Contrat de traitement des données (DPA)

Article 1 · Définitions

Pour les besoins du présent DPA :

• « Client » désigne la personne morale ou physique souscrivant un abonnement à Ooklo ou utilisant la Marketplace.
• « Ooklo » désigne VICMEDIA LTD, 126 Aldersgate Street, London EC1A 4JQ, Royaume-Uni, commerçant sous la marque « Ooklo ».
• « Données Client » désigne les Données à caractère personnel téléversées, importées ou synchronisées par le Client dans la plateforme (contacts, prospects, salariés, etc.).
• « Données Marketplace » désigne les contacts B2B ou B2C mis à disposition du Client via la Marketplace Ooklo, provenant de bases produites par plusieurs éditeurs qualifiés indépendants.
• « Sous-traitant ultérieur » désigne tout prestataire mandaté par Ooklo pour traiter des Données pour le compte du Client.
• « Personnes concernées » désigne les personnes physiques dont les Données sont traitées au titre du présent DPA.

Les termes « Responsable de traitement », « Sous-traitant », « Données à caractère personnel », « Traitement », « Violation de Données », « Destinataire » et « Personne concernée » ont le sens qui leur est attribué par l'article 4 du RGPD.

Article 2 · Objet et durée

Le présent DPA a pour objet de définir les conditions dans lesquelles Ooklo traite les Données Client pour le compte du Client, et les conditions dans lesquelles Ooklo met à disposition les Données Marketplace.

Le DPA prend effet à la première des dates suivantes : (i) acceptation des Conditions Générales d'Utilisation, (ii) téléversement d'une première liste de contacts dans la plateforme, (iii) première commande Marketplace. Il s'applique pour toute la durée de la relation contractuelle, augmentée des périodes de conservation légale prévues à l'Article 9.

Article 3 · Partie A — Ooklo sous-traitant du Client

Pour les Données Client, le Client est seul Responsable de traitement. Ooklo agit comme Sous-traitant au sens de l'article 28 du RGPD et traite les Données uniquement sur instruction documentée du Client. Les instructions du Client résultent (a) de la configuration de son compte Ooklo, (b) de l'utilisation des fonctionnalités de la plateforme, et (c) le cas échéant, d'écrits spécifiques transmis à dpo@ooklo.com.

3.1 Nature et finalité du Traitement

Ooklo traite les Données Client aux fins suivantes :

• Hébergement et stockage sécurisé des listes de contacts du Client.
• Exécution des campagnes marketing créées par le Client : email, SMS, publications sociales, Google Business Profile, WhatsApp, modules du Hub.
• Mesure de la délivrabilité, calcul des indicateurs de performance et restitution dans le tableau de bord du Client.
• Gestion automatique des désabonnements et des plaintes (suppression list partagée à l'échelle du compte Client).
• Assistance technique sur demande du Client, dans une logique d'audit consigné.

3.2 Catégories de personnes concernées

• Clients et prospects du Client.
• Membres, abonnés, adhérents d'un programme du Client.
• Salariés du Client (uniquement si le Client les téléverse).
• Auteurs d'avis, contacts entrants via les canaux connectés.

3.3 Catégories de Données traitées

• Identifiants : nom, prénom, civilité, identifiant interne.
• Coordonnées : email, téléphone fixe et mobile, adresse postale.
• Données transactionnelles : historique d'achat, panier moyen, fréquence de visite (si fourni par le Client).
• Données comportementales : ouvertures, clics, conversions liés aux campagnes Ooklo.
• Données de consentement : statut opt-in / opt-out, date et source du consentement.
• Données techniques associées aux envois : adresse IP, agent utilisateur, statut de délivrance.

Ooklo ne traite pas, sauf instruction expresse et écrite du Client, de catégories particulières de Données au sens des articles 9 et 10 du RGPD.

