← Retour à l'accueil
Contrat de sous-traitance (DPA)
Data Processing Agreement — Article 28 du RGPD
Dernière mise à jour : 9 mars 2026
Le présent contrat de sous-traitance (ci-après « DPA ») est conclu entre :
- Le Responsable du traitement (ci-après « le Client ») : toute personne physique ou morale utilisant le service EmailCopy
- Le Sous-traitant (ci-après « EmailCopy ») : WEEVDONE SARL, 9 rue de Condé, Bureau 3, 33000 Bordeaux — SIRET 811 915 263 00040
Ce DPA fait partie intégrante des Conditions Générales de Vente et d'Utilisation et s'applique au traitement des données personnelles effectué par EmailCopy pour le compte du Client dans le cadre de l'utilisation du service.
1. Objet et portée
Le Client utilise EmailCopy pour gérer ses contacts et envoyer des emails marketing et automatisés. Dans ce cadre, EmailCopy traite des données personnelles pour le compte du Client, conformément aux instructions de celui-ci.
2. Nature et finalité du traitement
| Élément | Description |
|---|
| Finalité du traitement | Envoi d'emails marketing et automatisés, gestion de contacts, suivi d'engagement |
| Types de données | Adresses email, prénoms, noms, téléphones, tags, données de consentement, données d'engagement (ouvertures, clics), adresses IP |
| Catégories de personnes concernées | Contacts/abonnés du Client (prospects, clients, leads) |
| Durée du traitement | Durée de l'abonnement du Client au service EmailCopy |
3. Obligations d'EmailCopy (sous-traitant)
EmailCopy s'engage à :
- Traiter les données uniquement sur instruction documentée du Client (Art. 28.3.a). Les instructions sont constituées par les actions effectuées par le Client dans l'interface du service (import de contacts, envoi d'emails, création de séquences).
- Assurer la confidentialité des données. Les personnes autorisées à traiter les données sont soumises à une obligation de confidentialité (Art. 28.3.b).
- Mettre en œuvre les mesures de sécurité appropriées (Art. 28.3.c et Art. 32), incluant : chiffrement en transit (TLS) et au repos, isolation des données par workspace (Row Level Security), sauvegardes automatiques, contrôle d'accès strict, hébergement en Europe.
- Respecter les conditions de recours à un sous-traitant ultérieur (Art. 28.3.d). La liste des sous-traitants ultérieurs est fournie à l'article 7 du présent DPA. Le Client sera informé de tout changement.
- Aider le Client à répondre aux demandes d'exercice des droits des personnes concernées (Art. 28.3.e) : droit d'accès, rectification, effacement, portabilité. Le service inclut des fonctionnalités natives d'export de données et de suppression de contacts.
- Aider le Client dans le cadre des analyses d'impact (Art. 35-36) et des obligations de sécurité (Art. 32-36) si nécessaire (Art. 28.3.f).
- Supprimer ou restituer les données à l'issue de la prestation. À la fin de l'abonnement, le Client peut exporter ses données. Après un délai de 30 jours suivant la résiliation, les données sont supprimées des systèmes d'EmailCopy (Art. 28.3.g).
- Mettre à disposition du Client toutes les informations nécessaires pour démontrer le respect des obligations et permettre la réalisation d'audits (Art. 28.3.h). Les informations sont disponibles dans le panel admin RGPD de l'application.
4. Obligations du Client (responsable du traitement)
Le Client s'engage à :
- S'assurer que la collecte et le traitement des données de ses contacts sont licites et conformes au RGPD
- Recueillir le consentement valide de ses contacts avant tout envoi d'email marketing
- Fournir aux personnes concernées les informations requises par les articles 13 et 14 du RGPD
- Configurer les mentions légales dans les paramètres EmailCopy (nom d'entreprise, adresse)
- Traiter les demandes de désinscription dans les meilleurs délais
- Ne pas importer de données collectées de manière illicite
5. Notification des violations de données
En cas de violation de données à caractère personnel (Art. 33), EmailCopy s'engage à :
- Informer le Client dans un délai de 72 heures après en avoir pris connaissance
- Fournir les informations nécessaires : nature de la violation, catégories et nombre de personnes concernées, conséquences probables, mesures prises pour remédier à la violation
- Coopérer avec le Client pour la notification à la CNIL et aux personnes concernées si nécessaire
Un système de gestion d'incidents RGPD est intégré au panel admin de l'application.
6. Transferts internationaux de données
Les données sont principalement hébergées en Europe. Les transferts hors UE sont limités et encadrés :
- Anthropic (IA — États-Unis) : les données envoyées à l'API sont limitées au contenu des emails à générer, ne contiennent pas de données personnelles de contacts, et ne sont pas conservées par Anthropic. Transfert encadré par les SCCs et le EU-US Data Privacy Framework.
- Netlify (hébergement CDN — mondial) : les fichiers statiques de l'application sont distribués via CDN. Les données personnelles ne transitent pas par Netlify (elles sont dans Supabase/AWS EU).
7. Sous-traitants ultérieurs
| Sous-traitant |
Finalité |
Localisation |
| Supabase (AWS EU) |
Base de données, authentification, stockage fichiers |
Europe (AWS EU) |
| Amazon Web Services — SES |
Envoi d'emails |
Europe — Paris (eu-west-3) |
| Anthropic |
Génération de contenu email par IA |
États-Unis (pas de données personnelles) |
| Stripe |
Paiement et facturation |
Europe (Irlande) |
| Netlify |
Hébergement application web (fichiers statiques) |
CDN mondial |
Le Client est informé de tout ajout ou changement de sous-traitant ultérieur au moins 30 jours avant la mise en œuvre. Le Client peut s'opposer à un changement ; dans ce cas, il peut résilier son abonnement.
8. Mesures de sécurité techniques et organisationnelles
- Chiffrement : TLS 1.2+ en transit, chiffrement AES-256 au repos (base de données Supabase)
- Isolation : Row Level Security (RLS) PostgreSQL — chaque workspace ne peut accéder qu'à ses propres données
- Authentification : JWT avec expiration, refresh tokens, verrouillage après échecs multiples
- Sauvegardes : sauvegardes automatiques quotidiennes avec rétention de 30 jours
- Purge automatique : données de tracking supprimées après 13 mois, générations IA supprimées après 30 jours
- Contrôle d'accès : principe du moindre privilège, accès production restreint
- Monitoring : surveillance des bounces et complaints, alertes automatiques
9. Durée et résiliation
Le présent DPA entre en vigueur à la date de souscription de l'abonnement et reste en vigueur tant que le Client utilise le service. À la fin de l'abonnement, le Client peut exporter ses données pendant 30 jours. Passé ce délai, les données sont supprimées conformément à l'article 3 du présent DPA.
10. Droit applicable
Le présent DPA est régi par le droit français et le Règlement UE 2016/679 (RGPD). En cas de litige, les tribunaux de Bordeaux sont seuls compétents.