Accord de Traitement des Donnees / Data Processing Agreement

1. Parties et objet

Le present Accord de Traitement des Donnees (ci-apres « DPA ») est conclu entre le Client, en qualite de responsable du traitement, et MossLink S.A.S, societe par actions simplifiee de droit francais, dont le siege social est situe 59 rue de Ponthieu, 75008 Paris, France, en qualite de sous-traitant.

Le present DPA regit le traitement des donnees personnelles effectue par MossLink pour le compte du Client dans le cadre de l'utilisation du service Moston, conformement au Reglement General sur la Protection des Donnees (RGPD, Reglement UE 2016/679) et a la loi Informatique et Libertes.

2. Definitions

Au sens du present accord :

• Donnees personnelles : toute information relative a une personne physique identifiee ou identifiable, telle que definie a l'article 4(1) du RGPD.
• Traitement : toute operation effectuee sur des donnees personnelles, telle que definie a l'article 4(2) du RGPD.
• Responsable du traitement : le Client, qui determine les finalites et les moyens du traitement.
• Sous-traitant : MossLink S.A.S, qui traite les donnees pour le compte du Client.
• Service : la plateforme Moston accessible sur app.moston.app et moston.app.

3. Nature et finalite du traitement

MossLink traite les donnees personnelles uniquement pour fournir le service Moston au Client. Le traitement comprend :

• Le stockage et la gestion des donnees de compte et de profil des utilisateurs.
• Le traitement des donnees manageriales saisies par le Client (notes, actions, engagements, objectifs).
• La transmission de contexte aux modeles d'intelligence artificielle pour generer des briefs, extractions et suggestions.
• L'envoi d'emails transactionnels (notifications de compte, confirmations).
• La gestion des integrations tierces activees par le Client (Google Calendar, GitHub, GitLab, Jira, Linear).

Le traitement est effectue pour la duree du contrat de service entre le Client et MossLink.

4. Categories de donnees traitees

MossLink traite les categories de donnees suivantes pour le compte du Client :

• Donnees d'identification : nom, prenom, adresse email des utilisateurs du compte Client.
• Donnees professionnelles : role, taille d'equipe, domaine d'activite, profils des membres d'equipe.
• Donnees de contenu managérial : notes de reunions, actions, engagements, sujets, projets, objectifs (OKR).
• Donnees d'integration : evenements de calendrier, activite de code (commits, pull requests), tickets de gestion de projet, si les integrations sont activees par le Client.
• Donnees techniques : adresses IP, logs d'acces, identifiants de session, type de navigateur.

5. Obligations du sous-traitant

MossLink s'engage a :

• Traiter les donnees personnelles uniquement sur instruction documentee du Client, sauf obligation legale contraire.
• Garantir la confidentialite des donnees personnelles traitees et s'assurer que les personnes autorisees a traiter ces donnees sont soumises a une obligation de confidentialite appropriee.
• Mettre en oeuvre les mesures techniques et organisationnelles appropriees visees a l'article 6 du present accord.
• Ne pas recruter un autre sous-traitant sans autorisation prealable ecrite du Client, sous reserve des dispositions de l'article 8.
• Assister le Client dans l'accomplissement de son obligation de donner suite aux demandes d'exercice des droits des personnes concernees.
• Aider le Client a garantir le respect des obligations relatives a la securite, la notification de violations, l'analyse d'impact et la consultation prealable.
• Supprimer ou restituer au Client toutes les donnees personnelles a l'issue de la prestation de services, et supprimer les copies existantes, a moins que le droit applicable n'exige la conservation.

6. Obligations du responsable du traitement

Le Client s'engage a :

• Avoir une base juridique valide pour chaque traitement de donnees personnelles confie a MossLink.
• Informer les personnes concernees du traitement de leurs donnees personnelles, conformement aux articles 13 et 14 du RGPD.
• S'assurer que les donnees personnelles transmises a MossLink sont exactes et a jour.
• Notifier MossLink sans delai de toute modification des instructions de traitement.
• Ne pas instruire MossLink d'effectuer des traitements illicites ou contraires au RGPD.

7. Mesures de securite

MossLink met en oeuvre et maintient les mesures techniques et organisationnelles suivantes :

• Chiffrement en transit : toutes les communications sont chiffrees via TLS 1.2 minimum.
• Chiffrement au repos : les donnees stockees sont chiffrees avec AES-256.
• Controle d'acces : acces limite aux donnees par politiques de securite au niveau des lignes (Row Level Security), isolation des donnees par organisation.
• Authentification : authentification securisee avec gestion des sessions et expiration automatique.
• Sauvegardes : sauvegardes quotidiennes, chiffrees, stockees dans la region EU.
• Infrastructure : hebergement en Union europeenne (region EU Frankfurt via Supabase / AWS).

