Accord de Traitement des Données à Caractère Personnel (DPA)

PRÉAMBULE ET IDENTIFICATION DES PARTIES

Le présent Accord de traitement des données à caractère personnel (ci-après le « DPA » ou l’« Accord ») est conclu entre :

Le Responsable de traitement [Dénomination sociale du Client], [forme juridique], au capital de [montant] euros, immatriculée au Registre du commerce et des sociétés de [ville] sous le numéro [SIREN], dont le siège social est situé [adresse complète], représentée par [nom, prénom, qualité du signataire], Ci-après dénommée le « Responsable de traitement » ou le « Client », d’une part,

Le Sous-traitant MEDIABY, Société par actions simplifiée au capital de 461 000,00 euros, immatriculée au Registre du commerce et des sociétés de Saint-Pierre de la Réunion sous le numéro 980 630 461, dont le siège social est situé Technopole de la Réunion / Alpha Tech, 27 avenue du Docteur Jean-Marie Dambreville, bâtiment Alpha — Parc Techsud, 97410 Saint-Pierre (France), représentée par sa Présidente, la société FLF DIGITAL (SAS, RCS Paris 834 472 631), elle-même représentée par Monsieur Frédéric Fadel, Ci-après dénommée « MediaBy » ou le « Sous-traitant », d’autre part,

Ci-après ensemble les « Parties » et individuellement une « Partie ».

CECI ÉTANT PRÉALABLEMENT EXPOSÉ
Le Responsable de traitement a souscrit ou s’apprête à souscrire aux services de la plateforme MediaBy permettant l’achat média programmatique en self-service, l’activation de campagnes publicitaires sur divers canaux (Display, Audio, Video, Ingame, Meta, YouTube, Search Google, DOOH, Netflix, TF1+), l’utilisation de modules d’intelligence artificielle d’optimisation, le déploiement du MasterTag, l’accès aux outils de création de contenu et aux fonctions de reporting (ci-après les « Services »). Dans le cadre de la fourniture des Services, MediaBy est amenée à traiter des données à caractère personnel pour le compte du Responsable de traitement. Conformément à l’article 28 du Règlement (UE) 2016/679 du 27 avril 2016 (ci-après le « RGPD »), les Parties conviennent d’encadrer par le présent DPA les traitements de données à caractère personnel effectués par MediaBy en qualité de sous-traitant. Articulation contractuelle Le présent DPA complète les Conditions Générales de Vente et de Service de MediaBy ainsi que tout contrat particulier conclu entre les Parties (ensemble le « Contrat principal »). En cas de contradiction entre le DPA et le Contrat principal portant sur la protection des données à caractère personnel, les stipulations du présent DPA prévaudront.

Article 1 — Définitions

Les termes commençant par une majuscule dans le présent DPA ont le sens qui leur est donné à l’article 4 du RGPD, sauf définition spécifique ci-après :
• « Données » ou « Données à caractère personnel » : toute information se rapportant à une personne physique identifiée ou identifiable, traitée par MediaBy pour le compte du Responsable de traitement dans le cadre des Services.
• « Personnes concernées » : les personnes physiques dont les Données sont traitées dans le cadre du présent DPA.
• « Traitement » : toute opération ou ensemble d’opérations effectuées sur les Données, au sens de l’article 4(2) du RGPD.
• « Violation de Données » : toute violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de Données ou l’accès non autorisé à de telles Données.
• « Sous-traitant ultérieur » : tout tiers auquel MediaBy fait appel pour traiter les Données pour le compte du Responsable de traitement.
• « Autorité de contrôle » : la Commission nationale de l’informatique et des libertés (CNIL) en France ou toute autre autorité compétente au sein de l’Union européenne.

Article 2 — Objet, nature et finalité du traitement

2.1 Objet Le présent DPA a pour objet de définir les conditions dans lesquelles MediaBy, en qualité de sous-traitant, traite pour le compte du Responsable de traitement les Données nécessaires à la fourniture des Services.

