Bespokely

Accord de traitement des données

Dernière mise à jour : 20 mai 2026
Version : 1.0
Lien permanent vers cette version : bespokely.io/legal/dpa/v1.0

Cet Accord de traitement des données ("DPA") fait partie de l'accord entre Bespokely Inc. ("Bespokely", "Sous-traitant") et le client identifié dans la Confirmation de commande pertinente ("Client", "Responsable du traitement") pour la fourniture des produits de Bespokely (les "Services").

En acceptant les Conditions de service de Bespokely, le Client accepte également ce DPA. Le DPA s'applique chaque fois que Bespokely traite des données personnelles pour le compte du Client dans le cadre des Services.

Remarque pour le Client : ce DPA est proposé sous la forme standard de Bespokely. Un Client qui nécessite une copie contre-signée pour ses dossiers peut en faire la demande en envoyant un email à privacy@bespokely.io avec l'objet "Demande de contre-signature DPA — [Nom du Client]". Les copies contre-signées ne modifient pas les termes substantiels de ce DPA.

§1 Définitions

Les termes en majuscules utilisés dans ce DPA ont les significations données dans le RGPD (Règlement (UE) 2016/679), les Clauses contractuelles types de l'UE adoptées en vertu de la Décision d'exécution de la Commission (UE) 2021/914 ("SCCs"), ou — lorsqu'ils sont définis ici — dans ce DPA.

  • Données personnelles désigne toute information relative à une personne physique identifiée ou identifiable que Bespokely traite pour le compte du Client dans le cadre de la fourniture des Services.
  • Personne concernée désigne une personne physique à laquelle se rapportent des données personnelles.
  • Sous-traitant désigne un tiers engagé par Bespokely pour traiter des données personnelles pour le compte du Client.
  • Liste des Sous-traitants désigne la liste des Sous-traitants maintenue à bespokely.io/legal/sub-processors, mise à jour de temps à autre.
  • TOMs désigne les mesures techniques et organisationnelles publiées à bespokely.io/legal/security, mises à jour de temps à autre.
  • Législation applicable en matière de protection des données désigne le RGPD, le RGPD britannique, la Loi fédérale suisse sur la protection des données, la Loi californienne sur la protection de la vie privée des consommateurs / Loi californienne sur les droits à la vie privée, et toute autre loi sur la protection des données applicable à l'utilisation des Services par le Client.

§2 Objet, nature et durée du traitement

§2.1 Objet

Bespokely traite des données personnelles pour le compte du Client uniquement pour fournir les Services décrits dans la Confirmation de commande.

§2.2 Nature et objectif

La nature et l'objectif du traitement sont décrits dans Annexe 1 de ce DPA. Les exemples incluent : l'hébergement du site web du Client, l'exploitation du portail client du Client, l'exploitation d'un assistant IA pour le compte du Client, l'envoi d'emails transactionnels pour le compte du Client.

§2.3 Catégories de personnes concernées et de données personnelles

Les catégories de personnes concernées et les types de données personnelles sont décrits dans Annexe 1.

§2.4 Durée

Le traitement dure pendant la durée des Services, plus toute période requise pour le retour ou la suppression des données personnelles en vertu du §13.

§3 Rôles des parties

  • Le Client est le Responsable du traitement (ou Sous-traitant pour le compte de ses propres responsables dans le cas de relations B2B en aval) des données personnelles.
  • Bespokely agit en tant que Sous-traitant.
  • Lorsque le Client est lui-même un Sous-traitant pour un responsable en amont, le Client garantit qu'il a l'autorité d'engager Bespokely en tant que Sous-traitant.

§4 Instructions du Client

§4.1 Instruction générale

Le Client donne instruction à Bespokely de traiter des données personnelles uniquement dans la mesure nécessaire à la fourniture des Services, et uniquement comme documenté dans la Confirmation de commande, ce DPA, la configuration du Client dans les produits de Bespokely, et toute instruction écrite supplémentaire fournie par le Client.

