Accord de sous-traitance (DPA)

Article 28 du Reglement (UE) 2016/679 — RGPD — Version 1.0

Le present Accord de Sous-Traitance (ci-apres « Accord » ou « DPA ») complete et fait partie integrante des Conditions Generales d'Utilisation du service jenvoie.fr (ci-apres le « Contrat Principal ») conclues entre :

Gravity 5 SAS, Societe par actions simplifiee (SAS) au capital de 300 €, immatriculee sous le numero SIREN 931 799 860, dont le siege social est situe 6 B rue Jean Mermoz, 94450 Limeil-Brevannes, France, representee par son representant legal, ci-apres denommee « le Sous-traitant » ou « Gravity 5 ».

Et

Le Client, personne physique ou morale ayant souscrit au service jenvoie.fr, dont les coordonnees sont renseignees dans son compte utilisateur, ci-apres denomme « le Client » ou « le Responsable de Traitement ».

Ci-apres denommes collectivement les « Parties » et individuellement la « Partie ».

Preambule

Le Client souscrit aupres du Sous-traitant au service jenvoie.fr, plateforme en ligne d'envoi et de gestion de campagnes d'email marketing destinee aux Tres Petites Entreprises (TPE) et professionnels (ci-apres le « Service »).

Dans le cadre de l'utilisation du Service, le Sous-traitant est amene a traiter, pour le compte et sur instruction du Client, des Donnees a Caractere Personnel relatives aux contacts du Client (prospects, clients, abonnes a des listes de diffusion).

Le Client agit en qualite de Responsable de Traitement au sens du RGPD vis-a-vis de ces donnees. Gravity 5 agit en qualite de Sous-traitant au sens du RGPD.

Le present Accord a pour objet d'encadrer les conditions de ce traitement conformement a l'article 28 du RGPD et a la Loi Informatique et Libertes modifiee.

Article 1 — Definitions

• « RGPD » : Reglement (UE) 2016/679 du Parlement europeen et du Conseil du 27 avril 2016.
• « Loi Informatique et Libertes » : Loi n° 78-17 du 6 janvier 1978 modifiee.
• « Donnees a Caractere Personnel » ou « Donnees » : toute information se rapportant a une personne physique identifiee ou identifiable, au sens de l'article 4(1) du RGPD.
• « Personne Concernee » : la personne physique a laquelle se rapportent les Donnees.
• « Traitement » : toute operation effectuee sur les Donnees, au sens de l'article 4(2) du RGPD.
• « Responsable de Traitement » : le Client, qui determine les finalites et les moyens du Traitement.
• « Sous-traitant » : Gravity 5, qui traite les Donnees pour le compte du Client.
• « Sous-traitant Ulterieur » : tiers engage par le Sous-traitant pour realiser une partie du Traitement (hebergeur, prestataire d'envoi email, etc.).
• « Violation de Donnees » : violation de la securite au sens de l'article 4(12) du RGPD.
• « Autorite de Controle » : la Commission Nationale de l'Informatique et des Libertes (CNIL) ou toute autre autorite competente.

Article 2 — Objet et description du Traitement

2.1 Objet

Le present Accord a pour objet de definir les conditions dans lesquelles le Sous-traitant s'engage a effectuer, pour le compte du Responsable de Traitement, les operations de Traitement de Donnees decrites ci-apres.

2.2 Description du Traitement

Nature du Traitement

Collecte, enregistrement, organisation, structuration, conservation, consultation, utilisation, communication par transmission (envoi d'emails), effacement ou destruction des Donnees.

Finalite(s)

Permettre au Client de gerer ses listes de contacts, de concevoir et d'envoyer des campagnes d'emails marketing et transactionnels, de suivre les statistiques de ces envois (ouvertures, clics, desabonnements, plaintes), et de gerer le cycle de vie de ses abonnes.

Categories de Donnees

Donnees d'identification (nom, prenom, adresse email), donnees de contact additionnelles renseignees par le Client (telephone, entreprise, fonction, adresse postale, attributs personnalises), donnees comportementales (date d'inscription, source d'opt-in, ouvertures, clics, desinscription, plaintes), adresse IP et user-agent au moment du consentement, identifiant technique unique.

