01Objet et cadre
Le présent Addendum relatif à la protection des données (ci-après le « DPA ») complète et fait partie intégrante des Conditions générales d'utilisation et de vente (les « CGUV ») conclues entre KOMMIA SAS, société par actions simplifiée au capital de 40 000 €, immatriculée au RCS de Nanterre sous le numéro 941 719 742, dont le siège social est situé [adresse à compléter] (ci-après « KommIA »), et le Client professionnel (ci-après le « Client »).
Il définit les conditions dans lesquelles KommIA traite des données à caractère personnel pour le compte du Client, conformément à l'article 28 du Règlement (UE) 2016/679 (RGPD). En cas de contradiction sur la protection des données, le présent DPA prévaut sur les CGUV. La responsabilité des Parties au titre du présent DPA est régie par les stipulations de responsabilité des CGUV.
02Définitions
Les termes « données à caractère personnel », « traitement », « responsable du traitement », « sous-traitant », « personne concernée », « violation de données » et « autorité de contrôle » ont le sens qui leur est donné par le RGPD. Les termes en majuscules non définis ici ont le sens donné dans les CGUV.
03Rôles des parties
Dans le cadre du Service, et s'agissant des données personnelles que le Client collecte via les plateformes supportées (notamment Instagram) ainsi que des données de ses propres contacts/abonnés :
- le Client agit en qualité de responsable du traitement : il détermine les finalités et les moyens, et garantit disposer d'une base légale et des consentements requis ;
- KommIA agit en qualité de sous-traitant : il traite ces données uniquement sur instruction documentée du Client, aux seules fins de fournir le Service.
S'agissant des données que KommIA traite pour ses propres finalités (gestion de la relation client, facturation, sécurité), KommIA agit en tant que responsable du traitement ; ces traitements sont décrits dans la Politique de confidentialité.
04Description du traitement
Les caractéristiques essentielles du traitement réalisé par KommIA pour le compte du Client sont décrites à l'Annexe A et résumées ci-après :
- Nature : hébergement, stockage, génération de contenu par IA, planification et publication de contenus, gestion des messages et commentaires, statistiques.
- Finalité : fourniture des fonctionnalités du Service souscrites par le Client.
- Durée : pendant toute la durée du Contrat, puis suppression/restitution selon l'article 11.
- Catégories de données : données d'identification et de compte, contenus fournis (textes, images), identifiants et statistiques des comptes sociaux connectés, données des contacts/abonnés du Client (DM, commentaires).
- Personnes concernées : le Client et ses utilisateurs autorisés, ainsi que l'audience/les contacts du Client sur les plateformes connectées.
KommIA ne traite aucune catégorie particulière de données (données sensibles) de manière intentionnelle et invite le Client à ne pas en transmettre via le Service.
05Obligations de KommIA (sous-traitant)
Conformément à l'article 28.3 du RGPD, KommIA s'engage à :
- ne traiter les données que sur instruction documentée du Client (les CGUV et l'utilisation du Service valant instructions), sauf obligation légale ;
- garantir la confidentialité : le personnel autorisé est tenu à une obligation de confidentialité ;
- mettre en œuvre les mesures de sécurité appropriées (art. 32 — voir article 7 et Annexe B) ;
- respecter les conditions de recours à des sous-traitants ultérieurs (article 6) ;
- assister le Client dans la réponse aux demandes d'exercice des droits des personnes et dans ses obligations de sécurité, de notification de violation et d'analyse d'impact (article 9) ;
- au choix du Client, supprimer ou restituer les données en fin de prestation (article 11) ;
- mettre à disposition du Client les informations nécessaires pour démontrer le respect de ces obligations (article 12).
06Sous-traitants ultérieurs
Le Client autorise KommIA à recourir à des sous-traitants ultérieurs pour l'exécution du Service (hébergement, paiement, infrastructure d'IA, emailing, automatisation). La liste à jour des sous-traitants est tenue dans la Politique de confidentialité.
KommIA impose à chaque sous-traitant ultérieur, par contrat, des obligations de protection des données équivalentes à celles du présent DPA. KommIA informe le Client de tout ajout ou remplacement de sous-traitant au moins trente (30) jours à l'avance, le Client pouvant s'y opposer pour un motif légitime et raisonnable.
