Accord de traitement des données

Les termes non définis dans cet Accord ont les significations qui leur sont données dans les Conditions d'utilisation et, le cas échéant, dans les Conditions générales de vente applicables aux Services de Power Prompt.

Cet Accord de traitement des données (ci-après dénommé "Accord" ou "DPA") définit les conditions selon lesquelles Digital Business Services S.à r.l. agit en tant que Responsable du traitement des données pour le compte du Client, agissant en tant que Contrôleur de données, en lien avec la fourniture des Services de Power Prompt, conformément à l'article 28 du Règlement (UE) 2016/679 ("RGPD").

Cet Accord constitue un document contractuel distinct applicable, le cas échéant, entre Digital Business Services S.à r.l. et le Client professionnel de Power Prompt lorsque le traitement des données personnelles est effectué par le Responsable du traitement pour le compte du Client en lien avec les Services. Le Client agit alors en tant que Contrôleur de données et Digital Business Services S.à r.l. agit en tant que Responsable du traitement.

D'autre part, lorsque Digital Business Services S.à r.l. traite des données personnelles pour ses propres besoins, en particulier pour des fins de gestion commerciale, de contractualisation, de facturation, de conformité légale, de sécurité de ses systèmes, de prévention des abus, d'administration générale des Services ou de défense de ses droits, elle agit en tant que Responsable du traitement distinct. Un tel traitement n'est pas couvert par le présent Accord et est régi, le cas échéant, par la documentation applicable en cette qualité.

Le présent Accord prend effet à la date de conclusion du contrat applicable pour les Services Power Prompt, y compris lors de l'acceptation des Conditions d'utilisation, des Conditions générales de vente, de la signature d'un devis, d'un bon de commande, de Conditions spéciales ou de toute autre formalisation contractuelle équivalente.

"Sous-traitant"désigne Digital Business Services S.à r.l., établie au 2, rue Tresch, L-8373 Hobscheid, Luxembourg, lorsqu'elle traite des données personnelles pour le compte du Client dans le cadre des Services Power Prompt.

"Responsable du traitement"désigne le Client professionnel qui détermine les finalités et les moyens du traitement des données personnelles traitées par le biais des Services Power Prompt pour ses propres besoins.

"Services"désigne toutes les fonctionnalités, abonnements, interfaces, espaces de travail, API, intégrations, modules, options, services connexes, support et maintenance commercialisés sous la marque Power Prompt.

Cette version est applicable à partir du 02/05/2026. À cette seule fin, le présent Accord prévaut sur toute autre disposition relative au traitement des données personnelles contenues dans d'autres documents contractuels applicables entre les parties.

1. Objet et portée

L'objectif de cet Accord est de définir les conditions dans lesquelles Digital Business Services S.à r.l., lorsqu'elle agit en tant que Sous-traitant, traite des données personnelles pour le compte du Responsable du traitement en lien avec l'accès, l'utilisation, l'administration, le soutien, la maintenance des Services Power Prompt,  leur hébergement, leur sécurité et, plus généralement, leur fonctionnement.

Cet Accord s'applique exclusivement aux opérations de traitement pour lesquelles le Client agit en tant que Responsable du traitement et Digital Business Services S.à r.l. agit en tant que Sous-traitant au sens du RGPD.

Il ne s'applique pas au traitement que Digital Business Services S.à r.l. effectue pour ses propres besoins en tant que Responsable du traitement distinct, en particulier pour la gestion de la relation commerciale, la contractualisation, la facturation, la comptabilité, le respect de ses obligations légales, la cybersécurité, la prévention des abus, l'administration de ses infrastructures, la gestion des journaux techniques nécessaires à la sécurité et au fonctionnement des Services ou à la défense de ses droits.

2. Instructions Documentées et Rôle des Parties

Le Sous-traitant ne traitera des données personnelles que sur les instructions documentées du Responsable du traitement, telles que résultant de cet Accord, du contrat principal, de la configuration des Services, de la documentation applicable, des demandes de support, ou de toute instruction écrite supplémentaire acceptée par le Sous-traitant.

Le Responsable du traitement garantit qu'il a tous les droits, autorisations, bases légales et informations nécessaires pour collecter, utiliser, transmettre et faire traiter les données personnelles concernées via les Services. Il reste seul responsable de la légalité du traitement, de la détermination des finalités poursuivies, du choix des données soumises aux Services et du respect de ses propres obligations légales, réglementaires et sectorielles.