Categories de Personnes Concernees

Prospects, clients, abonnes aux listes de diffusion du Client, contacts professionnels.

Duree du Traitement

Pendant toute la duree du Contrat Principal, augmentee de la periode de restitution/suppression prevue a l'article 11.

2.3 Donnees sensibles

Le Client s'engage a ne pas transmettre au Service de donnees sensibles au sens de l'article 9 du RGPD (origine raciale ou ethnique, opinions politiques, convictions religieuses ou philosophiques, appartenance syndicale, donnees genetiques ou biometriques, donnees concernant la sante, l'orientation sexuelle), ni de donnees relatives a des condamnations penales (article 10 du RGPD), sauf accord expres et ecrit prealable du Sous-traitant.

Article 3 — Obligations du Sous-traitant

3.1 Conformite aux instructions

Le Sous-traitant traite les Donnees uniquement sur instruction documentee du Responsable de Traitement. Sont considerees comme instructions documentees :

• Les parametrages et configurations effectues par le Client dans son compte ;
• L'envoi de campagnes via l'interface ou l'API du Service ;
• L'import de listes de contacts ;
• Les demandes specifiques formulees par ecrit (email, ticket support).

Si le Sous-traitant estime qu'une instruction constitue une violation du RGPD ou d'autres dispositions applicables en matiere de protection des donnees, il en informe immediatement le Responsable de Traitement.

3.2 Confidentialite

Le Sous-traitant veille a ce que les personnes autorisees a traiter les Donnees s'engagent a respecter la confidentialite ou soient soumises a une obligation legale appropriee de confidentialite.

3.3 Securite

Le Sous-traitant met en oeuvre les mesures techniques et organisationnelles appropriees prevues a l'Annexe 2 du present Accord, conformement a l'article 32 du RGPD, pour garantir un niveau de securite adapte au risque.

3.4 Assistance au Responsable de Traitement

Le Sous-traitant assiste le Responsable de Traitement, dans la mesure du possible et compte tenu de la nature du Traitement, pour :

• Repondre aux demandes d'exercice des droits des Personnes Concernees (articles 12 a 23 du RGPD) ;
• Assurer le respect des obligations prevues aux articles 32 a 36 du RGPD (securite, notification de violation, analyse d'impact, consultation prealable).

Cette assistance se fait via les fonctionnalites du Service (export, suppression, modification de contacts) ou, a defaut, sur demande ecrite via les canaux support.

3.5 Information et cooperation

Le Sous-traitant met a disposition du Responsable de Traitement toutes les informations necessaires pour demontrer le respect de ses obligations au titre du present Accord.

Article 4 — Obligations du Responsable de Traitement

Le Responsable de Traitement s'engage a :

• Documenter par ecrit toute instruction concernant le Traitement des Donnees par le Sous-traitant ;
• S'assurer qu'il dispose d'une base legale valide (notamment le consentement prealable, libre, specifique, eclaire et univoque pour le marketing direct B2C) pour chaque envoi effectue via le Service ;
• Conserver la preuve du consentement de chaque destinataire (date, source, IP, mecanisme d'opt-in) ;
• Respecter les obligations du RGPD lui incombant en tant que Responsable de Traitement, notamment l'information des Personnes Concernees (articles 13 et 14) ;
• Ne pas importer dans le Service de listes achetees, louees, scrapees ou collectees sans consentement valide ;
• Maintenir a jour son registre des activites de traitement le concernant ;
• Respecter la Politique d'Usage Acceptable du Service ;
• Veiller a la qualite et a l'exactitude des Donnees qu'il telecharge dans le Service ;
• Repondre aux demandes des Personnes Concernees et informer le Sous-traitant lorsque l'assistance de ce dernier est requise.

Article 5 — Droits des Personnes Concernees

Dans la mesure du possible, le Sous-traitant assiste le Responsable de Traitement pour repondre aux demandes d'exercice des droits des Personnes Concernees, notamment :

• Droit d'acces (article 15 du RGPD) — via la fonctionnalite d'export de contact ;
• Droit de rectification (article 16 du RGPD) — via la fonctionnalite de modification de contact ;
• Droit a l'effacement (article 17 du RGPD) — via la fonctionnalite de suppression definitive ;
• Droit a la limitation du Traitement (article 18 du RGPD) ;
• Droit a la portabilite (article 20 du RGPD) — via l'export au format CSV ou JSON ;
• Droit d'opposition (article 21 du RGPD) — via le lien de desinscription present dans chaque email.

