ACCORD DE TRAITEMENT DE DONNEES A CARACTERE PERSONNEL H COMPANY

H Company - Last updated: June 2026

Objet

En application de l’article « Données personnelles » des Conditions Générales de Services de H Company, la présente annexe a pour objet de stipuler les engagements de H Company afin d’assurer la protection des données à caractère personnel du Client et la conformité des traitements objets du Contrat à la réglementation applicable (Règlement n°2016-679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données abrogeant la directive 95/46/CE (« RGPD ») et loi n°78-17 du 6 janvier 1978 modifiée (ci-après ensemble « Règlementation ») dans la mesure où le Client commande le Service en qualité de professionnel. En aucun cas la responsabilité de H Company ne saurait être engagée du fait d’un refus de H Company de procéder à un Traitement non conforme à la Règlementation. La présente Annexe est convenue conformément à l’article 28 du RGPD.

  1. Définitions

Sauf indication contraire, les définitions figurant dans le RGPD, dont les termes « Responsable du traitement », « Sous-traitant », « Finalités », « Destinataires », « Personne concernée », « État membre », « Données à caractère personnel », « Violation de données à caractère personnel », « Traitement », et « Autorité de contrôle », s’appliquent. 

« Données Personnelles » désigne toute donnée à caractère personnel, telle que définie au RGPD, traitée par H Company pour le compte du Client en application ou dans le cadre du Contrat. Ces Données Personnelles incluent, selon précisions de la Sous-annexe A les Données Personnelles collectées, traitées ou hébergées par H Company en tant que Sous-traitant du Client dans le cadre de l’exécution du Service et des éventuelles prestations d’initialisation convenues au Contrat.

  1. Qualification des Parties 

La présente Annexe couvre l’ensemble du Service et des prestations fournis par H Company impliquant une intervention de H Company sur les Données Personnelles du Client, dans la mesure où ce Client commande le Service en qualité de professionnel. Dès lors que les Données Personnelles sont traitées ou hébergées par H Company, les mesures techniques et organisationnelles décrites en Sous-annexe B s’appliquent. Si les Données Personnelles sont traitées ou hébergées sur le système d’information du Client ou de tout tiers sous la responsabilité du Client, il appartient au seul Client d’assurer la protection desdites Données Personnelles, l’engagement de H Company se limitant à leur protection dans le cadre de leur seul traitement dans le cadre du Service.

Au sens de la présente Annexe, H Company est le Sous-traitant de son Client, qui est (i) Responsable de traitements, s’il bénéficie lui-même du Service, ou (ii) Sous-traitant de son propre client s’il recourt au Service de H Company dans le cadre de sa propre offre de services. Dans ce second cas, H Company constitue le « Sous-traitant ultérieur » du Client. 

H Company fournit un Service susceptible de s’appliquer aux Données du Client qui définit sous sa seule responsabilité les Données qu’il traite via le Service. Compte tenu du caractère standard du Service proposé, H Company n’est pas susceptible de contrôler la nature des Données Personnelles chargées ni des Finalités poursuivies. En conséquence, le Client détermine les Finalités, les catégories de Personnes Concernées, les catégories de Données Personnelles traitées et les durées de conservation/délais d’effacement des Données Personnelles, à sa seule discrétion et sous sa seule responsabilité. Il appartient au Client de déterminer les destinataires tiers auxquels sont envoyées les Données Personnelles le cas échéant, et à indiquer les coordonnées de ces destinataires à H Company. Cette dernière n’est pas responsable de la protection des Données Personnelles par lesdits destinataires, ce que le Client reconnaît.

En cas de modification d’un Traitement, les Parties conviendront des éventuelles modifications à la Sous-Annexe A nécessaires pour répondre aux exigences de la Règlementation.

Sauf base légale distincte applicable à H Company en tant que Responsable de traitement, H Company n’intervient sur les Données Personnelles définies en Sous-annexe A qu’en application des Finalités qui y définies, dans le cadre du Service qu’exécute H Company tel que défini au Contrat et des Traitements correspondants uniquement.

  1. Modalités de Traitement des Données Personnelles par H Company

H Company s’engage à ne traiter les Données Personnelles dans le cadre du Contrat que (i) conformément aux instructions documentées du Client, (ii) dans le respect et la limite des Finalités stipulées, (iii) dans le respect des mesures techniques et organisationnelles décrites à la présente Annexe, et (iv) pendant la ou les durée(s) de conservation stipulées, sans préjudice de la responsabilité du Client lorsqu’il traite lui-même à distance les Données.

