ACCORD DE TRAITEMENT DES DONNÉES (DPA)
Annexe aux Conditions Générales de Vente ELVATE - Applicable à compter du 2 juillet 2026 - Version 1.0
PRÉAMBULE
Le présent Accord de Traitement des Données (« DPA ») est conclu entre :
- Le Client, tel qu'identifié lors de la commande, agissant en qualité de responsable de traitement au sens de l'article 4.7 du RGPD ;
- ELVATE, micro-entreprise, SIRET 992 389 510 00015, 50 rue du Plateau, 94700 Maisons-Alfort, France (contact@elvate.fr), agissant en qualité de sous-traitant au sens de l'article 4.8 du RGPD.
Il encadre, conformément à l'article 28 du Règlement (UE) 2016/679 (« RGPD »), les traitements de données personnelles réalisés par ELVATE pour le compte du Client dans le cadre des prestations d'automatisation (offre IGNITION et option maintenance) régies par les CGV d'ELVATE.
ARTICLE 1 - OBJET ET HIÉRARCHIE CONTRACTUELLE
Le présent DPA fait partie intégrante du contrat conclu entre ELVATE et le Client. Il est réputé accepté avec les CGV lors de la commande. En cas de contradiction entre le DPA et les CGV concernant la protection des données traitées pour le compte du Client, le DPA prévaut.
ARTICLE 2 - DESCRIPTION DES TRAITEMENTS
Les caractéristiques des traitements confiés à ELVATE sont détaillées en Annexe 1. En synthèse :
- Nature des opérations : collecte, structuration, enrichissement, qualification, analyse (y compris via des modèles d'IA), transmission et organisation de données via les workflows d'automatisation déployés et/ou maintenus par ELVATE
- Finalité : exécution des prestations commandées par le Client (automatisation du traitement de ses leads et processus)
- Durée : durée du contrat de prestation (setup et, le cas échéant, maintenance)
- Personnes concernées : leads, prospects, clients et contacts professionnels du Client
- Catégories de données : données d'identification, coordonnées, données professionnelles, contenus des échanges, données issues de formulaires
Le Client s'engage à ne pas confier à ELVATE de données sensibles au sens de l'article 9 du RGPD ni de données relatives à des condamnations pénales, sauf accord écrit préalable et spécifique.
ARTICLE 3 - OBLIGATIONS D'ELVATE (SOUS-TRAITANT)
ELVATE s'engage à :
- Traiter les données uniquement sur instruction documentée du Client (le paramétrage des workflows validé lors du cadrage constituant l'instruction de référence), y compris en matière de transferts hors UE
- Informer immédiatement le Client si une instruction constitue, selon elle, une violation du RGPD ou d'une autre disposition applicable
- Garantir que les personnes autorisées à traiter les données sont soumises à une obligation de confidentialité
- Mettre en œuvre les mesures techniques et organisationnelles appropriées (article 32 RGPD) : chiffrement des flux (TLS), contrôle d'accès et principe du moindre privilège, authentification renforcée (MFA) sur les outils utilisés, journalisation des exécutions des workflows, limitation des données traitées au strict nécessaire
- Assister le Client dans la réponse aux demandes d'exercice des droits des personnes concernées, la réalisation d'analyses d'impact (AIPD) et la notification de violations
- Notifier au Client toute violation de données personnelles dans les meilleurs délais et au plus tard 48 heures après en avoir pris connaissance, avec toute information utile à la notification éventuelle à la CNIL et aux personnes concernées
- Ne pas utiliser les données du Client pour son propre compte, ni à des fins commerciales, ni pour entraîner des modèles d'intelligence artificielle
- Mettre à disposition du Client les informations nécessaires pour démontrer le respect du présent DPA
ARTICLE 4 - SOUS-TRAITANCE ULTÉRIEURE
Le Client autorise de manière générale ELVATE à recourir aux sous-traitants ultérieurs listés en Annexe 2.
ELVATE informe le Client par écrit (email) de tout projet d'ajout ou de remplacement d'un sous-traitant ultérieur au moins 15 jours avant sa mise en œuvre. Le Client peut formuler une objection légitime dans ce délai ; à défaut d'accord entre les parties, chacune peut résilier la prestation concernée sans pénalité.
ELVATE impose à ses sous-traitants ultérieurs, par contrat, des obligations de protection des données équivalentes à celles du présent DPA et demeure pleinement responsable envers le Client de l'exécution de leurs obligations.
Précision : les outils souscrits directement par le Client (plateforme d'automatisation, CRM, messagerie, etc.), utilisés sous ses propres comptes, sont des sous-traitants ou destinataires du Client, et non des sous-traitants ultérieurs d'ELVATE.
