Accord de traitement des données
Dernière mise à jour : 2026-04-17
Version du 17 avril 2026 · Conformément à l'art. 28 RGPD · Partie intégrante des Conditions générales
Le présent Accord de traitement des données (« Accord ») est conclu entre le client (« Responsable du traitement ») et Triad B.V., exerçant sous le nom LeadGrid.io (« Sous-traitant »), dont le siège social est situé Parallel Boulevard 17 A, 2202 HK Noordwijk, Pays-Bas, immatriculée auprès de la Chambre de Commerce des Pays-Bas sous le numéro 42034623. Il est réputé accepté lorsque le Responsable du traitement souscrit un Abonnement au Service.
1. Définitions
Les termes utilisés dans le présent Accord ont la signification définie par le RGPD. De plus, les définitions des Conditions générales s'appliquent. En cas de conflit, le présent Accord prévaut en ce qui concerne le traitement des données personnelles.
2. Objet, nature et finalité
Le Sous-traitant traite les données personnelles exclusivement sur instruction et pour le compte du Responsable du traitement, dans le cadre de la fourniture du Service LeadGrid.io : gestion des pipelines de recrutement et de vente, suivi des candidats et des prospects, résumés de CV assistés par IA, brouillons d'e-mails de refus, extraction de contacts, messagerie entrante et sortante, et intégrations via l'API REST publique.
Les catégories de personnes concernées et de données personnelles sont décrites à l'Annexe 1.
3. Durée
Le présent Accord prend effet lors de la conclusion de l'Abonnement et s'applique aussi longtemps que le Sous-traitant traite des données personnelles pour le compte du Responsable du traitement. Après résiliation, les dispositions relatives à la confidentialité, à la responsabilité et au droit applicable demeurent en vigueur dans la mesure nécessaire.
4. Instructions
Le Sous-traitant ne traite les données personnelles que sur instruction écrite du Responsable du traitement. Les Conditions générales, le présent Accord et la configuration du Service par le Responsable du traitement constituent de telles instructions. Le Sous-traitant informe le Responsable du traitement sans délai s'il estime qu'une instruction enfreint le RGPD ou d'autres dispositions légales en matière de protection des données.
5. Confidentialité
Le Sous-traitant veille à ce que toutes les personnes traitant des données personnelles sous son autorité soient liées par une obligation de confidentialité, légale ou contractuelle.
6. Mesures de sécurité
Le Sous-traitant met en œuvre les mesures techniques et organisationnelles appropriées pour sécuriser les données personnelles contre la perte, l'accès non autorisé et tout autre traitement illicite, telles que décrites à l'Annexe 2. Le Sous-traitant révise régulièrement ces mesures et les met à jour le cas échéant, en tenant compte de l'état de l'art et des risques pour les personnes concernées.
7. Sous-traitants ultérieurs
Le Responsable du traitement accorde au Sous-traitant une autorisation générale d'engager les sous-traitants ultérieurs listés à l'Annexe 3. Le Sous-traitant impose à chaque sous-traitant ultérieur, par accord écrit, les mêmes obligations que celles découlant du présent Accord, dans la mesure applicable.
Le Sous-traitant informera le Responsable du traitement à l'avance des modifications prévues de la liste des sous-traitants ultérieurs (ajouts ou remplacements). Le Responsable du traitement peut s'y opposer, avec motivation, dans les trente (30) jours suivant la notification. Si les parties ne parviennent pas à trouver une solution, le Responsable du traitement peut résilier l'Abonnement à la date d'entrée en vigueur de la modification.
8. Droits des personnes concernées
Le Sous-traitant assiste le Responsable du traitement, par des mesures techniques et organisationnelles appropriées, dans la mesure du raisonnablement possible, pour lui permettre de satisfaire à son obligation de répondre aux demandes des personnes concernées (accès, rectification, effacement, limitation, portabilité et opposition). Le Sous-traitant transmet au Responsable du traitement toute demande reçue directement.
9. Violations de données à caractère personnel
Le Sous-traitant notifie le Responsable du traitement sans délai indu, et en tout état de cause dans les 48 heures suivant la découverte, de toute violation de données à caractère personnel. Le Sous-traitant fournit toutes les informations raisonnablement disponibles dont le Responsable du traitement a besoin pour satisfaire à ses propres obligations légales de notification et de documentation, notamment :
- la nature de la violation et les catégories de données impliquées
- l'étendue (estimée) et les conséquences possibles
- les mesures déjà prises et proposées
- les coordonnées pour obtenir de plus amples informations
Le Sous-traitant ne notifiera pas l'Autoriteit Persoonsgegevens (autorité néerlandaise de protection des données) ni les personnes concernées au nom du Responsable du traitement, sauf instruction expresse de sa part.
10. Assistance aux AIPD et consultations préalables
Le Sous-traitant assiste le Responsable du traitement, sur demande raisonnable, pour toute analyse d'impact relative à la protection des données (AIPD) et pour toute consultation préalable auprès de l'autorité de contrôle, en tenant compte de la nature du traitement et des informations dont dispose le Sous-traitant.
11. Restitution et suppression des données
Après résiliation de l'Abonnement, le Sous-traitant accorde au Responsable du traitement un délai de 30 jours pour exporter les données personnelles (via l'API REST ou le tableau de bord). Ensuite, le Sous-traitant supprime toutes les données personnelles, sauf si leur conservation est légalement requise (p. ex. obligations de conservation fiscale pour les données de facturation). Le Sous-traitant confirme la suppression par écrit sur demande.
