ACCORD DE TRAITEMENT DES DONNÉES (DPA)
Version : 1.1
En vigueur au : 28 mars 2026
Dernière mise à jour : 28 mars 2026
1. OBJET — QUALIFICATION DES PARTIES
Le présent Accord de traitement des données (le « DPA ») encadre les traitements de données à caractère personnel effectués via la Plateforme Convertr lorsque :
- le Client agit en qualité de Responsable de traitement ; et
- Convertr agit en qualité de Sous-traitant,
au sens du Règlement (UE) 2016/679 (RGPD), dans le cadre de l'exécution des Services.
2. DESCRIPTION DU TRAITEMENT
2.1 Finalités (sur instruction du Client)
Convertr traite les données personnelles pour fournir la Plateforme et les fonctionnalités activées par le Client, notamment :
- la centralisation et la gestion de leads, prospects et opportunités ;
- les automatisations, workflows et notifications ;
- les communications, notamment appels et SMS, selon activation ;
- la transcription, le résumé et les éléments d'aide à la qualification, selon activation ;
- les intégrations et synchronisations, selon activation ;
- la sécurité, la prévention des abus et le fonctionnement technique du Service.
2.2 Durée
Le traitement est réalisé pendant la durée du contrat et, le cas échéant, pendant la période de réversibilité prévue contractuellement, sous réserve :
- des obligations légales applicables ;
- des contraintes techniques de sauvegarde et de rotation, limitées dans le temps.
2.3 Catégories de données
Selon le paramétrage et l'usage du Client, peuvent être traitées :
- des données d'identification et de contact ;
- des réponses de formulaires, champs libres et informations commerciales ;
- des métadonnées d'appels selon activation ;
- des contenus SMS selon activation ;
- des transcriptions et résumés selon activation ;
- des informations de source, campagne ou attribution selon les connexions activées.
Le service n'a pas vocation à être configuré pour la collecte volontaire de données sensibles, sauf encadrement juridique spécifique relevant de la seule responsabilité du Client.
2.4 Catégories de personnes concernées
Leads, prospects et, le cas échéant, clients finaux du Client, selon les campagnes, bases, scripts et paramétrages du Client.
3. INSTRUCTIONS DU CLIENT
Convertr traite les données personnelles uniquement sur instructions documentées du Client, matérialisées notamment par :
- les paramétrages effectués dans la Plateforme ;
- les activations de fonctionnalités ;
- les demandes adressées au support ;
- les devis, bons de commande et conditions particulières applicables.
3.1 Instruction illicite
Si Convertr estime, de manière raisonnable, qu'une instruction viole le RGPD ou une disposition applicable, Convertr en informe le Client sans délai indu, sauf interdiction légale, et peut suspendre l'exécution de l'instruction concernée dans l'attente d'une clarification.
4. CONFIDENTIALITÉ
Convertr veille à ce que les personnes autorisées à traiter les données personnelles s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée, et limite les accès au strict nécessaire.
5. SÉCURITÉ
Convertr met en œuvre des mesures techniques et organisationnelles appropriées au regard des risques, compte tenu de l'état de l'art, des coûts de mise en œuvre, de la nature, de la portée, du contexte et des finalités du traitement.
Ces mesures incluent, selon disponibilité et pertinence :
- la gestion des accès et habilitations ;
- des mesures de journalisation et de traçabilité de sécurité lorsque disponibles ;
- des mesures de sauvegarde et de continuité raisonnables ;
- des mesures de prévention des abus et de protection des environnements.
Le Client reconnaît que le niveau exact des mesures dépend des fonctionnalités activées, de l'architecture technique et des Fournisseurs Tiers utilisés pour certains modules.
6. ASSISTANCE AU CLIENT
Convertr fournit au Client une assistance raisonnable, proportionnée et techniquement faisable, compte tenu de la nature des Services, afin de permettre au Client de respecter ses obligations au titre du RGPD, notamment :
6.1 Droits des personnes
- transmission au Client des demandes reçues par Convertr relatives aux traitements effectués pour le compte du Client ;
- assistance technique raisonnable lorsque l'exécution de la demande nécessite une action dans la Plateforme, dans la limite des fonctionnalités disponibles.
6.2 Sécurité
- informations générales sur les mesures de sécurité mises en œuvre ;
- recommandations de paramétrage lorsque pertinent et disponible.
6.3 Violations de données
- notification au Client conformément à l'article 8 ci-dessous ;
- coopération raisonnable afin d'aider le Client à respecter ses obligations de notification et, le cas échéant, de communication.
6.4 Analyse d'impact et consultation préalable
- assistance documentaire raisonnable à la réalisation d'une analyse d'impact ;
- contribution raisonnable si une consultation préalable est requise, dans la limite des informations disponibles et sous réserve de confidentialité et de sécurité.
7. SOUS-TRAITANTS ULTÉRIEURS
7.1 Autorisation générale
Le Client autorise Convertr à recourir aux sous-traitants ultérieurs listés en Annexe 2 pour fournir les Services.
7.2 Engagement écrit et obligations équivalentes
Convertr s'assure, dans la mesure applicable, que les sous-traitants ultérieurs intervenant dans le cadre du Service sont engagés par un acte juridique écrit comportant des obligations de protection des données au moins équivalentes en matière de confidentialité et de sécurité.
7.3 Responsabilité
Convertr demeure responsable, dans les limites prévues par le RGPD et les documents contractuels applicables, du respect des obligations applicables au sous-traitant ultérieur dans le cadre du Service.
