Accord de Traitement des Données / Data Processing Agreement

1. Parties et objet

Le présent Accord de Traitement des Données (ci-après « DPA ») est conclu entre le Client, en qualité de responsable du traitement, et MossLink S.A.S, société par actions simplifiée de droit français, dont le siège social est situé 59 rue de Ponthieu, 75008 Paris, France, en qualité de sous-traitant.

Le présent DPA régit le traitement des données personnelles effectué par MossLink pour le compte du Client dans le cadre de l'utilisation du service Moston, conformément au Règlement Général sur la Protection des Données (RGPD, Règlement UE 2016/679) et à la loi Informatique et Libertes.

2. Definitions

Au sens du présent accord :

• Données personnelles : toute information relative a une personne physique identifiée ou identifiable, telle que définie à l'article 4(1) du RGPD.
• Traitement : toute operation effectuée sur des données personnelles, telle que définie à l'article 4(2) du RGPD.
• Responsable du traitement : le Client, qui determine les finalites et les moyens du traitement.
• Sous-traitant : MossLink S.A.S, qui traite les données pour le compte du Client.
• Service : la plateforme Moston accèssible sur app.moston.app et moston.app.

3. Nature et finalite du traitement

MossLink traite les données personnelles uniquement pour fournir le service Moston au Client. Le traitement comprend :

• Le stockage et la gestion des données de compte et de profil des utilisateurs.
• Le traitement des données manageriales saisies par le Client (notes, actions, engagements, objectifs).
• La transmission de contexte aux modeles d'intelligence artificielle pour generer des briefs, extractions et suggestions.
• L'envoi d'emails transactionnels (notifications de compte, confirmations).
• La gestion des integrations tierces activees par le Client (Google Calendar, GitHub, GitLab, Jira, Linear).

Le traitement est effectué pour la durée du contrat de service entre le Client et MossLink.

4. Catégories de données traitees

MossLink traite les catégories de données suivantes pour le compte du Client :

• Données d'identification : nom, prenom, adresse email des utilisateurs du compte Client.
• Données professionnelles : role, taille d'equipe, domaine d'activite, profils des membres d'equipe.
• Données de contenu managérial : notes de reunions, actions, engagements, sujets, projets, objectifs (OKR).
• Données d'integration : evenements de calendrier, activite de code (commits, pull requests), tickets de gestion de projet, si les integrations sont activees par le Client.
• Données techniques : adresses IP, logs d'accès, identifiants de session, type de navigateur.

5. Obligations du sous-traitant

MossLink s'engage a :

• Traiter les données personnelles uniquement sur instruction documentee du Client, sauf obligation legale contraire.
• Garantir la confidentialité des données personnelles traitees et s'assurer que les personnes autorisées a traiter ces données sont soumises a une obligation de confidentialité appropriee.
• Mettre en oeuvre les mesures techniques et organisationnelles appropriees visees à l'article 6 du présent accord.
• Ne pas recruter un autre sous-traitant sans autorisation prealable écrite du Client, sous reserve des dispositions de l'article 8.
• Assister le Client dans l'accomplissement de son obligation de donner suite aux demandes d'exercice des droits des personnes concernées.
• Aider le Client a garantir le respect des obligations relatives a la sécurité, la notification de violations, l'analyse d'impact et la consultation prealable.
• Supprimer ou restituer au Client toutes les données personnelles a l'issue de la prestation de services, et supprimer les copies existantes, à moins que le droit applicable n'exigé la conservation.

6. Obligations du responsable du traitement

Le Client s'engage a :

• Avoir une base juridique valide pour chaque traitement de données personnelles confie a MossLink.
• Informér les personnes concernées du traitement de leurs données personnelles, conformément aux articles 13 et 14 du RGPD.
• S'assurer que les données personnelles transmises a MossLink sont exactes et a jour.
• Notifiér MossLink sans delai de toute modification des instructions de traitement.
• Ne pas instruire MossLink d'effectuér des traitements illicites ou contraires au RGPD.

7. Mesures de sécurité

MossLink met en oeuvre et maintient les mesures techniques et organisationnelles suivantes :

• Chiffrement en transit : toutes les communications sont chiffrees via TLS 1.2 minimum.
• Chiffrement au repos : les données stockees sont chiffrees avec AES-256.
• Controle d'accès : accès limite aux données par politiques de sécurité au niveau des lignes (Row Level Security), isolation des données par organisation.
• Authentification : authentification securisee avec gestion des sessions et expiration automatique.
• Sauvegardes : sauvegardes quotidiennes, chiffrees, stockees dans la region EU.
• Infrastructure : hebergement en Union europeenne (region EU Frankfurt via Supabase / AWS).

