Accord de traitement des données (DPA)
Dernière mise à jour : 3 juillet 2026
Annexe au contrat Orcalia — conclu en application de l'article 28 du RGPD. Version 1.0 — En vigueur au 24 juin 2026.
Le présent accord de traitement des données (ci-après le « DPA ») est conclu entre ORCALIA SASU (ci-après « Orcalia », le « Sous-traitant ») et le Client (ci-après le « Responsable de traitement »), en application de l'article 28 du Règlement (UE) 2016/679 (ci-après le « RGPD »). Il fait partie intégrante des conditions générales de vente d'Orcalia (les « CGV ») et précise les conditions dans lesquelles Orcalia traite, pour le compte du Client, les données à caractère personnel collectées via le Service. En cas de contradiction relative au traitement de données à caractère personnel, le présent DPA prévaut sur les CGV.
Article 1 – Définitions
Les termes « données à caractère personnel », « traitement », « responsable de traitement », « sous-traitant », « personne concernée », « violation de données » et « sous-traitant ultérieur » ont le sens que leur donne le RGPD. Les autres termes en majuscule ont le sens défini dans les CGV.
Article 2 – Objet et rôle des parties
Dans le cadre du Service, le Client détermine les finalités et les moyens du traitement des données de ses Clients finaux : il agit en qualité de responsable de traitement. Orcalia traite ces données pour le compte et sur instructions du Client : elle agit en qualité de sous-traitant. Le présent DPA encadre ce traitement.
La description du traitement (finalités, nature des opérations, catégories de données et de personnes, durée) figure à l'Annexe 1.
Article 3 – Instructions documentées
Orcalia ne traite les données que sur instructions documentées du Client. Les CGV et le présent DPA, complétés le cas échéant par les paramétrages effectués par le Client dans le Service, constituent ces instructions. Orcalia informe le Client si une instruction constitue, selon elle, une violation du RGPD ou d'une autre disposition applicable en matière de protection des données.
Article 4 – Confidentialité
Orcalia veille à ce que les personnes autorisées à traiter les données s'engagent à en respecter la confidentialité, soit par un engagement contractuel, soit en vertu d'une obligation légale appropriée, et reçoivent la formation nécessaire à la protection des données.
Article 5 – Sécurité du traitement
Conformément à l'article 32 du RGPD, Orcalia met en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, notamment :
- le chiffrement des données en transit et, lorsque cela est pertinent, au repos ;
- une authentification par mot de passe sécurisé ;
- la gestion des accès et des habilitations selon le principe du moindre privilège ;
- la traçabilité et la journalisation des connexions et des opérations ;
- des procédures de sauvegarde et de restauration ;
- des tests de sécurité réguliers ;
- un hébergement situé au sein de l'Union européenne.
Orcalia maintient ces mesures à un niveau cohérent avec l'état de l'art.
Article 6 – Sous-traitants ultérieurs
Le Client autorise Orcalia à recourir à des sous-traitants ultérieurs pour l'exécution du Service. La liste de ces sous-traitants figure à l'Annexe 2. Orcalia impose à chaque sous-traitant ultérieur, par contrat, des obligations de protection des données équivalentes à celles du présent DPA et demeure responsable à l'égard du Client de l'exécution par ceux-ci de leurs obligations.
Orcalia informe le Client de tout projet d'ajout ou de remplacement de sous-traitant ultérieur, et lui laisse un délai raisonnable pour s'y opposer pour des motifs légitimes ; à défaut d'accord, le Client peut résilier le Service concerné dans les conditions des CGV.
Article 7 – Droits des personnes concernées
Dans la mesure du possible, Orcalia aide le Client, par des mesures techniques et organisationnelles appropriées, à donner suite aux demandes d'exercice des droits des personnes concernées (accès, rectification, effacement, limitation, opposition, portabilité). Lorsque Orcalia reçoit directement une telle demande, elle la transmet au Client sans y répondre elle-même, sauf instruction contraire.