7.4 Information en cas de changement
En cas d'ajout ou de remplacement substantiel d'un sous-traitant ultérieur, Convertr en informe le Client dans un délai raisonnable.
Le Client peut formuler, dans un délai de 15 jours calendaires à compter de cette information, une objection motivée liée à la protection des données.
En cas d'objection fondée, les parties recherchent une solution raisonnable, pouvant inclure :
- le remplacement du prestataire concerné ;
- la désactivation de la fonctionnalité concernée ;
- ou la résiliation de la seule option concernée.
7.5 Transferts hors EEE
Lorsque des données personnelles sont traitées en dehors de l'Espace économique européen, Convertr applique le mécanisme de transfert approprié au cas concerné, tel qu'une décision d'adéquation lorsqu'elle est applicable, ou des garanties contractuelles appropriées accompagnées, lorsque requis, de mesures complémentaires techniques, organisationnelles ou contractuelles.
Le mécanisme effectivement retenu peut dépendre du prestataire concerné, de sa localisation, de la configuration du service et des fonctionnalités activées.
8. VIOLATION DE DONNÉES PERSONNELLES
Convertr notifie au Client toute violation de données personnelles sans délai indu après en avoir eu connaissance et communique les informations disponibles permettant au Client d'évaluer les conséquences de l'incident et de respecter ses obligations.
9. SORT DES DONNÉES EN FIN DE CONTRAT
Au terme des Services, et au choix du Client, Convertr :
- met à disposition les moyens d'export des données personnelles traitées pour le compte du Client via les fonctionnalités disponibles, dans des formats standards lorsque cela est techniquement possible, pendant la période de réversibilité contractuelle ; et/ou
- supprime ou rend anonymes les données personnelles traitées pour le compte du Client.
Convertr supprime également les copies existantes, sauf :
- obligation légale de conservation ;
- ou contraintes techniques de sauvegarde ou de rotation, limitées dans le temps.
10. DÉMONSTRATION DE CONFORMITÉ – AUDIT
Convertr met à disposition du Client les informations raisonnablement nécessaires pour démontrer le respect du présent DPA.
Le Client peut solliciter un audit documentaire raisonnable, au maximum une fois par an, sur préavis raisonnable.
Un audit additionnel peut être réalisé :
- en cas d'incident de sécurité sérieux affectant les traitements du Client ;
- si une autorité compétente l'exige ;
- ou si une obligation légale l'impose.
Tout audit doit être conduit dans des conditions compatibles avec la confidentialité, la sécurité, la protection des autres Clients et la continuité du Service.
Sauf nécessité particulière dûment justifiée, l'audit s'effectue en priorité sous une forme documentaire.
ANNEXE 2 — CONVERTR
LISTE DES SOUS-TRAITANTS ULTÉRIEURS AUTORISÉS
Version : 1.1
En vigueur au : 28 mars 2026
4.1 Sous-traitants ultérieurs de Convertr
a) Hébergement et infrastructure
| Prestataire | Localisation | Rôle |
|---|---|---|
| Vercel | UE / États-Unis | Hébergement du site convertr.fr et de l'application app.convertr.fr |
| Railway | États-Unis | Hébergement de l'API backend, de la base de données PostgreSQL et du cache Redis |
b) Stockage de fichiers
| Prestataire | Localisation | Rôle |
|---|---|---|
| Cloudflare R2 | Selon la région configurée | Stockage de fichiers, documents et créatifs publicitaires |
c) Téléphonie, SMS et agent vocal
| Prestataire | Localisation | Rôle |
|---|---|---|
| Twilio | États-Unis | Envoi de SMS et services de communication associés, selon activation |
| Retell AI | États-Unis | Agent vocal IA, traitement des appels et transcription, selon activation |
d) Email transactionnel
| Prestataire | Localisation | Rôle |
|---|---|---|
| Resend | États-Unis | Envoi d'emails transactionnels (confirmations, récapitulatifs, réinitialisation de mot de passe) |
e) Modèles IA via API (selon workflows activés)
| Prestataire | Localisation | Rôle |
|---|---|---|
| OpenAI | Selon infrastructure du prestataire | Fourniture de modèles IA via API, selon les workflows effectivement activés |
| Anthropic | Selon infrastructure du prestataire | |
| Mistral | Selon infrastructure du prestataire | |
| Google Gemini | Selon infrastructure du prestataire |
f) Prestataire Services Professionnels Convertr
| Prestataire | Localisation | Rôle |
|---|---|---|
| Monsieur Adel BELGROUN (EI) SIREN : 999 268 105 | France / UE | Setup initial, onboarding, paramétrage, intégration, formation, accompagnement opérationnel, support, maintenance associée et, selon le périmètre contractuel retenu, accompagnement en marketing publicitaire |
4.2 Services tiers du Client — responsables distincts
a) Intégrations publicitaires
| Prestataire | Rôle |
|---|---|
| Meta (Facebook / Instagram Ads) | Synchronisation des campagnes et réception de leads selon activation par le Client |
| Google Ads | Synchronisation des campagnes, métriques et données associées selon activation par le Client |
b) Intégrations agenda
| Prestataire | Rôle |
|---|---|
| Google Calendar | Synchronisation des rendez-vous via OAuth selon activation par le Client |
| Microsoft Outlook Calendar / Microsoft Graph | Synchronisation des rendez-vous selon activation par le Client |
4.3 Outil technique interne
L'outil n8n est utilisé par Convertr comme composant d'automatisation auto-hébergé en local.
En tant qu'outil technique interne exploité directement par Convertr, n8n ne constitue pas, à lui seul, un sous-traitant tiers distinct.