Skip links
NEW!

Découvrir nos ressources pour augmenter votre activité en ligne

En savoir plus
Facebook Instagram Linkedin
Créer un compte
Wanalink

Accord de traitement de données (DPA)

Data Processing Agreement — Conformité RGPD article 28 — Transferts hors UE encadrés

Version en vigueur au 14 avril 2026

PRÉAMBULE ET PARTIES

Le présent Accord de Traitement des Données (ci-après « DPA ») est conclu entre :

  • FINADORY SASU, 110 rue Réaumur, 75002 Paris — SIRET 912 552 627 00032 — ci-après désignée « le Sous-traitant » ou « FINADORY »,
  • Tout Utilisateur de la plateforme Wanalink utilisant les Services pour traiter des données personnelles de ses propres clients — ci-après désigné « le Responsable de traitement ».

Le présent DPA est régi par l’article 28 du Règlement (UE) 2016/679 (RGPD) et s’intègre aux Conditions Générales d’Utilisation et aux Conditions Générales de Vente de Wanalink, dont il fait partie intégrante. En cas de contradiction, le présent DPA prévaut en matière de protection des données.

En utilisant les Services Wanalink impliquant le traitement de données personnelles pour le compte du Responsable de traitement, ce dernier accepte les termes du présent DPA.

ARTICLE 1 — DÉFINITIONS

  • « RGPD » : Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel.
  • « Données personnelles » : toute information se rapportant à une personne physique identifiée ou identifiable, au sens de l’article 4(1) du RGPD.
  • « Traitement » : toute opération ou ensemble d’opérations effectuées sur des données personnelles, au sens de l’article 4(2) du RGPD.
  • « Responsable de traitement » : l’Utilisateur de Wanalink qui détermine les finalités et les moyens du traitement des données personnelles de ses propres clients et contacts.
  • « Sous-traitant » : FINADORY SASU, qui traite des données personnelles pour le compte du Responsable de traitement dans le cadre de la fourniture des Services Wanalink.
  • « Sous-traitant ultérieur » : tout tiers auquel FINADORY a recours pour effectuer des activités de traitement pour le compte du Responsable de traitement.
  • « Violation de données » : une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données personnelles transmises, conservées ou traitées, ou l’accès non autorisé à de telles données.
  • « CCT » : Clauses Contractuelles Types adoptées par décision d’exécution de la Commission européenne pour encadrer les transferts de données vers des pays tiers.

ARTICLE 2 — OBJET, NATURE ET FINALITÉS DU TRAITEMENT

2.1 Objet

Dans le cadre de la fourniture des Services Wanalink, FINADORY traite des données personnelles pour le compte du Responsable de traitement selon les modalités définies dans le présent DPA.

2.2 Nature des données traitées

Les données traitées par FINADORY pour le compte du Responsable de traitement incluent notamment :

  • Données d’identité des clients du Responsable de traitement : nom, prénom, adresse e-mail.
  • Données de contact optionnelles renseignées lors de la prise de rendez-vous : numéro de téléphone.
  • Données de rendez-vous : date, heure, type de réunion, format (présentiel/visio), lien de connexion.
  • Notes et informations complémentaires saisies par le client final lors de la réservation.
  • Données de paiement (pour les rendez-vous payants) : traitées exclusivement par Stripe, FINADORY n’y accédant pas directement.
  • Données de navigation technique : adresse IP, type de navigateur (collectées automatiquement lors de l’accès à la page publique).

Le Responsable de traitement ne doit pas configurer ses formulaires Wanalink pour collecter des catégories particulières de données au sens de l’article 9 du RGPD (données de santé, opinions politiques, origines raciales ou ethniques, données biométriques, etc.) sans mesures techniques appropriées préalables et sans base légale spécifique.