Le Sous-traitant doit informer le Responsable du traitement si, à son avis, une instruction constitue une violation du RGPD ou d'autres dispositions applicables en matière de protection des données. Sauf exigence contraire prévue par la loi, le Sous-traitant peut suspendre l'exécution de l'instruction concernée jusqu'à clarification.

3. Nature, objectif, durée et catégories de traitement

La nature, les objectifs, les catégories de sujets de données, les catégories de données personnelles et la durée du traitement sont décrits dans l'Annexe A, qui fait partie intégrante de cet Accord.

Le traitement peut inclure, en particulier, l'hébergement, l'enregistrement, l'organisation, la structuration, la consultation, l'utilisation, la transmission, la fourniture, la comparaison, la version, les tests, l'exécution, l'analyse, exportation, suppression et, plus généralement, toute opération strictement nécessaire à la fourniture des Services Power Prompt et des fonctionnalités souscrites par le Responsable du traitement.

La description détaillée du traitement, des catégories de données, des sujets de données, ainsi que des opérations de traitement effectuées est énoncée dans l'Annexe A, qui fait partie intégrante de cet Accord.

4. Obligations du Responsable du traitement

Le Responsable du traitement s'engage à :

• s'assurer que les données transmises au Sous-traitant sont adéquates, pertinentes et limitées à ce qui est nécessaire par rapport aux objectifs poursuivis ;
• ne pas utiliser les Services pour traiter des données illégales, du contenu interdit ou des données qu'il n'est pas autorisé à traiter ou à transmettre ;
• informer les sujets de données lorsque cela est requis et répondre à leurs demandes dans les conditions prévue par le RGPD ;
• Déterminer si une évaluation d'impact sur la protection des données, une consultation préalable ou des mesures renforcées sont nécessaires au regard de ses propres utilisations de Power Prompt ;
• s'abstenir, excepté avec le consentement exprès du Responsable du traitement et lorsque des garanties appropriées ont été mises en place, de soumettre via les Services des catégories spéciales de données au sens de l'article 9 du RGPD, des données relatives à des condamnations pénales et à des infractions au sens de l'article 10 du RGPD, ou d'autres données hautement sensibles, réglementées ou couvertes par un secret spécifique, lorsque ces données ne sont pas nécessaires ou lorsque les mesures appropriées n'ont pas été prises.

5. Obligations du Responsable du traitement

Le Sous-traitant s'engage à :

• traiter des données personnelles uniquement pour fournir, sécuriser, maintenir, soutenir et améliorer techniquement les Services, dans la mesure permise par le présent Accord et la législation applicable ;
• s'assurer que les personnes autorisées à traiter les données sont soumises à une obligation appropriée de confidentialité ;
• mettre en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, conformément à l'article 32 du RGPD ;
• prendre en compte l'état de l'art, les coûts de mise en œuvre, ainsi que la nature, l'étendue, le contexte et les finalités du traitement ;
• Assister le Responsable du traitement dans les conditions énoncées dans le présent Accord.

6. Confidentialité

Le Responsable du traitement limite l'accès aux données personnelles uniquement aux personnes qui en ont besoin pour l'exécution du contrat, le fonctionnement des Services, le soutien, la sécurité, la maintenance ou le respect des obligations légales. Ces individus sont liés par une obligation appropriée contractuelle, légale ou statutaire de confidentialité.

7. Sécurité du traitement

Le Processeur doit mettre en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, conformément à l'article 32 du RGPD. Ces mesures peuvent inclure, le cas échéant et sous réserve de ce qui est techniquement et contractuellement applicable, le contrôle d'accès, l'authentification, la journalisation, la segmentation de l'environnement, la sauvegarde, la récupération, le chiffrement en transit et/ou au repos lorsque cela est pertinent, la gestion des vulnérabilités, la limitation des privilèges et des procédures de test et d'évaluation raisonnables.

