naskel

Accord de sous-traitance (DPA), art. 28 RGPD

Dernière mise à jour : 2026-07-01

Le présent accord de sous-traitance (le « DPA ») fait partie intégrante des conditions générales de vente et d'utilisation de Naskel. Il encadre le traitement, par CONTRÉ Clément exerçant sous l'enseigne CCFlow (« Naskel »), des données personnelles pour le compte de son client.

1. Rôles des parties

Le client est responsable de traitement. Naskel (CCFlow) agit en qualité de sous-traitant, sur instructions documentées du client. Chaque partie respecte le RGPD et la loi Informatique et Libertés pour la part qui la concerne.

2. Objet, durée, nature & finalité

L'objet du traitement est l'hébergement et le traitement des données personnelles nécessaires à la fourniture du service Naskel (CRM, devis, factures, emails, agenda, assistance par IA). Le traitement dure le temps de l'abonnement, augmenté des délais de conservation décrits à l'article 9.

3. Catégories de données & de personnes

Le traitement porte sur les données des contacts, clients et prospects du client : identité, coordonnées, contenu des échanges par email, rendez-vous et notes associées. Ces données sont traitées pour le seul compte du client.

4. Instructions

Naskel ne traite les données que sur instructions documentées du client, y compris pour les transferts. Si une instruction lui paraît constituer une violation du RGPD ou d'une autre disposition applicable, Naskel en informe le client sans délai.

5. Confidentialité

Les personnes autorisées à traiter les données sont soumises à une obligation de confidentialité et n'accèdent aux données que dans la stricte mesure nécessaire.

6. Sécurité (art. 32)

Naskel met en œuvre des mesures techniques et organisationnelles appropriées : chiffrement AES-256 au repos et TLS 1.3 en transit, secrets chiffrés, authentification multi-facteurs (TOTP), sauvegardes quotidiennes chiffrées et hébergement dans l'Union européenne.

7. Sous-traitance ultérieure

Le client donne une autorisation générale au recours à des sous-traitants ultérieurs. Naskel informe le client de tout changement (ajout ou remplacement) et lui laisse la possibilité de s'y opposer pour un motif légitime. Toute donnée personnelle est hébergée dans l'UE ; à noter : l'IA est fournie par Mistral (UE) et n'entraîne aucun modèle sur les données clients.

  • Vercel Inc. : Hébergement de l'application UE (Francfort, fra1). Société de droit américain : clauses contractuelles types (SCC).
  • Neon Inc. : Base de données UE (eu-central-1). Société de droit américain : clauses contractuelles types (SCC).
  • Mistral AI : Traitement par intelligence artificielle. Aucun entraînement sur les données clients. Union européenne (France).
  • Stripe : Paiement des abonnements UE / US, prestataire certifié : clauses contractuelles types (SCC).
  • Resend : Emails transactionnels US : clauses contractuelles types (SCC).
  • PostHog : Analytics produit (application) Union européenne.
  • Google (API Gmail / Calendar) : Lecture de la boîte mail et de l'agenda du compte que l'utilisateur connecte lui-même. Selon le compte de l'utilisateur.

Les prestataires de droit américain (Vercel, Neon, Stripe, Resend) sont encadrés par les clauses contractuelles types (SCC) de la Commission européenne.

8. Assistance au client

Naskel assiste le client, dans la mesure du possible, pour répondre aux demandes d'exercice des droits des personnes (accès, rectification, effacement, portabilité, opposition), pour les notifications de violation de données (art. 33, sans délai injustifié) et pour la réalisation d'analyses d'impact (AIPD).

9. Sort des données en fin de contrat

En fin de contrat, le client peut restituer (exporter) ses données. Les données sont ensuite supprimées sous 30 jours (période de grâce), à l'exception du journal d'audit conservé 365 jours et des données que la loi impose de conserver. Les données audio (voix) sont purgées et le client est supprimé chez le prestataire de paiement.

10. Audit

Naskel met à la disposition du client les informations nécessaires pour démontrer le respect de l'article 28 et permet la réalisation d'audits raisonnables, y compris par un tiers mandaté par le client.

11. Transferts hors UE

Les données personnelles sont hébergées et traitées dans l'Union européenne. Pour les sous-traitants de droit américain (Vercel, Neon, Stripe, Resend), tout transfert ou accès éventuel est encadré par des clauses contractuelles types (SCC). Aucun transfert n'est réalisé en dehors des garanties prévues à l'article 46 du RGPD.

12. Contact

Point de contact « protection des données » : contact@naskel.io.