Réf. ND-DPA-2026-04
Date d'émission : 21 avril 2026
Accord relatif au traitement des données à caractère personnel
Data Processing Agreement (DPA) conforme à l'article 28 du Règlement (UE) 2016/679 (RGPD).
1Parties
Représenté(e) par :
Qualité :
Adresse :
SIREN / n° d'identification :
Email :
Représentée par : Christian Verbrugge
Qualité : Directeur Général
Adresse : Bureau 326, 59 rue de Ponthieu, 75008 Paris, France
SIREN : 891 180 234 · RCS Paris
Email : support@never-drop.com
2Objet
Le présent accord (le « DPA ») encadre les conditions dans lesquelles Scopeo SAS, éditeur du service NeverDrop (le « Sous-traitant »), traite des données à caractère personnel pour le compte du Client (le « Responsable du traitement »), dans le cadre de l'exécution des services souscrits auprès de NeverDrop.
Il fait partie intégrante du contrat principal conclu entre les Parties (Conditions Générales de Vente, Règlement Founding Members, bon de commande ou équivalent — le « Contrat principal »). En cas de contradiction, le présent DPA prévaut sur le Contrat principal pour ce qui concerne la protection des données à caractère personnel.
3Description du traitement
| Finalité | Fourniture du service NeverDrop : capture multicanale de conversations commerciales, transcription, enrichissement de contacts, synthèse, synchronisation CRM, support client. |
|---|---|
| Nature des opérations | Collecte, enregistrement, structuration, conservation, modification, consultation, utilisation, transmission par service interposé, suppression. |
| Catégories de personnes concernées | Collaborateurs du Client (utilisateurs du service) · Contacts professionnels du Client rencontrés en salon, en rendez-vous ou enregistrés dans le CRM du Client. |
| Catégories de données traitées | Identification : nom, prénom, email, téléphone, fonction, société · Contenu : transcripts audio, notes, cartes de visite scannées, enrichissements publics (LinkedIn, SIRENE) · Techniques : logs d'usage, horodatage, user-agent, IP anonymisée. |
| Catégories particulières (Art. 9) | Aucune catégorie particulière de données n'est traitée. Le Client s'engage à ne pas utiliser NeverDrop pour traiter des données de santé, biométriques, d'orientation politique, religieuse ou syndicale. |
| Durée du traitement | Durée du Contrat principal. Après résiliation, suppression ou restitution des données sous 30 jours (sauf obligations légales : factures conservées 10 ans). |
4Obligations du Sous-traitant (Art. 28 RGPD)
Le Sous-traitant s'engage à :
- Traiter les données à caractère personnel uniquement sur instruction documentée du Responsable du traitement, y compris pour les transferts hors de l'Union européenne, sauf obligation légale de l'Union ou d'un État membre ;
- S'assurer que les personnes autorisées à traiter les données s'engagent à la confidentialité ou sont soumises à une obligation légale appropriée de confidentialité ;
- Prendre toutes les mesures techniques et organisationnelles requises en vertu de l'article 32 du RGPD (voir Annexe 1) ;
- Respecter les conditions visées aux paragraphes 2 et 4 de l'article 28 pour recruter un autre sous-traitant (voir Annexe 2) ;
- Assister le Responsable du traitement dans le respect de ses obligations en matière de réponse aux demandes d'exercice de droits des personnes concernées (Art. 12 à 22), de sécurité (Art. 32), de notification de violations (Art. 33-34), d'analyses d'impact (Art. 35-36) ;
- Sur décision du Responsable, supprimer ou restituer toutes les données à caractère personnel au terme de la prestation, et détruire les copies existantes, sauf obligation légale de conservation ;
- Mettre à disposition du Responsable toutes les informations nécessaires pour démontrer le respect des obligations prévues à l'article 28, et permettre la réalisation d'audits, y compris des inspections, par le Responsable ou un auditeur mandaté.
5Obligations du Responsable du traitement
- Documenter par écrit toute instruction concernant le traitement ;
- Veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le RGPD de son côté ;
- Superviser le traitement, y compris réaliser les audits et inspections auprès du Sous-traitant ;
- Assurer la licéité, la loyauté et la transparence du traitement vis-à-vis des personnes concernées ;
- Informer les personnes concernées et collecter leur consentement lorsque celui-ci est requis.
6Sous-traitance ultérieure
Le Responsable autorise le recours aux sous-traitants ultérieurs listés en Annexe 2. Le Sous-traitant informera par écrit (email à l'adresse renseignée au §1, ou annonce sur never-drop.com/security) de tout projet d'ajout ou de remplacement, au moins 30 jours avant sa mise en œuvre. Le Responsable dispose d'un droit d'opposition motivé pendant ce délai. À défaut d'opposition, l'ajout est réputé accepté.
Les sous-traitants ultérieurs sont soumis à des obligations contractuelles de protection des données équivalentes à celles du présent DPA (Art. 28.4 RGPD).
7Transferts hors UE
Certains sous-traitants ultérieurs sont localisés hors de l'Union européenne (voir Annexe 2). Tout transfert hors UE repose sur un mécanisme de transfert reconnu par le RGPD :
- Clauses Contractuelles Types (SCC) de la Commission européenne (décision 2021/914) ;
- ou Data Privacy Framework (DPF) pour les sous-traitants US adhérents certifiés.
Les SCC signées sont disponibles sur demande à support@never-drop.com.
8Notification de violation
En cas de violation de données à caractère personnel, le Sous-traitant notifie le Responsable du traitement sans retard injustifié et au plus tard dans les 48 heures après en avoir pris connaissance, par email à l'adresse renseignée au §1. La notification comporte notamment : la nature de la violation, les catégories et nombre approximatif de personnes concernées, les conséquences probables, les mesures prises ou proposées pour y remédier.
