objet
Le présent DPA fait partie intégrante de l’Accord. Il encadre le Traitement de Données Personnelles effectué par Zenivia pour le compte du Client, conformément au RGPD et au droit français. Zenivia peut être Responsable de traitement indépendant pour certaines données (gestion du compte/contrat, facturation, etc.), ces traitements n'étant pas couverts par ce DPA.
3. Rôles & responsabilités
Client : Il détermine les finalités et moyens du traitement et garantit la licéité, la base légale, l'information des personnes concernées et l'exactitude des données.
Zenivia : N’agit que sur instructions documentées du Client et l'alerte si une instruction semble non conforme à la loi.
4. Obligations du Client
Le Client doit fournir des instructions écrites et licites, ne pas transmettre de données sensibles (art. 9 RGPD) sans accord écrit, et assumer ses responsabilités (registre, information, gestion des droits). Il est seul responsable du contenu qu'il fournit.
5. Obligations de Zenivia
- Limitation des finalités : Traiter les données uniquement pour la fourniture des Services.
- Confidentialité : Le personnel autorisé est soumis à une obligation de confidentialité.
- Sécurité : Mettre en œuvre les mesures techniques et organisationnelles appropriées (Annexe 2).
- Accès & habilitations : L'accès aux données est limité au personnel habilité selon le principe du moindre privilège.
- Assistance : Aider le Client à répondre aux demandes d'exercice de droits et pour les analyses d'impact (AIPD/DPIA).
6. Localisation & transferts internationaux
Les ressources principales sont hébergées dans l'UE (Firebase en Belgique). Certains transferts hors EEE peuvent survenir via des sous-traitants comme Notion (États-Unis) ou Google Workspace (Gmail), qui sont encadrés par des Clauses Contractuelles Types (SCC/CCT) et des mesures supplémentaires pour garantir la conformité.
7. Sous-traitants secondaires
Zenivia a une autorisation générale de recourir aux sous-traitants listés en Annexe 3. Toute modification de cette liste est notifiée avec un préavis de 15 jours, durant lequel le Client peut s'opposer pour un motif raisonnable.
8. Sécurité & violation de données
Les mesures de sécurité sont détaillées en Annexe 2. En cas de violation de données, Zenivia notifie le Client sous 48 heures après sa découverte et coopère pour permettre au Client de remplir ses propres obligations.
9. Conservation, suppression & restitution
Les données sont conservées pendant la durée de l'Accord. À la fin de l'Accord, elles sont supprimées ou restituées sous 30 jours sur instruction du Client. Les sauvegardes sont conservées pour une durée maximale de 30 jours.
10. Audits
Le Client peut auditer la conformité de Zenivia une fois par an, à ses frais, avec un préavis de 30 jours et sans perturber les opérations. Zenivia met à disposition toute la documentation nécessaire.
Annexe 1 — Détails des traitements
- Finalités : Fourniture des Services, support, maintenance, sécurité et amélioration du service.
- Personnes concernées : Utilisateurs du Client, voyageurs/clients finaux du Client et contacts opérationnels.
- Catégories de données : Données d'identification, professionnelles, opérationnelles et techniques. Aucune donnée sensible n'est traitée intentionnellement.
- Conservation : Pendant la durée de l'Accord, puis suppression/restitution sous 30 jours.
Annexe 2 — Mesures techniques & organisationnelles (TOMs)
- Gouvernance : Politique de sécurité, formation du personnel, gestion des accès basée sur le moindre privilège.
- Contrôles techniques : Régionalisation des données en UE (Belgique), chiffrement en transit (TLS) et au repos, séparation des environnements de développement et de production, journalisation et supervision.
- Gestion des incidents : Procédures de détection, réponse et notification au Client en moins de 48h.
Annexe 3 — Sous-traitants secondaires
| Fournisseur | Objectif | Localisation principale |
|---|---|---|
| Google Cloud / Firebase Firestore | Base de données NoSQL du Service | UE – europe-west1 (Belgique) |
| Google Workspace (Gmail) | Messagerie / support & communication interne | UE / US (data regions Google) |
| Notion Labs, Inc. | Base de connaissances interne | États-Unis (US) |