H Company met en œuvre les mesures techniques et organisationnelles appropriées afin (i) d’empêcher le traitement non autorisé ou illicite des Données Personnelles, (ii) d’empêcher la perte, la destruction ou la détérioration d’origine accidentelle des Données Personnelles, (iii) d’assurer la sensibilisation et la formation de ses préposés à la protection des données à caractère personnel dans le cadre de leurs fonctions, et (iv) d’assurer que seuls ceux de ses collaborateurs et éventuels sous-traitants ayant à en connaître dans le cadre du Service ou des éventuelles prestations d’initialisation accèdent aux Données Personnelles. Les mesures de sécurité techniques et organisationnelles mises en œuvre sont décrites à la Sous-annexe B (ci-après les « Mesures »), dont le Client déclare qu’elles sont appropriées à ses Données.

En reconnaissant que les Mesures sont soumises à des progrès et évolutions techniques, les Parties conviennent que H Company est autorisée à apporter des améliorations aux Mesures, à condition que ces Mesures ne se situent pas en-deçà du niveau de sécurité prévu en Sous-annexe B et qu’elles soient conformes à l’état de l’art. H Company tiendra à la disposition du Client la description de tout changement significatif des Mesures auquel elle procéderait.

  1. Gestion des droits des personnes concernées

Les Parties reconnaissent et conviennent qu’il incombe juridiquement au Client, en tant que Responsable de traitement, de traiter les demandes des Personnes concernées liées à leurs droits sur leurs Données Personnelles tels que définis par la Règlementation (droit à l’information, droits d’accès, de rectification, d’effacement, d’opposition, de limitation, de portabilité ou de révocation d’un éventuel consentement), concernant le Traitement des Données Personnelles effectué, et que H Company n’est pas tenue elle-même d’y donner suite directement, sauf obligation contraire imposée par des instructions documentées du Client. 

Si le Client peut accéder directement aux Données Personnelles des Personnes concernées (notamment dans le cas de la fourniture du Service), le Client prend lui-même en charge les demandes des Personnes concernées, selon des procédures qu’il détermine sous sa responsabilité. Le Client peut solliciter l’assistance de H Company dans l’identification des Données Personnelles et le traitement des demandes, par écrit.

Dans la mesure où la demande d’une Personne concernée parviendrait directement à H Company dans le cadre du Service, H Company l’adresse dans les meilleurs délais au Client afin que celui-ci statue sur la demande et apporte la réponse à la Personne concernée. Dans tous les cas, le Client est seul responsable de l’opportunité de la réponse à apporter à la Personne concernée, d’établir son identité, de solliciter des informations complémentaires, d’identifier d’éventuelles exceptions s’opposant à la demande, ou de refuser de donner la suite à la demande pour des motifs légitimes que le Client détermine et communique lui-même à la Personne concernée.

En cas de litige avec une Personne concernée ou en cas d’autres actions engagées par une Personne concernée eu égard au Traitement de Données Personnelles confié à H Company, le Client en informera H Company dans les meilleurs délais, et H Company apportera sa coopération raisonnable et fournira au Client toutes informations utiles dans ce cadre.

  1. Gestion des Violations de Données Personnelles

H Company s’engage à mettre en œuvre un dispositif de détection des éventuelles Violations de Données Personnelles survenant sur son système d’information dans le cadre du Service. En cas de Violation de Données Personnelles constatée sur son périmètre d’intervention, H Company s’engage à (i) alerter le Responsable de traitement dans les meilleurs délais, (ii) mettre en place toute solution palliative limitant ou supprimant la Violation de Données Personnelles et (iii) investiguer les raisons de la Violation constatée.

En tant que de besoin et dans la mesure du possible, la notification adressée par H Company au Client inclura les informations demandées par l’article 33 du RGPD permettant de décrire (i) la nature de la Violation de Données à caractère personnel, (ii) les catégories de Données à caractère personnel et le ou les Traitement(s) en cause, (iii) le nombre et les catégories de Personnes concernées, (iii) l’origine et les conséquences prévisibles de la Violation pour les Personnes concernées et (iv) les mesures mises en œuvre pour mettre un terme à la Violation de Données à caractère personnel et tenter d’en limiter ou supprimer les conséquences. A défaut, H Company indiquera à quel terme les informations complémentaires seront fournies, notamment en cas d’investigation technique menée par H Company ou son Sous-traitant ultérieur. 