MossLink met a jour ses mesures de securite en fonction de l'evolution des menaces et des meilleures pratiques du secteur.

8. Violations de donnees

En cas de violation de donnees personnelles au sens de l'article 4(12) du RGPD, MossLink s'engage a :

• Notifier le Client sans delai indu et, dans la mesure du possible, au plus tard 72 heures apres en avoir pris connaissance.
• Fournir toutes les informations disponibles pour permettre au Client de remplir ses obligations de notification aupres de l'autorite de controle competente.
• Cooperer pleinement avec le Client pour remedier a la violation et limiter ses effets.

La notification est adressee a l'adresse email associee au compte Client ou, si elle est connue, a l'adresse du responsable de la protection des donnees du Client.

9. Sous-traitants ulterieurs

Le Client autorise MossLink a faire appel aux sous-traitants ulterieurs suivants, dont la liste est tenue a jour sur moston.app/security :

MossLink informe le Client de tout changement prevu concernant l'ajout ou le remplacement de sous-traitants ulterieurs, laissant au Client la possibilite d'emettre des objections. MossLink impose aux sous-traitants ulterieurs des obligations equivalentes en matiere de protection des donnees.

10. Transferts hors EEE

Certains sous-traitants ulterieurs (Anthropic, Stripe, Resend) sont situes hors de l'Espace Economique Europeen. Ces transferts sont encadres par les clauses contractuelles types (CCT) adoptees par la Commission europeenne (Decision 2021/914), qui constituent une garantie appropriee au sens de l'article 46 du RGPD.

MossLink s'assure que tout transfert hors EEE est accompagne des garanties appropriees et peut en justifier sur demande du Client.

11. Droits des personnes concernees

MossLink s'engage a assister le Client dans le respect des droits des personnes concernees : droit d'acces, de rectification, d'effacement, de limitation, a la portabilite et d'opposition.

MossLink transmet au Client, dans les meilleurs delais, toute demande recue directement d'une personne concernee relative au traitement des donnees du Client, sans y donner suite elle-meme sauf instruction contraire du Client.

12. Duree et fin du traitement

Le present DPA est conclu pour la duree du contrat de service. A l'expiration ou a la resiliation du contrat :

• Les donnees actives sont conservees en lecture seule pendant 60 jours pour permettre leur exportation.
• A l'issue de ce delai, toutes les donnees personnelles sont supprimees de maniere irreversible.
• Exception : les donnees de facturation sont conservees 10 ans conformement aux obligations legales francaises.

Sur demande expresse du Client, MossLink peut fournir une attestation de suppression des donnees.

13. Droit applicable et juridiction

Le present DPA est soumis au droit francais et au RGPD. Tout litige relatif au present accord sera soumis a la competence exclusive des tribunaux competents du ressort du siege social de MossLink S.A.S, apres tentative de resolution amiable.

Pour toute question relative au present DPA : privacy@contact.moston.app

1. Parties and subject matter

This Data Processing Agreement (hereinafter "DPA") is entered into between the Customer, acting as data controller, and MossLink S.A.S, a French simplified joint-stock company (societe par actions simplifiee), with registered office at 59 rue de Ponthieu, 75008 Paris, France, acting as data processor.

This DPA governs the processing of personal data carried out by MossLink on behalf of the Customer in connection with the use of the Moston service, in accordance with the General Data Protection Regulation (GDPR, EU Regulation 2016/679) and applicable national data protection law.

2. Definitions

For the purposes of this agreement:

• Personal data: any information relating to an identified or identifiable natural person, as defined in Article 4(1) of the GDPR.
• Processing: any operation performed on personal data, as defined in Article 4(2) of the GDPR.
• Controller: the Customer, who determines the purposes and means of processing.
• Processor: MossLink S.A.S, which processes data on behalf of the Customer.
• Service: the Moston platform accessible at app.moston.app and moston.app.

3. Nature and purpose of processing

MossLink processes personal data solely to provide the Moston service to the Customer. Processing includes:

• Storing and managing account and user profile data.
• Processing managerial data entered by the Customer (notes, actions, commitments, objectives).
• Transmitting context to artificial intelligence models to generate briefs, extractions, and suggestions.
• Sending transactional emails (account notifications, confirmations).
• Managing third-party integrations activated by the Customer (Google Calendar, GitHub, GitLab, Jira, Linear).