Le Responsable du traitement reconnaît que les Services Power Prompt peuvent dépendre de services tiers, d'infrastructures, d'hôtes, d'API, de connecteurs, de modèles, de plateformes ou de fournisseurs. Le Processeur doit s'assurer, dans une mesure raisonnable, de sélectionner des prestataires de services avec des garanties appropriées en matière de protection des données et de sécurité, sans garantir l'absence absolue de risque inhérent aux services numériques.

8. Assistance au Responsable du traitement des données

En tenant compte de la nature du traitement et dans la mesure raisonnablement possible, le Processeur doit aider le Responsable du traitement avec des mesures techniques et organisationnelles appropriées pour lui permettre de répondre aux demandes d'exercice des droits des personnes concernées.

Le Processeur doit également aider le Responsable du traitement, dans la mesure requise par l'article 28 du RGPD, en tenant compte de la nature du traitement et des informations à sa disposition, à se conformer aux obligations relatives à la sécurité du traitement, à la notification des violations de données personnelles, aux évaluations d'impact et, le cas échéant, aux consultations préalables avec l'autorité de contrôle.

Toute assistance qui dépasse les obligations légales du Sous-traitant ou nécessite un travail spécifique, substantiel, urgent ou répété peut faire l'objet d'une facturation supplémentaire basée sur les conditions commerciales applicables.

9. Notification des violations de données personnelles

Le Sous-traitant doit notifier le Responsable de traitement, sans délai excessif après en avoir pris connaissance, de toute violation de données personnelles affectant le traitement couvert par le présent Accord.

Cette notification doit inclure, dans la mesure du possible et des informations disponibles, la nature de la violation, les catégories de données affectées, les conséquences probables, et les mesures prises ou proposées pour remédier à la violation et atténuer ses effets.

10. Sous-traitants

Le Responsable de traitement autorise généralement le Sous-traitant à utiliser des sous-traitants pour fournir tout ou partie des Services, y compris l'hébergement, l'infrastructure, la supervision, l'authentification, certaines intégrations techniques, certains services d'intelligence artificielle, le support et la maintenance, lorsque ces fournisseurs sont nécessaires pour traiter des données personnelles pour le compte du Responsable de traitement dans le cadre des Services.

Le Responsable de traitement peut formuler une objection écrite, justifiée et fondée sur des raisons sérieuses liées à la protection des données, dans les quinze (15) jours calendaires suivant la date de notification d'un changement matériel de sous-traitant.

La liste des sous-traitants connue à la date de cette version est fournie en Annexe B. Le Sous-traitant impose à ses sous-traitants, par contrat, des obligations de protection des données substantiellement équivalentes à celles prévues dans le présent Accord, dans la mesure requise par l'Article 28 du RGPD.

Le Processeur peut modifier ou compléter cette liste à tout moment. En cas de changement matériel concernant un sous-traitant impliqué dans le traitement couvert par le présent Accord, le Responsable du traitement sera informé par tout moyen approprié. Il peut émettre une objection écrite, motivée et fondée sur des raisons sérieuses de protection des données, dans un délai raisonnable. Les parties échangeront ensuite de bonne foi pour envisager une solution raisonnable, qui peut inclure, le cas échéant, un changement de configuration, une limitation de service ou la résiliation des services concernés.

11. Transferts de données en dehors de l’Espace économique européen

Lorsque l'exécution des Services implique un transfert de données personnelles vers un pays en dehors de la Zone Économique Européenne, le Processeur doit s'assurer qu'un mécanisme de transfert approprié est mis en place conformément au Chapitre V du RGPD, tel qu'une décision d'adéquation, des clauses contractuelles types, ou tout autre mécanisme reconnu comme valide en vertu de la législation applicable.

Le cas échéant, le Processeur mettra en œuvre des mesures techniques, contractuelles ou organisationnelles supplémentaires raisonnablement appropriées au regard de la nature du transfert, du traitement concerné et des exigences applicables.

12. Sort des données à la fin du contrat

À l'expiration ou à la résiliation des Services concernés, le Processeur supprime ou retourne, à la demande du Responsable du traitement lorsque cela est techniquement faisable et prévu par l'offre applicable, les données personnelles traitées en son nom, sauf s'il existe une obligation légale de les conserver, la nécessité d'une conservation limitée pour la défense des droits du Processeur, ou une conservation temporaire dans des sauvegardes sécurisées selon les cycles de conservation applicables.