Dans ce contexte, H Company n’est pas habilitée à notifier une Violation de Données à caractère personnel directement à l’Autorité de contrôle, aux Personnes concernées ou à d’autres tiers, à moins que H Company y soit tenue par le droit applicable. Hors ces cas, il appartient au seul Client, en tant que Responsable de traitement, de décider et de procéder aux notifications qui s’imposeraient, par tout moyen de son choix, auprès de l’Autorité de contrôle, et auprès des Personnes concernées en cas de risque pour leurs droits et libertés déterminé par le Responsable de traitement. 

  1. Assistance au Responsable de traitement

H Company alerte le Client si elle constate une non-conformité manifeste entre les instructions du Responsable de traitement dans le cadre du Contrat, et les exigences de la Règlementation. Cependant, en aucun cas H Company ne peut être tenue responsable (i) des non-conformités des Traitements du fait du Responsable de traitement ou (ii) de l’absence de détection d’une non-conformité. H Company apporte son assistance au Responsable de traitement (i) en répondant aux questions écrites du Responsable de traitement relatives aux Traitements, (ii) en cas de demande ou d’enquête d’une Autorité de contrôle et (iii) en cas d’analyse préalable d’impact menée sur le périmètre des Traitements en cause. A cette fin, H Company tient à la disposition du Client la documentation relative au respect de ses engagements dans le cadre de la présente Annexe. L’assistance de H Company est facturée par H Company au taux journalier applicable à la date de la demande.

En tant que de besoin, H Company rappelle au Client que le traitement de données à caractère personnel incluant des données « particulières » au sens de la Règlementation, des données à caractère personnel de personnes « vulnérables » telles que des mineurs, ou encore des traitements de données personnelles à grande échelle, ou de profilage comportemental, une analyse d’impact préalable peut être nécessaire, H Company s’engageant le cas échéant à apporter son concours raisonnable à la ladite analyse s’agissant du périmètre des Traitements qui lui sont confiés par Contrat et des ressources mises en œuvre par ses soins à cet effet. En outre, compte tenu de la destination du Service, en aucun cas le Client n’est autorisé à stocker, héberger ou traiter via le Service des données à caractère personnel relatives à la santé, et que tout Traitement d’autres données à caractère personnel dites « particulières » peut impliquer des mesures de sécurité renforcées dont il lui incombe de passer commande auprès de H Company. Il est rappelé que le Client est seul responsable des Données chargées et générées via le Service dans les conditions stipulées au Contrat.

  1. Audit

Une (1) fois par an moyennant un préavis écrit d’au moins 15 jours, le Responsable de traitement aura la faculté de diligenter un audit portant sur la mise en œuvre par H Company des Mesures stipulées à la présente Annexe, sur le seul périmètre des Données Personnelles et Traitements liées au Contrat, à l’exclusion (i) de tout élément du système d’information de H Company non concerné par le Contrat, (ii) de toute donnée personnelle des autres clients de H Company, (iii) de tout élément constitutif du secret d’affaires ou du secret industriel de H Company, et (iv) dans le respect de la propriété intellectuelle, des procédures de sécurité, de la disponibilité des collaborateurs et de la production normale de H Company.

H Company devra valider au préalable l’identité de l’auditeur, et pourra le récuser s’il appartient à une entreprise concurrente de H Company. Le coût de l’audit est à la charge du Client. Si l’audit identifie une non-conformité aux engagements de H Company, celle-ci y remédie dans les meilleurs délais et en adresse confirmation écrite au Client. En toute hypothèse, le rapport d’audit est transmis dans son intégralité par écrit à H Company, qui pourra faire valoir ses observations. L’assistance de H Company aux opérations d’audit est facturée par H Company au taux journalier applicable à la date de la demande.

  1. Recours à un sous-traitant ultérieur

H Company peut faire intervenir un prestataire tiers aux fins d’exécution de tout ou partie du Service ou des éventuelles prestations d’initialisation (ci-après le « Sous-traitant ultérieur »), à la condition que celui-ci (i) soit soumis à l’approbation préalable expresse du Client, et qu’il (ii) s’engage contractuellement auprès de H Company à assurer dans le cadre de son intervention la protection des Données Personnelles de manière substantiellement conforme aux exigences de la présente Annexe.