12. Audit
Le Sous-traitant met à la disposition du Responsable du traitement, sur demande, toutes les informations nécessaires pour démontrer le respect du présent Accord. Le Responsable du traitement peut, une fois par an — ou plus fréquemment en cas de soupçon raisonnable de non-conformité — réaliser (ou faire réaliser) un audit. L'audit se déroule les jours ouvrables, pendant les heures de bureau, après annonce préalable, et de manière à ne pas perturber le Service de façon disproportionnée. Les frais de l'audit sont à la charge du Responsable du traitement, sauf si des déficiences importantes sont constatées.
Le Sous-traitant peut à la place fournir un rapport d'audit indépendant récent ou une attestation ISO 27001 / SOC 2 de ses (sous-)traitants, que le Responsable du traitement acceptera en principe.
13. Transferts internationaux
Lorsque le traitement a lieu en dehors de l'Espace économique européen, il est fondé sur des garanties appropriées visées à l'art. 46 RGPD, notamment les clauses contractuelles types de la Commission européenne (2021/914) ou le cadre de protection des données UE-États-Unis, complétés par des mesures techniques supplémentaires le cas échéant.
14. Responsabilité
La responsabilité des parties au titre du présent Accord est régie par la clause de responsabilité des Conditions générales. Chaque partie est responsable en vertu de l'art. 82 RGPD envers les personnes concernées pour les dommages causés par le non-respect de ses obligations RGPD.
15. Dispositions diverses
En cas de conflit entre le présent Accord et d'autres documents entre les parties, le présent Accord prévaut en ce qui concerne le traitement des données personnelles. Les modifications sont valables si elles sont annoncées via le Service ou par e-mail, sous réserve d'un délai raisonnable pour s'y opposer ou résilier l'Abonnement. Le présent Accord est régi par le droit néerlandais ; les litiges sont soumis au tribunal de district de La Haye (Rechtbank Den Haag).
Annexe 1 — Données et catégories de personnes concernées
Catégories de personnes concernées
- Utilisateurs du Responsable du traitement (employés, administrateurs)
- Candidats suivis dans les pipelines de recrutement
- Prospects suivis dans les pipelines de vente
- Personnes de contact dans les organisations des prospects ou des candidats
Catégories de données personnelles
- Données d'identification et de contact : nom, e-mail, téléphone, entreprise, fonction/titre, URL de profil LinkedIn ou externe
- Contenu CV et candidature : CV téléversés (PDF), expérience professionnelle, formation, compétences, pièces jointes
- Données de pipeline commercial : valeur de l'opportunité, devise, étape, notes, historique des réunions, propriétaire assigné
- Contenu des communications : e-mails transférés dans LeadGrid via la messagerie entrante, messages sortants envoyés depuis LeadGrid, notes attachées aux dossiers
- Données dérivées générées par IA : résumés de candidats, coordonnées extraites, brouillons d'e-mails de refus, scores d'adéquation à l'étape
- Données des systèmes connectés : données poussées/tirées via l'API REST publique et les intégrations tierces activées par le Responsable du traitement
- Données techniques : adresse IP, données de session et de journalisation à des fins de sécurité et de support
Nature du traitement
Collecte, stockage, consultation, structuration, modification, combinaison, transmission (y compris via des services IA pour la classification et la génération de texte), divulgation aux systèmes connectés, et effacement.
Annexe 2 — Mesures de sécurité
Le Sous-traitant a mis en œuvre, entre autres, les mesures suivantes :
- TLS 1.2+ pour toutes les données en transit
- Sécurité au niveau des lignes (RLS) de Supabase sur chaque table avec un scoping obligatoire par identifiant d'organisation en tant que défense en profondeur
- Contrôle d'accès basé sur les rôles (propriétaire / administrateur / membre) avec application du moindre privilège côté serveur
- Hachage des mots de passe (bcrypt) géré par Supabase Auth ; cookies de session marqués
HttpOnly+Secure - API REST publique sécurisée avec des clés API hachées, des limites de débit par clé (60 req/min gratuit, 600 req/min croissance), validation de la portée
- Webhooks Stripe vérifiés par signature HMAC ; traitement idempotent des événements via la table
processed_stripe_events - Point de terminaison e-mail entrant sécurisé par secret partagé et comparaison à temps constant ; limites de taille de fichier et de type de contenu pour les téléversements de CV
- Gestion des secrets via des variables d'environnement ; aucun secret codé en dur
- Renforcement CSP, HSTS, X-Frame-Options
DENY, Referrer-Policy, Permissions-Policy sur toutes les réponses - Journalisation des actions sensibles et des requêtes IA
- Déploiements en sandbox avec contrôle de version sur Vercel avec builds automatisées et vérifications de types
- Sauvegardes quotidiennes chiffrées de la base de données gérées par Supabase ; tests de restauration périodiques
- Accès aux données de production limité à un petit nombre de personnels sous autorisation et confidentialité strictes
- Processus de réponse aux incidents avec obligation de notification de 48 heures pour les violations de données à caractère personnel
Annexe 3 — Sous-traitants ultérieurs
| Sous-traitant | Traitement | Localisation |
|---|---|---|
| Supabase Inc. | Base de données, authentification, stockage de fichiers | UE (Irlande) |
| Vercel Inc. | Hébergement de l'application et réseau edge | UE / États-Unis (CCT) |
| OpenAI, L.L.C. | Classification IA et génération de texte (pas d'entraînement sur les données client) | États-Unis (CCT) |
| Stripe Payments Europe, Ltd. | Facturation des abonnements et traitement des paiements | UE (Irlande) / États-Unis (CCT) |
| Resend, Inc. | E-mail transactionnel sortant et traitement des e-mails entrants | États-Unis (CCT) |