3.4 Durée du Traitement

Le Traitement est réalisé pendant toute la durée d'abonnement du Client, augmentée d'une période de grâce de 30 jours après clôture du compte, période durant laquelle le Client peut réactiver son compte ou exporter ses Données. À l'issue de cette période, les Données Client sont supprimées dans les conditions prévues à l'Article 9.

Article 4 · Obligations d'Ooklo en tant que Sous-traitant

Ooklo s'engage, conformément à l'article 28.3 du RGPD, à :

• Ne traiter les Données Client que sur instruction documentée du Client, y compris pour les transferts hors UE. Aucun transfert hors UE/EEE n'est réalisé à la date du présent DPA.
• Garantir que les personnes autorisées à traiter les Données Client sont soumises à une obligation de confidentialité appropriée, contractuelle ou légale.
• Mettre en œuvre les mesures techniques et organisationnelles appropriées décrites à l'Annexe 2 du présent DPA.
• Respecter les conditions de recours à des Sous-traitants ultérieurs prévues à l'Article 5 et à l'Annexe 1.
• Aider le Client, par des mesures techniques et organisationnelles appropriées, à répondre aux demandes des Personnes concernées relatives à l'exercice de leurs droits (accès, rectification, effacement, opposition, limitation, portabilité, retrait du consentement).
• Assister le Client pour garantir le respect des obligations prévues aux articles 32 à 36 du RGPD (sécurité, notification des Violations, analyses d'impact, consultation préalable).
• À la fin de la prestation, supprimer ou restituer au Client toutes les Données Client selon le choix du Client, sauf obligation légale de conservation.
• Mettre à la disposition du Client toutes les informations nécessaires pour démontrer le respect des obligations du présent DPA, et permettre la réalisation d'audits dans les conditions prévues à l'Article 10.
• Informer immédiatement le Client si, selon lui, une instruction constitue une violation du RGPD ou d'une autre disposition applicable.

Article 5 · Sous-traitants ultérieurs

Le Client autorise de manière générale Ooklo à recourir aux Sous-traitants ultérieurs listés à l'Annexe 1 pour la fourniture du service. Tous les Sous-traitants ultérieurs actuels sont localisés au sein de l'Union européenne ou de l'EEE.

Ooklo signe avec chaque Sous-traitant ultérieur un contrat lui imposant des obligations de protection des Données équivalentes à celles du présent DPA, en particulier les exigences de sécurité de l'article 32 du RGPD.

En cas de changement de Sous-traitants ultérieurs (ajout ou remplacement), Ooklo informe le Client au moins trente (30) jours à l'avance par email à l'adresse de contact du compte ou par publication sur la page /dpa. Le Client dispose d'un droit d'opposition motivé dans ce délai. En cas d'opposition légitime, les Parties recherchent de bonne foi une solution alternative ; à défaut, le Client peut résilier le service concerné sans pénalité.

Article 6 · Sécurité

Ooklo met en œuvre les mesures techniques et organisationnelles décrites à l'Annexe 2 afin de garantir un niveau de sécurité adapté au risque, notamment :

• Chiffrement des Données au repos (AES-256) et en transit (TLS 1.2+).
• Authentification forte (MFA) pour tous les comptes administrateurs.
• Contrôles d'accès fondés sur le rôle, principe du moindre privilège.
• Journalisation et supervision des accès sensibles.
• Sauvegardes chiffrées, restaurées et testées régulièrement.
• Tests d'intrusion annuels et revues de vulnérabilités.

Article 7 · Violation de Données

En cas de Violation de Données à caractère personnel affectant les Données Client, Ooklo notifie le Client sans retard injustifié et au plus tard dans les soixante-douze (72) heures suivant la prise de connaissance. La notification précise :

• La nature de la Violation, les catégories et le volume approximatif de Personnes concernées et de Données concernées.
• Les conséquences probables.
• Les mesures prises ou proposées pour remédier à la Violation et en atténuer les effets.
• Le point de contact d'Ooklo.

Ooklo assiste le Client dans ses obligations de notification à l'autorité de contrôle compétente et, le cas échéant, aux Personnes concernées.

