Accord sur le Traitement des Données (DPA)

Dernière mise à jour : 3 février 2025

Ce DPA (Data Processing Agreement), y compris ses annexes, constitue un avenant aux Conditions Générales de Vente ou aux Conditions Générales d’Utilisation de VKARD (ci-après désigné comme « l’Accord principal »). Il s’applique automatiquement à tout client (particulier ou entreprise) ayant activé un profil VKARD, y compris ceux ayant recours à des produits gratuits ou non personnalisés, sans qu’une signature manuelle ne soit requise. Il encadre les traitements de données à caractère personnel opérés par VKARD au nom du client, dans le cadre de la fourniture de ses services numériques.

Il s’applique aux traitements de données réalisés via les services proposés par VKARD, notamment la plateforme en ligne, les cartes numériques, les outils de gestion de contacts et d’édition de profils.

1. Définitions

Les termes employés dans le présent DPA, en particulier « Données à caractère personnel », « Traitement », « Responsable de traitement », « Sous-traitant », « Personne concernée », « Violation de données », ont la signification qui leur est donnée par le Règlement Général sur la Protection des Données (RGPD – Règlement (UE) 2016/679). Les définitions issues d’autres lois applicables (CCPA, FADP, etc.) sont prises en compte en fonction du lieu d’origine des données traitées.

2. Rôle des parties

Le Client agit en qualité de Responsable du traitement au sens du RGPD. VKARD intervient en qualité de Sous-traitant, conformément à l’article 28 du RGPD. Les obligations décrites dans le présent DPA s’appliquent dès lors que VKARD traite des Données à caractère personnel pour le compte du Client, que celui-ci soit une entreprise, un professionnel ou un particulier disposant d’un compte utilisateur.

VKARD peut également agir en tant que Responsable de traitement pour certaines finalités propres (ex : gestion de son CRM, support client ou obligations légales). Ces traitements sont indépendants du présent DPA.

3. Description des traitements

• Finalités : fourniture de cartes de visite numériques sans contact, gestion de profils digitaux professionnels, génération de liens de contact, collecte de prospects, configuration de signatures e-mail, personnalisation de l’image de marque du Client.
• Personnes concernées : collaborateurs du Client, administrateurs, contacts et prospects finaux ayant interagi avec un profil VKARD.
• Catégories de données traitées : nom, prénom, fonction, coordonnées professionnelles (email, téléphone), photo, nom et logo de l’entreprise, liens vers profils sociaux, documents partagés, agenda, liens d’échange ou messages personnalisés.
• Durée de conservation : pendant la durée de la relation contractuelle, puis 24 mois à compter de l’inactivité ou de la suppression du compte, sauf disposition légale ou instruction contraire.

4. Engagements du Sous-traitant

VKARD s’engage à :

• Ne traiter les données que sur instruction documentée du Client ;
• Garantir la confidentialité par la formation des collaborateurs, des engagements écrits, et une gestion fine des habilitations ;
• Tenir à jour un registre des activités de traitement conformément à l’article 30 du RGPD ;
• Fournir une assistance technique et documentaire pour permettre au Client de répondre aux demandes d’exercice des droits des personnes concernées (accès, rectification, effacement, limitation, portabilité) ;
• Restituer ou supprimer les données en fin de contrat selon les choix du Client, en fournissant un certificat de suppression sur demande ;

VKARD tient à jour un registre des activités de traitement accessible sur demande raisonnable du Client, en lien avec les données traitées en son nom.

5. Mesures de sécurité

VKARD a mis en place des mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté au risque, incluant :

• Le chiffrement des données (AES-256) au repos et en transit ;
• Un hébergement chez des prestataires reconnus pour leur conformité (Scaleway – France, AWS France, Google Cloud – Belgique) ;
• Des contrôles d’accès avec authentification forte, limitation des droits au strict nécessaire ;
• Des audits de sécurité internes et externes, incluant des tests de pénétration périodiques ;
• Une journalisation des événements de sécurité ;
• Un plan de reprise d’activité (DRP) opérationnel, revu annuellement.

VKARD s’engage à fournir, sur demande écrite du Client, toute documentation pertinente permettant de justifier de la mise en œuvre effective des mesures de sécurité décrites ci-dessus, dans un délai raisonnable.

Lorsqu’une interconnexion ou un échange de données avec le système d’information du Client est requis, VKARD veille à ce que les accès soient sécurisés et conformes aux standards de sécurité applicables, notamment en matière d’authentification, chiffrement et limitation des droits. Cette interconnexion se fait en lecture seule sauf accord expresse du Client.

VKARD met en œuvre une procédure de tests réguliers (notamment des revues de code, analyses statiques, tests de pénétration) visant à évaluer l’efficacité des mesures techniques et organisationnelles et à y apporter les ajustements nécessaires.

Les services de traitement proposés par VKARD sont conçus pour garantir un haut niveau de disponibilité, d’intégrité et de résilience, y compris via des sauvegardes redondantes, des mécanismes d’alerte et de reprise en cas d’incident.

VKARD veille à ne faire appel qu’à des sous-traitants ultérieurs fournissant des garanties suffisantes en matière de sécurité, de confidentialité et de conformité au RGPD, notamment via des engagements contractuels standards, des certifications reconnues ou des audits externes. VKARD s’assure, dans la mesure du raisonnable, que ces sous-traitants respectent un niveau de protection équivalent à celui prévu par le présent Accord.

6. Sous-traitance ultérieure

VKARD pourra faire appel à des Sous-traitants ultérieurs pour la fourniture de certains services (ex : hébergement, support). Les Sous-traitants autorisés à la date du présent DPA sont listés ci-dessous. Tout ajout ou remplacement fera l’objet d’une notification préalable sur la présente page ou par tout autre moyen de communication approprié.

