Table des matières

Accord sur le Traitement des Données (DPA)

Dernière mise à jour : 3 février 2025

Ce DPA (Data Processing Agreement), y compris ses annexes, constitue un avenant aux Conditions Générales de Vente ou aux Conditions Générales d’Utilisation de VKARD (ci-après désigné comme « l’Accord principal »). Il s’applique automatiquement à tout client (particulier ou entreprise) ayant activé un profil VKARD, y compris ceux ayant recours à des produits gratuits ou non personnalisés, sans qu’une signature manuelle ne soit requise. Il encadre les traitements de données à caractère personnel opérés par VKARD au nom du client, dans le cadre de la fourniture de ses services numériques.

1. Définitions

Les termes employés dans le présent DPA, en particulier « Données à caractère personnel », « Traitement », « Responsable de traitement », « Sous-traitant », « Personne concernée », « Violation de données », ont la signification qui leur est donnée par le Règlement Général sur la Protection des Données (RGPD – Règlement (UE) 2016/679). Les définitions issues d’autres lois applicables (CCPA, FADP, etc.) sont prises en compte en fonction du lieu d’origine des données traitées.

2. Rôle des parties

Le Client agit en qualité de Responsable du traitement au sens du RGPD. VKARD intervient en qualité de Sous-traitant, conformément à l’article 28 du RGPD. Les obligations décrites dans le présent DPA s’appliquent dès lors que VKARD traite des Données à caractère personnel pour le compte du Client, que celui-ci soit une entreprise, un professionnel ou un particulier disposant d’un compte utilisateur.

3. Description des traitements

  • Finalités : fourniture de cartes de visite numériques sans contact, gestion de profils digitaux professionnels, génération de liens de contact, collecte de prospects, configuration de signatures e-mail, personnalisation de l’image de marque du Client.
  • Personnes concernées : collaborateurs du Client, administrateurs, contacts et prospects finaux ayant interagi avec un profil VKARD.
  • Catégories de données traitées : nom, prénom, fonction, coordonnées professionnelles (email, téléphone), photo, nom et logo de l’entreprise, liens vers profils sociaux, documents partagés, agenda, liens d’échange ou messages personnalisés.
  • Durée de conservation : pendant la durée de la relation contractuelle, puis 24 mois à compter de l’inactivité ou de la suppression du compte, sauf disposition légale ou instruction contraire.

4. Engagements du Sous-traitant

VKARD s’engage à :

  • Ne traiter les données que sur instruction documentée du Client ;
  • Garantir la confidentialité par la formation des collaborateurs, des engagements écrits, et une gestion fine des habilitations ;
  • Tenir à jour un registre des activités de traitement conformément à l’article 30 du RGPD ;
  • Fournir une assistance technique et documentaire pour permettre au Client de répondre aux demandes d’exercice des droits des personnes concernées (accès, rectification, effacement, limitation, portabilité) ;
  • Restituer ou supprimer les données en fin de contrat selon les choix du Client, en fournissant un certificat de suppression sur demande.

5. Mesures de sécurité

VKARD a mis en place des mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté au risque, incluant :

  • Le chiffrement des données (AES-256) au repos et en transit ;
  • Un hébergement chez des prestataires reconnus pour leur conformité (Scaleway – France, AWS France, Google Cloud – Belgique) ;
  • Des contrôles d’accès avec authentification forte, limitation des droits au strict nécessaire ;
  • Des audits de sécurité internes et externes, incluant des tests de pénétration périodiques ;
  • Une journalisation des événements de sécurité ;
  • Un plan de reprise d’activité (DRP) opérationnel, revu annuellement.

6. Sous-traitance ultérieure

VKARD pourra faire appel à des Sous-traitants ultérieurs pour la fourniture de certains services (ex : hébergement, support). Les Sous-traitants autorisés à la date du présent DPA sont listés ci-dessous. Tout ajout fera l’objet d’une notification sur la présente page. Le Client peut s’y opposer pour des raisons légitimes et vérifiables.

  • Scaleway – Hébergement des bases de données (France)
  • AWS France – Stockage d’images et de ressources statiques
  • Google Cloud Belgium – Hébergement du site web et des profils publics

7. Transferts hors de l’Union Européenne

VKARD ne transfère pas de Données à caractère personnel hors de l’Espace Économique Européen (EEE), sauf autorisation explicite du Client et sous réserve de garanties adéquates telles que des Clauses Contractuelles Types (SCC) de la Commission européenne, ou toute autre garantie reconnue conforme par la CNIL.

8. Notification des violations de données

En cas de violation de données à caractère personnel, VKARD :

  • Notifie le Client sans délai excessif et au plus tard dans les 48 heures suivant la découverte de la violation ;
  • Fournit toutes les informations pertinentes requises pour permettre au Client de notifier l’autorité de contrôle et, le cas échéant, les personnes concernées ;
  • Documente l’incident dans un registre dédié et collabore pleinement à sa résolution.

9. Droit d’audit

Dans le cadre de son plan Pro, VKARD permet au Client d’effectuer un audit annuel de conformité, dans les conditions suivantes :

  • Un préavis écrit d’au moins 15 (quinze) jours calendaires doit être transmis par le Client à VKARD ;
  • L’audit est limité à une heure de revue documentaire, à distance, incluse dans l’abonnement Pro ;
  • Tout dépassement fera l’objet d’un devis préalable. Les prestations supplémentaires seront facturées selon les tarifs en vigueur, et planifiées en bonne intelligence entre les Parties ;
  • Les audits sur site ou ceux impliquant des tiers sont soumis à approbation écrite de VKARD et doivent respecter la confidentialité des autres clients.

10. Conservation, retour et suppression des données

À la fin de la relation contractuelle, le Client pourra demander :

  • La restitution de l’ensemble des données dans un format couramment exploitable (CSV, JSON) ;
  • La suppression complète des données de production et de sauvegarde, accompagnée d’un certificat de suppression ;
  • La conservation temporaire à des fins de preuve ou pour répondre à des obligations légales spécifiques.

11. Loi applicable et juridiction compétente

Le présent DPA est régi par le droit français. En cas de litige relatif à sa validité, son interprétation ou son exécution, compétence exclusive est attribuée aux juridictions de Paris, sauf disposition légale impérative contraire.

12. Historique des versions

  • 3 février 2025 – Version actuelle
  • 12 septembre 2024 – Clarification des rôles et sous-traitants
  • 4 avril 2024 – Première publication publique

Pour toute question relative à la protection des données, le Client peut contacter le Délégué à la protection des données (DPO) de VKARD à l’adresse suivante : dpo@vkard.io.