2.3 Finalités du traitement

FINADORY traite les données susmentionnées aux seules fins suivantes, pour le compte du Responsable de traitement :

  • Affichage et fonctionnement de la page publique Wanalink du Responsable de traitement.
  • Gestion et confirmation des rendez-vous pris par les clients du Responsable de traitement.
  • Envoi des e-mails transactionnels au nom du Responsable de traitement (confirmations, rappels, annulations) via Brevo.
  • Traitement des paiements pour les rendez-vous payants via Stripe Connect.
  • Restitution des données au Responsable de traitement (export CSV, tableau de bord analytics).
  • Fourniture du service de listing Marketplace du Responsable de traitement.

2.4 Catégories de personnes concernées

Clients, prospects et contacts du Responsable de traitement ayant accédé à sa page publique Wanalink ou pris rendez-vous via la Plateforme.

2.5 Durée du traitement

Le traitement est effectué pendant toute la durée de l’abonnement actif du Responsable de traitement. À l’expiration ou résiliation, les données sont conservées 90 jours supplémentaires pour permettre l’export, puis supprimées conformément à l’article 9 du présent DPA.

ARTICLE 3 — OBLIGATIONS DE FINADORY (SOUS-TRAITANT)

FINADORY s’engage à respecter les obligations suivantes conformément à l’article 28 du RGPD :

  • Ne traiter les données personnelles que sur instructions documentées du Responsable de traitement, telles qu’elles résultent de l’utilisation des Services et des paramètres configurés, sauf obligation légale contraire — auquel cas FINADORY en informera préalablement le Responsable de traitement sauf interdiction légale.
  • S’assurer que les personnes autorisées à traiter les données personnelles se sont engagées à respecter la confidentialité ou sont soumises à une obligation légale appropriée de confidentialité.
  • Mettre en oeuvre les mesures techniques et organisationnelles appropriées visées à l’article 32 du RGPD pour garantir un niveau de sécurité adapté au risque (cf. article 7 du présent DPA).
  • Respecter les conditions prévues aux articles 28(2) et 28(4) du RGPD pour faire appel à des sous-traitants ultérieurs.
  • Aider le Responsable de traitement, par des mesures techniques et organisationnelles appropriées, à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées.
  • Aider le Responsable de traitement à garantir le respect des obligations prévues aux articles 32 à 36 du RGPD (sécurité, notification des violations, AIPD, consultation préalable de l’autorité de contrôle).
  • Selon le choix du Responsable de traitement, supprimer ou restituer toutes les données personnelles à l’issue de la prestation de services, et détruire les copies existantes, sauf obligation légale de conservation.
  • Mettre à la disposition du Responsable de traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues au présent DPA et permettre les audits dans les conditions prévues à l’article 10.

ARTICLE 4 — OBLIGATIONS DU RESPONSABLE DE TRAITEMENT

Le Responsable de traitement s’engage à :

  • Disposer d’une base légale valide et suffisante pour chaque traitement de données personnelles effectué via Wanalink (art. 6 RGPD).
  • Informer ses propres clients (personnes concernées) de l’utilisation de Wanalink et des traitements associés, conformément aux articles 13 et 14 du RGPD (mentions d’information sur son propre site ou supports).
  • Ne transmettre via la Plateforme que des données strictement nécessaires (principe de minimisation, art. 5.1.c RGPD).
  • Ne pas utiliser Wanalink pour traiter des catégories particulières de données au sens de l’article 9 du RGPD sans en avoir informé préalablement FINADORY et sans s’être assuré que les mesures appropriées sont en place.
  • Répondre directement aux demandes d’exercice des droits formulées par ses propres clients concernant les traitements dont il est responsable.
  • Notifier sans délai FINADORY de toute demande des autorités de contrôle ou décision judiciaire relative aux traitements couverts par le présent DPA.

