Version 1.0 — En vigueur au 30 avril 2026

Data Processing Agreement (DPA)

Le présent Accord de Traitement des Données (« DPA») complète les Conditions Générales d'Utilisation (« CGU ») entre Revold SASRevold », le « Sous-traitant ») et le client (« Responsable de traitement»). Il s'applique dès que le client active son compte Revold.

Ce DPA est conforme au Règlement (UE) 2016/679 (RGPD) et aux clauses contractuelles types adoptées par la Commission européenne (décision 2021/914 du 4 juin 2021).

⚠ Signature électronique

Pour une version contre-signée par Revold avec en-tête à votre nom et signature électronique qualifiée, envoyez votre demande à dpo@revold.io. La version ci-dessous est juridiquement opposable dès l'activation du compte.

1. Définitions

Les termes Données à caractère personnel, Traitement, Responsable du traitement, Sous-traitant, Personne concernée, Violation de données et Autorité de contrôleont la signification définie à l'article 4 du RGPD.

2. Objet et nature du traitement

  • Finalités : agrégation et analyse de données CRM, billing et support pour produire des indicateurs de revenue intelligence et des recommandations IA à destination du Responsable de traitement.
  • Catégories de données : identifiants (nom, email, téléphone), données professionnelles (entreprise, fonction, pays), interactions commerciales (deals, montants, dates), données de facturation (factures, abonnements, montants).
  • Catégories de personnes concernées : prospects, clients et fournisseurs du Responsable de traitement, ses utilisateurs internes (équipes Sales, Marketing, RevOps).
  • Durée du traitement : durée du contrat + 30 jours de conservation pour permettre l'export, puis suppression définitive.

3. Obligations du Sous-traitant

Revold s'engage à :

  • Traiter les Données uniquement sur instruction documentée du Responsable de traitement (configuration du compte, paramétrage des connecteurs).
  • Garantir que les personnes autorisées à traiter les Données sont soumises à une obligation de confidentialité.
  • Mettre en œuvre les mesures techniques et organisationnelles appropriées (article 32 RGPD) — voir page Sécurité pour le détail.
  • Assister le Responsable de traitement dans la réponse aux demandes des personnes concernées (accès, rectification, effacement, portabilité, opposition).
  • Notifier le Responsable de traitement de toute violation de données dans un délai maximal de 72 heures.
  • Supprimer ou restituer les Données à la fin du contrat, à la discrétion du Responsable de traitement.

4. Localisation des données et transferts hors UE

Les Données sont hébergées exclusivement en Union européenne, dans des datacenters situés à Frankfurt (Allemagne) opérés par Vercel et Supabase (AWS eu-central-1). Aucun transfert vers un pays tiers n'est nécessaire au fonctionnement du Service.

Les sous-processeurs Anthropic (génération d'insights IA) et Stripe (paiements futurs) traitent certaines données à partir d'infrastructures en Irlande (UE). Le détail figure dans la section Sous-processeurs.

5. Sous-processeurs ultérieurs

  • Le Responsable de traitement autorise par avance Revold à recourir aux sous-processeurs listés sur la page Sécurité.
  • Avant toute modification de cette liste, Revold informe le Responsable de traitement au moins 30 jours à l'avance par email.
  • Le Responsable de traitement peut s'opposer à un sous-processeur dans ce délai. À défaut d'accord, le contrat peut être résilié sans pénalité.
  • Revold contractualise avec ses sous-processeurs des obligations équivalentes à celles du présent DPA.

6. Sécurité du traitement

Revold met en œuvre les mesures suivantes (liste non exhaustive, voir page Sécurité) :

  • Chiffrement TLS 1.3 en transit et AES-256 au repos.
  • Isolation logique multi-tenant via Row Level Security PostgreSQL.
  • Authentification forte (Supabase Auth, JWT signés, refresh rotation).
  • Sauvegardes quotidiennes chiffrées avec rétention 7 jours.
  • Tests de pénétration annuels par un cabinet externe indépendant.
  • Programme de divulgation responsable (security@revold.io).

7. Audits

Le Responsable de traitement peut, sous préavis raisonnable (30 jours minimum) et à ses frais, faire réaliser un audit de la conformité de Revold au présent DPA, soit directement, soit via un auditeur externe non concurrent. Revold met à disposition gratuitement les rapports d'audit SOC 2 (lorsque disponibles, visés Q4 2026 pour Type 1) qui se substituent à un audit direct dans la majorité des cas.

8. Notification de violation de données

En cas de violation de Données affectant le Responsable de traitement, Revold notifie celui-ci dans un délai maximal de 72 heures après en avoir pris connaissance. La notification inclut :

  • La nature de la violation et les catégories de Données concernées.
  • Le nombre approximatif de personnes concernées et d'enregistrements impactés.
  • Les conséquences probables.
  • Les mesures prises ou proposées pour remédier à la violation et atténuer ses effets.
  • Le contact du DPO pour obtenir des informations complémentaires.

9. Droits des personnes concernées

Revold assiste le Responsable de traitement dans la réponse aux demandes d'exercice des droits prévus aux articles 12 à 22 du RGPD (information, accès, rectification, effacement, limitation, portabilité, opposition, profilage). Les requêtes peuvent être adressées à dpo@revold.io. Revold s'engage à un délai de réponse ≤ 7 jours ouvrés.

10. Suppression des données

  • À la fin du contrat : sur demande, Revold restitue les Données dans un format structuré (CSV / JSON) sous 30 jours, puis procède à leur suppression définitive de toutes les bases (production + sauvegardes) sous 60 jours supplémentaires.
  • Suppression à la demande : possibilité d'effacer un compte client ou un contact spécifique à tout moment depuis l'UI ou par email à dpo@revold.io.
  • Logs anonymisés : les logs techniques sont anonymisés après 30 jours pour préserver la traçabilité opérationnelle sans identification directe.

11. Responsabilité et limitations

La responsabilité de Revold au titre du présent DPA est limitée dans les conditions définies par les CGU. Aucune limitation ne s'applique aux dommages résultant d'un manquement délibéré ou d'une faute lourde de Revold, ni aux obligations légales d'ordre public.

12. Droit applicable et juridiction

Le présent DPA est régi par le droit français. Tout litige sera soumis aux tribunaux compétents du ressort de Paris, sauf disposition impérative contraire.

Contact

Délégué à la protection des données (DPO) : dpo@revold.io
Pour toute question sur ce DPA ou pour demander une version contre-signée : même adresse.

Documents complémentaires