A la date de signature du Contrat, le Client est informé et approuve expressément le recours au(x) Sous-traitant(s) ultérieur(s) suivant(s) stipulés à la Sous-annexe A, pour l’exécution des Traitements visés. Tout recours ultérieur à un autre Sous-traitant ultérieur impliquera le respect de la procédure suivante.

H Company informera au préalable, par voie écrite, le Client du projet de désignation d’un nouveau Sous-traitant ultérieur, précisant la dénomination, l’adresse et les coordonnées du Sous-traitant ultérieur ainsi que les aspects des Traitements dont ledit Sous-traitant ultérieur sera en charge et notamment s’il implique un flux transfrontalier des Données Personnelles. Si, dans un délai de huit (8) jours calendaires à compter de la réception de cette notification, le Client exprime par écrit des objections légitimes et motivées à la désignation du Sous-traitant ultérieur en cause, H Company pourra soit ne pas recourir au Sous-traitant ultérieur pressenti et recourir à un autre Sous-traitant ultérieur qui sera indiqué au Client, soit maintenir le recours au Sous-traitant ultérieur pressenti ; dans ce dernier cas, le Client pourra résilier le Service moyennant un préavis d’un (1) mois sans pouvoir prétendre à une indemnité quelle qu’elle soit.

En cas de manquement par le Sous-traitant ultérieur à ses obligations contractuelles, H Company demeure responsable devant le Client dans les conditions stipulées au Contrat.

  1. Gestion des flux transfrontaliers de Données Personnelles

H Company privilégie le Traitement des Données Personnelles sur le territoire de l’Espace Economique Européen (« EEE »). Cependant, dans le cas où le Service (dont l’éventuel recours à une Sous-traitant ultérieur) impliquent un transfert des Données Personnelles en dehors de l’EEE, H Company (i) s’assure au préalable que ledit transfert est effectué dans le cadre de garanties conformes aux exigences de la Règlementation, c’est-à-dire (i) vers un pays tiers bénéficiant d’une décision d’adéquation de l’Autorité de contrôle ou tout autre dispositif autorisé par la Règlementation, ou (ii) via la conclusion entre H Company et son sous-traitant des Clauses Contractuelles Types (module 3) édictées par la Commission européenne ou l’Autorité de contrôle, dont H Company tiendra l’exposé à la disposition du Client à première demande. 

Dans le cas où le Client est situé en dehors de l’EEE, les Traitements de Données Personnelles sont encadrées par la conclusion entre le Client et H Company des Clauses Contractuelles Types (module 4) édictées par la Commission européenne, sous les précisions suivantes : (i) l’« exportateur de données » est H Company, et l’« importateur de données » est le Client ; (b) la clause facultative d’ancrage prévue à la clause 7 des Clauses Contractuelles Types est mise en œuvre ; la clause facultative de recours prévue à la clause 11(a) est supprimée ; (c) le droit applicable visé à la clause 17 des Clauses Contractuelles Types est le droit français ; (d) les juridictions visées à la clause 18(b) des Clauses Contractuelles Types sont les tribunaux français ; et € les annexes I et II des Clauses Contractuelles Types sont respectivement la description du traitement en sous-annexe A et la description des Mesures en sous-annexe 2.

  1. Communication avec l’Autorité de contrôle

Dans la mesure où le droit applicable le permet, H Company informera dans les meilleurs délais le Client en cas d’enquête, mise en demeure ou autre procédure susceptible de porter sur des Traitements qu’elle effectue des Données Personnelles du Client par une Autorité de contrôle ou toute autre autorité publique. Le cas échéant les Parties s’apportent assistance mutuellement pour assurer une communication cohérente avec l’Autorité concernant toute enquête de celle-ci. En cas de litige, d’injonction ou d’amende imposée ou envisagée par l’Autorité de contrôle ou une autre autorité compétente concernant les Traitements des Données Personnelle contre l’une ou l’autre des Parties ou les deux, les Parties doivent s’informer sans délai dans le but de se défendre efficacement contre ces actions ou les régler à l’amiable en temps opportun. 