ARTICLE 5 — SOUS-TRAITANTS ULTÉRIEURS AUTORISÉS

Le Responsable de traitement autorise expressément FINADORY à recourir aux sous-traitants ultérieurs suivants pour l’exécution des Services :

  • Stripe Technology Europe Ltd. (Irlande, UE) : traitement sécurisé des paiements. Certifié PCI-DSS niveau 1. Données dans l’UE.
  • Neon Inc. (États-Unis) : base de données applicative. Région Europe (Frankfurt). Encadré par CCT.
  • Vercel Inc. (États-Unis) : hébergement frontend. Région EU1 (Frankfurt, Allemagne). Encadré par CCT. Les données sont physiquement stockées en Europe ; les accès support depuis les États-Unis sont couverts par les CCT signées.
  • OVH SAS (France, UE) : hébergement serveur. Données en France. Aucun transfert hors UE.
  • Brevo SAS (France, UE) : envoi des e-mails transactionnels. Données en France.

Le Responsable de traitement sera informé de tout changement concernant l’ajout ou le remplacement de sous-traitants ultérieurs par mise à jour de la liste publiée sur le Site et notification par e-mail, avec un préavis de trente (30) jours. Le Responsable de traitement peut formuler des objections motivées dans ce délai.

Tout sous-traitant ultérieur est soumis aux mêmes obligations de protection des données que celles du présent DPA. FINADORY demeure pleinement responsable envers le Responsable de traitement des manquements éventuels du sous-traitant ultérieur.

ARTICLE 6 — TRANSFERTS DE DONNÉES HORS UNION EUROPÉENNE

6.1 Principe de localisation en Europe

FINADORY s’engage à héberger et traiter les données personnelles des utilisateurs européens prioritairement dans l’Union européenne. Les données sont stockées dans les régions européennes des infrastructures cloud utilisées (Frankfurt pour Vercel et Neon, France pour OVH et Brevo).

6.2 Transferts résiduels et garanties

Certains sous-traitants ultérieurs impliquent des transferts résiduels vers les États-Unis (accès support et maintenance depuis les États-Unis pour Vercel, Neon, Google). Ces transferts sont systématiquement encadrés par :

  • Les Clauses Contractuelles Types (CCT) adoptées par décision d’exécution (UE) 2021/914 de la Commission européenne du 4 juin 2021 pour les transferts vers des sous-traitants établis dans des pays tiers.
  • Le mécanisme du Data Privacy Framework UE-États-Unis (DPF) lorsque applicable (pour les entités certifiées).
  • Des évaluations d’impact des transferts (Transfer Impact Assessment — TIA) réalisées par les sous-traitants concernés et disponibles sur demande.

FINADORY ne procède à aucun transfert vers des pays tiers ne bénéficiant pas d’un niveau de protection adéquat sans avoir préalablement mis en place les garanties appropriées et, le cas échéant, informé le Responsable de traitement.

6.3 Absence de transfert vers des pays à risque élevé

FINADORY s’engage à ne pas transférer de données personnelles vers des pays faisant l’objet d’une décision d’inadéquation de la Commission européenne sans les garanties contractuelles requises.

ARTICLE 7 — SÉCURITÉ DES DONNÉES

Conformément à l’article 32 du RGPD, FINADORY met en oeuvre et maintient les mesures de sécurité techniques et organisationnelles suivantes :

7.1 Mesures techniques

  • Chiffrement des données en transit par protocole TLS 1.2 minimum (HTTPS obligatoire sur l’ensemble des services).
  • Chiffrement des données sensibles au repos.
  • Hachage des mots de passe (algorithme bcrypt avec facteur de coût élevé).
  • Authentification renforcée pour les accès internes aux systèmes de production.
  • Contrôle des accès basé sur le principe du moindre privilège (RBAC).
  • Sauvegardes régulières, chiffrées et testées des données.
  • Journalisation des accès et détection des anomalies.
  • Gestion des correctifs de sécurité et mises à jour régulières des composants.

7.2 Mesures organisationnelles

  • Confidentialité contractuelle imposée à tout membre du personnel accédant aux données.
  • Procédure documentée de gestion des incidents de sécurité et des violations de données.
  • Évaluations périodiques de la sécurité des systèmes.
  • Limitation des accès aux données de production aux seuls membres strictement nécessaires.