Il appartient au Responsable du traitement de prendre, avant la résiliation effective des Services, les mesures nécessaires pour exporter ou récupérer les données, le contenu, les invites, les historiques, les configurations et d'autres éléments qu'il souhaite conserver, conformément aux fonctionnalités disponibles.

13. Informations, démonstration de conformité et audit

Les parties conviennent de donner la préférence, dans la mesure du raisonnable, à un audit de bureau ou à un examen des rapports de conformité existants, avant toute intervention sur site.

Le Sous-traitant mettra à la disposition du Responsable du traitement les informations raisonnablement nécessaires pour démontrer la conformité à ses obligations en vertu de cet Accord, dans la mesure où ces informations peuvent être divulguées sans préjudice à la sécurité, à la confidentialité, aux secrets commerciaux, aux obligations envers des tiers ou aux droits d'autres clients.

Lorsque les informations fournies ne sont pas suffisantes et qu'il existe des éléments objectifs suggérant raisonnablement une non-conformité grave liée au traitement couvert par cet Accord, le Responsable du traitement peut demander un audit limité, non intrusif et proportionné, réalisé soit par lui-même, soit par un auditeur indépendant soumis à une stricte obligation de confidentialité et ne se trouvant pas dans une situation de conflit d'intérêts.

Sauf en cas d'urgence légale ou d'ordre d'une autorité compétente, tout audit est soumis à un préavis écrit raisonnable, se déroule pendant les heures de bureau, sans perturber indûment l'activité du Sous-traitant ou compromettre la sécurité des Services, et reste limité à ce qui est strictement nécessaire. Sauf si l'audit révèle une non-conformité matérielle imputable au Sous-traitant, ses coûts sont à la charge du Responsable du traitement.

14. Responsabilité

La responsabilité des parties en vertu de cet Accord sera régie par les dispositions de responsabilité énoncées dans les Conditions Générales d'Utilisation, les Conditions Générales de Vente et, le cas échéant, les Conditions Particulières applicables, sous réserve des dispositions obligatoires du RGPD ou de toute autre législation applicable.

Sauf disposition contraire des exigences obligatoires, toute responsabilité encourue en vertu de cet Accord est soumise aux limites de responsabilité énoncées dans les Conditions d'Utilisation et les Conditions Générales de Vente applicables.

15. Durée

Cet Accord entrera en vigueur à la date à laquelle il devient applicable conformément aux documents contractuels mentionnés ci-dessus et restera en vigueur pendant la durée pendant laquelle le Sous-traitant traite des données personnelles pour le compte du Responsable au regard des Services.

16. Modification

Le Sous-traitant peut modifier cet Accord afin de prendre en compte, en particulier, des évolutions légales, réglementaires, jurisprudentielles, techniques, organisationnelles, opérationnelles ou relatives aux Services Power Prompt. La version mise à jour sera portée à l'attention du Responsable des Données par tout moyen approprié. En cas de changement matériel affectant les droits ou obligations des parties, le Sous-traitant s'efforcera, dans un délai raisonnable, d'informer le Responsable avant son entrée en vigueur.

17. Droit applicable et juridiction

Cet Accord est régi par le droit luxembourgeois. Sous réserve de toute disposition obligatoire applicable, tout litige relatif à sa validité, son interprétation, son exécution, sa résiliation ou ses conséquences relève de la compétence exclusive des tribunaux de la ville de Luxembourg.

18. Contact

Si vous avez des questions concernant cet Accord, le Client peut nous contacter par écrit à l'adresse suivante :

Digital Business Services S.à r.l.
2, rue Tresch
L-8373 Hobscheid
Luxembourg

Via notre formulaire électronique :https://powerprompt.eu/fr/contactus

Annexe A – Description du Traitement

A.1. Objectif, nature et finalités du traitement

Le Sous-traitant traite des données personnelles pour fournir la solution Power Prompt au Responsable du traitement, en particulier pour permettre, en fonction de l'offre souscrite et de la configuration mise en place, la création, la structuration, l'organisation, le stockage, le partage, la version, la comparaison, l'optimisation, les tests, l'exécution et le fonctionnement des invites, bibliothèques, variables, ensembles d'instructions, contenus, configurations, historiques, sorties générées et éléments connexes, notamment via des interfaces web, des espaces de travail collaboratifs, des intégrations et APIs.

