Accès anticipé Les 100 premiers fondateurs verrouillent leur tarif de lancement · plus que 6 places Tarif de lancement · plus que 6 places
Informations légales

Accord de traitement des données (DPA)

Dernière mise à jour : 1er juillet 2026. Cet accord s'applique lorsque getMax traite des données personnelles pour le compte du Client (leads, prospects, destinataires de campagnes, contacts CRM, données importées). Pour toute question : [email protected].

1. Parties et qualités

Responsable de traitement : le Client, titulaire du compte getMax. Sous-traitant : Nexifi SASU, capital 500 €, RCS 88190103700013, 5 Avenue du Général de Gaulle, 94160 Saint-Mandé, éditrice de la plateforme getMax. Le présent accord fait partie intégrante du contrat conclu entre les parties (CGU et CGV) et prévaut sur celui-ci pour tout ce qui concerne le traitement des données personnelles pour le compte du Client.

2. Objet et description du traitement

  • Objet : fourniture des fonctionnalités de la plateforme getMax (CRM, prospection, emailing, génération de contenus, campagnes, analytics de projet).
  • Nature des opérations : collecte, enregistrement, organisation, conservation, consultation, utilisation, communication par transmission, rapprochement, effacement.
  • Finalités : exécution du Service selon les instructions documentées du Client.
  • Durée : la durée de l'abonnement, augmentée des délais de réversibilité et de suppression prévus.
  • Catégories de personnes concernées : prospects, clients, contacts et destinataires du Client ; utilisateurs des formulaires du Client.
  • Catégories de données : données d'identification et de contact (nom, prénom, email, téléphone, société, fonction), données de campagne (ouvertures, clics, désinscriptions), champs personnalisés définis par le Client, métadonnées techniques. Le Client s'abstient d'importer des catégories particulières de données (article 9 du RGPD) sauf accord écrit spécifique.

3. Instructions documentées

Le Sous-traitant ne traite les données que sur instruction documentée du Client, y compris pour les transferts hors UE. L'utilisation du Service par le Client (configuration, imports, campagnes) constitue ces instructions. Si le Sous-traitant estime qu'une instruction constitue une violation du RGPD, il en informe le Client.

4. Obligations du Sous-traitant

Le Sous-traitant s'engage à : traiter les données uniquement pour les finalités décrites et selon les instructions du Client ; garantir la confidentialité des données et s'assurer que les personnes autorisées à les traiter y sont soumises ; mettre en oeuvre les mesures techniques et organisationnelles appropriées (section 5) ; respecter les conditions de recours à des sous-traitants ultérieurs (section 6) ; aider le Client, dans la mesure du possible, à répondre aux demandes d'exercice des droits des personnes ; aider le Client à respecter ses obligations de sécurité, de notification de violation et d'analyse d'impact ; selon le choix du Client, supprimer ou renvoyer les données au terme de la prestation, sauf obligation légale de conservation ; mettre à la disposition du Client les informations nécessaires pour démontrer le respect de l'article 28 et permettre des audits raisonnables.

5. Sécurité

Le Sous-traitant met en oeuvre des mesures appropriées, notamment : chiffrement des données en transit et au repos lorsque pertinent, chiffrement des jetons d'intégration, contrôle d'accès, cloisonnement par organisation, journalisation, sauvegardes, exclusion de l'adresse IP du suivi analytique, minimisation (hachage des identifiants et domaines pour l'analytics), authentification renforcée (double authentification disponible), et procédures de gestion des incidents.

6. Sous-traitants ultérieurs

Le Client autorise le Sous-traitant à recourir aux sous-traitants ultérieurs listés en Annexe 1. Le Sous-traitant leur impose par contrat des obligations équivalentes à celles du présent accord. En cas d'ajout ou de remplacement, le Sous-traitant en informe le Client avec un préavis raisonnable, permettant au Client de formuler une objection motivée.

7. Transferts hors Union européenne

Certains sous-traitants ultérieurs sont établis hors de l'Union européenne (voir Annexe 1). Ces transferts sont encadrés par des garanties appropriées : clauses contractuelles types de la Commission européenne, et le cas échéant adhésion au Data Privacy Framework pour les prestataires établis aux États-Unis. Le Client peut obtenir une copie ou une description de ces garanties sur demande.

8. Violation de données

Le Sous-traitant notifie au Client toute violation de données personnelles dans les meilleurs délais après en avoir pris connaissance, avec les informations utiles pour permettre au Client de respecter ses propres obligations de notification.

9. Sort des données en fin de contrat

Au terme de la prestation, le Client dispose d'un délai de réversibilité pour exporter ses données. À l'expiration de ce délai, le Sous-traitant supprime ou anonymise les données, sauf obligation légale de conservation.

10. Durée

Le présent accord produit ses effets pendant toute la durée du traitement des données pour le compte du Client.

Annexe 1 - Sous-traitants ultérieurs

Sous-traitantFinalitéLocalisationGaranties si hors UE
PostHogMesure d'audience produitUnion européenneSans objet
CloudflareCDN, stockage, sécurité, performanceUE / mondialClauses contractuelles types
StripePaiement et facturationUE / États-UnisClauses contractuelles types / DPF
SendGrid, BrevoEnvoi d'emails de campagneÉtats-Unis / UEClauses contractuelles types / DPF
Google, MicrosoftConnexion et envoi via comptes Google ou MicrosoftUE / États-UnisClauses contractuelles types / DPF
Fournisseurs de modèles IAGénération de contenus (texte, image, audio, vidéo)Union européenneSans objet
CrispChat de supportUnion européenneSans objet

La liste des sous-traitants est tenue à jour et communiquée sur demande à [email protected].

Annexe 2 - Mesures techniques et organisationnelles

Reprennent la section 5 ci-dessus : politique d'accès, gestion des secrets, chiffrement, sauvegardes, tests, sous-traitants d'infrastructure, plan de continuité.