Accord de Traitement des Donnees / Data Processing Agreement

1. Parties et objet

Le present Accord de Traitement des Donnees (ci-apres « DPA ») est conclu entre le Client, en qualite de responsable du traitement, et MossLink S.A.S, societe par actions simplifiee de droit francais, dont le siege social est situe 59 rue de Ponthieu, 75008 Paris, France, en qualite de sous-traitant.

Le present DPA regit le traitement des donnees personnelles effectue par MossLink pour le compte du Client dans le cadre de l'utilisation du service Moston, conformement au RGPD.

2. Definitions

Au sens du present accord :

• Donnees personnelles : toute information relative a une personne physique identifiee ou identifiable.
• Traitement : toute operation effectuee sur des donnees personnelles.
• Responsable du traitement : le Client.
• Sous-traitant : MossLink S.A.S.
• Service : la plateforme Moston accessible sur app.moston.app et moston.app.

3. Nature et finalite du traitement

MossLink traite les donnees personnelles uniquement pour fournir le service Moston au Client. Le traitement comprend :

• Le stockage et la gestion des donnees de compte et de profil des utilisateurs.
• Le traitement des donnees manageriales saisies par le Client.
• La transmission de contexte aux modeles d'IA pour generer des briefs, extractions et suggestions.
• L'envoi d'emails transactionnels.
• La gestion des integrations tierces activees par le Client.

Le traitement est effectue pour la duree du contrat de service.

4. Categories de donnees traitees

MossLink traite les categories de donnees suivantes pour le compte du Client :

• Donnees d'identification : nom, prenom, adresse email des utilisateurs.
• Donnees professionnelles : role, taille d'equipe, domaine d'activite.
• Donnees de contenu managérial : notes, actions, engagements, sujets, projets, objectifs.
• Donnees d'integration : evenements de calendrier, activite de code, tickets.
• Donnees techniques : adresses IP, logs d'acces, identifiants de session.

5. Obligations du sous-traitant

MossLink s'engage a :

• Traiter les donnees uniquement sur instruction du Client.
• Garantir la confidentialite des donnees.
• Mettre en oeuvre les mesures de securite appropriees.
• Ne pas sous-traiter sans autorisation du Client.
• Assister le Client dans les droits des personnes concernees.
• Aider le Client dans ses obligations de securite et notification.
• Supprimer les donnees a l'issue de la prestation.

6. Obligations du responsable du traitement

Le Client s'engage a :

• Avoir une base juridique valide pour chaque traitement.
• Informer les personnes concernees.
• S'assurer que les donnees transmises sont exactes.
• Notifier MossLink de toute modification des instructions.
• Ne pas instruire MossLink d'effectuer des traitements illicites.

7. Mesures de securite

MossLink met en oeuvre et maintient les mesures suivantes :

• Chiffrement en transit : TLS 1.2 minimum.
• Chiffrement au repos : AES-256.
• Controle d'acces : Row Level Security, isolation des donnees par organisation.
• Authentification securisee avec gestion des sessions.
• Sauvegardes quotidiennes, chiffrees, region EU.
• Infrastructure : hebergement en Union europeenne (Frankfurt).

MossLink met a jour ses mesures en fonction des menaces et des meilleures pratiques.

8. Violations de donnees

En cas de violation, MossLink s'engage a :

• Notifier le Client sans delai indu, au plus tard 72 heures apres en avoir pris connaissance.
• Fournir les informations disponibles pour les obligations de notification.
• Cooperer pour remedier a la violation.

La notification est adressee a l'adresse email du compte Client.

9. Sous-traitants ulterieurs

Le Client autorise MossLink a faire appel aux sous-traitants suivants (liste maintenue sur moston.app/security) :

MossLink informe le Client de tout changement prevu et impose des obligations equivalentes aux sous-traitants.

10. Transferts hors EEE

Certains sous-traitants sont situes hors EEE. Ces transferts sont encadres par les clauses contractuelles types (CCT) de la Commission europeenne (Decision 2021/914).

MossLink s'assure que tout transfert est accompagne des garanties appropriees.

11. Droits des personnes concernees

MossLink assiste le Client dans le respect des droits des personnes concernees : acces, rectification, effacement, limitation, portabilite et opposition.

MossLink transmet au Client toute demande recue directement d'une personne concernee.