§4.2 Conformité à la loi

Bespokely informera le Client s'il considère qu'une instruction enfreint la Législation applicable en matière de protection des données. Bespokely n'est pas obligé de suivre une instruction qu'il croit raisonnablement susceptible de le contraindre à enfreindre la Législation applicable en matière de protection des données.

§4.3 Divulgation légale

Lorsque Bespokely est tenu par la loi de traiter des données personnelles en dehors des instructions du Client, Bespokely informera le Client avant le traitement, sauf si la loi pertinente interdit une telle notification.

§5 Confidentialité

Bespokely s'assure que le personnel autorisé à traiter des données personnelles est lié par des obligations de confidentialité appropriées. Les obligations de confidentialité survivent à la cessation de l'emploi ou de l'engagement.

§6 Sécurité du traitement

§6.1 TOMs

Bespokely met en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, en tenant compte de l'état de l'art, des coûts de mise en œuvre, et de la nature, de l'étendue, du contexte et des objectifs du traitement. Les TOMs actuelles sont publiées à bespokely.io/legal/security et sont incorporées dans ce DPA par référence (Annexe 3).

§6.2 Mises à jour des TOMs

Bespokely peut mettre à jour ses TOMs de temps à autre, à condition que les mises à jour ne réduisent pas matériellement le niveau de sécurité. Les réductions matérielles nécessitent le consentement écrit préalable du Client.

§6.3 Pseudonymisation et cryptage

Les TOMs incluent — sans limitation — le cryptage des données personnelles au repos (AES-256) et en transit (TLS 1.2+), la pseudonymisation lorsque cela est faisable, et des contrôles d'accès basés sur le principe du moindre privilège.

§7 Sous-traitants

§7.1 Autorisation générale

Le Client accorde à Bespokely une autorisation générale pour engager les Sous-traitants figurant dans la Liste des Sous-traitants au moment de la conclusion de ce DPA. La Liste des Sous-traitants est incorporée dans ce DPA par référence (Annexe 2).

§7.2 Changements

Bespokely fournira un préavis d'au moins 30 jours avant d'engager un nouveau Sous-traitant ou de remplacer un existant, par email au contact de notification du Client et en mettant à jour la Liste des Sous-traitants.

§7.3 Droit d'opposition

Le Client peut s'opposer à un nouveau Sous-traitant dans les 30 jours suivant la notification en envoyant un email à privacy@bespokely.io avec l'objet "Opposition au Sous-traitant". Si Bespokely ne peut pas satisfaire l'opposition par des moyens raisonnables (par exemple, si le nouveau Sous-traitant fournit une fonctionnalité sans alternative), le Client peut résilier les Services concernés sans pénalité de résiliation anticipée, et Bespokely remboursera les frais prépayés pour les mois non utilisés au prorata.

§7.4 Transfert

Bespokely impose à chaque Sous-traitant des obligations en matière de protection des données au moins aussi protectrices que celles de ce DPA, par le biais d'un contrat écrit qui inclut des SCCs lorsque cela est applicable.

§7.5 Responsabilité

Bespokely reste responsable envers le Client de la performance de ses Sous-traitants en ce qui concerne leurs obligations en matière de protection des données.

§8 Assistance concernant les droits des personnes concernées

§8.1 Demandes des personnes concernées reçues par Bespokely

Si une Personne concernée contacte directement Bespokely avec une demande d'exercice de droits en vertu des Articles 15 à 22 du RGPD (ou équivalents), Bespokely transmettra la demande au Client sans délai excessif et ne répondra pas à la Personne concernée sauf pour confirmer la réception et la renvoyer au Client.

§8.2 Assistance au Client

Bespokely fournira une assistance raisonnable au Client pour répondre aux demandes des Personnes concernées, y compris en fournissant des outils dans les Services permettant au Client d'accéder, d'exporter, de corriger et de supprimer des données personnelles. Lorsque Bespokely fournit une assistance au-delà de ce qui est raisonnablement disponible via les Services, Bespokely peut facturer des frais raisonnables à son tarif horaire standard.