2.2 Nature et finalité du traitement Les Données sont traitées par MediaBy aux seules fins d’exécution des Services souscrits par le Responsable de traitement, et notamment :
• la création, l’activation et l’optimisation de campagnes publicitaires programmatiques sur les canaux Display, Audio (Deezer, Spotify), Video, Ingame, Meta, YouTube, Search Google, DOOH, Netflix, TF1+ ;
• le déploiement et l’opération du MasterTag MediaBy, le cas échéant ;
• l’exploitation des modules d’intelligence artificielle d’optimisation propriétaires de MediaBy ;
• la production de rapports de performance (reporting, export PDF/XLS) ;
• le support technique et fonctionnel associé aux Services.

2.3 Durée du traitement Les traitements sont effectués pendant toute la durée du Contrat principal, et cessent à sa terminaison, sous réserve des opérations de restitution et de suppression prévues à l’article 14 du présent DPA.

2.4 Catégories de Données et de Personnes concernées Les catégories de Données traitées et de Personnes concernées sont précisées à l’Annexe 1 du présent DPA.

Article 3 — Obligations du Responsable de traitement

Le Responsable de traitement s’engage à :
• ne transmettre à MediaBy que des Données collectées licitement, loyalement et en conformité avec le RGPD et les lois applicables ;
• avoir recueilli toutes les bases légales requises (consentement, intérêt légitime, exécution contractuelle, etc.) pour permettre à MediaBy de traiter les Données dans le cadre des Services ;
• avoir fourni aux Personnes concernées toutes les informations requises par les articles 13 et 14 du RGPD, y compris l’identité des destinataires ou catégories de destinataires ;
• documenter par écrit les instructions adressées à MediaBy, y compris les instructions complémentaires ultérieures ;
• répondre en première ligne aux demandes d’exercice de droits des Personnes concernées (articles 15 à 22 du RGPD) ;
• coopérer avec MediaBy pour l’exécution du présent DPA.

Article 4 — Obligations générales du Sous-traitant

MediaBy s’engage, en qualité de sous-traitant, à :
• traiter les Données uniquement sur instructions documentées du Responsable de traitement, y compris en matière de transferts hors Union européenne, sauf si une obligation légale impose un traitement différent, auquel cas MediaBy en informera préalablement le Responsable de traitement (sauf interdiction légale) ;
• informer immédiatement le Responsable de traitement si, selon lui, une instruction constitue une violation du RGPD ou d’une autre disposition relative à la protection des données ;
• garantir la confidentialité des Données et veiller à ce que les personnes autorisées à traiter les Données s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ;
• prendre toutes les mesures techniques et organisationnelles requises en vertu de l’article 32 du RGPD, conformément à l’article 7 du présent DPA et à son Annexe 2 ;
• respecter les conditions relatives au recours à des sous-traitants ultérieurs stipulées à l’article 6 ;
• apporter son concours au Responsable de traitement pour l’accomplissement de ses obligations de réponse aux Personnes concernées (article 9) et de ses obligations au titre des articles 32 à 36 du RGPD (article 10).

Article 5 — Périmètre d’intervention et instructions

MediaBy traite les Données uniquement dans la mesure nécessaire à la fourniture des Services. Les instructions du Responsable de traitement s’expriment notamment par :
• la souscription aux Services et la configuration effectuée sur la console MediaBy (https://console.mediaby.io) ;
• les paramétrages de campagne (audience, canaux, pixels, événements) ;
• les instructions écrites complémentaires transmises à MediaBy par les canaux de contact officiels (email, support) ;
• le présent DPA et ses annexes. Toute instruction du Responsable de traitement excédant le périmètre des Services fera l’objet d’un accord préalable écrit entre les Parties et, le cas échéant, d’une refacturation.

Article 6 — Recours à des sous-traitants ultérieurs

6.1 Autorisation générale Le Responsable de traitement autorise MediaBy à faire appel à des sous-traitants ultérieurs pour l’exécution de certaines activités de traitement. La liste des sous-traitants ultérieurs habilités à la date de signature du présent DPA figure à l’Annexe 3.