KommIA demeure pleinement responsable envers le Client de l'exécution, par le sous-traitant ultérieur, de ses obligations en matière de protection des données (art. 28.4 RGPD).
07Sécurité
KommIA met en œuvre des mesures techniques et organisationnelles appropriées au regard du risque (art. 32 RGPD), détaillées à l'Annexe B, notamment : hébergement au sein de l'Union européenne, chiffrement des échanges en transit (TLS), cloisonnement des accès, authentification déléguée (OAuth officiel Meta — KommIA ne stocke aucun mot de passe Instagram), externalisation du paiement à un prestataire certifié PCI-DSS (aucune donnée bancaire stockée par KommIA), journalisation et sauvegardes.
08Violation de données
En cas de violation de données à caractère personnel concernant les données traitées pour le compte du Client, KommIA en informe le Client sans délai injustifié et au plus tard sous quarante-huit (48) heures après en avoir pris connaissance, et lui communique les informations utiles pour lui permettre, le cas échéant, de notifier l'autorité de contrôle dans le délai de 72 heures et d'informer les personnes concernées (art. 33-34 RGPD).
09Assistance et droits des personnes
Dans la mesure du possible, KommIA aide le Client, par des mesures techniques et organisationnelles appropriées, à répondre aux demandes d'exercice des droits des personnes concernées (accès, rectification, effacement, limitation, portabilité, opposition — art. 12 à 23 RGPD). Si une demande est adressée directement à KommIA, celui-ci la transmet au Client dans les meilleurs délais.
KommIA assiste également le Client pour la sécurité, la notification des violations et, le cas échéant, la réalisation d'analyses d'impact (AIPD) et la consultation préalable de l'autorité (art. 35-36).
10Transferts hors Union européenne
Les données sont hébergées au sein de l'Union européenne. Si un sous-traitant ultérieur implique un transfert de données hors UE/EEE, KommIA s'assure qu'il est encadré par un mécanisme conforme au chapitre V du RGPD (décision d'adéquation ou clauses contractuelles types de la Commission européenne (version du 4 juin 2021), assorties des mesures supplémentaires nécessaires).
11Durée, restitution et suppression
Le présent DPA s'applique pendant toute la durée du traitement des données pour le compte du Client. Au terme de la prestation, et au choix du Client exprimé dans un délai de trente (30) jours, KommIA procède à la restitution puis à la suppression des données, ou directement à leur suppression, ainsi que des copies existantes, sauf obligation légale de conservation. Les modalités de conservation sont précisées dans la Politique de confidentialité.
12Audit
KommIA met à la disposition du Client les informations nécessaires pour démontrer le respect de ses obligations et permettre la réalisation d'audits, y compris des inspections, par le Client ou un auditeur mandaté soumis à confidentialité. Les audits sont réalisés moyennant un préavis raisonnable, pendant les heures ouvrées, sans perturber l'activité de KommIA, et dans la limite d'un (1) audit par an sauf incident de sécurité avéré ou demande d'une autorité de contrôle.
13Annexes
Annexe A — Description du traitement. Objet, nature, finalité, durée, catégories de données et de personnes concernées : voir l'article 4 ci-dessus.
Annexe B — Mesures de sécurité. Hébergement UE ; chiffrement en transit (TLS) ; authentification OAuth officielle Meta (aucun mot de passe Instagram stocké) ; paiement externalisé à un prestataire PCI-DSS (aucune donnée bancaire stockée) ; gestion des accès et des habilitations ; journalisation ; sauvegardes ; minimisation et, lorsque c'est possible, anonymisation/pseudonymisation des données transmises aux prestataires d'IA.
Annexe C — Sous-traitants ultérieurs. La liste à jour (hébergeur, prestataire de paiement, fournisseurs d'IA, emailing, automatisation) est publiée et maintenue dans la Politique de confidentialité.
·Contact
Pour toute question relative à la protection des données ou pour formuler une demande spécifique (par exemple la signature d'un DPA négocié), vous pouvez contacter KommIA à : contact@kommia.com.