Le Client sera informé au moins 15 jours calendaires à l’avance de toute modification significative concernant les Sous-traitants. Le Client peut s’y opposer pour des raisons légitimes et vérifiables pendant ce délai.

• Scaleway – Hébergement des bases de données (France)
• AWS France – Stockage d’images et de ressources statiques
• Google Cloud Belgium – Hébergement du site web et des profils publics

7. Transferts hors de l’Union Européenne

VKARD ne transfère pas de Données à caractère personnel hors de l’Espace Économique Européen (EEE), sauf autorisation explicite du Client et sous réserve de garanties adéquates telles que des Clauses Contractuelles Types (SCC) de la Commission européenne, ou toute autre garantie reconnue conforme par la CNIL.

8. Notification des violations de données

En cas de violation de données à caractère personnel, VKARD :

• Notifie le Client sans délai excessif et au plus tard dans les 48 heures suivant la découverte de la violation ;
• Fournit toutes les informations pertinentes requises pour permettre au Client de notifier l’autorité de contrôle et, le cas échéant, les personnes concernées ;
• Documente l’incident dans un registre dédié et collabore pleinement à sa résolution.

Le Client peut désigner une adresse email spécifique pour recevoir les notifications liées à la sécurité des données et aux violations de données personnelles.

En complément, VKARD s’engage à :

• Informer le Client immédiatement si une instruction reçue constitue, selon lui, une violation manifeste du RGPD ou de toute réglementation applicable en matière de protection des données ;
• Informer le Client sans délai s’il est dans l’incapacité de suivre ses instructions, et à collaborer pour trouver une solution conforme ou organiser une suspension temporaire ou définitive du traitement si nécessaire ;
• Informer le Client sous 72 heures de toute demande émanant d’une autorité administrative ou judiciaire portant sur les traitements, sauf interdiction légale de le faire ;
• Ne transmettre aucune information à une autorité, sauf obligation légale impérative, sans en avoir informé le Client au préalable et, dans la mesure du possible, obtenu son accord ;
• Informer le Client de tout contrôle ou sanction portant sur les traitements concernés par le présent DPA, dans la mesure autorisée par la loi.

9. Droit d’audit

Dans le cadre de son plan Pro, VKARD permet au Client d’effectuer un audit de conformité, dans les conditions suivantes :

• Un préavis écrit d’au moins 15 (quinze) jours calendaires doit être transmis par le Client à VKARD ;
• Le temps alloué par les équipes VKARD à titre gracieux sera limité à 10% du montant du contrat annuel sur une base de calcul 1000€/J/Homme. Au delà de ce temps VKARD se réserve le droit proposer des ressources sur devis. Le Client pourra réaliser lui-même l’audit à distance ou par un prestataire mandaté, sous réserve d’une validation écrite préalable de VKARD pour des raisons de sécurité et de confidentialité.
• Tout dépassement fera l’objet d’un devis préalable. Les prestations supplémentaires seront facturées selon les tarifs en vigueur, et planifiées en bonne intelligence entre les Parties ;
• Les audits sur site ou ceux impliquant des tiers sont soumis à approbation écrite de VKARD et doivent respecter la confidentialité des autres clients.

10. Conservation, retour et suppression des données

À la fin de la relation contractuelle, le Client pourra demander :

• La restitution de l’ensemble des données dans un format couramment exploitable (CSV, JSON) ;
• La suppression complète des données de production et de sauvegarde, accompagnée d’un certificat de suppression ;
  • Certaines données peuvent néanmoins être conservées au-delà de la durée contractuelle si une obligation légale l’impose, notamment à des fins de facturation, de preuve ou de conformité réglementaire.
• La conservation temporaire à des fins de preuve ou pour répondre à des obligations légales spécifiques ;

VKARD s’engage à traiter toute demande d’exercice des droits dans un délai de 30 jours, conformément à la procédure interne documentée.

11. Privacy by Design et by Default

VKARD intègre les principes de protection des données dès la conception (Privacy by Design) et par défaut (Privacy by Default) dans l’ensemble de ses processus de développement. À ce titre, VKARD met en œuvre, dès les premières phases de conception et tout au long du cycle de vie des produits, services ou traitements concernés, des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté aux risques.

VKARD veille à ce que, par défaut, seules les données strictement nécessaires à la finalité du traitement soient collectées, utilisées et accessibles aux seules personnes habilitées. Cette approche s’inscrit dans une démarche proactive de conformité au Règlement Général sur la Protection des Données (RGPD), et vise à assurer une protection optimale des données personnelles traitées pour le compte du Responsable de traitement.

12. Gestion des droits des personnes concernées

VKARD a mis en place un processus documenté permettant de traiter efficacement les demandes des personnes concernées relatives à leurs droits prévus par le RGPD (notamment les droits d’accès, de rectification, d’effacement, d’opposition, de limitation, et de portabilité). VKARD s’engage à informer le Responsable de traitement de toute demande reçue directement et à coopérer pleinement pour y répondre dans les délais légaux.

13. Loi applicable et juridiction compétente

Le présent DPA est régi par le droit français. En cas de litige relatif à sa validité, son interprétation ou son exécution, compétence exclusive est attribuée aux juridictions de Paris, sauf disposition légale impérative contraire.

14. Historique des versions

• 23 juin 2025 – Clarification des rôles et sous-traitants
• 4 avril 2024 – Première publication publique

Pour toute question relative à la protection des données, le Client peut contacter le Délégué à la protection des données (DPO) de VKARD à l’adresse suivante : dpo@vkard.io.