Accord de sous-traitance

Version 2026-04 · Conforme à l'article 28 du RGPD

Le présent accord de sous-traitance (Data Processing Agreement, ci-après « DPA ») fait partie intégrante du contrat entre b-Media Comm.V. (« Sous-traitant », Replyo) et le Client (« Responsable du traitement »). En utilisant Replyo, le Client accepte ce DPA.

1. Définitions

RGPD : Règlement (UE) 2016/679 (Règlement général sur la protection des données).
Données personnelles : toute information se rapportant à une personne physique identifiée ou identifiable, telle que définie à l'art. 4.1 du RGPD.
Traitement : toute opération effectuée sur des données personnelles, telle que définie à l'art. 4.2 du RGPD.
Personnes concernées : les personnes physiques dont les données sont traitées (clients du Client laissant des avis, ainsi qu'utilisateurs du tableau de bord Replyo).
Sous-sous-traitant : un tiers engagé par le Sous-traitant pour traiter des données personnelles dans le cadre du présent DPA.

2. Objet et durée

Le Sous-traitant traite les données personnelles uniquement sur instruction du Client, aux fins décrites ci-dessous et pendant la durée du contrat sous-jacent (abonnement Replyo). Après résiliation, les dispositions de l'article 13 s'appliquent.

3. Nature et finalité du traitement

Replyo est un outil SaaS qui :

Récupère les avis Google du Client via l'API officielle Google Business Profile ;
Génère des propositions de réponses à ces avis via le modèle d'IA Claude d'Anthropic ;
Publie les réponses approuvées sur Google au nom du Client.

4. Catégories de personnes concernées et de données

Catégorie de personne concernée	Données personnelles
Auteurs d'avis (clients du Client)	Nom public, texte de l'avis, note en étoiles, date
Utilisateurs du tableau de bord (propriétaire, collaborateurs)	Nom, e-mail, mot de passe haché, rôle, connexions, adresse IP
Personnes de contact du Client	Nom, e-mail, téléphone (si communiqué)

5. Instructions du Client

Le Sous-traitant ne traite les données personnelles que :

sur la base d'instructions documentées du Client, telles que définies dans ce DPA et le contrat sous-jacent ;
dans la mesure où le droit de l'Union ou d'un État membre auquel le Sous-traitant est soumis l'exige (auquel cas le Sous-traitant en informe au préalable le Client, sauf si cette information est interdite).

Le Sous-traitant informe immédiatement le Client si une instruction lui semble enfreindre le RGPD.

6. Confidentialité

Le Sous-traitant garantit que les personnes autorisées à traiter les données personnelles se sont engagées au respect de la confidentialité ou sont soumises à une obligation légale appropriée de confidentialité.

7. Mesures de sécurité (art. 32 RGPD)

Le Sous-traitant prend des mesures techniques et organisationnelles appropriées, notamment :

Connexions chiffrées via HTTPS/TLS 1.2 ou supérieur ;
Stockage chiffré des jetons OAuth en base de données (AES-256) ;
Mots de passe stockés sous forme de hachage à sens unique (bcrypt avec un nombre suffisant de rondes) ;
Authentification à deux facteurs disponible pour tous les utilisateurs ;
Contrôle d'accès basé sur les rôles dans l'application ;
Accès strictement limité à l'infrastructure de production, réservé au personnel autorisé ;
Sauvegardes automatiques avec rétention maximale de 30 jours ;
Mises à jour régulières des dépendances et correctifs de sécurité ;
Journalisation des accès et des événements pertinents pour la sécurité.