§8.3 SLA

Bespokely répondra à une demande d'assistance du Client dans un délai de 14 jours suivant la réception d'une demande documentée d'une Personne concernée.

§9 Assistance concernant les obligations du responsable du traitement

Bespokely fournira une assistance raisonnable au Client concernant les obligations du Client en vertu des Articles 32 à 36 du RGPD (sécurité du traitement, notification des violations, évaluation d'impact sur la protection des données, consultation préalable), en tenant compte de la nature du traitement et des informations disponibles pour Bespokely.

§10 Violations de données personnelles

§10.1 Délai de notification

Bespokely informera le Client de toute violation de données personnelles confirmée affectant les données personnelles du Client sans délai excessif et en tout état de cause dans les 24 heures suivant la prise de connaissance de la violation par Bespokely.

§10.2 Contenu de la notification

La notification inclura, dans la mesure alors connue : (a) la nature de la violation, (b) les catégories et le nombre approximatif de Personnes concernées et de dossiers concernés, (c) les conséquences probables, (d) les mesures prises ou proposées.

§10.3 Aucune admission

La notification en vertu de ce §10 n'est pas une admission de faute ou de responsabilité de la part de Bespokely.

§11 Transferts internationaux

§11.1 Mécanisme de transfert

Lorsque Bespokely traite des données personnelles en dehors de l'EEE/RU/Suisse pour le compte du Client, le transfert est protégé par : (a) la décision d'adéquation du Cadre de protection des données UE-États-Unis, lorsque le destinataire (Bespokely ou un Sous-traitant) est certifié DPF et que la certification couvre les données pertinentes ; ou (b) les SCCs (Module 2 — Responsable à Sous-traitant ou Module 3 — Sous-traitant à Sous-traitant selon le cas), incorporées par référence dans ce DPA (Annexe 4) ; ou (c) un autre mécanisme de transfert autorisé en vertu du Chapitre V du RGPD.

§11.2 Incorporation des SCC

Lorsque les SCCs s'appliquent, les SCCs sont réputées conclues entre les parties selon les termes suivants :

  • Module : Module 2 (Responsable à Sous-traitant) par défaut ; Module 3 (Sous-traitant à Sous-traitant) lorsque le Client est lui-même un Sous-traitant.
  • Clause de docking (Clause 7) : opté.
  • Clause de Sous-traitant (Clause 9) : option 2 (autorisation écrite générale) selon le §7.1 ci-dessus avec un préavis de 30 jours.
  • Recours (Clause 11) : mécanisme de résolution des litiges indépendant non sélectionné.
  • Responsabilité (Clause 12) : comme convenu dans l'Accord de services principal sous-jacent.
  • Autorité de contrôle (Clause 13) : [À déterminer selon l'établissement du Client — généralement l'autorité de contrôle de l'État membre où le Client est établi].
  • Droit applicable (Clause 17) : droit de l'État membre où le Client est établi.
  • Forum (Clause 18) : tribunaux de l'État membre où le Client est établi.
  • Annexe I.A (Parties) = Annexe 1.A de ce DPA.
  • Annexe I.B (Description du transfert) = Annexe 1.B de ce DPA.
  • Annexe II (TOMs) = bespokely.io/legal/security.
  • Annexe III (Sous-traitants) = bespokely.io/legal/sub-processors.

§11.3 Évaluation d'impact sur le transfert

Bespokely maintient une Évaluation d'impact sur le transfert (TIA) pour chaque Sous-traitant lorsque le transfert n'est pas couvert par le DPF. La TIA est fournie au Client sur demande.

§12 Audit et inspection

§12.1 Audit par certification

Le droit d'audit du Client en vertu de l'Art. 28(3)(h) du RGPD est satisfait principalement par les certifications et rapports de tiers de Bespokely (par exemple, rapports SOC 2 Type II de Bespokely ou de ses Sous-traitants). Bespokely fournira de tels rapports sous NDA à la demande raisonnable du Client.

