Prospea
Dernière mise à jour le 2026-04-20

Accord de traitement des données

Pour les clients qui traitent des données personnelles via Prospea.

Le présent accord de traitement des données (« DPA ») complète les conditions générales d'utilisation de Prospea. Il s'applique dès lors que le client utilise Prospea pour traiter des données personnelles au sens du RGPD.

Qualification des parties : le client agit en qualité de responsable de traitement ; Des Clics aux Clients agit en qualité de sous-traitant.

1. Définitions

Les termes « données à caractère personnel », « traitement », « responsable de traitement », « sous-traitant » et « personne concernée » ont le sens que leur donne l'article 4 du RGPD.

2. Objet, nature et durée du traitement

  • Nature : stockage, organisation, extraction, envoi de messages.
  • Finalité : fourniture du service de prospection commerciale.
  • Catégories de données : nom, coordonnées professionnelles, données publiques collectées sur les entreprises ciblées.
  • Catégories de personnes concernées : utilisateurs du client, prospects / contacts professionnels.
  • Durée : pendant la durée du contrat et 30 jours après sa résiliation.

3. Obligations du sous-traitant

Des Clics aux Clients s'engage à :

  • Traiter les données uniquement sur instruction documentée du client ;
  • Assurer la confidentialité des personnes autorisées à traiter les données ;
  • Mettre en œuvre les mesures techniques et organisationnelles décrites à l'article 5 ;
  • Assister le client dans ses obligations (réponses aux demandes des personnes concernées, analyses d'impact, notifications) ;
  • Tenir un registre des activités de traitement conformément à l'article 30.2 RGPD.

4. Sous-traitants ultérieurs

Le client autorise le recours aux sous-traitants figurant sur la page /subprocessors. Toute nouvelle sous-traitance sera notifiée par mise à jour de cette page au moins 30 jours avant sa mise en production, laissant au client la possibilité de s'y opposer en résiliant le contrat.

5. Sécurité

  • Chiffrement TLS 1.2+ pour toutes les communications ;
  • Chiffrement au repos des secrets (identifiants SMTP, tokens tiers) ;
  • Séparation logique et contrôles d'accès par utilisateur au niveau base de données ;
  • Journalisation des accès administratifs et rotation régulière des secrets ;
  • Sauvegardes quotidiennes chiffrées, restauration testée au minimum tous les six mois.

6. Gestion des incidents

En cas de violation de données à caractère personnel, nous notifierons le client sans délai injustifié, et au plus tard dans les 48 heures après en avoir pris connaissance. La notification contiendra la nature de la violation, les catégories et le volume approximatif de personnes concernées, les conséquences probables et les mesures de remédiation.

7. Transferts hors Union européenne

Lorsqu'un sous-traitant est situé hors de l'UE, le transfert est encadré par les clauses contractuelles types de la Commission européenne (décision 2021/914). La liste des pays de destination est maintenue à jour sur la page /subprocessors.

8. Restitution et suppression des données

À l'expiration du contrat, le client dispose de 30 jours pour récupérer ses données via l'export disponible dans son espace « RGPD & données ». Passé ce délai, l'ensemble des données est supprimé des systèmes de production, y compris des sauvegardes, dans un délai maximum de 90 jours (durée de rotation des sauvegardes).

9. Audit

Le client peut demander, au maximum une fois par an et avec un préavis raisonnable, une attestation écrite de conformité. Des audits complémentaires peuvent être réalisés aux frais du client en présence d'un auditeur indépendant soumis à une obligation de confidentialité.

Pour toute question relative au présent DPA : privacy@prospea.co.