SignalPilote ← Retour au site

Accord de Traitement de Données (DPA) — Méthode Signal

Conforme RGPD (art. 28)

Dernière mise à jour : 2026-05-22

Version : 1.0


ARTICLE 1 — PARTIES

Le présent Accord de Traitement de Données (« DPA ») est conclu entre :

Le Responsable de Traitement :

Le Client de Méthode Signal, identifié lors de la souscription au service Implémentation 30j ou Sprint 7j (ci-après « le Client » ou « le Responsable »).

Le Sous-Traitant :

Fabio Jean-Luc MORETTI, entrepreneur individuel,

  • Adresse : 3 rue du col d'Aspin, Appartement A003, 31600 Muret, France
  • SIREN : 105 003 123
  • SIRET : 105 003 123 00012
  • Code APE/NAF : 70.22Z
  • Email : methodesignal@gmail.com

Ci-après dénommé « le Sous-Traitant ».


ARTICLE 2 — OBJET ET CONTEXTE

Le présent DPA encadre le traitement de données personnelles effectué par le Sous-Traitant pour le compte du Responsable dans le cadre des services Méthode Signal (Sprint 7j et/ou Implémentation 30j).

Il complète les Conditions Générales de Vente applicables et s'impose en cas de contradiction sur les questions de protection des données.


ARTICLE 3 — DESCRIPTION DU TRAITEMENT

3.1 Nature et finalité

Le Sous-Traitant traite des données personnelles aux fins de :

  • Auditer et optimiser le compte Instagram du Responsable ;
  • Publier du contenu sur le compte Instagram du Responsable ;
  • Effectuer des actions de prospection automatisée (envoi de DMs) au nom du Responsable ;
  • Gérer les conversations entrantes (réponses DM avec assistance IA si activée) ;
  • Fournir un reporting d'activité au Responsable.

3.2 Catégories de personnes concernées

  • Le Responsable lui-même ;
  • Les abonnés et prospects Instagram du Responsable ;
  • Les personnes ayant interagi avec le compte Instagram du Responsable.

3.3 Catégories de données traitées

Catégorie Exemples
Identifiants Instagram Handle, ID utilisateur, nom affiché
Données publiques de profil Bio, nombre d'abonnés, photo de profil
Contenu publié Posts, stories, reels, highlights
Données de conversation Messages DM envoyés et reçus, dates, statut
Données de prospection Liste de handles ciblés, statut (envoyé, répondu, converti)
Statistiques d'engagement Likes, vues, commentaires, taux de réponse
Cookies de session Instagram Stockés chiffrés AES-256

3.4 Durée du traitement

Pour la durée du contrat de services, prolongée :

  • De 30 jours après la fin du contrat pour permettre l'export des données ;
  • Jusqu'à 5 ans pour les données de facturation (obligation légale).

ARTICLE 4 — OBLIGATIONS DU SOUS-TRAITANT

Le Sous-Traitant s'engage à :

4.1 Conformité

  • Traiter les données uniquement sur instructions documentées du Responsable, sauf obligation légale ;
  • Garantir que les personnes accédant aux données sont tenues à la confidentialité ;
  • Tenir un registre des traitements (art. 30 RGPD).

4.2 Sécurité

Mettre en œuvre les mesures techniques et organisationnelles appropriées :

  • Chiffrement AES-256-GCM des sessions Instagram en base de données ;
  • HTTPS / TLS pour toutes les communications externes ;
  • Authentification forte sur le portail (mot de passe + clé API) ;
  • Cloisonnement des données entre clients ;
  • Sauvegardes régulières des données ;
  • Hébergement chez Hetzner (UE, Allemagne, ISO 27001).

4.3 Sous-traitance ultérieure

Le Sous-Traitant a recours aux sous-traitants ultérieurs suivants, autorisés par le Responsable au moment de la signature :

Sous-traitant Finalité Localisation
Hetzner Online GmbH Hébergement Allemagne (UE)
Stripe Payments Europe Paiements UE / États-Unis (CCT)
Meta Platforms Ireland API Instagram UE / États-Unis (CCT)
Apify Technologies s.r.o Recherche prospects publics UE
Anthropic IA générative (caption, réponses) États-Unis (CCT)
Groq Inc. IA générative (réponses DM) États-Unis (CCT)
Google (Gmail) Emails transactionnels UE / États-Unis (CCT)
IPRoyal (ou équivalent) Proxy résidentiel Variable selon proxy

Toute modification de cette liste fera l'objet d'une notification au Responsable avec un préavis de 30 jours, permettant au Responsable de s'y opposer.

