Accord de Traitement des Donnees / Data Processing Agreement

Versione 1.0 · 1 aprile 2026

Scarica DPA (PDF)

1. Parties et objet

Le present Accord de Traitement des Donnees (ci-apres « DPA ») est conclu entre le Client, en qualite de responsable du traitement, et MossLink S.A.S, societe par actions simplifiee de droit francais, dont le siege social est situe 59 rue de Ponthieu, 75008 Paris, France, en qualite de sous-traitant.

Le present DPA regit le traitement des donnees personnelles effectue par MossLink pour le compte du Client dans le cadre de l'utilisation du service Moston, conformement au RGPD.

2. Definitions

Au sens du present accord :

  • Donnees personnelles : toute information relative a une personne physique identifiee ou identifiable.
  • Traitement : toute operation effectuee sur des donnees personnelles.
  • Responsable du traitement : le Client.
  • Sous-traitant : MossLink S.A.S.
  • Service : la plateforme Moston accessible sur app.moston.app et moston.app.

3. Nature et finalite du traitement

MossLink traite les donnees personnelles uniquement pour fournir le service Moston au Client.

  • Le stockage et la gestion des donnees de compte et de profil.
  • Le traitement des donnees manageriales saisies par le Client.
  • La transmission de contexte aux modeles d'IA.
  • L'envoi d'emails transactionnels.
  • La gestion des integrations tierces.

Le traitement est effectue pour la duree du contrat.

4. Categories de donnees traitees

MossLink traite les categories suivantes :

  • Donnees d'identification : nom, prenom, email.
  • Donnees professionnelles : role, taille d'equipe.
  • Donnees de contenu managérial : notes, actions, engagements, objectifs.
  • Donnees d'integration : calendrier, code, tickets.
  • Donnees techniques : IP, logs, sessions.

5. Obligations du sous-traitant

MossLink s'engage a :

  • Traiter uniquement sur instruction du Client.
  • Garantir la confidentialite.
  • Mettre en oeuvre les mesures de securite.
  • Ne pas sous-traiter sans autorisation.
  • Assister dans les droits des personnes concernees.
  • Aider dans les obligations de securite et notification.
  • Supprimer les donnees a l'issue de la prestation.

6. Obligations du responsable

Le Client s'engage a :

  • Avoir une base juridique valide.
  • Informer les personnes concernees.
  • S'assurer de l'exactitude des donnees.
  • Notifier MossLink de toute modification.
  • Ne pas instruire de traitements illicites.

7. Mesures de securite

MossLink maintient :

  • Chiffrement en transit : TLS 1.2+.
  • Chiffrement au repos : AES-256.
  • Controle d'acces : Row Level Security.
  • Authentification securisee.
  • Sauvegardes quotidiennes, region EU.
  • Infrastructure : EU Frankfurt.

MossLink met a jour ses mesures regulierement.

8. Violations de donnees

En cas de violation, MossLink s'engage a :

  • Notifier sans delai indu, au plus tard 72 heures.
  • Fournir les informations necessaires.
  • Cooperer pour remedier.

Notification a l'email du compte Client.

9. Sous-traitants ulterieurs

Sous-traitants autorises (liste sur moston.app/security) :

Sous-traitantRoleLocalisationCertification
SupabaseHebergement BDDEU (Frankfurt)SOC 2 Type II
AnthropicGeneration IAUSAZero data retention
StripePaiementsUSA/EUPCI-DSS Level 1
ResendEmails transactionnelsUSASOC 2 Type II

MossLink informe le Client de tout changement prevu.

10. Transferts hors EEE

Certains sous-traitants sont hors EEE, encadres par les CCT de la Commission europeenne (Decision 2021/914).

MossLink garantit les transferts avec les garanties appropriees.

11. Droits des personnes concernees

MossLink assiste le Client dans les droits : acces, rectification, effacement, limitation, portabilite, opposition.

MossLink transmet au Client toute demande directe d'une personne concernee.