6.2 Conditions encadrant le recours à des sous-traitants ultérieurs MediaBy impose à chacun de ses sous-traitants ultérieurs, par voie contractuelle, les mêmes obligations de protection des données que celles fixées dans le présent DPA, conformément à l’article 28.4 du RGPD. Cette obligation inclut notamment l’obligation de mettre en œuvre des mesures techniques et organisationnelles appropriées.

6.3 Information préalable et droit d’opposition MediaBy informe par écrit le Responsable de traitement de tout projet de modification concernant l’ajout ou le remplacement d’un sous-traitant ultérieur, au moins trente (30) jours avant la prise d’effet de la modification. Le Responsable de traitement dispose d’un délai de quinze (15) jours ouvrés pour s’opposer, pour motifs légitimes et documentés, à cette modification. En cas d’opposition, les Parties se rencontrent de bonne foi pour rechercher une solution ; à défaut d’accord dans un délai de trente (30) jours, le Responsable de traitement pourra résilier le Contrat principal et le présent DPA sans pénalité ni préavis autre que celui nécessaire à la cessation effective des Services.

6.4 Activation sur plateformes publicitaires tierces L’activation de campagnes publicitaires sur des plateformes tierces (notamment Meta, Google Ads, YouTube, DV360, TikTok, Snapchat, LinkedIn, Pinterest, Adform, DOOH, Netflix, TF1+, Deezer, Spotify) implique la transmission de Données à ces plateformes. Chaque plateforme tierce agit en qualité de responsable de traitement autonome ou conjoint pour les traitements qu’elle met en œuvre sur son propre compte (notamment à des fins de mesure, d’attribution, d’amélioration de ses services ou de constitution d’audiences). En conséquence, le choix d’activer une campagne sur une plateforme tierce, la configuration des paramètres de partage de données, et la relation juridique avec ladite plateforme relèvent de la seule responsabilité du Responsable de traitement, qui doit notamment :
• examiner et accepter les conditions de chaque plateforme tierce ;
• conclure directement avec elle tout accord requis (DPA, clauses de Joint Controllers, etc.) ;
• évaluer les transferts hors EEE réalisés par ladite plateforme et les garanties mises en œuvre. MediaBy intervient strictement en qualité de sous-traitant du Responsable de traitement pour lexécution technique de ces activations sur la base des instructions données via la console MediaBy.

Article 7 — Sécurité des Données

MediaBy met en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, conformément à l’article 32 du RGPD. La description détaillée de ces mesures figure à l’Annexe 2 du présent DPA, et comprend notamment :
• chiffrement des Données en transit (TLS 1.2 ou supérieur) et au repos pour les données sensibles ;
• hébergement exclusif sur infrastructures situées en France (OVH Cloud — Roubaix et Strasbourg ; Scaleway — Paris) ;
• contrôle d’accès fondé sur le principe du moindre privilège avec authentification forte pour les accès sensibles ;
• journalisation des accès et des opérations sur les Données ;
• sauvegardes régulières, plan de continuité et plan de reprise d’activité ;
• formation régulière du personnel à la protection des données et à la sécurité informatique ;
• gestion documentée des vulnérabilités et tests d’intrusion périodiques.

Article 8 — Transferts hors Union européenne

8.1 Principe de localisation UE Les Données traitées par MediaBy dans le cadre des Services sont hébergées exclusivement en France. MediaBy ne réalise aucun transfert hors Espace économique européen (EEE) au titre de ses propres traitements.

8.2 Garanties en cas de transfert Lorsque, pour certaines fonctions annexes (outils collaboratifs, outils de support), un transfert hors EEE serait rendu nécessaire, MediaBy met en œuvre les garanties appropriées prévues au chapitre V du RGPD : décisions d’adéquation, clauses contractuelles types (décision d’exécution (UE) 2021/914), mesures complémentaires recommandées par l’EDPB.

