Accord de traitement des données

Dernière mise à jour : 18 juin 2026

1. Rôles des parties

Le Client est responsable du traitement. NAM Consult (BCE 0717.544.038), éditeur de MailRich, est sous-traitant au sens de l'article 28 du RGPD. Le sous-traitant ne traite les données que sur instruction documentée du responsable.

2. Objet, durée, nature et finalité

Le traitement a pour objet la fourniture du Service MailRich. Sa nature consiste à collecter, héberger, organiser, consulter et transmettre les e-mails et données associées, pour la finalité de gestion et de pilotage des boîtes du Client. Le traitement dure le temps du contrat.

3. Catégories de données et de personnes concernées

• Données : contenu des e-mails, métadonnées (expéditeur, destinataire, horodatage), pièces jointes, données de contact, et toute donnée que le Client choisit de traiter via le Service.
• Personnes concernées : correspondants du Client, ses collaborateurs et utilisateurs, et toute personne dont les données figurent dans les boîtes connectées.

4. Obligations du sous-traitant

• traiter les données uniquement sur instruction documentée du responsable ;
• garantir la confidentialité des personnes autorisées à traiter les données ;
• mettre en œuvre les mesures de sécurité décrites à l'article 6 ;
• respecter les conditions de recours aux sous-traitants ultérieurs (article 7) ;
• aider le responsable à répondre aux demandes des personnes concernées ;
• aider le responsable au regard de la sécurité, des notifications de violation et des analyses d'impact ;
• supprimer ou restituer les données en fin de contrat (article 8) ;
• mettre à disposition les informations nécessaires pour démontrer la conformité et permettre les audits.

5. Absence de réutilisation, en particulier pour l'IA

Le sous-traitant s'interdit de réutiliser les données du Client à ses propres fins. En particulier, le contenu des e-mails du Client n'est pas utilisé pour entraîner des modèles d'intelligence artificielle, sauf accord exprès du Client et sur données anonymisées. Les fonctions d'assistance produisent des propositions soumises à validation humaine.

6. Mesures techniques et organisationnelles

• chiffrement des données en transit et au repos ;
• contrôle d'accès et délégation nominative et révocable par opérateur ;
• cloisonnement des données par client ;
• journalisation des accès et des actions ;
• gestion sécurisée des secrets et des mots de passe d'application ;
• sauvegardes et procédures de restauration ;
• revues d'accès périodiques.

7. Sous-traitants ultérieurs

Le Client autorise le recours à des sous-traitants ultérieurs (hébergeur cloud, fournisseur d'intelligence artificielle, service d'envoi d'e-mails, canal d'alertes). Le sous-traitant tient une liste à jour, impose à chacun des obligations équivalentes au présent accord, et informe le Client de tout ajout ou remplacement, le Client disposant d'un droit d'objection motivé. À ce jour, l'hébergement est assuré par Vercel Inc. (États-Unis, diffusion edge), encadré par des clauses contractuelles types. La liste complète et à jour des sous-traitants ultérieurs (hébergement, intelligence artificielle, envoi d'e-mails, canal d'alertes) et de leur localisation est tenue par l'éditeur et communiquée au Client sur demande ainsi qu'à chaque ajout ou remplacement.

8. Sort des données en fin de contrat

À la fin du contrat, au choix du Client, le sous-traitant restitue les données dans un format exploitable puis les supprime, ou les supprime directement, sauf obligation légale de conservation. Le Service permet une suppression effective des données.

9. Transferts hors Union européenne

Les données sont hébergées de préférence dans l'Union européenne. Tout transfert hors UE est encadré par un mécanisme valide (décision d'adéquation ou clauses contractuelles types) assorti, le cas échéant, d'une analyse d'impact des transferts.

10. Violations de données

Le sous-traitant notifie au Client toute violation de données à caractère personnel sans retard injustifié après en avoir pris connaissance, et lui fournit les informations utiles pour permettre, le cas échéant, sa notification à l'autorité de contrôle.