LetzDigit

DATA PROCESSING ADDENDUM (DPA)

1. Objet et champ d’application
Le présent Addendum (ci-après le « DPA ») complète le contrat principal conclu entre les Parties relatif à la fourniture de services numériques (création de sites web, SEO, automatisation, CRM, chatbots, Voice AI etc.). Il a pour objet de définir les conditions dans lesquelles le Prestataire traite des données à caractère personnel pour le compte du Client, conformément au Règlement (UE) 2016/679 (RGPD) et à la législation luxembourgeoise en vigueur

2. Rôles et responsabilités
Le Client agit en tant que responsable du traitement. Le Prestataire agit en tant que sous-traitant, et s’engage à : Traiter les données personnelles uniquement selon les instructions écrites documentées du Client ; Ne jamais traiter les données à d’autres fins que celles convenues contractuellement ; Informer le Client immédiatement si une instruction viole la législation sur la protection des données.

3. Nature et finalité du traitement
Les traitements réalisés par le Prestataire peuvent inclure : Hébergement de données (ex. comptes utilisateurs, leads, formulaires web, messages clients) Gestion de campagnes marketing automatisées (emails, SMS, CRM) Analyse des performances et optimisation marketing Communication automatisée via chatbots ou agents vocaux Les données traitées concernent notamment : les noms, coordonnées, emails, numéros de téléphone, informations commerciales et toutes données transmises par le Client dans le cadre des Services.

4. Mesures de sécurité
Le Prestataire s’engage à mettre en œuvre des mesures techniques et organisationnelles appropriées afin de garantir la confidentialité, l’intégrité et la disponibilité des données personnelles, incluant : -Chiffrement des communications et des accès (SSL/TLS, authentification 2FA) -Sauvegardes régulières et accès restreint au personnel autorisé -Hébergement des données dans l’Espace Économique Européen (EEE) ou auprès de sous-traitants conformes au RGPD

5. Sous-traitants ultérieurs
Le Prestataire peut faire appel à des sous-traitants techniques (hébergement, outils SaaS, automatisation, emailing, impression, etc.). Une liste actualisée peut être fournie au Client sur demande. Le Prestataire garantit que tous les sous-traitants offrent des garanties équivalentes de sécurité et de conformité RGPD.

6. Confidentialité
Le Prestataire veille à ce que toute personne autorisée à traiter les données soit soumise à une obligation stricte de confidentialité et ait reçu une formation appropriée à la protection des données.

7. Notification des violations de données
En cas de violation de données personnelles, le Prestataire s’engage à : Notifier le Client sans délai excessif après en avoir pris connaissance ; Fournir toute information utile pour permettre au Client de respecter ses obligations légales de notification auprès de la CNPD et des personnes concernées.

8. Assistance au Client
Le Prestataire assistera le Client, dans la mesure du raisonnable, pour : Répondre aux demandes d’exercice des droits des personnes concernées ; Garantir la conformité aux obligations de sécurité, d’analyse d’impact (PIA), et de consultation préalable.

9. Restitution et suppression des données
À l’expiration du contrat ou sur demande écrite du Client, le Prestataire : Restituera toutes les données personnelles au Client dans un format lisible ; Supprimera toutes les copies, sauf si la conservation est requise par la loi.

10. Audit et conformité
Le Client peut, sur demande écrite et avec un préavis raisonnable, auditer les pratiques du Prestataire ou demander un rapport de conformité attestant du respect du RGPD. Ces audits ne doivent pas perturber indûment les activités du Prestataire.

11. Droit applicable et juridiction
Le présent DPA est régi par le droit luxembourgeois. Tout litige sera soumis à la compétence exclusive des tribunaux de Luxembourg-Ville, après tentative de résolution amiable.