8.3 Transferts réalisés par des plateformes publicitaires tierces Comme précisé à l’article 6.4, les transferts réalisés par les plateformes publicitaires tierces (Meta, Google, etc.) relèvent de la responsabilité du Responsable de traitement et non de MediaBy.

Article 9 — Droits des Personnes concernées

MediaBy apporte au Responsable de traitement, par la mise en place de mesures techniques et organisationnelles appropriées, toute l’assistance raisonnable pour lui permettre de répondre aux demandes dexercice des droits des Personnes concernées (articles 15 à 22 du RGPD). Lorsqu’une Personne concernée s’adresse directement à MediaBy, MediaBy transmet la demande au Responsable de traitement dans les meilleurs délais et ne répond pas directement à la Personne concernée, sauf instruction écrite contraire.

Article 10 — Assistance et coopération

MediaBy assiste le Responsable de traitement dans l’accomplissement de ses obligations, notamment :
• en matière de sécurité des traitements (article 32 RGPD) ;
• en matière de notification des Violations de Données à l’Autorité de contrôle et aux Personnes concernées (articles 33 et 34) ;
• en matière d’analyse d’impact relative à la protection des données (articles 35 et 36), sous réserve d’une refacturation des prestations dépassant le cadre habituel de support.

Article 11 — Violation de Données

11.1 Notification au Responsable de traitement MediaBy notifie au Responsable de traitement toute Violation de Données dans les meilleurs délais et, en tout état de cause, dans un délai n’excédant pas vingt-quatre (24) heures à compter de sa connaissance effective.

11.2 Contenu de la notification La notification comprend, dans la mesure des informations disponibles :
• la description de la nature de la Violation, y compris les catégories et le nombre approximatif de Personnes concernées et d’enregistrements concernés ;
• les coordonnées du DPO ou du point de contact désigné au sein de MediaBy ;
• la description des conséquences probables de la Violation ;
• la description des mesures prises ou envisagées pour remédier à la Violation et en atténuer les éventuelles conséquences négatives.

11.3 Coopération MediaBy coopère avec le Responsable de traitement et lui apporte toute l’assistance requise pour lui permettre de remplir ses propres obligations de notification, notamment vis-à-vis de l’Autorité de contrôle et des Personnes concernées.

Article 12 — Audit

12.1 Droit d’audit Le Responsable de traitement dispose d’un droit d’audit portant sur le respect par MediaBy des obligations du présent DPA, exerçable une fois par an et après un préavis raisonnable d’au moins trente (30) jours, sauf en cas de Violation de Données ou de demande d’une Autorité de contrôle.

12.2 Modalités d’audit L’audit peut être conduit par le Responsable de traitement directement ou par un auditeur indépendant soumis à une obligation de confidentialité, accepté par MediaBy (cet accord ne pouvant être refusé sans motif légitime). L’audit se déroule pendant les heures ouvrées et ne perturbe pas de façon déraisonnable les activités de MediaBy. Les coûts de l’audit sont supportés par le Responsable de traitement, sauf si l’audit révèle un manquement substantiel de MediaBy, auquel cas MediaBy en supporte les coûts raisonnables.

12.3 Alternative aux audits physiques Pour répondre à une demande d’audit standard, MediaBy peut, au choix, produire : (i) une attestation de conformité émise par un auditeur indépendant, (ii) un rapport SOC 2 Type II ou équivalent, (iii) une attestation ISO 27001 le cas échéant. L’audit sur site est réservé aux cas où la documentation fournie est insuffisante pour satisfaire une obligation légale ou contractuelle spécifique.

Article 13 — Confidentialité

Chaque Partie s’engage à préserver la confidentialité de toute information à caractère confidentiel reçue de l’autre Partie dans le cadre de l’exécution du présent DPA. Cette obligation de confidentialité demeure en vigueur pendant toute la durée du DPA et pendant cinq (5) ans après sa terminaison.