  1. Sort des Données Personnelles en fin de Contrat

H Company conserve les Données Personnelles du Client (i) pendant la ou les durées définies par le Client à la Sous-annexe A, et (ii) en tant que de besoin, pendant toute la durée du Contrat augmentée des durées légales de preuve et prescription.

Sans préjudice de ce qui précède, et à concurrence des exigences liées à l’exécution du Service, H Company procède à la suppression des Données Personnelles lorsque la ou les durée(s) définie(s) par le Client parvien(nen)t à échéance ou (ii) sur demande expresse du Client, ou (iii) sur demande documentée d’une Personne concernée, relayée et validée par écrit par le Client, et en toute hypothèse, (iii) au terme du Contrat (sous réserve des durées complémentaires liées à la preuve ou aux prescriptions), après restitution au Client des Données Personnelles en cause. 

Sous les réserves stipulées ci-dessus, en cas (i) de résiliation du Contrat, ou (ii) à tout moment sur demande écrite du Client, H Company doit supprimer et obtenir la suppression par son ou ses Sous-traitant(s) ultérieur(s) de toutes copies des Données Personnelles du Client, ou sur demande écrite et précise, de certaines de ces Données.

  1. Périmètre de responsabilité

En tant que Responsable de traitement, il appartient au Client d’assurer l’information des Personnes concernées par ses Traitements (qu’ils soient réalisés directement par ses Utilisateurs via le Service ou qu’ils correspondent aux prestations d’initialisation commandées à H Company, au sujet (i) des Données Personnelles collectées, (ii) des Traitements mis en œuvre, (iii) des Finalités poursuivies, (iv) des bases légales fondant les Traitements, (v) des éventuels tiers Destinataires des Données Personnelles, ainsi que (vi) de l’ensemble des autres informations dues aux personnes selon les articles 13 ou 14 du RGPD, en ce compris le rappel des droits dont elles disposent sur leurs Données Personnelles et les coordonnées auxquelles les faire valoir. Le Responsable de traitement détermine les modalités de diffusion et l’effectivité de cette information sous sa seule responsabilité. 

En toute hypothèse il appartient Responsable de traitement de veiller à la conformité à la Règlementation des Traitements de Données Personnelles qu’il confie à H Company, ainsi plus généralement que des traitements sur son propre système d’information, auprès de ses propres collaborateurs et sous-traitants, et de déployer les mesures techniques et organisationnelles appropriées au sein de son organisation. H Company dégage toute responsabilité liée à la conformité du Responsable de traitement (et du Client si celui-ci est le Sous-traitant de premier rang du Responsable de traitement) pour ce qui excède le seul périmètre du Service et des éventuelles prestations d’initialisation objets du Contrat.

A cet égard, il appartient au Client en tant que Responsable de traitement de (i) collecter sous sa responsabilité les Données Personnelles dont il s’assure qu’elles sont strictement nécessaires et proportionnées aux Finalités poursuivies, (ii) s’assurer qu’elles ont été collectées conformément à une base légale éprouvée (et le cas échéant, qu’elles ont fait l’objet des consentements nécessaires dont le Client conserve la preuve), (iii) assurer l’information préalable complète due aux Personnes concernées, (iv) documenter l’ensemble des instructions qu’il adresse à H Company relatives aux Données Personnelles, (v) veiller pendant toute la durée du Contrat au respect des obligations prévues par la règlementation de la part de H Company et (vi) superviser l’exécution des Traitements effectués pour son compte.

Il est rappelé que H Company n’est susceptible d’engager sa responsabilité que pour un dommage directement lié à un manquement de H Company à ses engagements en tant que Sous-traitant, ou si elle a agi en dehors ou contrairement aux instructions conformes à la Règlementation émanant du Client. En cas d’utilisation de webservices tiers, le Client est soumis aux licences et conditions d’utilisation applicables à ces webservices tiers dont leurs conditions de traitement des Données Personnelles qui ne sont pas de la responsabilité de H Company, ce que le Client reconnaît.

En cas d’amende, de condamnation ou de préjudice subi par H Company (i) du fait d’un manquement du Responsable de traitement (et/ou du Client s’il est Sous-traitant de premier rang pour le compte du Responsable de traitement) à ses obligations au regard de la Règlementation, ou (ii) du fait d’une instruction adressée à H Company, notamment si l’instruction conduit à une non-conformité des Traitements confiés à H Company à la Règlementation, le Responsable de traitement s’engage à indemniser H Company de toute amende, condamnation ou préjudice subi.