Article 8 · Droits des Personnes concernées

Lorsqu'une Personne concernée adresse à Ooklo une demande d'exercice de ses droits (accès, rectification, effacement, opposition, limitation, portabilité), Ooklo transmet la demande au Client sous cinq (5) jours ouvrés et, sauf instruction contraire du Client, n'y répond pas directement.

Ooklo met à disposition du Client des fonctionnalités d'export et de suppression dans la plateforme afin qu'il puisse répondre aux Personnes concernées dans le délai d'un mois prévu par le RGPD.

Article 9 · Conservation, restitution et suppression

Les durées de conservation s'établissent comme suit :

• Compte actif : durée de l'abonnement.
• Période de grâce après clôture : 30 jours, pendant lesquels le Client peut réactiver ou exporter ses Données.
• Données Client après période de grâce : supprimées des systèmes actifs ; les sauvegardes chiffrées sont purgées dans un délai maximum de 60 jours.
• Données soumises à conservation légale (facturation, comptabilité, lutte contre la fraude) : archivées pour la durée prévue par la loi applicable, puis supprimées.
• Données Marketplace consommées par le Client : voir Article 12.

Article 10 · Audit

Le Client peut, à ses frais, faire réaliser un audit du respect du présent DPA par Ooklo, dans la limite d'une fois tous les douze (12) mois et sur préavis raisonnable d'au moins trente (30) jours. L'audit est conduit par le Client ou un auditeur indépendant tiers mandaté par lui et soumis à un engagement de confidentialité. L'audit n'a pas vocation à porter sur les données ou systèmes d'autres clients d'Ooklo.

Ooklo peut satisfaire à cette obligation par la mise à disposition de rapports d'audit récents (SOC 2, ISO 27001 ou équivalents) lorsque disponibles.

Article 11 · Partie B — Marketplace de données prospects

11.1 Origine des Données

Les Données Marketplace sont agrégées à partir de plusieurs sources qualifiées, pour un volume indicatif d'environ 3 millions de contacts B2B et 8 millions de contacts B2C, situés en France.

11.2 Base légale

• Contacts B2B : intérêt légitime de l'expéditeur (article 6.1.f du RGPD et considérant 47), couplé à un droit d'opposition simple et gratuit pour les personnes concernées. Les sollicitations sont strictement professionnelles et liées à la fonction du destinataire.
• Contacts B2C : consentement libre, spécifique, éclairé et univoque (article 6.1.a et article 7 du RGPD) recueilli par les producteurs de bases au moment de la collecte, avec horodatage et source documentés. Les optins marketing et SMS sont distincts.

11.3 Fraîcheur et qualité des Données

• Mise à jour mensuelle complète des bases par les producteurs (livraison « annule et remplace » entre le 1er et le 10 de chaque mois).
• Mise à jour hebdomadaire des désabonnements, plaintes, NPAI, spamtraps et hardbounces. Ces signaux sont intégrés immédiatement à la suppression-list Marketplace.
• Les adresses email B2B et les numéros mobile B2B sont mis à disposition sous forme hachée (SHA-256) pour le routage ; les Données B2C sont livrées en clair pour permettre le routage par Ooklo ou ses prestataires de routage habilités.

11.4 Contrat de licence

Ooklo est titulaire de contrats de licence de commercialisation conclus avec les producteurs des bases qualifiées listées au §11.1. Ces licences encadrent notamment : la propriété intellectuelle des producteurs sur les bases au titre de l'article L341-1 du Code de la propriété intellectuelle, les obligations de sécurité, les modalités de déclaration mensuelle des volumes, les obligations en cas de demande d'exercice de droits par une Personne concernée, la destruction des Données à la fin du contrat, et les engagements au titre du chapitre III du RGPD.

