Aller au contenu
Nouveau : connectez Linkly à votre IA préférée et interrogez les résultats et leads de vos salons
Document juridique · v1.0

Data Processing Agreement

Dernière mise à jour 24 mai 2026
Date d'effet 24 mai 2026
Version 1.0
Traduction fournie à titre informatif. La version italienne prévaut en cas de conflit.

Le présent Data Processing Agreement (« DPA ») est rédigé au sens de l'art. 28 du Règlement (UE) 2016/679 (« RGPD ») et régit le traitement des données personnelles effectué par SORAIA S.R.L. en qualité de sous-traitant pour le compte du Client en qualité de responsable du traitement, dans le cadre de la fourniture du service Linkly.

Version modèle publique : le présent document reproduit intégralement le texte du DPA que SORAIA S.R.L. signe avec chaque client Linkly. Le DPA signé bilatéralement est partie intégrante du contrat de fourniture et en constitue l'annexe A. Les clauses ci-dessous sont identiques à celles contractuelles, hormis l'insertion des données identifiantes spécifiques du Responsable au moment de la signature.

1. Parties

Entre :

  • [Client], dont le siège est à [adresse], TVA [IT…], en qualité de responsable du traitement au sens de l'art. 4(7) RGPD (ci-après « Responsable »)
  • et SORAIA S.R.L., dont le siège social est à Via Losana 13, 13900 Biella (BI), Italie, TVA IT02820060024, en qualité de sous-traitant au sens de l'art. 28 RGPD (ci-après « Sous-traitant »)

conjointement « Parties ».

2. Objet

Le présent Accord régit le traitement des données personnelles effectué par le Sous-traitant pour le compte du Responsable dans le cadre de l'utilisation de la plateforme Linkly.

3. Durée du traitement

Le traitement aura une durée égale à celle du contrat principal de fourniture entre les Parties. À la cessation, s'appliquent les dispositions de la section 12 du présent accord.

4. Nature et finalités du traitement

Le Sous-traitant traite les données personnelles exclusivement pour les finalités suivantes :

  • acquisition et digitalisation des contacts (ex. badges, cartes de visite, codes QR) via reconnaissance optique (OCR)
  • archivage, organisation et gestion technique des données
  • enrichissement des données via sources publiques et fournisseurs tiers
  • structuration, normalisation et classification des données via technologies d'intelligence artificielle
  • génération de modèles de relances commerciales (sur instructions du Responsable)
  • intégration technique avec les systèmes CRM, ERP et marketing du Responsable
  • élaboration de reporting et analytics post-événement
  • support technique et maintenance de la Plateforme

5. Catégories de données traitées

5.1 Données fournies directement par le Responsable ou ses utilisateurs

  • prénom et nom
  • société
  • rôle
  • email professionnel
  • numéro de téléphone professionnel
  • notes et évaluations commerciales saisies par l'utilisateur

5.2 Données acquises automatiquement

  • données extraites par OCR des cartes de visite et badges d'événement
  • données codées dans les codes QR
  • source d'acquisition (événement, date, modalité, utilisateur ayant effectué le scan)

5.3 Données enrichies

  • emails professionnels
  • numéros de téléphone
  • profils LinkedIn publics
  • informations d'entreprise publiques (secteur, taille, siège)

5.4 Données techniques

  • adresse IP
  • logs d'accès
  • identifiants de l'appareil
  • timestamps des opérations

5.5 Exclusions

Le Responsable s'engage à ne pas charger dans la Plateforme de catégories particulières de données (art. 9 RGPD : données révélant l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses, données biométriques, données de santé, données sur la vie ou l'orientation sexuelle) ni de données relatives aux condamnations pénales et infractions (art. 10 RGPD). Toute violation de cet engagement constitue responsabilité exclusive du Responsable.