Dans le cadre de cet Accord, le traitement effectué par le Sous-traitant pour le compte du Responsable peut également inclure l'authentification, l'administration des comptes clients, la gestion des droits d'accès, la journalisation liée à l'utilisation des Services, la maintenance, support, sauvegarde, restauration, supervision technique et gestion des intégrations sélectionnées ou activées par le Responsable, dans la mesure où ces opérations sont nécessaires à la fourniture des Services au Responsable.

Le traitement effectué par Digital Business Services S.à r.l. pour ses propres besoins, tels que la gestion commerciale, la facturation, la comptabilité, la conformité légale, la sécurité générale de ses systèmes ou la prévention des abus en son nom, ne relève pas du champ d'application de cette Annexe A.

A.2. Catégories de personnes concernées

• utilisateurs autorisés, administrateurs et collaborateurs du Responsable du traitement;
• sujets de données dont les données sont incluses par le Responsable dans des invites, documents, fichiers, instructions, contextes, journaux, configurations ou contenus traités par les Services;
• contacts professionnels, clients, prospects, fournisseurs, partenaires, prestataires de services, collaborateurs externes ou autres tiers dont les données sont soumis aux Services par le Responsable du traitement;
• personnes communiquant avec le Responsable via des systèmes ou du contenu intégré dans les Services.

A.3. Catégories de données personnelles

• données d'identification et de contact, telles que nom, prénom, adresse email professionnelle, numéro de téléphone professionnel, titre de poste, entreprise;
• données de compte et d'authentification, telles que identifiants, rôles, journaux de connexion, metadata d'accès et informations techniques associées;
• contenu, invites, instructions, documents, fichiers, variables, configurations, commentaires, historiques, sorties générées et metadata associée à l'utilisation des Services;
• données techniques, telles que adresses IP, identifiants de dispositifs, journaux d'événements, informations de session et données de diagnostic;
• toute autre donnée que le Responsable choisit de soumettre aux Services sous sa seule responsabilité.

Sauf accord spécifique contraire et mesures appropriées, le Responsable du traitement s'abstient de soumettre aux Services des catégories spéciales de données, des données criminelles, des secrets protégés ou données hautement sensibles qui ne sont pas nécessaires à l'utilisation prévue.

A.4. Opérations de traitement

Les opérations de traitement peuvent inclure la collecte, l'enregistrement, l'organisation, la structuration, le stockage, l'adaptation, la consultation, l'utilisation, la transmission, la fourniture, la combinaison, l'analyse, l'exportation, le stockage temporaire, la suppression et la destruction, dans la mesure nécessaire à la fourniture des Services.

A.5. Durée du traitement

Les données sont traitées pendant la durée de la relation contractuelle relative aux Services concernés et ensuite supprimées ou retournées conformément à cet Accord, sous réserve des périodes de conservation requises par la loi, des contraintes techniques raisonnables, des sauvegardes sécurisées et des besoins légitimes de preuve, de sécurité ou de défense des droits.

Annexe B – Sous-traitants

Les sous-traitants ci-dessous peuvent être impliqués, en fonction des Services, des options, des intégrations et des environnements techniques activés, lors du traitement des données personnelles pour le compte du Responsable de traitement en lien avec les Services couverts par cet Accord.

Annexe C – Mesures Techniques et Organisationnelles (Description Synthétique)

Le Responsable du traitement met en œuvre, selon une approche proportionnée au risque, des mesures techniques et organisationnelles incluant, en particulier :

• la gestion des autorisations et le contrôle d'accès ;
• Authentification et protection des comptes;
• journalisation et traçabilité des événements techniques pertinents;
• Sauvegarde, récupération et résilience raisonnable des services.
• mesures de sécurité appropriées pour les réseaux, systèmes et applications;
• gestion des vulnérabilités et maintenance de la sécurité;
• cadre de confidentialité contractuelle et de protection des données avec des personnes autorisées et des sous-traitants;
• procédures internes pour la gestion des incidents et, le cas échéant, des violations de données;
• mesures de minimisation, de limitation d'accès et de séparation logique lorsque c'est approprié.

Les détails opérationnels de certaines mesures peuvent être communiqués séparément sur demande légitime, sous réserve exigences de sécurité et de confidentialité.