Si une demande est adressee directement au Sous-traitant, celui-ci en informe le Responsable de Traitement dans un delai raisonnable et redirige la Personne Concernee vers le Responsable de Traitement, sauf instruction contraire.

Article 6 — Notification de Violation de Donnees

Le Sous-traitant notifie au Responsable de Traitement toute Violation de Donnees dans les meilleurs delais et au plus tard dans les soixante-douze (72) heures apres en avoir pris connaissance.

La notification precise, dans la mesure ou ces informations sont disponibles :

• La nature de la Violation, les categories et le nombre approximatif de Personnes Concernees et d'enregistrements concernes ;
• Les coordonnees du point de contact (DPO ou referent RGPD) ;
• Les consequences probables de la Violation ;
• Les mesures prises ou proposees pour y remedier et en attenuer les effets.

Si toutes les informations ne sont pas disponibles immediatement, elles sont communiquees de maniere progressive et sans retard injustifie.

Il appartient au Responsable de Traitement, le cas echeant, de notifier la Violation a la CNIL et aux Personnes Concernees dans les conditions des articles 33 et 34 du RGPD.

Article 7 — Sous-traitance ulterieure

7.1 Autorisation generale

Le Responsable de Traitement autorise le Sous-traitant a recourir a des Sous-traitants Ulterieurs pour l'execution du Service. La liste des Sous-traitants Ulterieurs au moment de la signature figure a l'Annexe 1 du present Accord.

7.2 Notification des changements

Le Sous-traitant informe le Responsable de Traitement de tout changement prevu concernant l'ajout ou le remplacement d'un Sous-traitant Ulterieur, avec un preavis minimum de trente (30) jours, donnant ainsi au Responsable de Traitement la possibilite d'emettre des objections motivees a l'encontre de ces changements.

7.3 Objection

En cas d'objection raisonnable du Responsable de Traitement basee sur des motifs lies a la protection des Donnees, les Parties discuteront de bonne foi pour trouver une solution. A defaut d'accord, le Sous-traitant pourra, a sa discretion, soit ne pas engager le Sous-traitant Ulterieur concerne, soit permettre au Responsable de Traitement de resilier le Contrat Principal sans penalite.

7.4 Responsabilite

Le Sous-traitant impose a chaque Sous-traitant Ulterieur les memes obligations en matiere de protection des Donnees que celles fixees dans le present Accord, par contrat ecrit. Le Sous-traitant demeure pleinement responsable, vis-a-vis du Responsable de Traitement, de l'execution par le Sous-traitant Ulterieur de ses obligations.

Article 8 — Transferts hors Union Europeenne

Les Donnees sont par defaut hebergees au sein de l'Union Europeenne (centres de donnees situes en Allemagne).

Certains traitements impliquent un Sous-traitant Ulterieur situe hors de l'Union Europeenne (notamment Resend, heberge aux Etats-Unis, utilise pour l'envoi des emails). Le transfert est encadre par :

• Soit une decision d'adequation de la Commission europeenne (notamment le Data Privacy Framework pour les Etats-Unis lorsque le Sous-traitant Ulterieur y est certifie) ;
• Soit la conclusion de Clauses Contractuelles Types (CCT) adoptees par la Commission europeenne (decision 2021/914), incluant le cas echeant les mesures supplementaires necessaires conformement a l'arret Schrems II.

La liste des Sous-traitants Ulterieurs precise pour chacun la localisation et le mecanisme de transfert applicable (Annexe 1).

Article 9 — Audit

Le Sous-traitant met a disposition du Responsable de Traitement, sur demande ecrite et raisonnable, les informations et la documentation necessaires pour demontrer le respect des obligations prevues par le present Accord et par l'article 28 du RGPD.

Cette obligation s'execute prioritairement par la mise a disposition :

• De la presente documentation contractuelle ;
• Des rapports de certification ou d'audit eventuels (ISO 27001, SOC 2, etc.) ;
• De reponses a un questionnaire securite standardise.