6. Catégories de personnes concernées

  • contacts professionnels B2B recueillis lors de salons et événements (leads)
  • employés et collaborateurs du Responsable autorisés à utiliser la Plateforme
  • référents commerciaux et administratifs du Responsable

7. Instructions du Responsable

Le Sous-traitant :

  • traite les données exclusivement sur instructions documentées du Responsable (art. 28(3)(a) RGPD), y compris le présent Accord, le contrat principal et les configurations opérationnelles de la Plateforme
  • n'utilise pas les données à des fins propres ou pour des services à des tiers
  • n'effectue pas de décisions entièrement automatisées avec effets juridiques ou significatifs sur la personne concernée au sens de l'art. 22 RGPD
  • informe immédiatement le Responsable s'il considère qu'une instruction viole le RGPD ou toute autre réglementation applicable (art. 28(3) dernier alinéa RGPD)

8. Obligations du Sous-traitant

Le Sous-traitant s'engage à :

  • garantir la confidentialité des données personnelles
  • n'autoriser au traitement que du personnel formé et lié au secret (art. 28(3)(b) RGPD ; art. 29 RGPD)
  • mettre en œuvre des mesures techniques et organisationnelles adéquates au sens de l'art. 32 RGPD (voir section 9)
  • assister le Responsable dans le respect des obligations RGPD (arts. 32-36 RGPD), y compris AIPD et consultations préalables
  • notifier au Responsable toute violation de données personnelles sans délai injustifié (voir section 15)
  • mettre à disposition du Responsable toutes les informations nécessaires pour démontrer le respect des obligations et permettre les audits (voir section 14)
  • supprimer ou restituer au Responsable les données à la cessation du rapport (voir section 12)

9. Sécurité du traitement

SORAIA adopte des mesures techniques et organisationnelles proportionnées au risque au sens de l'art. 32 RGPD, parmi lesquelles :

  • Chiffrement des données en transit via TLS 1.2 ou supérieur avec cipher suites modernes
  • Chiffrement des données au repos sur les bases de données (AES-256)
  • Contrôles d'accès basés sur des identifiants individuels, principe du moindre privilège, séparation des rôles
  • Authentification multi-facteurs obligatoire pour les comptes administratifs et des développeurs
  • Hachage des mots de passe avec bcrypt (cost factor adéquat)
  • Logging et monitoring des accès administratifs (rétention 12 mois)
  • Séparation logique des environnements (dev/staging/prod) et des données des clients (multi-tenant avec isolement logique)
  • Sauvegardes automatiques quotidiennes avec procédures de disaster recovery testées périodiquement
  • Gestion formelle des incidents de sécurité (incident response plan)
  • Révision périodique des accès (revue trimestrielle)
  • Patch management pour les composants sujets à vulnérabilités connues
  • Tests d'intrusion périodiques sur les composants critiques
  • Formation du personnel autorisé (annuelle)
  • Suppression ou anonymisation des données à la cessation du service
  • Infrastructure principalement localisée dans l'Union européenne (voir section 11 pour les détails des sous-traitants ultérieurs)

10. Sous-traitants ultérieurs

Le Responsable autorise, à titre général, le Sous-traitant à recourir à des sous-traitants ultérieurs au sens de l'art. 28(2) RGPD.

Le Sous-traitant utilise des sous-traitants ultérieurs appartenant aux catégories suivantes :

  • infrastructure backend et base de données
  • application frontend
  • automatisation et orchestration de workflows
  • fournisseurs IA pour OCR, structuration, génération de texte
  • fournisseurs d'enrichissement de données B2B
  • services de recherche sur sources publiques

La liste spécifique et mise à jour des sous-traitants ultérieurs, avec nom, rôle, localisation du traitement et instrument de transfert hors UE appliqué, est fournie au Responsable au moment de la signature du contrat et à chaque mise à jour ultérieure.

