pinterest-site-verification=70d12a13c4a05433e0d6404c86d6e774
top of page
SB-Only.png

Accord de traitement des données d'Outbound Engine

Auteur :

Soufiane Boudarraja

Date :

24 février 2026

1. Parties et portée

Cet Accord de Traitement des Données ("ATD") fait partie du cadre contractuel entre :

1) Client ("Contrôleur") : l'entité qui détermine les finalités et les moyens de traitement des données personnelles, et

2) Soufiane Boudarraja ("Processeur"): le fournisseur de services traitant des données personnelles pour le compte du Client.

Ce DPA s'applique à l'écosystème de Soufiane Boudarraja (l'"Écosystème") où, et seulement où, Soufiane Boudarraja traite des données personnelles pour le compte du Client en tant que Processeur en lien avec les "Services".

Si Soufiane Boudarraja agit en tant que Responsable indépendant (par exemple, les visiteurs du site Web, les clients directs de produits numériques ou les acheteurs POD), la Politique de Confidentialité s'applique à la place de ce DPA. Si les parties agissent en tant que Responsables distincts (Responsable à Responsable), ce DPA ne s'applique pas sauf accord écrit.

2. Définitions

"RGPD" signifie Règlement (UE) 2016/679.

"Données personnelles", "Traitement", "Responsable du traitement", "Sous-traitant", et "Autorité de contrôle" ont les significations définies dans le RGPD.

"Données client" signifie Données personnelles traitées par le Processeur pour le compte du Client en vertu de ce DPA.

"Sous-traitant" désigne un tiers engagé par le Processeur pour traiter les Données du Client pour le compte du Client.

"Services" désigne les services professionnels, logiciels et livrables fournis en vertu du contrat applicable, de la déclaration de travail, du bon de commande ou d'un accord similaire (l'"Accord Principal").

3. Détails du traitement

Le sujet, la durée, la nature et l'objectif du traitement, les types de Données Personnelles et les catégories de Sujets de Données sont décrits dans l'Annexe 1 (Détails du traitement). Le traitement sera limité à ce qui est nécessaire pour fournir les Services.

4. Obligations du Responsable du traitement

Le Responsable du traitement doit :

  1. Traiter les Données Client uniquement sur des instructions documentées du Client, y compris en ce qui concerne les transferts de Données Personnelles vers un pays tiers ou une organisation internationale, sauf si la loi de l'Union ou d'un État membre l'exige ; dans ce cas, le Responsable du traitement doit informer le Client de cette exigence légale avant le traitement, sauf si cette loi interdit une telle information pour des raisons impérieuses d'intérêt public.

  2. Assurez-vous que les personnes autorisées à traiter les données clients se sont engagées à la confidentialité ou sont soumises à une obligation légale appropriée de confidentialité.

  3. Mettez en œuvre des mesures techniques et organisationnelles appropriées ("TOM") pour garantir un niveau de sécurité approprié au risque, comme décrit dans l'annexe 2, en tenant compte de l'article 32 du RGPD.

  4. Respectez les conditions d'engagement des sous-traitants telles que définies dans la section 6.

  5. Aidez le client par des mesures techniques et organisationnelles appropriées, dans la mesure du possible, pour le respect de l'obligation du client de répondre aux demandes d'exercice des droits des personnes concernées en vertu du chapitre III du RGPD.

  6. Aidez le client à garantir le respect des obligations prévues aux articles 32 à 36 du RGPD (sécurité, notification des violations, analyses d'impact sur la protection des données et consultation préalable), en tenant compte de la nature du traitement et des informations disponibles pour le responsable du traitement.

  7. À la discrétion du Client, supprimer ou retourner toutes les Données du Client après la fin de la fourniture des Services relatifs au traitement, et supprimer les copies existantes, sauf si la loi de l'Union ou d'un État membre exige leur conservation.

  8. Mettre à la disposition du Client toutes les informations nécessaires pour démontrer la conformité avec ce DPA et permettre et contribuer aux audits, y compris les inspections, menées par le Client ou un auditeur mandaté par le Client, sous réserve de l'Article 11.

5. Obligations du Client

Le Client doit :

  • S'assurer qu'il dispose d'une base légale pour le traitement des Données du Client et pour instruire le Processeur de traiter les Données du Client.