Article 8 – Violation de données
Orcalia notifie au Client toute violation de données à caractère personnel la concernant dans les meilleurs délais et, sauf impossibilité particulière, dans un délai maximal de soixante-douze (72) heures après en avoir pris connaissance, et en tout état de cause dans un délai permettant au Client de respecter ses propres obligations de notification. La notification comporte les informations utiles à la qualification et à la gestion de l'incident. Orcalia apporte au Client une assistance raisonnable à cet égard.
Article 9 – Analyse d'impact et consultation préalable
Orcalia aide le Client, compte tenu des informations à sa disposition, à réaliser les analyses d'impact relatives à la protection des données (AIPD) et, le cas échéant, les consultations préalables de l'autorité de contrôle, lorsque la nature du traitement le requiert.
Article 10 – Transferts hors de l'Union européenne
L'hébergement et le traitement principal des données sont réalisés au sein de l'Union européenne. Tout transfert de données vers un pays tiers, le cas échéant via un sous-traitant ultérieur, n'est effectué que s'il bénéficie d'un niveau de protection adéquat ou est encadré par des garanties appropriées au sens du RGPD, notamment les clauses contractuelles types de la Commission européenne.
Article 11 – Sort des données en fin de traitement
Au terme de la prestation, et au choix du Client, Orcalia restitue les données dans un format structuré et couramment utilisé, puis les supprime, conformément aux modalités d'export prévues par les CGV. Les données sont conservées pendant une durée maximale de douze (12) mois à des fins de réversibilité, puis supprimées ou anonymisées, sous réserve des obligations légales de conservation. Orcalia supprime les copies existantes, sauf obligation légale de conservation.
Article 12 – Documentation et audit
Orcalia met à la disposition du Client les informations nécessaires pour démontrer le respect des obligations du présent DPA. Le Client peut, à ses frais, faire réaliser un audit, y compris une inspection, dans des conditions raisonnables : préavis suffisant, fréquence limitée, respect de la confidentialité et de la continuité du Service. Orcalia peut satisfaire à cette obligation par la communication de rapports ou de certifications pertinents lorsqu'ils existent.
Un audit ne pourra être réalisé plus d'une fois par période de douze (12) mois, sauf en cas de violation de données ou de demande d'une autorité compétente.
Article 13 – Durée
Le présent DPA s'applique pendant toute la durée du traitement des données réalisé par Orcalia pour le compte du Client, soit pendant la durée du contrat et jusqu'à la suppression effective des données.
Annexe 1 — Description du traitement
- Finalités : Fourniture du Service — détection des appels manqués, relance automatique par SMS, qualification des demandes, prise de rendez-vous, centralisation et suivi des contacts, relances.
- Nature des opérations : Collecte, enregistrement, organisation, conservation, consultation, transmission au Client, effacement.
- Catégories de personnes : Clients et prospects du Client (les « Clients finaux »).
- Catégories de données : Identité (nom, prénom), coordonnées (numéro de téléphone, adresse e-mail), contenu des demandes et des messages, données de rendez-vous, métadonnées d'appel et horodatage.
- Durée de conservation : Durée du contrat, puis conservation maximale de 12 mois à des fins de réversibilité, sous réserve des obligations légales.
Annexe 2 — Sous-traitants ultérieurs autorisés
- OVHcloud — Hébergement de la plateforme et des données — France (UE)
- Voxnode — Téléphonie et envoi de SMS — Union européenne
L'ensemble des sous-traitants ultérieurs sont situés au sein de l'Union européenne et les données n'y font l'objet d'aucun transfert hors UE. Orcalia tient cette liste à jour et informe le Client de toute modification ou ajout. Tout futur recours à un sous-traitant établi hors de l'Union européenne serait préalablement encadré par des garanties appropriées au sens du RGPD (clauses contractuelles types ou décision d'adéquation).
Accord de traitement des données — Version 1.0, en vigueur au 24 juin 2026. Annexe indissociable des conditions générales de vente d'Orcalia.
