Contrat de Sous-Traitance de Données (DPA) REPUT’UP

Dernière mise à jour : 04/11/2025

Le présent Contrat de Sous-Traitance (ci-après l’« Accord » ou « DPA ») fait partie intégrante des Conditions Générales de Vente et d’Utilisation (ci-après les « CGVU ») conclues entre le client (ci-après le « Client » ou « vous ») et REPUT’UP (ci-après le « Logiciel », le « Sous-Traitant », « nous », « notre »).

Cet Accord régit le traitement des données personnelles que nous effectuons pour le compte du Client dans le cadre de la fourniture du Logiciel, conformément aux lois applicables en matière de protection des données, notamment le Règlement Général sur la Protection des Données (RGPD).

1. Définitions Clés (RGPD)

  • Responsable de Traitement (RT) : L’entité qui détermine les finalités et les moyens du traitement des données personnelles (le Client).
  • Sous-Traitant (ST) : L’entité qui traite les données personnelles pour le compte du Responsable de Traitement (REPUT’UP).
  • Personne Concernée : Toute personne physique identifiée ou identifiable dont les données personnelles sont traitées.
  • Données Personnelles : Toute information se rapportant à une personne physique identifiée ou identifiable.
  • Traitement : Toute opération effectuée sur des données personnelles (collecte, enregistrement, utilisation, diffusion, effacement, etc.).
  • Sous-Traitant Ultérieur : Tout tiers engagé par le Sous-Traitant pour traiter les données personnelles pour le compte du Client.

2. Rôles et Responsabilités

  • Le Client en tant que Responsable de Traitement : Le Client agit en qualité de Responsable de Traitement pour toutes les données personnelles traitées via le Logiciel. À ce titre, le Client est responsable de l’établissement de la base légale du traitement et de sa conformité avec la législation applicable.
  • REPUT’UP en tant que Sous-Traitant : REPUT’UP agit en qualité de Sous-Traitant et traite les données personnelles pour le compte du Client, conformément aux stipulations du présent DPA et aux instructions documentées du Client.

3. Catégories de Données Personnelles Traitées

REPUT’UP est amené à traiter les catégories de données suivantes pour le compte du Client :

  • Données des utilisateurs finaux (clients du Client) : Noms, adresses e-mail, avis, retours, témoignages vidéo, et autres informations soumises via les campagnes de sollicitation ou les pages de destination.
  • Données du Client : Noms, adresses e-mail, coordonnées, identifiants de connexion et autres données liées à l’utilisation professionnelle du Logiciel.
  • Données d’utilisation : Adresses IP, informations sur les appareils et données relatives à l’utilisation du Logiciel.

4. Objet et Finalités du Traitement

Le présent Traitement est effectué par REPUT’UP pour le compte du Client afin d’assurer les services décrits dans les CGVU, notamment :

  • L’agrégation d’avis provenant de plateformes tierces (Google, Facebook, etc.).
  • La réponse aux avis pour le compte du Client via l’intelligence artificielle.
  • L’envoi de campagnes de sollicitation d’avis et le traitement des retours.
  • Le partage d’avis via des widgets et des plateformes de médias sociaux.
  • L’analyse et le suivi de la réputation.
  • L’automatisation des processus de sollicitation.

5. Durée du Traitement

Le traitement des données personnelles se poursuivra pendant toute la durée des CGVU. Il se poursuivra au-delà, pour la durée légale nécessaire, si la conservation est requise par la loi ou si le Client en fait la demande pour l’effacement.

6. Obligations du Sous-Traitant (REPUT’UP)

REPUT’UP s’engage à :

  • Agir uniquement sur instruction documentée du Client : Nous traiterons les données personnelles uniquement dans la mesure nécessaire à la fourniture du Logiciel et conformément aux instructions documentées par le Client.
  • Garantir la confidentialité : Nous veillons à ce que toutes les personnes (employés ou sous-traitants) impliquées dans le traitement soient soumises à une obligation de confidentialité.
  • Mettre en œuvre des mesures de sécurité : Nous mettons en œuvre des mesures techniques et organisationnelles appropriées (MT&O) pour protéger les données personnelles contre l’accès, la perte, l’altération ou la divulgation non autorisés.
  • Assistance au Responsable de Traitement : Nous vous assisterons, dans la mesure du possible, à répondre aux demandes d’exercice des droits des Personnes Concernées (accès, rectification, effacement, portabilité) et à respecter vos obligations légales, notamment en matière de réalisation d’Analyses d’Impact relatives à la Protection des Données (AIPD).
  • Notification de violation : En cas de violation de données personnelles, nous vous en informerons sans délai injustifié après en avoir pris connaissance et vous fournirons toute information raisonnable pour vous permettre de respecter vos propres obligations de notification.