Le Sous-traitant garantit que :

  • chaque sous-traitant ultérieur est lié par des obligations contractuelles équivalentes à celles du présent DPA, via un Data Processing Agreement signé
  • pour les sous-traitants ultérieurs établis hors UE, les protections prévues aux arts. 44 et suivants RGPD sont adoptées (Clauses Contractuelles Types, décisions d'adéquation, EU-US Data Privacy Framework si applicable)
  • toute modification de la liste (ajouts ou remplacements) est communiquée par email au Responsable avec un préavis de 30 jours, pendant lesquels le Responsable peut soulever objection motivée par écrit. En cas d'objection, les Parties négocient de bonne foi une solution ; à défaut d'accord, chaque Partie peut résilier le contrat sans pénalités

11. Transferts hors UE

Lorsque les données personnelles sont transférées en dehors de l'Espace économique européen (EEE), le Sous-traitant garantit le respect des arts. 44 et suivants du RGPD via les instruments prévus par la réglementation :

  • Décisions d'adéquation au sens de l'art. 45 RGPD (ex. UK, Suisse, Japon)
  • EU-US Data Privacy Framework (DPF) pour les sous-traitants américains adhérents
  • Clauses Contractuelles Types (CCT) approuvées par la Commission UE par la décision d'exécution 2021/914 (module 3 pour les rapports sous-traitant→sous-sous-traitant)
  • Mesures supplémentaires techniques et organisationnelles lorsque nécessaires à la lumière de la jurisprudence Schrems II et des Recommandations 01/2020 de l'EDPB (chiffrement, pseudonymisation, contrôles contractuels sur les demandes gouvernementales)

Pour chaque sous-traitant ultérieur hors UE, SORAIA conduit une Transfer Impact Assessment (TIA) documentée.

12. Restitution et suppression des données

À la cessation du contrat, le Sous-traitant :

  • met à disposition du Responsable les données personnelles dans un format structuré et d'usage courant (CSV, JSON ou format convenu) pour une période maximale de 30 jours à compter de la date de cessation
  • passé ce délai, il procède à la suppression sécurisée ou, sur demande écrite du Responsable, à l'anonymisation des données
  • supprime les données également des sauvegardes selon les procédures ordinaires de rotation (au maximum dans les 90 jours suivant la cessation)
  • conserve exclusivement les données nécessaires pour respecter des obligations légales (ex. facturation, contentieux, anti-blanchiment), avec accès limité et pendant le temps strictement nécessaire
  • sur demande du Responsable, fournit une certification écrite de la suppression effectuée

13. Assistance au Responsable

Le Sous-traitant assiste le Responsable, compte tenu de la nature du traitement et des informations à sa disposition, pour :

  • la gestion des demandes d'exercice des droits des personnes concernées (arts. 15-22 RGPD), dans les délais prévus par le RGPD
  • la conduite d'analyses d'impact relatives à la protection des données (AIPD) au sens de l'art. 35 RGPD, en fournissant les informations techniques et organisationnelles pertinentes
  • les consultations préalables avec l'autorité de contrôle au sens de l'art. 36 RGPD
  • la documentation nécessaire pour démontrer le respect des obligations RGPD (registre des traitements, mesures de sécurité, sous-traitants ultérieurs)

L'assistance est fournie gratuitement pour les activités ordinaires. Pour les demandes extraordinaires qui requièrent un effort technique significatif, des contreparties spécifiques peuvent être convenues, toujours dans les limites du coût effectif supporté.

14. Audits

Le Responsable a le droit, au sens de l'art. 28(3)(h) RGPD, de demander des informations et de vérifier le respect des obligations du Sous-traitant. Les modalités sont les suivantes :

  • Audit documentaire annuel : le Responsable peut demander copie des documents techniques et organisationnels pertinents (politiques de sécurité, certifications si présentes, rapports de tests d'intrusion synthétiques, liste des sous-traitants ultérieurs). SORAIA répond dans un délai de 30 jours
  • Audits sur site ou à distance : sur demande motivée, les Parties conviennent de la date et des modalités. L'audit est limité à ce qui est strictement nécessaire et ne doit pas compromettre la sécurité des autres clients ou la continuité du service. Les coûts éventuels supportés par SORAIA pour l'activation de personnel dédié sont à la charge du Responsable sauf si l'audit révèle des manquements du Sous-traitant
  • Audits activés par l'autorité de contrôle : SORAIA coopère pleinement, sans charges supplémentaires pour le Responsable