  1. Registres de traitements et désignation DPO

Chaque Partie s’engage à répertorier les Traitements objets du Service et des éventuelles prestations d’initialisation commandées, au sein d’un registre des traitements. H Company indiquera au sein de son registre les Traitements qu’elle effectue au nom et pour le compte du Client conformément aux exigences de l’article 30, 2° Du RGPD. Le Client est responsable de son propre registre des Traitements conformément aux exigences de l’article 30 1° du RGPD. La désignation des DPO des Parties figure en Sous-annexe A.

  1. Données Personnelles des collaborateurs des Parties

Dans le cadre de la conclusion et de la gestion opérationnelle et comptable du Contrat, chacune des Parties peut également accéder aux Données Personnelles de certaines catégories de personnes (signataire du Contrat pour le Client, contacts opérationnels, contacts juridiques, contacts comptables, Utilisateurs du Client, etc.). Ces données du Client sont traitées par H Company en qualité de Responsable de traitement, conformément à la Politique de confidentialité. Chaque Partie s’engage, en tant que Responsable de traitement, à protéger et n’utiliser les Données Personnelles de ces contacts de l’autre Partie qu’aux fins de gestion du Contrat, et à leur appliquer les mesures techniques organisationnelles appropriées pendant toute la durée du Contrat. Les Données Personnelles de ces contacts seront supprimées par chaque Partie à la fin du Contrat, sous réserve d’une conservation prolongée en cas d’obligation légale d’archivage ou de conservation de la preuve.

  1. Réutilisation des Données

Il est rappelé que conformément à l’article 12.3 « Droits de réutilisation des Données » du Contrat, H Company est susceptible de réutiliser les Données aux fins (i) d’assurer la sécurité du Service, (ii) d’améliorer les fonctionnalités du Service, (iii) d’intervenir dans le cadre de la Maintenance du Service et (iv) de faire assurer le respect des CGU et limitations d’utilisations stipulées au Contrat, et, en l’absence d’opposition expresse manifestée par le Client via son espace client, aux fins d’entraînement de ses modèles IA et de ses activités de recherche et développement. Dans la mesure où les Données comportent des Données Personnelles, H Company effectue les traitements correspondants en qualité de Responsable de traitement, dans le cadre de son intérêt légitime, après pseudonymisationdes Données et conformément à la Politique de confidentialité. Il appartient au Client d’informer les Personnes concernées des Finalités pour lesquelles H Company est susceptible de réutiliser les Données Personnelles dans ce contexte.

SOUS-ANNEXE A – DESCRIPTION DES TRAITEMENTS

Dans le cadre du Contrat, le Sous-traitant met en œuvre les Traitements décrits ci-après pour le compte du Responsable de traitement :

Responsable(s) de Traitement

  • Client

Sous-traitant

  • H Company

Finalités du Traitement

  • Fournir le Service conformément au Contrat, en ce compris le stockage transitoire des Données et la Maintenance du Service

Traitements effectués

  • Collecte, stockage transitoire et traitement des Données conformément aux instructions du Client via les fonctionnalités du Service ;

  • Traitement limité dans le cadre d’éventuelles prestations d’initialisation

  • Consultation des Données aux fins de Maintenance

Catégories de Personnes concernées

  • Utilisateurs du Client ;

  • Tout personne physique dont les Données Personnelles sont traitées par le Client lors de l'utilisation du Service conformément au Contrat

Catégories de Données Personnelles traitées

  • Données relatives aux Comptes des Utilisateurs du Client (nom, prénom, adresse email, identifiants, logs, adresse IP) ;

  • Traces (métadonnées), Input, Output ;

  • Données Personnelles de toute personnes physique chargées ou traitées par le Client lors de l'utilisation du Service conformément au Contrat

Durée(s) de conservation 

  • Durée du Contrat, sauf en cas de suppression anticipée par le Client (sans préjudice de la conservation des Données par H Company en qualité de Responsable de traitement)

Destinataires

  • Sous-traitants ultérieurs du Sous-traitant

Sous-traitants ultérieurs :

Sous-traitants ultérieurs 

Amazon Web Services, Inc. 

  • Hébergement de l'infrastructure cloud principale (H-Backend), stockage sécurisé de la base de données de production, de la base analytique (H Analytics DB) et de la base d'entraînement (Training DB).