§12.2 Audit du Client

Lorsque les certifications au §12.1 ne traitent pas d'un contrôle spécifique que le Client exige raisonnablement d'auditer, le Client peut effectuer un audit par le biais d'un questionnaire écrit. Les audits sur site ne sont autorisés que (i) lorsque le questionnaire et les certifications sont insuffisants, (ii) après un préavis écrit de 30 jours, (iii) pendant les heures d'ouverture, (iv) sans perturber les opérations de Bespokely, (v) pas plus d'une fois tous les 12 mois sauf si requis par ordre de l'autorité de contrôle ou suite à une violation de données personnelles confirmée, et (vi) aux frais du Client.

§12.3 Coopération avec les autorités de contrôle

Bespokely coopérera avec les autorités de contrôle comme l'exige la loi.

§13 Retour ou suppression des données personnelles

§13.1 Fin des Services

À la demande du Client exprimée par écrit dans les 30 jours suivant la fin des Services, Bespokely retournera soit : (a) les données personnelles dans un format structuré, couramment utilisé et lisible par machine (JSON, CSV ou comparable), ou (b) supprimera les données personnelles.

§13.2 Par défaut

Si le Client ne fait aucun choix dans la fenêtre de 30 jours, Bespokely supprimera les données personnelles dans un délai supplémentaire de 30 jours.

§13.3 Conservation par la loi

Ce §13 ne s'applique pas lorsque Bespokely est tenu de conserver des données personnelles par la loi de l'Union ou d'un État membre.

§13.4 Sauvegardes

Les données personnelles peuvent persister dans des sauvegardes cryptées pendant 30 jours après la suppression ; ces sauvegardes ne sont pas restaurées sauf pour la récupération après sinistre, auquel cas la re-suppression est appliquée rapidement.

§14 Responsabilité

La responsabilité en vertu de ce DPA est soumise aux limitations et exclusions de l'Accord de services principal sous-jacent et des Conditions de service de Bespokely, sauf si la Législation applicable en matière de protection des données (en particulier les Articles 82 à 83 du RGPD) exige le contraire. Rien dans ce DPA ne limite les droits d'une Personne concernée en vertu de la Législation applicable en matière de protection des données.

§15 Durée et résiliation

Ce DPA entre en vigueur à la date d'effet de l'Accord de services principal et se poursuit tant que Bespokely traite des données personnelles pour le compte du Client. Les dispositions du §13 (Retour ou suppression), §10 (Violations relatives aux événements pendant la durée), §12 (Audit relatif aux événements pendant la durée), et §14 (Responsabilité) survivent à la résiliation.

§16 Ordre de priorité

En cas de conflit :

  1. Les SCCs (le cas échéant) prévalent sur ce DPA.
  2. Ce DPA prévaut sur l'Accord de services principal et les Conditions de service en ce qui concerne le traitement des données personnelles.
  3. L'Accord de services principal et les Conditions de service régissent toutes les autres questions.

§17 Droit applicable

Ce DPA est régi par le droit de l'État du Delaware, États-Unis, sauf si des dispositions obligatoires de la Législation applicable en matière de protection des données dans la juridiction du Client prévalent. Lorsque les SCCs s'appliquent, le droit applicable aux SCCs est celui spécifié au §11.2.

§18 Mises à jour de ce DPA

Bespokely peut mettre à jour ce DPA de temps à autre. Les mises à jour matérielles sont notifiées aux Clients actifs par email au moins 30 jours avant leur entrée en vigueur. Les mises à jour qui renforcent les obligations de Bespokely ou renforcent les protections du Client prennent effet immédiatement et sont notifiées dans les 30 jours suivant leur publication.

Annexe 1 — Détails du traitement

A. Parties

Responsable du traitement (exportateur de données) : le Client identifié dans la Confirmation de commande.

