Data Processing Agreement — Version 1.0 — En vigueur à compter du 1er avril 2026
Cet accord est conclu entre Karlia SAS (le Sous-traitant) et tout Client ayant souscrit un abonnement à la plateforme Karlia (le Responsable de traitement). Il fait partie intégrante des Conditions Générales et entre en vigueur dès leur acceptation.
Préambule
Dans le cadre de la fourniture de ses services, Karlia SAS est amenée à traiter des données à caractère personnel pour le compte de ses clients. Conformément à l’article 28 du Règlement (UE) 2016/679 (RGPD), le présent Accord de Traitement des Données (ci-après « DPA ») formalise les obligations respectives des parties en matière de protection des données personnelles traitées via la plateforme Karlia.
Article 1 — Définitions
| Terme | Définition |
|---|---|
| RGPD | Règlement (UE) 2016/679 du 27 avril 2016 |
| Données Personnelles | Toute information au sens de l’article 4(1) du RGPD |
| Responsable de traitement | Le Client, qui détermine les finalités et les moyens du traitement |
| Sous-traitant | Karlia SAS, qui traite les données pour le compte du Client |
| Sous-traitant ultérieur | Tout tiers auquel Karlia fait appel pour traiter des données pour le compte du Client |
| Violation de données | Violation de sécurité au sens de l’article 4(12) du RGPD |
| EEE | Espace Économique Européen |
| CCT | Clauses Contractuelles Types adoptées par la Commission européenne |
Article 2 — Objet et durée
Le présent DPA régit le traitement des Données Personnelles effectué par Karlia SAS pour le compte du Client dans le cadre de la fourniture de la plateforme Karlia.
Il entre en vigueur à la date d’acceptation des CGUV et prend fin à la date de résiliation effective de l’Abonnement, sous réserve des obligations de conservation post-contractuelles prévues à l’article 10.
Article 3 — Nature, finalité et périmètre des traitements
3.1 Nature des traitements
Karlia traite les Données Personnelles dans le cadre des opérations suivantes :
- Stockage et hébergement des données saisies dans la plateforme
- Permettre l’accès, la consultation et la modification des données par les Utilisateurs autorisés
- Envoi de notifications et e-mails automatisés générés par la plateforme
- Sauvegarde et restauration des données
- Support technique (accès limité aux données nécessaires au diagnostic)
3.2 Finalités
Les traitements sont effectués uniquement aux fins de fourniture des fonctionnalités souscrites (CRM, Facturation, Ticketing, Projets, RH, Trésorerie), de maintenance technique et de support client.
3.3 Catégories de données concernées
| Catégorie | Exemples |
|---|---|
| Données d’identification | Nom, prénom, e-mail, téléphone des contacts |
| Données professionnelles | Entreprise, poste, chiffre d’affaires |
| Données commerciales | Devis, factures, opportunités, historique |
| Données de communication | E-mails synchronisés (via Nylas), notes, tickets |
| Données RH (si module activé) | Congés, absences, plannings des salariés |
| Données financières (si module activé) | Transactions et soldes bancaires (via Bridge API) |
3.4 Ce que Karlia ne fait pas
Karlia s’engage formellement à ne jamais :
- Utiliser les Données Personnelles du Client à des fins propres à Karlia
- Vendre, louer ou céder les Données Personnelles du Client à des tiers
- Utiliser les Données Personnelles à des fins publicitaires ou de ciblage
- Analyser le contenu des données du Client à des fins autres que la fourniture du service
Article 4 — Obligations de Karlia (Sous-traitant)
4.1 Traitement sur instruction
Traiter les Données Personnelles uniquement sur instruction documentée du Client, sauf obligation légale contraire.
4.2 Confidentialité
Garantir que les personnes autorisées à traiter les Données Personnelles sont soumises à une obligation de confidentialité et ont reçu une formation adéquate.
4.3 Sécurité
Mettre en œuvre les mesures techniques et organisationnelles décrites à l’article 7, conformément à l’article 32 du RGPD.
4.4 Sous-traitants ultérieurs
Informer le Client de tout recours à un Sous-traitant ultérieur avec un préavis de 30 jours, lui permettant de s’y opposer. Imposer des obligations équivalentes à tout Sous-traitant ultérieur.
4.5 Droits des personnes concernées
Assister le Client pour lui permettre de répondre aux demandes d’exercice de droits (accès, rectification, effacement, portabilité, opposition, limitation).
4.6 Notification des violations
Notifier le Client dans les 72 heures après avoir pris connaissance d’une Violation de données, en fournissant : la nature de la violation, les données concernées, les catégories de personnes affectées, et les mesures prises.
4.7 Analyse d’impact (DPIA)
Assister le Client, sur demande, dans la réalisation d’analyses d’impact en fournissant la documentation technique nécessaire.
4.8 Audit et contrôle
Mettre à la disposition du Client toutes les informations nécessaires pour démontrer le respect du présent DPA, et permettre des audits avec un préavis raisonnable de 30 jours.