Article 14 — Fin du traitement et restitution / suppression

14.1 Fin du traitement À la terminaison du Contrat principal, pour quelque motif que ce soit, MediaBy cesse immédiatement tout traitement des Données, sauf conservation strictement nécessaire pour satisfaire une obligation légale (notamment conservation des logs et des factures).

14.2 Restitution ou suppression Le Responsable de traitement indique par écrit à MediaBy, au plus tard à la terminaison du Contrat principal, s’il souhaite : (i) la restitution des Données dans un format standard exploitable (CSV, JSON ou XLSX), ou (ii) la suppression des Données. À défaut d’instruction dans un délai de trente (30) jours après la terminaison, MediaBy procède à la suppression des Données et en remet une attestation écrite.

14.3 Délai de suppression La suppression des Données est réalisée dans un délai de quatre-vingt-dix (90) jours à compter de la terminaison du Contrat principal ou de l’instruction écrite de restitution / suppression, à l’exclusion des copies de sauvegarde qui suivent un cycle de rotation distinct et sont effacées selon ce cycle, dans un délai maximal de douze (12) mois.

Article 15 — Responsabilité

La responsabilité de chaque Partie au titre du présent DPA est encadrée par les stipulations du Contrat principal, sous réserve des dispositions impératives de l’article 82 du RGPD en matière de responsabilité vis-à-vis des Personnes concernées. En tout état de cause, le plafond global de responsabilité de chaque Partie au titre du présent DPA ne pourra excéder le plafond fixé dans le Contrat principal pour la totalité des manquements.

Article 16 — Durée et terminaison

Le présent DPA entre en vigueur à la date de sa signature et demeure applicable pendant toute la durée du Contrat principal. Il prend fin de plein droit à la terminaison du Contrat principal, sous réserve des dispositions des articles 13 (confidentialité) et 14 (fin du traitement) qui continuent à produire leurs effets au-delà de cette terminaison.

Article 17 — Droit applicable et juridiction

Le présent DPA est régi par le droit français. Tout litige relatif à son interprétation ou à son exécution relève de la compétence exclusive des tribunaux du ressort de la Cour d’appel de Paris, y compris en cas de référé, de pluralité de défendeurs ou d’appel en garantie. La présente clause attributive de compétence est stipulée entre professionnels conformément à l’article 48 du Code de procédure civile.

Article 18 — Dispositions diverses

18.1 Modification Toute modification du présent DPA fera l’objet d’un avenant écrit signé par les Parties.

18.2 Intégralité Le présent DPA, ensemble ses Annexes, constitue l’accord intégral des Parties concernant la protection des Données à caractère personnel. 18.3 Nullité partielle Si une ou plusieurs stipulations du présent DPA étaient déclarées nulles, les autres stipulations conserveront leur force et leur portée.

ANNEXE 1 — DESCRIPTION DU TRAITEMENT

A1.1 Catégories de Personnes concernées • Visiteurs des sites et applications opérés par le Responsable de traitement ;
• Utilisateurs exposés aux campagnes publicitaires activées via MediaBy ;
• Prospects et clients du Responsable de traitement faisant l’objet de ciblage publicitaire ;
• Le cas échéant, personnel du Responsable de traitement utilisant la console MediaBy.

A1.2 Catégories de Données
• Identifiants techniques (cookies, identifiants publicitaires, identifiants de session) ;
• Données de navigation (pages vues, clics, durée de visite, référent) ;
• Événements de conversion configurés par le Responsable de traitement (inscription, achat, ajout panier, etc.) ;
• Données déclaratives fournies par l’utilisateur via les formulaires du Responsable de traitement, lorsqu’elles sont transmises à MediaBy selon les instructions du Responsable ;
• Adresses IP (pseudonymisées lorsque techniquement possible) ;
• Données d’audience et segments déclarés par le Responsable de traitement.

A1.3 Finalités opérationnelles
• Activation et pilotage de campagnes publicitaires programmatiques ;
• Mesure et reporting de performance des campagnes ;
• Optimisation des campagnes par les modules d’IA propriétaires de MediaBy ;
• Constitution d’audiences et d’audiences similaires selon les instructions du Responsable ;
• Fonctionnement technique du MasterTag et des services associés.

