Data Processing Agreement (DPA)

Version applicable au 04/05/2026.

Le présent accord de traitement des données (« DPA ») est conclu entre l'organisation cliente (« Responsable de traitement ») et Nexus Flow (« Sous-traitant »), conformément à l'article 28 du Règlement Général sur la Protection des Données (RGPD).

1. Périmètre

Le Sous-traitant traite, pour le compte du Responsable de traitement, les données personnelles des contacts CRM, prospects, clients, prospects et utilisateurs internes (collaborateurs) que le Responsable importe ou fait collecter au sein de Nexus Flow OS.

2. Nature et finalité du traitement

• Stockage et indexation des contacts
• Envoi de campagnes email marketing et transactionnelles
• Suivi des opportunités commerciales et devis
• Génération et signature électronique simple (SES) de devis et documents
• Enrichissement automatisé via IA souveraine (Infomaniak)

3. Catégories de données

• Identité (nom, prénom)
• Coordonnées (email, téléphone, adresse postale)
• Données professionnelles (entreprise, fonction)
• Historique d'interactions (RDV, devis, conversations, opens, clics emails)

Aucune donnée sensible au sens de l'article 9 RGPD (santé, opinions politiques, etc.) n'est traitée par défaut.

4. Sous-sous-traitants autorisés

Le Responsable de traitement autorise expressément le recours aux sous-sous-traitants suivants :

• Infomaniak Network SA (Suisse) — hébergement et IA
• Supabase Inc. (USA, instance Frankfurt) — base de données PostgreSQL
• Clerk Inc. (USA) — authentification (SCC + DPA)
• Stripe Payments Europe Limited (Irlande) — paiements
• Postmark / ActiveCampaign — délivrabilité email
• Inngest Inc. (USA) — orchestration tâches async (SCC)

Toute évolution de cette liste sera notifiée par email au Responsable de traitement avec un préavis de 30 jours, période pendant laquelle il peut exprimer une opposition motivée.

5. Mesures de sécurité

• Chiffrement TLS 1.3 en transit
• Chiffrement AES-256 au repos (DB Supabase)
• HMAC-SHA256 sur les API keys et webhooks
• Isolation multi-tenant stricte (`organizationId` sur toutes les tables)
• Authentification multi-facteurs (Clerk)
• Logs d'audit avec rétention 90 jours
• Sauvegardes journalières (Supabase, retention 7 jours)

6. Notification des violations

Le Sous-traitant s'engage à notifier au Responsable de traitement toute violation de données personnelles dans un délai maximum de 72 heures suivant sa découverte, conformément à l'article 33 du RGPD.

7. Droits des personnes concernées

Le Sous-traitant met à disposition des outils permettant au Responsable de traitement de répondre aux demandes d'exercice des droits (accès, rectification, effacement, portabilité, opposition) :

• Export complet des données contact (JSON, CSV)
• Suppression définitive sur demande
• Anonymisation conforme aux préconisations CNIL

8. Durée et fin du contrat

À la résiliation du contrat principal, le Sous-traitant restitue les données sous 30 jours sur demande explicite du Responsable, puis les supprime de tous les systèmes (y compris sauvegardes après expiration de leur cycle de rotation, soit 7 jours supplémentaires maximum).

9. Audit

Le Responsable de traitement peut demander, dans la limite d'une fois par an, la communication des éléments d'auto-évaluation permettant de vérifier la conformité du présent DPA. Un audit physique sur site nécessite un préavis de 30 jours et reste à la charge du demandeur.

Note : ce DPA est un modèle technique destiné à être validé par un Délégué à la Protection des Données ou un avocat spécialisé avant signature avec un client en production.