Article 12 · Obligations du Client utilisant la Marketplace

Lorsque le Client commande une prestation Marketplace, il s'engage à :

• Adresser les contacts loués uniquement dans le périmètre du secteur d'activité et de la zone géographique déclarés à Ooklo lors de la commande.
• Pour les locations email et SMS B2B/B2C : ne pas extraire les adresses email et numéros de mobile, et ne pas les transmettre à des tiers. Le routage est assuré exclusivement par Ooklo ou un routeur habilité au sens de la licence applicable.
• Pour les prestations de cession ou d'enrichissement : respecter les durées de conservation indiquées au bon de commande, ne pas revendre les Données, et restituer ou détruire toute Donnée Marketplace en fin de prestation conformément à l'Article 9.
• Honorer immédiatement toute demande d'opposition, de rectification ou d'effacement reçue de la part d'une Personne concernée, et la transmettre à Ooklo sous cinq (5) jours ouvrés via dpo@ooklo.com afin qu'Ooklo et les producteurs de bases procèdent à la suppression à la source.
• Inclure dans toute communication un lien de désinscription fonctionnel et une mention claire indiquant l'identité du responsable de traitement (le Client) et l'origine des Données (« Source : Ooklo Marketplace »).
• Respecter les heures et plages d'envoi imposées par la loi (en France : décret CNIL n° 2023-1085 pour le démarchage téléphonique, opposition Bloctel pour les contacts B2C téléphoniques) ainsi que la liste d'exclusions communiquée par les producteurs de bases.

En cas de manquement, Ooklo peut suspendre l'accès du Client à la Marketplace et, le cas échéant, engager sa responsabilité.

Article 13 · Transferts internationaux

À la date du présent DPA, l'ensemble des Traitements visés par les Parties A et B est hébergé et exécuté au sein de l'Union européenne ou de l'Espace économique européen. Aucun transfert hors UE/EEE n'est réalisé.

Si un Sous-traitant ultérieur devait, à l'avenir, traiter des Données depuis un pays tiers, Ooklo mettrait en place les garanties appropriées prévues au chapitre V du RGPD (clauses contractuelles types de la Commission européenne, décision d'adéquation, ou tout autre mécanisme reconnu), et en informerait le Client préalablement.

Article 14 · Responsabilité

La responsabilité de chaque Partie au titre du présent DPA est régie par les clauses de limitation et d'exclusion prévues aux Conditions Générales d'Utilisation d'Ooklo, sous réserve des règles d'ordre public, notamment l'article 82 du RGPD.

La limitation de responsabilité ne s'applique pas en cas de faute lourde, de dol ou de manquement aux obligations relatives à la protection des Données à caractère personnel et à la sécurité de l'information.

Article 15 · Loi applicable et juridiction

Le présent DPA est régi par le droit anglais et soumis à la compétence des juridictions de Londres, sans préjudice des règles d'ordre public et de la compétence des autorités de contrôle et juridictions des États membres de l'Union européenne en matière de protection des Données.

Article 16 · Mises à jour du DPA

Ooklo peut mettre à jour le présent DPA afin de refléter l'évolution de la réglementation, de l'écosystème de Sous-traitants ultérieurs ou des produits Ooklo. Toute mise à jour substantielle est notifiée au Client au moins trente (30) jours avant son entrée en vigueur, par email ou par publication sur la page /dpa. La poursuite de l'utilisation du service vaut acceptation de la version mise à jour.

Pour toute question relative au présent DPA, contacter dpo@ooklo.com.

Annexe 1 · Liste des Sous-traitants ultérieurs

Tous les Sous-traitants ultérieurs sont localisés au sein de l'Union européenne ou de l'Espace économique européen. Aucun transfert hors UE/EEE n'est réalisé.

La liste à jour est publiée sur la présente page. Les Clients souhaitant être notifiés activement des changements peuvent en faire la demande à dpo@ooklo.com.