  • Fournir des instructions documentées et s'assurer que ces instructions sont conformes à la loi applicable.

  • S'assurer que des avis de transparence sont fournis aux Sujets de Données lorsque cela est requis, y compris pour l'utilisation de sous-traitants et les transferts internationaux.

  • Être responsable de l'exactitude, de la qualité et de la légalité des Données Clients fournies au Sous-traitant.

  • Configurer et utiliser tous les outils tiers qu'il sélectionne ou contrôle de manière conforme, y compris les autorisations des utilisateurs et les paramètres de conservation.

6. Sous-traitants

Le Client accorde au Processeur une autorisation générale d'engager des Sous-traitants pour traiter les Données du Client aux fins de fournir les Services, sous réserve des exigences ci-dessous.

6.1 Conditions des Sous-traitants

  • Le Processeur doit imposer à chaque Sous-traitant des obligations de protection des données substantiellement similaires à celles énoncées dans ce DPA, y compris des mesures de sécurité appropriées.

  • Le Processeur reste responsable de l'exécution des obligations du Sous-traitant.

6.2 Liste des Sous-traitants et mises à jour

Une liste actuelle des catégories de sous-traitants et des types d'outils utilisés pour l'écosystème est maintenue dans l'annexe des outils tiers et des fournisseurs de données (Politique 14). Pour les engagements spécifiques aux clients, les sous-traitants applicables peuvent dépendre des services et des outils choisis par le client.

Lorsqu'un changement introduit un nouveau sous-traitant qui traitera les données du client pour un engagement en cours, le processeur fournira un préavis lorsque cela est raisonnablement possible. Le client peut s'opposer pour des raisons raisonnables liées à la protection des données. Si les parties ne peuvent pas résoudre l'objection, l'une ou l'autre des parties peut résilier la partie concernée des services, sans pénalité au-delà des frais dus pour le travail effectué jusqu'à la résiliation, sauf si l'accord principal prévoit le contraire.

7. Transferts internationaux

Les données du client doivent être traitées par défaut au sein de l'Espace économique européen ("EEE") lorsque les services et les outils choisis le permettent. Lorsque les données du client sont transférées en dehors de l'EEE, le transfert sera soumis à une protection appropriée en vertu du chapitre V du RGPD.

7.1 Mécanismes de transfert

  • Décision d'adéquation (Article 45 RGPD), le cas échéant.

  • Clauses contractuelles types ("CCT") adoptées par la Commission européenne (Article 46 RGPD), le cas échéant.

  • Autres mécanismes légaux reconnus en vertu du Chapitre V du RGPD, le cas échéant.

Lorsque des CCT sont requises, les parties conviennent d'utiliser les CCT adoptées par la décision d'exécution de la Commission (UE) 2021/914, avec le(s) module(s) approprié(s) à la relation (typiquement Responsable du traitement à Sous-traitant). Les CCT sont incorporées par référence et s'appliquent dans la mesure requise pour le transfert.

8. Sécurité (Article 32 RGPD)

Le Processeur doit mettre en œuvre et maintenir des TOM appropriés comme décrit à l'annexe 2. Le Processeur peut mettre à jour les TOM au fil du temps pour refléter l'évolution des risques et de la technologie, à condition que le niveau de sécurité global ne soit pas matériellement dégradé.

9. Notification de violation de données personnelles

Le Processeur doit notifier le Client sans délai injustifié après avoir pris connaissance d'une violation de données personnelles affectant les Données du Client. La notification comprendra, dans la mesure du possible, la nature de la violation, les catégories et le nombre approximatif de Sujets de Données et de dossiers affectés, les conséquences probables et les mesures prises ou proposées pour remédier à la violation. Le Processeur coopérera avec les demandes raisonnables du Client pour des informations supplémentaires.

10. Assistance avec les demandes des Sujets de Données

Compte tenu de la nature du traitement, le Processeur doit aider le Client par des mesures techniques et organisationnelles appropriées, dans la mesure du possible, à satisfaire les demandes des Sujets de Données d'exercer leurs droits en vertu du Chapitre III du RGPD. Si le Processeur reçoit une demande directement d'un Sujet de Données concernant les Données du Client, le Processeur doit, sauf interdiction légale, transmettre rapidement la demande au Client et ne doit pas répondre sauf sur les instructions documentées du Client.

