Accord de traitement des données

1. Demande et formalisation

Pour recevoir le DPA signé, écrire à dpo@prosio.be en précisant : raison sociale, numéro d'entreprise, adresse du siège, identité et qualité du signataire.

Le document est transmis sous cinq (5) jours ouvrables au format électronique, signature électronique qualifiée acceptée.

2. Parties

Sous-traitant : Salama Forever SRL (marque commerciale « Prosio »), rue du Bon Pasteur 54/1, 1140 Evere, BCE BE 0711.688.802.

Responsable de traitement : le client signataire, identifié dans le bon de commande.

Le DPA fait partie intégrante du contrat conclu entre les parties pour la fourniture du service Prosio.

3. Définitions

Les termes « donnée à caractère personnel », « traitement », « responsable du traitement », « sous-traitant », « personne concernée », « violation de données à caractère personnel » sont entendus au sens de l'article 4 du RGPD.

4. Champ d'application

Le DPA couvre l'ensemble des traitements effectués par Prosio pour le compte du Client dans le cadre du service, notamment : hébergement et stockage des données prospects et opportunités, génération assistée de messages commerciaux, envoi d'emails via OAuth Microsoft Graph, journalisation des actions, reporting agrégé.

Les catégories de données traitées et de personnes concernées sont décrites en annexe du DPA.

5. Durée

Le DPA prend effet à la date de signature et demeure en vigueur pendant toute la durée d'exécution du contrat principal. Les obligations relatives à la confidentialité et à la restitution / suppression des données survivent à la fin du contrat dans la mesure nécessaire à leur exécution.

6. Obligations du sous-traitant

Prosio s'engage notamment :

— à ne traiter les données qu'aux seules fins prévues au DPA et conformément aux instructions documentées du Client ; — à informer le Client sans délai si une instruction lui semble constituer une violation du RGPD ou du droit applicable ; — à imposer la confidentialité à toute personne ayant accès aux données ; — à mettre en œuvre les mesures techniques et organisationnelles décrites dans la page Sécurité ; — à assister le Client pour répondre aux demandes d'exercice de droits des personnes concernées ; — à assister le Client dans la conduite des analyses d'impact (AIPD) lorsque cela est requis.

7. Obligations du responsable de traitement

Le Client garantit qu'il dispose d'une base légale valide au sens de l'article 6 du RGPD pour les traitements confiés à Prosio, qu'il a satisfait à ses obligations d'information vis-à-vis des personnes concernées, et qu'il transmet à Prosio des instructions documentées conformes au RGPD.

8. Instructions documentées

Les instructions du Client sont constituées par : le contrat principal, le DPA et ses annexes, les paramètres définis dans l'application par les administrateurs du Client, et toute instruction écrite ultérieure adressée à dpo@prosio.be.

Prosio ne procède à aucun traitement allant au-delà de ces instructions documentées.

9. Confidentialité

Prosio veille à ce que les personnes autorisées à traiter les données pour son compte soient soumises à une obligation de confidentialité contractuelle ou statutaire, et soient formées à la protection des données à caractère personnel.

10. Mesures de sécurité (article 32 RGPD)

Prosio met en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, en ce compris : chiffrement AES-256 au repos, TLS 1.3 en transit, jetons OAuth chiffrés AES-256-GCM, isolation par tenant via Row Level Security Supabase, authentification multi-facteur du personnel, principe du moindre privilège, journalisation centralisée, sauvegardes chiffrées, tests d'intrusion annuels.

Le détail des mesures figure en annexe du DPA et à la page Sécurité.

11. Sous-traitants ultérieurs

Le Client autorise de manière générale Prosio à recourir aux sous-traitants ultérieurs listés en annexe du DPA (Supabase, Vercel, Microsoft Graph et Azure AD, Mailprotect, Anthropic, n8n).

Toute modification de cette liste (ajout, remplacement) est notifiée au Client trente (30) jours avant prise d'effet. Le Client peut formuler une opposition motivée. En cas d'opposition non résolue par une mesure alternative dans un délai raisonnable, le Client peut résilier le service concerné sans pénalité.

12. Droits des personnes concernées

Prosio assiste le Client, dans la mesure du possible et compte tenu de la nature du traitement, pour répondre aux demandes d'exercice des droits visés aux articles 15 à 22 du RGPD.

Lorsqu'une personne concernée s'adresse directement à Prosio, sa demande est transmise au Client sans délai, sauf instruction contraire écrite du Client.

13. Notification des violations de données

En cas de violation de données à caractère personnel affectant les données traitées pour le compte du Client, Prosio notifie le Client sans délai injustifié et au plus tard dans les soixante-douze (72) heures suivant la prise de connaissance, en fournissant les informations requises à l'article 33 § 3 du RGPD pour permettre au Client de remplir ses propres obligations de notification à l'APD et, le cas échéant, aux personnes concernées.

14. Droit d'audit

Prosio met à disposition du Client toutes les informations nécessaires à la démonstration du respect des obligations prévues à l'article 28 du RGPD, et permet la réalisation d'audits, y compris des inspections, effectuées par le Client ou un auditeur indépendant qu'il mandate.

Les modalités pratiques (préavis, fréquence raisonnable, périmètre, confidentialité, prise en charge des coûts) sont précisées au DPA. Prosio peut satisfaire à cette obligation par la fourniture de rapports d'audit indépendants à jour (ISO 27001, SOC 2 lorsqu'applicables).

15. Restitution et suppression

À la fin du contrat, et sur instruction du Client, Prosio restitue les données dans un format structuré (CSV / JSON) puis procède à leur suppression effective dans un délai de trente (30) jours, sauf obligation légale de conservation.

La suppression couvre les copies présentes en production, dans les sauvegardes de rotation et chez les sous-traitants ultérieurs concernés. Les sauvegardes archivées sont purgées selon le cycle de rotation documenté (au plus tard 90 jours).

16. Transferts internationaux

Prosio s'engage à n'effectuer aucun transfert de données vers un pays tiers à l'Espace économique européen sans garantie appropriée au sens du chapitre V du RGPD (décision d'adéquation, clauses contractuelles types signées avec le sous-traitant ultérieur, mesures techniques supplémentaires lorsque nécessaires).

La cartographie des transferts est tenue à jour et communiquée au Client sur demande motivée.