Le Responsable de Traitement peut, a ses frais et avec un preavis raisonnable d'au moins trente (30) jours ouvres, demander la realisation d'un audit complementaire sur les seuls aspects couverts par le present Accord, a raison d'une fois par an au maximum, sauf en cas de Violation de Donnees averee. L'audit est realise pendant les heures ouvrees, ne doit pas perturber l'activite du Sous-traitant et doit respecter la confidentialite des autres clients du Sous-traitant.

Article 10 — Duree et resiliation

Le present Accord prend effet a la date d'acceptation des Conditions Generales d'Utilisation par le Client et demeure en vigueur pendant toute la duree du Contrat Principal, ainsi que pendant la periode necessaire a l'execution des obligations post-contractuelles (notamment la restitution et la suppression des Donnees prevues a l'article 11).

Article 11 — Sort des Donnees en fin de contrat

A l'expiration ou a la resiliation du Contrat Principal, et au choix du Responsable de Traitement exprime par ecrit dans un delai de trente (30) jours suivant la fin du contrat, le Sous-traitant procede :

• Soit a la restitution des Donnees au Responsable de Traitement dans un format structure couramment utilise et lisible par machine (CSV ou JSON), sur support securise ;
• Soit a la suppression definitive de l'ensemble des Donnees.

A defaut d'instruction du Responsable de Traitement dans le delai imparti, le Sous-traitant procede a la suppression definitive des Donnees, sous reserve des delais techniques de traitement.

Sont exclues de la suppression :

• Les sauvegardes techniques, qui sont supprimees selon le cycle de rotation habituel ;
• Les donnees dont la conservation est imposee par une obligation legale (facturation, comptabilite, lutte contre la fraude).

Le Sous-traitant fournit, sur demande ecrite, une attestation de suppression.

Article 12 — Responsabilite et indemnisation

Chacune des Parties est responsable des dommages causes par un manquement a ses obligations au titre du present Accord et du RGPD, dans les conditions prevues a l'article 82 du RGPD.

Sans prejudice de ce qui precede, la responsabilite du Sous-traitant au titre du present Accord est soumise aux limitations et exclusions prevues dans le Contrat Principal.

Aucune disposition du present Accord ne limite ou n'exclut la responsabilite d'une Partie a l'egard des Personnes Concernees dans la mesure ou une telle limitation ou exclusion serait contraire au RGPD ou a toute autre disposition legale imperative.

Article 13 — Dispositions generales

13.1 Hierarchie des documents

En cas de contradiction entre le present Accord et le Contrat Principal sur des questions relatives a la protection des Donnees, le present Accord prevaut.

13.2 Modification

Le Sous-traitant peut modifier le present Accord pour refleter des evolutions reglementaires ou des modifications du Service. Toute modification substantielle fait l'objet d'une notification au Responsable de Traitement avec un preavis de trente (30) jours.

13.3 Droit applicable et juridiction competente

Le present Accord est regi par le droit francais. Tout litige relatif a son interpretation ou a son execution releve de la competence exclusive des tribunaux du ressort du siege social du Sous-traitant, sous reserve des regles imperatives de protection du consommateur.

13.4 Acceptation

L'acceptation du present Accord est materialisee par l'acceptation des Conditions Generales d'Utilisation lors de la creation du compte sur jenvoie.fr, par case a cocher dediee. La trace de cette acceptation (date, heure, adresse IP, identifiant du compte) est conservee par le Sous-traitant.

Annexe 1 — Liste des Sous-traitants Ulterieurs

Liste a jour au 13 mai 2026.

Hetzner Online GmbH

Hebergement infrastructure (serveurs, base de donnees, stockage) — Allemagne (UE) — Toutes les Donnees du Service — Non applicable (transfert intra-UE).

Stripe Payments Europe Ltd.

Traitement des paiements d'abonnement — Irlande (UE) + USA — Donnees de facturation du Client (non les contacts) — DPF / CCT.

Resend (Plus Five Five, Inc.)