11. Informations sur les audits et la conformité

Le Processeur doit mettre à disposition les informations nécessaires pour démontrer la conformité avec ce DPA. Des audits peuvent être réalisés par le Client ou un auditeur indépendant mandaté par le Client, sous réserve des conditions suivantes :

  • Les demandes d'audit doivent être raisonnables,      proportionnées et limitées aux activités de traitement couvertes par ce DPA.

  • Les audits doivent être programmés avec un préavis raisonnable      et pendant les heures normales de bureau, sauf en cas de violation ou d'exigence légale urgente justifiant un calendrier accéléré.

  • Les audits doivent être réalisés de manière à      éviter toute perturbation inutile et à protéger la confidentialité et      la sécurité des autres clients et des systèmes du Processeur.

  • Le Client supporte ses propres coûts d'audit et rembourse le Processeur pour le temps raisonnable passé à soutenir l'audit, à moins que l'audit ne révèle une violation matérielle de ce DPA par le Processeur.

12. Suppression et retour des données

À la résiliation ou à l'expiration des Services impliquant un traitement en vertu de ce DPA, le Processeur doit, au choix du Client, supprimer ou retourner les Données Client, et supprimer les copies existantes, sauf si le stockage est requis par la loi de l'Union ou d'un État membre. Lorsque la suppression est choisie, le Processeur supprimera les Données Client des systèmes actifs dans un délai commercialement raisonnable et pourra conserver des sauvegardes limitées pendant une période limitée conformément aux pratiques de sécurité et de récupération après sinistre.

13. Confidentialité

Le Processeur traitera les Données Client comme confidentielles et veillera à ce que les personnes autorisées à traiter les Données Client soient liées par la confidentialité. Cette obligation s'ajoute à toute disposition de confidentialité dans l'Accord Principal.

14. Responsabilité

La responsabilité en vertu de ce DPA suit l'allocation de responsabilité dans l'Accord Principal, sauf si la loi obligatoire exige le contraire. Rien dans ce DPA ne limite la responsabilité de l'une ou l'autre des parties lorsque cette limitation n'est pas autorisée par la loi applicable.

15. Ordre de priorité

En cas de conflit entre ce DPA et l'Accord Principal, ce DPA prévaut en ce qui concerne les obligations de protection des données, sauf si les parties conviennent expressément du contraire par écrit. Les annexes font partie de ce DPA.

16. Contact

Contact du processeur pour les questions de protection des données :

Soufiane Boudarraja

Waldstr. 74, 65451 Kelsterbach, Hesse, Allemagne

Email : Soufiane.Boudarraja@soufbouda.com

Téléphone : +49 152 2717 9992

Annexe 1 : Détails du traitement (Article 28(3) RGPD)

Cette annexe décrit les détails typiques du traitement pour les services d'écosystème où Soufiane Boudarraja agit en tant que processeur. Pour un engagement spécifique, les parties peuvent affiner ces détails dans la déclaration de travail ou le bon de commande.

A. Objet

  • Fourniture de services de conseil, d'assistance, de gouvernance opérationnelle, de facilitation, de formation et de transformation.

  • Fourniture de logiciels, d'automatisation et de services de support connexes (y compris Outbound Engine et Outbound Assistant) où le Client fournit des données personnelles pour traitement.

  • Fourniture de recherche, de diagnostics, d'enrichissement de données, de facilitation de contact et de livrables connexes où le Client fournit des données personnelles ou donne des instructions pour le traitement de données personnelles.

B. Durée

Pour la durée de l'Accord Principal et toute période de transition applicable requise pour retourner ou supprimer les Données du Client, sous réserve de la Section 12.

C. Nature du traitement

  • Collecte, réception, enregistrement, organisation, structuration, stockage, adaptation, consultation, utilisation, divulgation par transmission (lorsque demandé), alignement, combinaison, restriction, effacement et destruction des données clients.

  • Gestion des utilisateurs et contrôle d'accès pour les espaces de travail partagés le cas échéant.

  • Génération de rapports, tableaux de bord et livrables opérationnels en utilisant les données clients lorsque demandé.

D. Objectif du traitement

  • Fournir les services comme demandé par le client.