8. Sous-sous-traitants

Le Client donne au Sous-traitant son autorisation générale pour faire appel à des sous-sous-traitants. Les sous-sous-traitants actuels sont :

Sous-sous-traitant	Service	Localisation
Google LLC	API Google Business Profile	États-Unis (EU-US DPF)
Anthropic, PBC	Claude IA — génération des propositions de réponses	États-Unis (CCT)
Mollie B.V.	Traitement des paiements d'abonnement	Pays-Bas (UE)
Ploi.io B.V.	Plateforme de gestion et de déploiement de l'application	Pays-Bas (UE)
UpCloud Oy	Hébergement serveur et base de données sous-jacent (via Ploi)	Finlande (UE)
MailerSend, Inc.	Envoi des e-mails transactionnels	États-Unis (EU-US DPF) — centre de données UE lorsque possible
Plausible Insights OÜ	Statistiques de site web respectueuses de la vie privée et sans cookies	Estonie (UE)

En cas de modification ou d'ajout de sous-sous-traitants, le Sous-traitant en informe le Client au moins 30 jours à l'avance par e-mail et/ou via le tableau de bord. Le Client peut s'opposer à la modification ; si cette opposition est raisonnable et ne peut être résolue, le Client peut résilier le contrat sans frais.

Le Sous-traitant conclut avec chaque sous-sous-traitant un accord écrit qui impose les mêmes obligations en matière de protection des données que celles prévues dans ce DPA.

9. Transferts hors EEE

Les transferts de données personnelles vers des pays situés hors de l'Espace économique européen ne sont effectués que :

sur la base d'une décision d'adéquation de la Commission européenne, ou
sur la base des clauses contractuelles types (CCT) approuvées par la Commission européenne, ou
lorsque le destinataire est certifié sous le EU-US Data Privacy Framework.

Pour Google LLC et Anthropic, PBC, ce sont respectivement le EU-US DPF et les CCT qui s'appliquent.

10. Droits des personnes concernées

Dans la mesure du possible, le Sous-traitant assiste le Client pour répondre aux demandes des personnes concernées en vertu du chapitre III du RGPD (accès, rectification, effacement, limitation, portabilité, opposition). Les demandes adressées directement au Sous-traitant sont transférées au Client, sauf si la loi en dispose autrement.

11. Violations de données (art. 33-34 RGPD)

En cas de violation de données personnelles, le Sous-traitant en informe le Client dans les 48 heures suivant la découverte. Cette notification contient, dans la mesure du possible :

la nature de la violation et, si possible, les catégories concernées ainsi que l'estimation du nombre de personnes et d'enregistrements affectés ;
le nom et les coordonnées du point de contact chez le Sous-traitant ;
les conséquences probables de la violation ;
les mesures proposées ou déjà prises pour remédier à la violation.

12. Assistance et audits

Le Sous-traitant prête au Client une assistance raisonnable pour la réalisation d'analyses d'impact relatives à la protection des données (AIPD, art. 35 RGPD) et de consultations préalables (art. 36 RGPD).

Le Sous-traitant met à disposition toutes les informations nécessaires pour démontrer le respect du présent DPA et permet la réalisation d'audits, effectués par le Client ou par un auditeur externe indépendant désigné par celui-ci. Les audits sont annoncés par écrit au moins 30 jours à l'avance et se déroulent pendant les heures normales de travail. Les frais sont à la charge du Client, sauf si l'audit révèle une non-conformité significative.

13. Résiliation — restitution ou suppression

Après la résiliation du contrat sous-jacent, le Sous-traitant supprime toutes les données personnelles du Client dans les 30 jours, sauf si le Client demande expressément leur restitution dans un format usuel et lisible par machine. Les durées de conservation découlant d'obligations légales (par ex. obligations fiscales) restent inchangées.

14. Responsabilité

La responsabilité des parties au titre du présent DPA est limitée conformément aux limitations prévues dans le contrat sous-jacent, sans préjudice de la responsabilité propre de chaque partie au titre du RGPD vis-à-vis des personnes concernées et des autorités de contrôle.

15. Droit applicable et juridiction compétente

Le présent DPA est régi par le droit belge. Les litiges sont soumis aux tribunaux de l'arrondissement du siège social du Sous-traitant.

16. Dispositions finales

En cas de contradiction entre le présent DPA et le contrat sous-jacent, ce DPA prévaut pour ce qui concerne le traitement des données personnelles. Si une disposition s'avère nulle ou inapplicable, les autres dispositions restent pleinement en vigueur.

Contact

b-Media Comm.V.
Zemst, Belgique
info@b-media.be