Annexe 2 · Mesures techniques et organisationnelles (TOMs)

Confidentialité

• Chiffrement des Données au repos (AES-256) et en transit (TLS 1.2+).
• Authentification multifacteur obligatoire pour tous les comptes administrateurs et techniques.
• Contrôle d'accès basé sur les rôles, principe du moindre privilège, revue trimestrielle des accès.
• Pseudonymisation des identifiants directs dans les environnements de support et de débogage.

Intégrité

• Journalisation immuable des opérations sensibles, conservation 12 mois.
• Contrôles d'intégrité applicatifs sur les imports et exports de listes de contacts.
• Revue de code obligatoire et tests automatisés sur tous les déploiements.

Disponibilité

• Sauvegardes chiffrées quotidiennes, conservées 30 jours, testées mensuellement.
• Réplication multi-zones sur l'infrastructure d'hébergement principal.
• Plan de continuité d'activité documenté, RPO 24h, RTO 8h.

Gouvernance et organisation

• DPO interne joignable à dpo@ooklo.com.
• Registre des traitements maintenu à jour conformément à l'article 30 du RGPD.
• Analyses d'impact (DPIA) pour les traitements à risque élevé.
• Programme de sensibilisation et formation annuels du personnel à la protection des Données et à la sécurité.
• Procédure documentée de gestion des Violations, exercices annuels.

Sécurité des Sous-traitants ultérieurs

• Évaluation préalable de la conformité RGPD de chaque Sous-traitant ultérieur avant intégration.
• Clauses contractuelles imposant des obligations équivalentes au présent DPA.
• Revue annuelle de la chaîne de Sous-traitance.

Annexe 3 · Marketplace — Divulgation de la source des Données

Producteurs des bases

La Marketplace s'appuie sur des bases produites par plusieurs éditeurs qualifiés indépendants, chacun agissant comme producteur au sens de l'article L341-1 du Code de la propriété intellectuelle et comme Responsable de traitement initial de sa source respective. La composition indicative est listée au §11.1.

Titulaire des licences et opérateur de la Marketplace

Ooklo est titulaire de contrats de licence de commercialisation conclus avec les producteurs des bases qualifiées listées au §11.1. Ces licences couvrent la propriété intellectuelle, les obligations de sécurité, la déclaration mensuelle des volumes, le traitement des demandes d'exercice des droits, la destruction des Données à la fin du contrat, et l'ensemble des obligations du chapitre III du RGPD.

Entité opérationnelle

Le service Ooklo est édité par Vicmedia Ltd, société de droit anglais, siège social 126 Aldersgate Street, Londres, Angleterre, EC1A 4JQ. Toutes les communications, la facturation et le support client sont assurés sous la marque Ooklo.

Volumes indicatifs

• Environ 3 millions de contacts B2B (France).
• Environ 8 millions de contacts B2C (France).

Champs disponibles

B2B : email, civilité, nom, prénom, téléphone fixe et mobile, optin marketing et SMS avec date de collecte, raison sociale, enseigne, SIREN/SIRET, code et libellé de fonction, type d'adresse email (nominative ou générique), adresse postale complète et géocodage, URL du site, dernière action observée et sa date.

B2C : email, civilité, nom, prénom, date et année de naissance, téléphone fixe et mobile, optin marketing et SMS avec date de collecte, adresse postale complète et géocodage, dernière action observée et sa date.

Format de livraison technique

• B2B : email, fixe et mobile livrés sous forme hachée SHA-256 ; autres champs en clair.
• B2C : ensemble des champs livrés en clair.
• Mise à jour mensuelle « annule et remplace » entre le 1er et le 10 de chaque mois. Mise à jour hebdomadaire des désabonnements et plaintes.

Gestion des suppressions et des plaintes

Toute opposition ou plainte reçue par Ooklo ou les producteurs de bases est répercutée à la source dans un délai maximum de sept (7) jours et empêche tout nouvel usage du contact concerné dans l'ensemble de la chaîne. Les hardbounces, spamtraps et NPAI détectés par Ooklo sont déclarés aux producteurs de bases dans le même délai.