A1.4 Durée Durée du Contrat principal, augmentée des périodes de conservation légales et des périodes de rotation des sauvegardes visées à l’article 14.3.

ANNEXE 2 — MESURES TECHNIQUES ET ORGANISATIONNELLES

A2.1 Contrôle d’accès physique Les Données sont hébergées dans des centres de données situés en France, certifiés ISO 27001 (OVH Cloud — Roubaix, Strasbourg ; Scaleway — Paris). L’accès physique aux centres de données est contrôlé par l’hébergeur avec authentification multi-facteurs, vidéosurveillance 24/7 et traçabilité.

A2.2 Contrôle d’accès logique
• Authentification forte (MFA) pour les accès administrateurs aux systèmes de production ;
• Principe du moindre privilège appliqué à l’ensemble des accès ;
• Revue périodique des droits d’accès et révocation immédiate lors des départs ;
• Journalisation centralisée des accès.

A2.3 Chiffrement
• Chiffrement des Données en transit par TLS 1.2 minimum (TLS 1.3 préférentiel) ;
• Chiffrement au repos des Données sensibles.

A2.4 Sauvegarde et continuité
• Sauvegardes régulières et testées ;
• Plan de continuité d’activité et plan de reprise d’activité ;
• Objectifs RTO / RPO définis et testés périodiquement.

A2.5 Gestion des vulnérabilités
• Veille et application des correctifs de sécurité ;
• Scans de vulnérabilité réguliers ;
• Tests d’intrusion périodiques sur les composants exposés.

A2.6 Sécurité du personnel
• Engagement de confidentialité signé par l’ensemble du personnel ;
• Formation à la protection des données et à la sécurité à l’embauche, puis au moins annuellement ;
• Procédures documentées pour l’entrée et le départ des collaborateurs.

A2.7 Gestion des incidents
• Procédure documentée de gestion des Violations de Données ;
• Registre des incidents tenu à jour ;
• Notification au Responsable de traitement dans les 24 heures.

ANNEXE 3 — SOUS-TRAITANTS ULTÉRIEURS

Liste des sous-traitants ultérieurs habilités à la date de signature du présent DPA :

A3.1 Hébergement et infrastructure
• OVH SAS — France (Roubaix, Strasbourg) — hébergement des services MediaBy ;
• Scaleway SAS — France (Paris) — hébergement des modules IA et migration progressive. A3.2 Paiement
• Stripe Payments Europe, Ltd. — Irlande — traitement des paiements par carte bancaire. A3.3 Gestion du consentement
• Axeptio — France — plateforme de gestion du consentement (CMP).

A3.4 Outils opérationnels [Liste à compléter selon la stack opérationnelle effective de MediaBy :]
• Support client : [à préciser, ex. Intercom, Zendesk]
• Facturation : [à préciser, ex. Pennylane, Sellsy]
• Emailing : [à préciser, ex. SendGrid, Brevo]
• Outils internes : [à préciser, ex. Google Workspace]

ANNEXE 4 — CONTACTS

Pour MediaBy :
• DPO : dpo@mediaby.io
• Équipe sécurité : security@mediaby.io
• Contact général : contact@mediaby.io
• Adresse postale : MediaBy — Technopole de la Réunion / Alpha Tech, 27 avenue du Docteur Jean-Marie Dambreville, bâtiment Alpha — Parc Techsud, 97410 Saint-Pierre

Pour le Responsable de traitement :
• DPO ou point de contact :
• Adresse postale :

SIGNATURES
Fait à
le
en deux (2) exemplaires originaux, un pour chaque Partie.

Pour le Responsable de traitement
Nom :
Fonction :
Signature et cachet :

Pour MediaBy
Nom : Frédéric Fadel
Fonction : Représentant légal de la société FLF DIGITAL, Présidente de MediaBy
Signature et cachet :