12. Duree et fin du traitement

A l'expiration du contrat :

  • Donnees en lecture seule pendant 60 jours.
  • Puis supprimees irreversiblement.
  • Exception : facturation conservee 10 ans.

Attestation de suppression disponible sur demande.

13. Droit applicable

Le DPA est soumis au droit francais et au RGPD.

Pour toute question : privacy@contact.moston.app

English version below

1. Parties and subject matter

This Data Processing Agreement ("DPA") is entered into between the Customer, as data controller, and MossLink S.A.S, a French company with registered office at 59 rue de Ponthieu, 75008 Paris, France, as data processor.

This DPA governs the processing of personal data carried out by MossLink on behalf of the Customer under the Moston service, in accordance with the GDPR.

2. Definitions

For the purposes of this agreement:

  • Personal data: any information relating to an identifiable natural person.
  • Processing: any operation performed on personal data.
  • Controller: the Customer.
  • Processor: MossLink S.A.S.
  • Service: the Moston platform at app.moston.app and moston.app.

3. Nature and purpose of processing

MossLink processes personal data solely to provide the Moston service. Processing includes:

  • Storing and managing account and user profile data.
  • Processing managerial data entered by the Customer.
  • Transmitting context to AI models.
  • Sending transactional emails.
  • Managing third-party integrations.

Processing is for the duration of the service agreement.

4. Categories of data processed

MossLink processes the following on behalf of the Customer:

  • Identification data: name and email of users.
  • Professional data: role, team size.
  • Managerial content: notes, actions, objectives.
  • Integration data: calendar, code, tickets.
  • Technical data: IP, logs, sessions.

5. Obligations of the processor

MossLink undertakes to:

  • Process data only on Customer instructions.
  • Ensure data confidentiality.
  • Implement security measures.
  • Not engage sub-processors without authorisation.
  • Assist with data subject rights.
  • Help with security and breach notification.
  • Delete data upon service termination.

6. Obligations of the controller

The Customer undertakes to:

  • Have a valid legal basis for processing.
  • Inform data subjects.
  • Ensure data accuracy.
  • Notify MossLink of instruction changes.
  • Not instruct unlawful processing.

7. Security measures

MossLink implements and maintains:

  • Encryption in transit: TLS 1.2+.
  • Encryption at rest: AES-256.
  • Access control: Row Level Security.
  • Authentication: secure with session management.
  • Backups: daily, encrypted, EU region.
  • Infrastructure: EU Frankfurt.

MossLink updates security measures regularly.

8. Data breaches

In the event of a breach, MossLink undertakes to:

  • Notify the Customer without undue delay, within 72 hours.
  • Provide all available information.
  • Cooperate to remedy the breach.

Notification sent to the Customer account email.

9. Sub-processors

Authorised sub-processors (list at moston.app/security):

Sub-processorRoleLocationCertification
SupabaseDatabase hostingEU (Frankfurt)SOC 2 Type II
AnthropicAI generationUSAZero data retention
StripePaymentsUSA/EUPCI-DSS Level 1
ResendTransactional emailsUSASOC 2 Type II

MossLink will inform the Customer of sub-processor changes.

10. Transfers outside the EEA

Certain sub-processors are outside the EEA, governed by SCCs (European Commission Decision 2021/914).

MossLink ensures appropriate safeguards for all transfers.

11. Data subject rights

MossLink assists the Customer with data subjects' rights: access, rectification, erasure, restriction, portability, and objection.

MossLink forwards direct data subject requests to the Customer.

12. Term and termination

Upon termination of the service agreement:

  • Data retained read-only for 60 days.
  • Then irreversibly deleted.
  • Exception: billing data retained 10 years.

Certificate of deletion available upon request.

13. Governing law

This DPA is governed by French law and the GDPR.

For questions: privacy@contact.moston.app

Firme

Titolare del trattamento

Il Cliente

Firma

Data

Responsabile del trattamento

MossLink S.A.S

Firma

Data