12. Duree et fin du traitement

Le DPA est conclu pour la duree du contrat. A l'expiration :

• Donnees conservees en lecture seule pendant 60 jours.
• Puis supprimees de maniere irreversible.
• Exception : donnees de facturation conservees 10 ans.

MossLink peut fournir une attestation de suppression sur demande.

13. Droit applicable et juridiction

Le DPA est soumis au droit francais et au RGPD. Tout litige sera soumis aux tribunaux competents du siege de MossLink S.A.S.

Pour toute question : privacy@contact.moston.app

1. Parties and subject matter

This Data Processing Agreement (hereinafter "DPA") is entered into between the Customer, acting as data controller, and MossLink S.A.S, a French simplified joint-stock company, with registered office at 59 rue de Ponthieu, 75008 Paris, France, acting as data processor.

This DPA governs the processing of personal data carried out by MossLink on behalf of the Customer in connection with the use of the Moston service, in accordance with the GDPR (EU Regulation 2016/679).

2. Definitions

For the purposes of this agreement:

• Personal data: any information relating to an identified or identifiable natural person.
• Processing: any operation performed on personal data.
• Controller: the Customer.
• Processor: MossLink S.A.S.
• Service: the Moston platform accessible at app.moston.app and moston.app.

3. Nature and purpose of processing

MossLink processes personal data solely to provide the Moston service to the Customer. Processing includes:

• Storing and managing account and user profile data.
• Processing managerial data entered by the Customer.
• Transmitting context to AI models to generate briefs, extractions, and suggestions.
• Sending transactional emails.
• Managing third-party integrations activated by the Customer.

Processing is carried out for the duration of the service agreement.

4. Categories of data processed

MossLink processes the following categories of data on behalf of the Customer:

• Identification data: name, surname, and email address of users.
• Professional data: role, team size, activity domain.
• Managerial content data: notes, actions, commitments, topics, projects, objectives.
• Integration data: calendar events, code activity, project tickets.
• Technical data: IP addresses, access logs, session identifiers.

5. Obligations of the processor

MossLink undertakes to:

• Process data only on documented instructions from the Customer.
• Ensure the confidentiality of data processed.
• Implement appropriate technical and organisational security measures.
• Not engage sub-processors without prior written authorisation.
• Assist the Customer in responding to data subject rights requests.
• Help the Customer fulfil security and breach notification obligations.
• Delete data upon termination of the service.

6. Obligations of the controller

The Customer undertakes to:

• Have a valid legal basis for each processing of personal data.
• Inform data subjects of the processing.
• Ensure data transmitted to MossLink is accurate and up to date.
• Notify MossLink without delay of any change to processing instructions.
• Not instruct MossLink to carry out unlawful processing.

7. Security measures

MossLink implements and maintains the following measures:

• Encryption in transit: TLS 1.2 or higher.
• Encryption at rest: AES-256.
• Access control: Row Level Security, per-organisation data isolation.
• Authentication: secure with session management and automatic expiry.
• Backups: daily, encrypted, EU region.
• Infrastructure: hosted in the EU (Frankfurt).

MossLink updates its security measures in line with evolving threats.

8. Data breaches

In the event of a personal data breach, MossLink undertakes to:

• Notify the Customer without undue delay, no later than 72 hours after becoming aware.
• Provide all available information for notification obligations.
• Cooperate fully to remedy the breach.

Notification is sent to the email address associated with the Customer account.

9. Sub-processors

The Customer authorises MossLink to engage the following sub-processors (list maintained at moston.app/security):

MossLink will inform the Customer of any sub-processor changes and imposes equivalent obligations on sub-processors.

10. Transfers outside the EEA

Certain sub-processors are located outside the EEA. These transfers are governed by Standard Contractual Clauses (SCCs) adopted by the European Commission (Decision 2021/914).

MossLink ensures all transfers are accompanied by appropriate safeguards.

11. Data subject rights

MossLink assists the Customer in fulfilling data subjects' rights: access, rectification, erasure, restriction, portability, and objection.

MossLink forwards to the Customer any request received directly from a data subject.

12. Term and termination

This DPA is entered into for the duration of the service agreement. Upon termination:

• Data retained in read-only mode for 60 days for export.
• Then irreversibly deleted.
• Exception: billing data retained for 10 years.

MossLink may provide a certificate of data deletion upon request.

13. Governing law and jurisdiction

This DPA is governed by French law and the GDPR. Disputes shall be subject to the exclusive jurisdiction of the courts in MossLink S.A.S's registered office district.

For any questions: privacy@contact.moston.app