  • Siège social : 410 Terry Avenue North, Seattle, WA 98109, USA.

  • Localisation : Union Européenne (Région Europe) pour l'infrastructure de production et le stockage de données. États-Unis de manière résiduelle et transitoire si utilisation de grappes de serveurs d'inférence GPU spécifiques non disponibles en UE.

  • Transferts : Framework de protection des données (DPF) / Clauses contractuelles types (SCCs).

Stripe, Inc. (et ses filiales Stripe Payments Europe Ltd) 

  • Finalités : Traitement et sécurisation des transactions financières, gestion des abonnements, facturation des clients et prévention de la fraude.

  • Siège social : 354 Oyster Point Blvd, South San Francisco, CA 94080, USA.

  • Localisation : États-Unis et infrastructures globales redondantes.

  • Transferts : Framework de protection des données (DPF) / Clauses contractuelles types (SCCs).

PostHog, Inc. 

  •  Finalités : Analyse comportementale des utilisateurs au sein de l'application (In-app behavior analytics) via des identifiants anonymisés (pseudo_id) pour l’amélioration de l'expérience utilisateur (UX).

  • Siège social : 2261 Market Street #4008, San Francisco, CA 94114, USA.

  • Localisation : Union Européenne (PostHog EU Cloud hébergé en Allemagne).

  • Transferts : Framework de protection des données (DPF) / Clauses contractuelles types (SCCs) .

Brevo (Sendinblue SAS) 

  • Finalités : Routage des e-mails transactionnels (alertes de consommation, facturation) et automatisation des campagnes marketing d’engagement basées sur les segments d’activité.

  • Siège social : 17 rue de Salneuve, 75017 Paris, France.

  • Localisation : Union Européenne (France / Allemagne).

  • Transferts : Aucun (Entité de l'Union Européenne, données stockées au sein de l'UE).

Datadog, Inc. 

  • Finalités : Suivi de la performance technique des serveurs, collecte des métriques système, observabilité et diagnostic des anomalies (Technical and operational support) à l'exclusion stricte des invites utilisateurs (prompts).

  • Siège social : 620 8th Avenue, 45th Floor, New York, NY 10018, USA.

  • Localisation : Union Européenne (Nouvelle infrastructure active de production). États-Unis de manière temporaire pour la lecture seule des données historiques résiduelles, intégralement purgées sous 90 jours.

  • Transferts : Framework de protection des données (DPF) / Clauses contractuelles types (SCCs).

Agilitation SAS (Axeptio) 

  • Finalités : Solution de recueil et de gestion des consentements (CMP - Consent Management Platform), traçabilité de l'état d'autorisation et des politiques signées pour assurer la conformité réglementaire.

  • Siège social : Rue Benjamin Franklin, 34000 Montpellier, France.

  • Localisation : Union Européenne (Irlande via AWS).

  • Transferts : Aucun (Entité de l'Union Européenne, données stockées au sein de l'UE).

HubSpot, Inc.

  • Finalités : Gestion de la relation client (CRM), centralisation des données de contact et de profil des utilisateurs de la plateforme, suivi des cycles de vente et synchronisation des historiques de facturation.

  • Siège social : 25 First Street, 2nd Floor, Cambridge, MA 02141, USA.

  • Localisation : Union Européenne (HubSpot héberge par défaut les données des clients européens au sein de son infrastructure en Allemagne/Irlande si l'option "EU Data Residency" est activée) / États-Unis.

  • Transferts : Framework de protection des données (DPF) / Clauses contractuelles types (SCCs).

Y3A (Prestataire de services externe)

  • Finalités : Prestation de services opérationnels tiers pour la gestion et l'optimisation des campagnes marketing d'engagement (via Brevo) et l'analyse de la tarification et du Revenue Management.

  • Siège social : 43 RUE LACEPEDE, 75005 PARIS

  • Localisation : France 

  • Transferts : Aucun (Contrat de prestation direct soumis au droit français / RGPD).

DPO H Company : Julie MARTINEZ

Contact : DPO@hcompany.ai




MESURES DE SECURITE TECHNIQUES ET ORGANISATIONNELLES

L’ensemble des mesures de sécurité et techniques organisationnelles est consultable et mis à jour directement en ligne à l’adresse suivante:  https://trust.hcompany.ai