Article 5 — Obligations du Client (Responsable de traitement)
Le Client s’engage à :
- Disposer d’une base légale valable pour chaque traitement effectué via la plateforme
- Informer les personnes concernées de l’utilisation de Karlia comme outil de traitement
- Mentionner Karlia comme sous-traitant dans sa propre politique de confidentialité
- Ne pas importer de données sensibles au sens de l’article 9 du RGPD sans information préalable
- Répondre aux demandes d’exercice de droits dans les délais légaux
Article 6 — Transferts hors Union européenne
Les Données Personnelles du Client sont hébergées et traitées en France, sur les serveurs OVHcloud dédiés à la plateforme karlia.fr. Le site vitrine karlia.co est quant à lui hébergé chez Rocket.net et ne traite aucune donnée personnelle de vos clients. Karlia ne transfère pas les données du Client hors de l’EEE sans l’en informer préalablement et sans mettre en place des garanties appropriées.
Lorsque des Sous-traitants ultérieurs établis hors de l’EEE sont impliqués (voir article 8), les transferts sont encadrés par des Clauses Contractuelles Types (CCT) et des évaluations d’impact documentées.
Article 7 — Mesures de sécurité
Mesures techniques
| Mesure | Détail |
|---|---|
| Chiffrement en transit | TLS 1.2 minimum sur toutes les communications |
| Chiffrement au repos | Volumes de stockage chiffrés AES-256 |
| Contrôle d’accès | Authentification forte, principe du moindre privilège |
| Authentification 2FA | Disponible pour tous les comptes |
| Journalisation | Logs d’accès et d’opérations conservés 1 an |
| Sauvegardes | Quotidiennes, réplication multi-sites en France, rétention 30 jours |
| Tests de sécurité | Tests de pénétration annuels par prestataire tiers |
| Monitoring | Surveillance 24h/24, alertes automatiques |
Mesures organisationnelles
| Mesure | Détail |
|---|---|
| Formation | Sensibilisation annuelle de tous les collaborateurs |
| Confidentialité | Clause dans tous les contrats de travail et de prestation |
| Gestion des incidents | Procédure formalisée et testée |
| Revue des accès | Trimestrielle |
| DPO | Référent protection des données désigné |
Article 8 — Liste des Sous-traitants ultérieurs
| Sous-traitant | Pays | Rôle | Garanties RGPD |
|---|---|---|---|
| Rocket.net | États-Unis 🇺🇸 | Hébergement site vitrine (karlia.co — sans données clients) | Contrat DPA |
| OVHcloud | France 🇫🇷 | Hébergement plateforme CRM et données clients (karlia.fr) | Contrat DPA, ISO 27001, HDS |
| Stripe | UE 🇪🇺 | Traitement des paiements | Contrat DPA, PCI-DSS niveau 1 |
| Brevo | France 🇫🇷 | E-mails transactionnels | Contrat DPA, hébergeur français |
| Nylas | États-Unis 🇺🇸 | Sync e-mails et calendriers (si activé) | CCT, SOC 2 Type II |
| Bridge API | France 🇫🇷 | Agrégation bancaire (si activé) | DSP2, agréé ACPR, RGPD natif |
| Crisp | France 🇫🇷 | Support client (chat) | Contrat DPA, RGPD natif |
Le Client sera informé par e-mail de tout changement dans cette liste avec un préavis de 30 jours. Il dispose de 15 jours pour s’opposer, auquel cas les parties rechercheront une solution alternative de bonne foi.
Article 9 — Droits des personnes concernées
Karlia met à disposition du Client les outils suivants dans la plateforme :
| Droit | Outil disponible dans Karlia |
|---|---|
| Accès | Export des données d’un contact en 1 clic |
| Rectification | Modification directe dans l’application |
| Effacement | Suppression d’un enregistrement ou d’un compte |
| Portabilité | Export CSV / JSON des données |
| Opposition / Limitation | Désactivation d’un contact / archivage |
Pour toute demande ne pouvant être traitée via l’interface, Karlia répondra dans un délai de 30 jours sur demande à dpo@karlia.fr.
Article 10 — Sort des données en fin de contrat
À la date effective de résiliation de l’Abonnement :
- Le Client perd l’accès à la plateforme
- Les données restent disponibles en export pendant 30 jours
- À l’issue de ce délai, toutes les Données Personnelles sont supprimées définitivement de l’ensemble des serveurs, y compris les sauvegardes
- Sur demande, Karlia peut fournir une attestation de suppression
Article 11 — Responsabilité
La responsabilité de Karlia au titre du présent DPA est limitée conformément à l’article 11 des CGUV. En aucun cas Karlia ne saurait être responsable des manquements du Client à ses propres obligations de Responsable de traitement.
Article 12 — Droit applicable
Le présent DPA est soumis au droit français. En cas de litige, les parties s’efforceront de trouver une solution amiable. À défaut, les tribunaux de Toulouse seront compétents.
Article 13 — Contact et DPO
| DPO Karlia SAS | dpo@karlia.fr |
| Objet conseillé | « DPA – [votre demande] » |
| Adresse postale | Karlia SAS – DPO, At Home Cité, 55 Avenue Louis Breguet, 31400 Toulouse |
Version 1.0 — 1er avril 2026
Politique de confidentialité · RGPD · Conditions générales · Politique de sécurité