9Droits des personnes concernées
Dans la mesure du possible, le Sous-traitant aide le Responsable à s'acquitter de son obligation de donner suite aux demandes d'exercice de droits (accès, rectification, effacement, portabilité, limitation, opposition). Les demandes reçues directement par le Sous-traitant sont transmises au Responsable sans délai.
10Sécurité — mesures techniques & organisationnelles
Le détail des mesures figure en Annexe 1. Elles incluent notamment : chiffrement TLS 1.3 en transit et AES-256 au repos, authentification 2FA, principe du moindre privilège, journalisation, sauvegardes chiffrées quotidiennes, revue trimestrielle des accès, plan de continuité.
11Audit
Le Responsable peut, sous réserve d'un préavis raisonnable (≥ 15 jours ouvrés) et au maximum une fois par an (sauf incident de sécurité avéré), procéder à un audit du Sous-traitant, par lui-même ou par un tiers indépendant lié par un accord de confidentialité. Les Parties conviennent que la remise des rapports d'audit tiers détenus par le Sous-traitant (ex. : attestations de conformité, pentests) peut se substituer à un audit sur site.
12Registre & délégué
Le Sous-traitant tient un registre des activités de traitement réalisées pour le compte du Responsable (Art. 30.2 RGPD), communicable sur demande motivée.
Point de contact protection des données : support@never-drop.com (le cabinet sera renommé « DPO » lorsque la désignation formelle sera requise par la taille de l'entreprise).
13Durée, résiliation, restitution
Le présent DPA entre en vigueur à la date de signature de la Partie signant en dernier et prend fin avec le Contrat principal. Au terme du Contrat, et sur instruction du Responsable (formulée dans les 30 jours suivant la fin), le Sous-traitant restitue (export CSV/JSON) ou supprime les données à caractère personnel. À défaut d'instruction, les données sont supprimées par défaut dans les 90 jours.
14Responsabilité
Chaque Partie est responsable des dommages causés par le traitement lorsqu'elle a manqué aux obligations du RGPD lui incombant. Le Sous-traitant est responsable des dommages causés par le traitement uniquement s'il n'a pas respecté les obligations du RGPD qui incombent spécifiquement aux sous-traitants ou s'il a agi en dehors des instructions licites du Responsable ou contrairement à celles-ci (Art. 82 RGPD). La limitation de responsabilité globale du Contrat principal s'applique à toute action fondée sur le présent DPA, sauf faute lourde ou intentionnelle.
15Droit applicable & litiges
Le présent DPA est régi par le droit français. Tout différend sera soumis à la compétence exclusive des tribunaux de Paris, sauf disposition impérative contraire.
A1Annexe 1 — Mesures techniques et organisationnelles (Art. 32)
| Chiffrement | TLS 1.3 en transit · AES-256 au repos sur la base de données Supabase · tokenisation Stripe pour les moyens de paiement (PCI-DSS Level 1). |
|---|---|
| Authentification | Mots de passe hachés bcrypt (coût ≥ 12) · 2FA (TOTP) disponible · expiration et révocation de session côté admin. |
| Contrôle d'accès | Principe du moindre privilège · accès production restreint nominativement · journalisation des accès · revue trimestrielle. |
| Hébergement & isolation | Supabase (Francfort, EU) pour la base produit · Railway pour le compute · réseaux privés, segmentation par environnement (dev / staging / prod). |
| Sauvegardes | Sauvegardes chiffrées quotidiennes · rétention 30 jours · tests de restauration trimestriels. |
| Journalisation & détection | Logs applicatifs Railway + Supabase · alerting Sentry · rétention logs 12 mois maximum. |
| Gestion des incidents | Politique documentée · notification Responsable du traitement sous 48 h · notification CNIL sous 72 h (Art. 33) · notification aux personnes concernées si risque élevé (Art. 34) · post-mortem sous 14 jours. |
| Continuité d'activité | Infrastructure redondante via fournisseurs Tier-1 · RPO ≤ 24 h, RTO ≤ 48 h · plan de reprise documenté. |
| Confidentialité interne | Engagement de confidentialité signé par tout collaborateur accédant aux données clients · sensibilisation annuelle à la sécurité. |
| Gestion des vulnérabilités | Dépendances mises à jour automatiquement (Dependabot) · revue de code obligatoire sur les changements touchant au traitement de données personnelles. |
A2Annexe 2 — Sous-traitants ultérieurs autorisés
| Sous-traitant | Finalité | Localisation | Mécanisme de transfert |
|---|---|---|---|
| Supabase Inc. | Base de données produit (PostgreSQL) | Francfort, Allemagne (EU) | — |
| Railway Corp. | Hébergement compute (backend, MCPs) | Delaware, USA | SCC |
| Vercel Inc. | Hébergement site vitrine never-drop.com | USA | SCC |
| Cloudflare Inc. | CDN, DNS, WAF | USA | DPF + SCC |
| Stripe Payments Europe, Ltd. | Paiement + facturation | Dublin, Irlande (EU) + USA | SCC (volet US) |
| HubSpot Inc. | CRM + marketing automation | USA | DPF + SCC |
| Google LLC (Workspace) | Emails, agenda, drive | USA | DPF |
| PostHog Inc. | Analytics produit (sur consentement) | USA | DPF |
| Anthropic PBC | Modèle IA (transcription, résumé) | USA | SCC |
| Meta Platforms Ireland | WhatsApp (widget "Parler à NeverDrop") | Irlande (EU) + USA | SCC (volet US) |
Liste à jour au 21 avril 2026. Toute modification sera notifiée au Responsable selon la procédure du §6. La liste courante est consultable à never-drop.com/privacy.
✓Signatures
Fait en deux exemplaires originaux, un pour chaque Partie.