Sous-traitant (importateur de données) : Bespokely Inc., 251 Little Falls Drive, Wilmington, DE 19808, États-Unis. Contact : privacy@bespokely.io · +1 (512) 348-6588.

B. Description du transfert

Catégories de personnes concernées

Les catégories de personnes concernées dont les données personnelles sont traitées dépendent de l'utilisation par le Client des Services et peuvent inclure :

  • les visiteurs du site web du Client,
  • les utilisateurs enregistrés du portail client du Client,
  • les clients, prospects, contacts et employés du Client,
  • les destinataires des communications transactionnelles envoyées par le Client.

Catégories de données personnelles

  • identifiants (nom, email, téléphone, identifiants de compte),
  • attributs de profil que le Client choisit de collecter (titre de poste, entreprise, juridiction, langue),
  • données de contenu soumises via des formulaires, portail ou assistant IA (messages, documents, fichiers),
  • données d'utilisation (horodatages de connexion, pages vues, journaux d'interaction),
  • données techniques (adresse IP, agent utilisateur, métadonnées de session).

Catégories spéciales de données

Les Services de Bespokely ne sont pas conçus pour traiter des catégories spéciales de données personnelles en vertu de l'Art. 9 du RGPD. Lorsque l'utilisation par le Client des Services entraînerait le traitement de telles catégories, le Client est responsable de la légalité de ce traitement et doit informer Bespokely afin que des garanties supplémentaires puissent être convenues.

Fréquence

Continue, pendant la durée des Services.

Nature du traitement

Hébergement, stockage, traitement de données structurées et non structurées, transmission, affichage, recherche et récupération, inférence IA (lorsque les Services incluent un assistant IA), sauvegarde, suppression.

Objectif

Fourniture des Services tels que décrits dans la Confirmation de commande.

Durée de conservation

Pour la durée des Services. Après résiliation, voir le §13 de ce DPA.

Sous-traitants

Comme listé dans la Liste des Sous-traitants à bespokely.io/legal/sub-processors.

C. Autorité de contrôle compétente

L'autorité de contrôle de l'État membre (ou du pays) dans lequel le Client est établi, sauf si une autre autorité de contrôle a une compétence primaire en vertu de l'Art. 56 du RGPD.

Annexe 2 — Sous-traitants

La Liste actuelle des Sous-traitants est publiée et maintenue à :

bespokely.io/legal/sub-processors

Cette Annexe est incorporée dynamiquement dans le DPA. Chaque version de la Liste des Sous-traitants a une URL versionnée permanente (par exemple, /v1.0) préservée pour référence probante.

Annexe 3 — Mesures techniques et organisationnelles

Les TOMs actuelles sont publiées et maintenues à :

bespokely.io/legal/security

Cette Annexe est incorporée dynamiquement dans le DPA. Chaque version a une URL versionnée permanente (par exemple, /v1.0).

Annexe 4 — Clauses contractuelles types

Lorsque cela est applicable en vertu du §11 de ce DPA, les SCCs adoptées par la Décision d'exécution de la Commission (UE) 2021/914 du 4 juin 2021 sont incorporées par référence. Le texte autorisé actuel est publié à :

https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj

Le Module 2 (Responsable à Sous-traitant) s'applique par défaut. Le Module 3 (Sous-traitant à Sous-traitant) s'applique lorsque le Client est lui-même un Sous-traitant.

Les Annexes I, II et III des SCCs sont peuplées par référence à l'Annexe 1, l'Annexe 3 et l'Annexe 2 de ce DPA respectivement, comme indiqué au §11.2.

Contact pour les questions relatives au DPA :
Bespokely Inc., 251 Little Falls Drive, Wilmington, DE 19808, États-Unis · privacy@bespokely.io · +1 (512) 348-6588

Ce DPA est un modèle. Il ne remplace pas un conseil juridique indépendant. Bespokely recommande aux Clients de consulter leur propre conseiller avant de s'appuyer sur les termes de ce DPA pour satisfaire aux exigences réglementaires spécifiques applicables à leur entreprise.