  • Exploiter et sécuriser l'environnement de service, y compris l'authentification, la journalisation, la surveillance et la réponse aux incidents.

  • Fournir un support, un dépannage et une amélioration du service liés à l'engagement du Client.

E. Catégories de sujets de données

  • Employés, sous-traitants et utilisateurs autorisés du Client.

  • Clients, prospects, pistes, fournisseurs et contacts commerciaux du Client, tels que fournis ou instruits par le Client.

  • D'autres individus dont les données sont fournies par le Client de manière légale pour traitement en lien avec les Services.

F. Types de données personnelles

  • Données d'identité et de contact (nom, rôle, adresse e-mail professionnelle, téléphone professionnel, entreprise, titre de poste, localisation).

  • Données de communication et d'interaction (e-mails, messages, notes de réunion, résumés d'appels, réponses) telles que fournies par le Client.

  • Données de compte et d'accès (identifiants d'utilisateur, métadonnées de connexion, autorisations) lorsque des espaces de travail partagés sont utilisés.

  • Données de relation commerciale (attributions de compte, données de pipeline, statut de contact, métadonnées de planification de réunion).

  • Données techniques nécessaires au fonctionnement des Services (identifiants de dispositif, journaux, adresses IP, horodatages) le cas échéant.

Les catégories spéciales de données (Article 9 RGPD) ne sont pas destinées à être traitées. Si le Client demande le traitement de catégories spéciales ou de données relatives à des infractions pénales (Article 10 RGPD), les parties doivent convenir par écrit de mesures de protection supplémentaires avant que ce traitement n'ait lieu.

Annexe 2 : Mesures Techniques et Organisationnelles (MTO)

Les MTO ci-dessous décrivent une posture de sécurité de base pour les services de l'Écosystème. Les mesures réelles peuvent varier en fonction du Service et de la pile d'outils. Le Responsable du traitement maintient des mesures appropriées au risque et peut fournir des détails spécifiques aux engagements sur les MTO sur demande.

A. Mesures organisationnelles

  • Engagements de confidentialité pour toute personne autorisée ayant accès aux données clients.

  • Contrôles d'accès basés sur le principe du moindre privilège et sur le besoin de connaître.

  • Pratiques de minimisation des données pour les livrables et les fichiers partagés lorsque cela est possible.

  • Processus de réponse aux incidents pour identifier, contenir, enquêter et remédier aux événements de sécurité.

  • Sélection des fournisseurs et des outils guidée par l'annexe des outils et des fournisseurs de données tiers.

B. Mesures techniques

  • Sécurité des comptes : pratiques d'authentification fortes, y compris l'authentification multi-facteurs lorsque prise en charge par la plateforme.

  • Chiffrement en transit utilisant TLS pour les services basés sur le web lorsque pris en charge ; chiffrement au repos lorsque pris en charge par les fournisseurs.

  • Configuration sécurisée des dispositifs utilisés pour la livraison de services (mises à jour du système d'exploitation, protection contre les logiciels malveillants, chiffrement des disques lorsque disponible).

  • Journalisation et surveillance appropriées au contexte du service, avec des contrôles d'accès pour les journaux.

  • Pratiques de sauvegarde et de récupération appropriées aux outils utilisés, avec un accès contrôlé et une conservation.

  • Séparation des données clients en utilisant des espaces de travail, des dossiers ou des mesures de séparation logique distincts lorsque cela est pris en charge.

C. Disponibilité et résilience

  • Utilisation de services d'hébergement et de cloud réputés lorsque cela est applicable.

  • Planification de continuité raisonnable basée sur l'échelle de l'engagement.

D. Tests et amélioration

  • Mises à jour régulières des logiciels et des dépendances lorsque cela est applicable.

  • Révision périodique des autorisations d'accès pour les engagements actifs.

Annexe 3 : Sous-traitants

Les sous-traitants peuvent être utilisés en fonction des services et des outils choisis par le client. Une description des catégories d'outils tiers et des fournisseurs typiques utilisés dans l'écosystème est maintenue dans l'annexe des outils tiers et des fournisseurs de données (Politique 14). Si le client demande une liste des sous-traitants spécifiques utilisés pour un engagement particulier, le processeur la fournira sur demande.

bottom of page