Processing is carried out for the duration of the service agreement between the Customer and MossLink.

4. Categories of data processed

MossLink processes the following categories of data on behalf of the Customer:

• Identification data: name, surname, and email address of Customer account users.
• Professional data: role, team size, activity domain, team member profiles.
• Managerial content data: meeting notes, actions, commitments, topics, projects, objectives (OKRs).
• Integration data: calendar events, code activity (commits, pull requests), project management tickets, if integrations are activated by the Customer.
• Technical data: IP addresses, access logs, session identifiers, browser type.

5. Obligations of the processor

MossLink undertakes to:

• Process personal data only on documented instructions from the Customer, unless required by applicable law.
• Ensure the confidentiality of personal data processed and ensure that persons authorised to process such data are subject to an appropriate obligation of confidentiality.
• Implement the appropriate technical and organisational measures referred to in Article 7 of this agreement.
• Not engage another sub-processor without prior written authorisation from the Customer, subject to the provisions of Article 9.
• Assist the Customer in fulfilling its obligation to respond to requests for the exercise of data subjects' rights.
• Help the Customer ensure compliance with obligations relating to security, breach notification, impact assessments, and prior consultation.
• Delete or return to the Customer all personal data upon termination of services, and delete existing copies, unless applicable law requires their retention.

6. Obligations of the controller

The Customer undertakes to:

• Have a valid legal basis for each processing of personal data entrusted to MossLink.
• Inform data subjects of the processing of their personal data, in accordance with Articles 13 and 14 of the GDPR.
• Ensure that personal data transmitted to MossLink is accurate and up to date.
• Notify MossLink without delay of any change to processing instructions.
• Not instruct MossLink to carry out unlawful or GDPR-incompatible processing.

7. Security measures

MossLink implements and maintains the following technical and organisational measures:

• Encryption in transit: all communications are encrypted using TLS 1.2 or higher.
• Encryption at rest: stored data is encrypted using AES-256.
• Access control: data access is restricted through Row Level Security policies and per-organisation data isolation.
• Authentication: secure authentication with session management and automatic expiry.
• Backups: daily backups, encrypted, stored in the EU region.
• Infrastructure: hosted in the European Union (EU Frankfurt region via Supabase / AWS).

MossLink updates its security measures in line with evolving threats and industry best practices.

8. Data breaches

In the event of a personal data breach within the meaning of Article 4(12) of the GDPR, MossLink undertakes to:

• Notify the Customer without undue delay and, where possible, no later than 72 hours after becoming aware of it.
• Provide all available information to enable the Customer to fulfil its notification obligations to the competent supervisory authority.
• Cooperate fully with the Customer to remedy the breach and limit its effects.

Notification is sent to the email address associated with the Customer account or, if known, to the Customer's data protection officer.

9. Sub-processors

The Customer authorises MossLink to engage the following sub-processors, the current list of which is maintained at moston.app/security:

MossLink will inform the Customer of any intended changes regarding the addition or replacement of sub-processors, giving the Customer the opportunity to object. MossLink imposes equivalent data protection obligations on sub-processors.

10. Transfers outside the EEA

Certain sub-processors (Anthropic, Stripe, Resend) are located outside the European Economic Area. These transfers are governed by the Standard Contractual Clauses (SCCs) adopted by the European Commission (Decision 2021/914), which constitute an appropriate safeguard within the meaning of Article 46 of the GDPR.

MossLink ensures that any transfer outside the EEA is accompanied by appropriate safeguards and can demonstrate this on request from the Customer.

11. Data subject rights

MossLink undertakes to assist the Customer in fulfilling data subjects' rights: right of access, rectification, erasure, restriction, portability, and objection.

MossLink will forward to the Customer, as promptly as possible, any request received directly from a data subject in relation to the processing of Customer data, without acting on it unless otherwise instructed by the Customer.

12. Term and termination

This DPA is entered into for the duration of the service agreement. Upon expiry or termination of the agreement:

• Active data is retained in read-only mode for 60 days to allow export.
• After this period, all personal data is irreversibly deleted.
• Exception: billing data is retained for 10 years in accordance with French legal obligations.

Upon express request from the Customer, MossLink may provide a certificate of data deletion.

13. Governing law and jurisdiction

This DPA is governed by French law and the GDPR. Any dispute arising from this agreement shall be subject to the exclusive jurisdiction of the courts competent in the district of MossLink S.A.S's registered office, after an attempt at amicable resolution.

For any questions regarding this DPA: privacy@contact.moston.app