4.4 Assistance au Responsable

Le Sous-Traitant assiste le Responsable pour :

  • Répondre aux demandes d'exercice des droits des personnes concernées ;
  • Notifier toute violation de données dans les 24h suivant sa découverte ;
  • Réaliser, si nécessaire, une Analyse d'Impact (AIPD) ;
  • Consulter la CNIL en cas de doute (art. 36 RGPD).

4.5 Fin du traitement

À la fin du contrat de services, le Sous-Traitant :

  • Restitue ou exporte les données sur demande du Responsable (sous 30 jours) ;
  • Détruit toutes les copies des données dans un délai maximum de 60 jours suivant la fin du contrat, sauf obligations légales contraires (facturation, comptabilité).

ARTICLE 5 — OBLIGATIONS DU RESPONSABLE

Le Responsable s'engage à :

  • Avoir une base légale valide pour les traitements qu'il confie au Sous-Traitant (consentement de ses prospects pour les communications commerciales, intérêt légitime, etc.) ;
  • Avoir informé les personnes concernées du traitement de leurs données ;
  • Documenter ses propres instructions de traitement (notamment via les paramètres du portail) ;
  • Veiller à la conformité de ses pratiques de prospection (respect de l'opt-out, du droit d'opposition) ;
  • Coopérer avec le Sous-Traitant en cas de demande d'exercice de droits ou de violation.

Le Responsable garantit le Sous-Traitant contre tout recours qui résulterait du non-respect par le Responsable de ses obligations RGPD.


ARTICLE 6 — DROITS DES PERSONNES CONCERNÉES

Le Sous-Traitant assiste le Responsable dans le traitement des demandes d'exercice de droits (accès, rectification, effacement, opposition, portabilité, limitation).

Le Responsable reste l'interlocuteur principal des personnes concernées. Le Sous-Traitant lui fournit les éléments techniques nécessaires sous 7 jours ouvrés à compter de la demande.


ARTICLE 7 — VIOLATIONS DE DONNÉES

En cas de violation de données :

  • Le Sous-Traitant notifie le Responsable dans les 24h suivant la prise de connaissance ;
  • La notification comprend : nature de la violation, catégories et nombre de personnes concernées, conséquences probables, mesures prises ou envisagées ;
  • Le Responsable assume la notification à la CNIL et aux personnes concernées si nécessaire (le Sous-Traitant assiste).

ARTICLE 8 — TRANSFERTS HORS UE

Tout transfert de données hors UE est encadré par :

  • Les Clauses Contractuelles Types (CCT) de la Commission européenne ;
  • Le Data Privacy Framework UE-US lorsque le sous-traitant ultérieur y est certifié.

Le Sous-Traitant fournit au Responsable, sur demande, les éléments documentaires attestant de ces transferts (art. 46 RGPD).


ARTICLE 9 — AUDIT

Le Responsable peut, une fois par an et avec un préavis de 30 jours, demander au Sous-Traitant les éléments documentaires nécessaires à la vérification du respect des obligations du présent DPA.

Un audit sur site n'est envisageable qu'en cas de violation grave et fait l'objet d'un protocole spécifique.


ARTICLE 10 — RESPONSABILITÉ

La responsabilité de chaque partie est limitée conformément aux dispositions du contrat principal (CGV applicable).

Le Sous-Traitant n'est responsable qu'en cas de manquement à ses obligations spécifiques de sous-traitant définies par le RGPD et le présent DPA.


ARTICLE 11 — DURÉE ET FIN

Le présent DPA prend effet à la signature du contrat de services Méthode Signal et s'achève à la fin de celui-ci, complété de la période de restitution / destruction des données prévue à l'Article 4.5.


ARTICLE 12 — DROIT APPLICABLE

Le présent DPA est régi par le droit français et le RGPD.


ACCEPTATION

L'acceptation du présent DPA est matérialisée par la case à cocher obligatoire lors de la souscription au service :

« J'ai lu et j'accepte l'Accord de Traitement de Données (DPA) de Méthode Signal. »

Le DPA est accessible à tout moment sur signalpilote.com et exportable au format PDF sur demande.

SignalPilote — Méthode Signal — Fabio Jean-Luc MORETTI
SIRET 105 003 123 00012 · APE 70.22Z · 3 rue du col d'Aspin, 31600 Muret
Mentions légales · CGV Sprint · CGV Implémentation · Confidentialité · DPA