15. Notification de violation (art. 33 RGPD)

Le Sous-traitant, ayant pris connaissance d'une violation de données personnelles (data breach) impliquant des données traitées pour le compte du Responsable, est tenu de :

  • Notifier au Responsable sans délai injustifié après en avoir pris connaissance, et en tout cas dans un délai de 48 heures (marge opérationnelle qui permet au Responsable de respecter le délai de 72 heures prévu par l'art. 33 RGPD envers l'autorité)
  • fournir au Responsable au moins les informations suivantes :
    • nature de la violation, catégories et nombre approximatif de personnes concernées et d'enregistrements impliqués
    • nom et coordonnées du point de contact SORAIA pour la gestion de l'incident
    • conséquences probables de la violation
    • mesures adoptées ou proposées pour affronter la violation et atténuer les effets négatifs
  • mettre à jour le Responsable progressivement à mesure que de nouveaux éléments émergent
  • collaborer à la notification à l'autorité italienne et, le cas échéant, à la communication aux personnes concernées (arts. 33-34 RGPD)
  • conserver documentation de la violation et des actions entreprises (art. 33(5) RGPD)

Le point de contact SORAIA pour la notification des violations et pour toute question de sécurité est : privacy@soraia.io.

16. Responsabilité

Le Sous-traitant est responsable exclusivement pour les violations du RGPD ou du présent DPA imputables à son propre opéré (art. 82(2) RGPD).

Reste exclue toute responsabilité du Sous-traitant pour :

  • les traitements effectués directement par le Responsable
  • l'utilisation illicite ou non conforme des données par le Responsable
  • les violations réglementaires imputables au Responsable (ex. absence d'information aux personnes concernées, base juridique inadéquate, utilisation au-delà des limites de la notice)
  • l'introduction de catégories de données non admises (arts. 9, 10 RGPD) ou de données de mineurs
  • les dommages résultant de dysfonctionnements de systèmes tiers contrôlés par le Responsable

17. Dispositions finales

Le présent DPA constitue partie intégrante du contrat principal de fourniture. En cas de conflit entre les dispositions du présent DPA et celles du contrat principal en matière de protection des données personnelles, les dispositions du présent DPA prévalent.

Toute modification du présent DPA doit être convenue par écrit. SORAIA peut proposer des mises à jour pour adéquation à des changements réglementaires, en les communiquant au Responsable avec un préavis de 30 jours ; à défaut d'objection écrite, les modifications sont réputées acceptées.

Pour tout ce qui n'est pas expressément prévu, il est renvoyé aux dispositions du RGPD, de la législation nationale d'adaptation (décret législatif italien 196/2003 et modifications successives) et des Lignes directrices applicables de l'EDPB.


Contacts pour la protection des données

Pour toute question relative au traitement des données personnelles, à l'exercice des droits RGPD, ou pour recevoir copie du Data Processing Agreement, veuillez contacter :

Délégué à la Protection des Données (DPO): non désigné. SORAIA S.R.L. n'est pas soumise à l'obligation de désigner un DPO au sens de l'art. 37 RGPD (les exigences du par. 1 lettres b et c ne sont pas réunies). Les demandes des personnes concernées et des DPO des clients sont gérées directement par la fonction vie privée de l'entreprise via les contacts ci-dessus.

Réclamations: sans préjudice du droit de s'adresser directement au responsable du traitement / sous-traitant, les personnes concernées ont le droit d'introduire une réclamation auprès de l'autorité italienne de protection des données (garanteprivacy.it) ou auprès d'une autre autorité de contrôle compétente en fonction de leur lieu de résidence.

Modifications du document

SORAIA S.R.L. se réserve le droit de mettre à jour le présent document pour des raisons réglementaires ou d'évolution du service. Les modifications substantielles seront communiquées aux clients actifs par email et publiées sur cette page avec mise à jour de la date de dernière modification.

Approfondir avec une IA

Les pages Linkly sont optimisées pour être lues correctement par les assistants IA. Ouvrez la conversation dans celui que vous préférez avec le contexte déjà prêt, ou copiez le prompt pour l'utiliser où vous voulez.