ARTICLE 5 - TRANSFERTS HORS UNION EUROPÉENNE
Lorsqu'un traitement implique un transfert de données hors de l'Union européenne (notamment vers les fournisseurs de modèles d'IA listés en Annexe 2), ELVATE s'assure que ce transfert est encadré par un mécanisme valide : décision d'adéquation de la Commission européenne (dont l'EU-US Data Privacy Framework pour les prestataires certifiés), Clauses Contractuelles Types (CCT), ou toute autre garantie appropriée au sens des articles 44 et suivants du RGPD.
ARTICLE 6 - DROITS DES PERSONNES CONCERNÉES
Il appartient au Client, en qualité de responsable de traitement, de fournir l'information aux personnes concernées et de répondre à leurs demandes d'exercice de droits (accès, rectification, effacement, limitation, portabilité, opposition).
Si une personne concernée adresse une demande directement à ELVATE, celle-ci la transmet au Client dans un délai de 5 jours ouvrés et n'y répond pas directement, sauf instruction contraire du Client. ELVATE apporte au Client, dans la mesure du possible, l'assistance technique nécessaire pour y donner suite (recherche, extraction, suppression des données dans les workflows).
ARTICLE 7 - AUDIT
ELVATE met à la disposition du Client toute la documentation nécessaire pour démontrer le respect de ses obligations. Le Client peut réaliser, au maximum une fois par an et moyennant un préavis de 30 jours, un audit du respect du présent DPA, prioritairement sous forme documentaire et à distance. Les coûts de l'audit sont à la charge du Client. L'audit ne doit pas porter atteinte à la confidentialité des données des autres clients d'ELVATE.
ARTICLE 8 - SORT DES DONNÉES EN FIN DE CONTRAT
Au terme des prestations, ELVATE, au choix du Client exprimé par écrit :
- Supprime l'ensemble des données personnelles traitées pour son compte ainsi que les copies existantes dans les systèmes sous son contrôle, dans un délai de 30 jours ; ou
- Restitue ces données au Client dans un format structuré couramment utilisé, puis les supprime
À défaut d'instruction dans les 30 jours suivant la fin du contrat, ELVATE procède à la suppression. Une attestation de suppression est fournie sur demande. ELVATE peut conserver les données strictement nécessaires au respect de ses obligations légales (facturation, comptabilité).
Les données présentes dans les comptes et outils propres du Client (CRM, plateforme d'automatisation du Client) demeurent sous le contrôle exclusif du Client et ne sont pas concernées par cette clause.
ARTICLE 9 - RESPONSABILITÉ ET DURÉE
La responsabilité de chaque partie au titre du présent DPA est régie par l'article 82 du RGPD et, entre les parties, par la clause de limitation de responsabilité des CGV, sauf disposition impérative contraire.
Le présent DPA prend effet à la date de la commande et demeure en vigueur pendant toute la durée des traitements réalisés par ELVATE pour le compte du Client.
ANNEXE 1 - DESCRIPTION DES TRAITEMENTS
| Caractéristique | Description |
|---|---|
| Objet du traitement | Automatisation du traitement des leads et processus du Client via des workflows (offre IGNITION et option maintenance) |
| Nature des opérations | Collecte, enregistrement, structuration, enrichissement, qualification, analyse (y compris via modèles d'IA), transmission, consultation, effacement |
| Finalité | Exécution des prestations commandées : qualification et routage automatisés des leads, synchronisation entre outils, génération de contenus d'aide à la vente |
| Personnes concernées | Leads, prospects, clients finaux et contacts professionnels du Client |
| Catégories de données | Identité (nom, prénom), coordonnées (email, téléphone), données professionnelles (société, fonction), contenus des échanges et des formulaires, métadonnées d'interaction |
| Données sensibles | Aucune (interdites sauf accord écrit spécifique) |
| Durée du traitement | Durée du contrat de prestation (setup + maintenance le cas échéant) |
| Localisation | Union européenne ; transferts encadrés vers les États-Unis pour les fournisseurs d'IA (Annexe 2) |
ANNEXE 2 - SOUS-TRAITANTS ULTÉRIEURS AUTORISÉS
| Sous-traitant | Service | Localisation | Garanties de transfert |
|---|---|---|---|
| Make (make.com) | Plateforme d'orchestration des workflows d'automatisation (lorsque le compte est détenu par ELVATE) | Union européenne (République tchèque) | Traitement dans l'UE |
| OpenAI | Fourniture de modèles d'intelligence artificielle (traitement de contenus via API) | États-Unis / UE | EU-US Data Privacy Framework / CCT |
| Anthropic | Fourniture de modèles d'intelligence artificielle (traitement de contenus via API) | États-Unis / UE | EU-US Data Privacy Framework / CCT |
Cette liste est tenue à jour sur www.elvate.fr/dpa. Tout ajout ou remplacement est notifié au Client conformément à l'Article 4.
Date de dernière mise à jour : 2 juillet 2026 - Contact : contact@elvate.fr