Relais d'envoi email — Etats-Unis — Email destinataire, contenu de l'email, metadonnees d'envoi, logs d'evenements — DPF + CCT (DPA Resend signe).

Note : le Client peut, lorsque cette option est disponible, configurer un relais SMTP de son choix afin de limiter les transferts hors UE pour le contenu de ses campagnes.

Annexe 2 — Mesures techniques et organisationnelles de securite

Conformement a l'article 32 du RGPD, le Sous-traitant met en oeuvre les mesures suivantes pour assurer un niveau de securite adapte aux risques :

1. Securite des infrastructures

• Hebergement dans des centres de donnees certifies ISO 27001 (Hetzner, Allemagne) ;
• Isolation reseau, pare-feu et restriction des ports exposes ;
• Mises a jour regulieres du systeme d'exploitation et des dependances ;
• Surveillance des performances et alertes en cas d'anomalie ;
• Sauvegardes automatiques quotidiennes, chiffrees et conservees dans un emplacement distinct.

2. Securite des communications

• Chiffrement TLS 1.2 minimum (TLS 1.3 recommande) pour toutes les communications entrantes et sortantes ;
• Mise en oeuvre des standards d'authentification email : SPF, DKIM, DMARC ;
• HTTPS obligatoire sur l'ensemble du domaine jenvoie.fr ;
• En-tetes de securite (HSTS, CSP, X-Frame-Options, etc.).

3. Securite des donnees stockees

• Chiffrement au repos selon la politique de l'hebergeur (Hetzner) ;
• Hachage cryptographique des mots de passe utilisateurs (Argon2id ou bcrypt) ;
• Cloisonnement logique des donnees entre les comptes Clients ;
• Tokens d'API haches en base.

4. Controle des acces

• Authentification individuelle pour chaque administrateur du Sous-traitant ;
• Principe du moindre privilege pour les acces internes ;
• Journalisation des acces administrateurs aux bases de donnees ;
• Revocation immediate des acces en cas de fin de mission ou de depart.

5. Securite applicative

• Validation des entrees et protection contre les injections (SQL, XSS, CSRF) ;
• Limitation du debit (rate limiting) sur les endpoints sensibles ;
• Revue de code pour les fonctionnalites critiques ;
• Mise a jour reguliere des dependances et veille sur les vulnerabilites (CVE).

6. Mesures organisationnelles

• Engagement de confidentialite signe par toute personne accedant aux Donnees ;
• Sensibilisation a la protection des Donnees et a la securite ;
• Politique de gestion des incidents documentee ;
• Tenue d'un registre des traitements en tant que sous-traitant (article 30.2 du RGPD).

7. Mesures specifiques au service email

• Lien de desinscription present et fonctionnel dans chaque email envoye ;
• Conservation de la preuve de consentement a la diligence du Client, qui doit pouvoir la fournir sur demande ;
• Mecanismes anti-spam (gestion des bounces, plaintes FBL, suppression list) ;
• Suppression effective des contacts desinscrits dans l'ensemble des envois futurs ;
• Pseudonymisation partielle dans les logs lorsque techniquement possible.

8. Continuite d'activite

• Plan de sauvegarde teste periodiquement ;
• RTO (Recovery Time Objective) : 24 heures pour les services critiques ;
• Documentation a jour des procedures de restauration.

9. Gestion des Violations

• Procedure de notification au Responsable de Traitement dans les 72 heures ;
• Tenue d'un registre interne des Violations ;
• Analyse post-incident et mise en oeuvre de mesures correctives.

Les presentes mesures peuvent etre adaptees et completees au fil des evolutions techniques et reglementaires, sans reduction du niveau global de protection.

Annexe 3 — Acceptation

Le present Accord de Sous-Traitance est accepte par le Client lors de la creation de son compte sur le Service jenvoie.fr, par validation des Conditions Generales d'Utilisation et de l'ensemble des documents contractuels associes (CGU, Politique de Confidentialite, Accord de Sous-Traitance, Politique d'Usage Acceptable).

La preuve de cette acceptation est conservee par le Sous-traitant et comprend :

• L'identifiant du compte Client ;
• La date et l'heure d'acceptation ;
• L'adresse IP utilisee lors de l'acceptation ;
• La version du present Accord acceptee.