ARTICLE 8 — NOTIFICATION DES VIOLATIONS DE DONNÉES

En cas de Violation de données personnelles susceptible d’engendrer un risque pour les droits et libertés des personnes concernées, FINADORY s’engage à :

  • Notifier le Responsable de traitement dans les meilleurs délais et au plus tard dans les 72 heures suivant la prise de connaissance de la violation, à l’adresse e-mail enregistrée dans le compte Wanalink.
  • Fournir dans la notification les informations disponibles au moment de l’envoi : nature de la violation, catégories et nombre approximatif de personnes concernées, catégories et nombre approximatif d’enregistrements affectés, conséquences probables, mesures prises ou envisagées.
  • Compléter la notification initiale par des informations supplémentaires dès qu’elles sont disponibles, si toutes les informations ne peuvent être fournies simultanément.

Il appartient au Responsable de traitement de notifier la violation à l’autorité de contrôle compétente (CNIL) et, le cas échéant, aux personnes concernées, conformément aux articles 33 et 34 du RGPD.

ARTICLE 9 — RESTITUTION ET SUPPRESSION DES DONNÉES

À la résiliation ou à l’expiration de l’abonnement, le Responsable de traitement dispose d’un délai de trente (30) jours pour exporter l’intégralité de ses données et celles de ses clients via l’espace personnel (fonction d’export CSV disponible) ou en contactant support@wanalink.com.

À l’issue de ce délai de 30 jours, FINADORY procède à la suppression sécurisée et irréversible de l’ensemble des données personnelles traitées pour le compte du Responsable de traitement, à l’exception des données dont la conservation est imposée par une obligation légale (ex. : données de facturation conservées 10 ans conformément au Code de commerce).

Sur demande expresse du Responsable de traitement, FINADORY fournira une attestation écrite de la suppression effective des données dans un délai de 30 jours suivant la demande.

ARTICLE 10 — AUDIT ET CONTRÔLE

FINADORY s’engage à mettre à la disposition du Responsable de traitement l’ensemble des informations nécessaires pour démontrer le respect des obligations du présent DPA, notamment :

  • Le présent DPA et ses éventuelles mises à jour.
  • La liste actualisée des sous-traitants ultérieurs et des garanties associées.
  • Les certifications et conformités des sous-traitants ultérieurs (PCI-DSS pour Stripe, ISO 27001 si applicable).

Le Responsable de traitement peut demander la réalisation d’un audit de conformité, conduit par lui-même ou par un auditeur tiers mandaté. Une telle demande doit être notifiée par e-mail à support@wanalink.com avec un préavis minimum de trente (30) jours. L’audit se déroule selon des modalités convenues d’un commun accord, aux frais du Responsable de traitement, dans le respect de la confidentialité des informations des autres clients de FINADORY et sans perturber les opérations normales.

Dans la mesure du possible, FINADORY mettra à la disposition du Responsable de traitement des rapports d’audit tiers existants ou des certifications de conformité, afin de limiter le recours à des audits individuels.

ARTICLE 11 — ASSISTANCE AUX OBLIGATIONS LÉGALES

FINADORY prêtera assistance au Responsable de traitement, dans la mesure du possible et compte tenu de la nature du traitement, pour :

  • La réalisation d’une analyse d’impact relative à la protection des données (AIPD/DPIA) si requise par l’article 35 du RGPD.
  • La consultation préalable de l’autorité de contrôle en application de l’article 36 du RGPD.
  • La réponse aux demandes d’exercice des droits des personnes concernées dans les délais légaux.

ARTICLE 12 — DROIT APPLICABLE

Le présent DPA est soumis au droit français et au Règlement (UE) 2016/679 (RGPD). Tout litige relatif à son interprétation ou à son exécution sera soumis à la compétence exclusive des tribunaux de Paris.

ARTICLE 13 — MISES À JOUR DU DPA

FINADORY se réserve le droit de mettre à jour le présent DPA pour l’adapter aux évolutions légales, réglementaires ou technologiques. Les modifications substantielles seront notifiées au Responsable de traitement par e-mail avec un préavis de trente (30) jours. En cas d’objection motivée du Responsable de traitement, les parties s’engagent à négocier de bonne foi une solution adaptée.