7. Obligations du Responsable de Traitement (Le Client)

En tant que Responsable de Traitement, vous vous engagez à :

  • Fournir des instructions licites : Garantir que toutes les instructions données à REPUT’UP sont licites et conformes aux lois applicables, y compris le RGPD.
  • Informer les Personnes Concernées : Assumer la responsabilité de fournir les mentions d’information nécessaires aux Personnes Concernées (vos clients) et d’obtenir leur consentement lorsque cela est requis (notamment pour les campagnes de sollicitation).
  • Garantir la base légale : Vous assurer qu’une base légale valide existe pour le traitement des données (consentement, intérêt légitime, exécution du contrat, etc.).
  • Gérer les demandes : Traiter toutes les demandes des Personnes Concernées relatives aux données traitées via le Logiciel. REPUT’UP apportera son assistance sur demande.

8. Sous-Traitance Ultérieure

REPUT’UP peut faire appel à des Sous-Traitants Ultérieurs pour exécuter certaines opérations de traitement. Nous nous engageons à :

  • Imposer les mêmes obligations : S’assurer que tout Sous-Traitant Ultérieur présente les mêmes garanties en matière de protection des données et de sécurité que celles requises par le présent DPA.
  • Informer le Client : Informer le Client de tout changement envisagé concernant l’ajout ou le remplacement de Sous-Traitants Ultérieurs, vous donnant ainsi la possibilité de vous opposer à ce changement.
  • Responsabilité : Demeurer pleinement responsable envers le Client de l’exécution des obligations du Sous-Traitant Ultérieur.

9. Transferts Internationaux de Données

REPUT’UP peut transférer des données personnelles en dehors de l’Espace Économique Européen (EEE). Dans ce cas, nous garantissons la mise en place de sauvegardes appropriées pour la protection des données, notamment par le recours aux Clauses Contractuelles Types (CCT) approuvées par la Commission Européenne ou tout autre mécanisme légalement reconnu.

10. Mesures de Sécurité Techniques et Organisationnelles (MT&O)

REPUT’UP met en œuvre des mesures appropriées pour garantir un niveau de sécurité adapté au risque, incluant notamment :

  • Le chiffrement des données personnelles lors de leur transmission.
  • Des procédures de contrôle d’accès pour prévenir tout accès non autorisé aux données.
  • Des évaluations régulières de la sécurité et des audits.
  • Des plans de réponse aux incidents pour la gestion des violations de données.

11. Conservation et Suppression des Données

À l’expiration ou à la résiliation des CGVU, REPUT’UP s’engage, selon l’instruction documentée du Client :

  • À restituer toutes les données personnelles traitées pour le compte du Client ; ou
  • À supprimer toutes les données personnelles, sauf si la conservation est requise par le droit français ou européen.

12. Droit d’Audit

Le Client a le droit de demander des audits ou des inspections des activités de traitement de REPUT’UP pour vérifier la conformité au présent DPA. Le Client accepte que ces audits soient effectués à ses frais, après un préavis raisonnable, et en minimisant la perturbation de nos opérations.

13. Responsabilité

La responsabilité de chaque partie en vertu du présent DPA est soumise aux limitations et exclusions stipulées dans les CGVU, sauf si de telles limitations sont prohibées par le droit applicable en matière de protection des données.

14. Droit Applicable et Juridiction Compétente

Le présent DPA est régi et interprété conformément au droit français.

15. Résiliation

Le présent DPA reste en vigueur tant que REPUT’UP traite des données personnelles pour le compte du Client. En cas de résiliation des CGVU, les termes du présent DPA continueront de s’appliquer tant que REPUT’UP conserve des données personnelles.

16. Contact

Pour toute question ou préoccupation concernant le présent DPA ou la protection de vos données, veuillez nous contacter :