MossLink met a jour ses mesures de sécurité en fonction de l'evolution des menaces et des meilleures pratiques du secteur.

8. Violations de données

En cas de violation de données personnelles au sens de l'article 4(12) du RGPD, MossLink s'engage a :

• Notifiér le Client sans delai indu et, dans la mesure du possible, au plus tard 72 heures après en avoir pris connaissance.
• Fournir toutes les informations disponibles pour permettre au Client de remplir ses obligations de notification auprès de l'autorite de controle competente.
• Cooperer pleinement avec le Client pour remedier a la violation et limiter ses effets.

La notification est adressee a l'adresse email associee au compte Client ou, si elle est connue, a l'adresse du responsable de la protection des données du Client.

9. Sous-traitants ulterieurs

Le Client autorisé MossLink a faire appel aux sous-traitants ulterieurs suivants, dont la liste est tenue a jour sur moston.app/security :

MossLink informé le Client de tout changement prévu concernant l'ajout ou le remplacement de sous-traitants ulterieurs, laissant au Client la possibilite d'emettre des objections. MossLink impose aux sous-traitants ulterieurs des obligations equivalentes en matiere de protection des données.

10. Transferts hors EEE

Certains sous-traitants ulterieurs (Anthropic, Stripe, Resend) sont situés hors de l'Espace Economique Europeen. Ces transferts sont encadres par les clauses contractuelles types (CCT) adoptees par la Commission europeenne (Decision 2021/914), qui constituent une garantie appropriee au sens de l'article 46 du RGPD.

MossLink s'assure que tout transfert hors EEE est accompagne des garanties appropriees et peut en justifier sur demande du Client.

11. Droits des personnes concernées

MossLink s'engage a assister le Client dans le respect des droits des personnes concernées : droit d'accès, de rectification, d'effacement, de limitation, a la portabilite et d'opposition.

MossLink transmet au Client, dans les meilleurs delais, toute demande recue directement d'une personne concernée relative au traitement des données du Client, sans y donner suite elle-meme sauf instruction contraire du Client.

12. Durée et fin du traitement

Le présent DPA est conclu pour la durée du contrat de service. A l'expiration ou a la résiliation du contrat :

• Les données actives sont conservées en lecture seule pendant 60 jours pour permettre leur exportation.
• A l'issue de ce delai, toutes les données personnelles sont supprimees de maniere irreversible.
• Exception : les données de facturation sont conservées 10 ans conformément aux obligations legales françaises.

Sur demande expresse du Client, MossLink peut fournir une attestation de suppression des données.

13. Droit applicable et juridiction

Le présent DPA est soumis au droit français et au RGPD. Tout litige relatif au présent accord sera soumis a la competence exclusive des tribunaux competents du ressort du siège social de MossLink S.A.S, après tentative de résolution amiable.

Pour toute question relative au présent DPA : privacy@contact.moston.app

1. Parties and subject matter

This Data Processing Agreement (hereinafter "DPA") is entered into between the Customer, acting as data controller, and MossLink S.A.S, a French simplifiéd joint-stock company (société par actions simplifiée), with registered office at 59 rue de Ponthieu, 75008 Paris, France, acting as data processor.

This DPA governs the processing of personal data carried out by MossLink on behalf of the Customer in connection with the use of the Moston service, in accordance with the Général Data Protection Regulation (GDPR, EU Regulation 2016/679) and applicable national data protection law.

2. Definitions

For the purposes of this agreement:

• Personal data: any information relating to an identifiéd or identifiable natural person, as defined in Article 4(1) of the GDPR.
• Processing: any operation performed on personal data, as defined in Article 4(2) of the GDPR.
• Controller: the Customer, who determines the purposes and means of processing.
• Processor: MossLink S.A.S, which processes data on behalf of the Customer.
• Service: the Moston platform accèssible at app.moston.app and moston.app.

3. Nature and purpose of processing

MossLink processes personal data solely to provide the Moston service to the Customer. Processing includes:

• Storing and managing account and user profile data.
• Processing managerial data entered by the Customer (notes, actions, commitments, objectives).
• Transmitting context to artificial intelligence models to generate briefs, extractions, and suggestions.
• Sending transactional emails (account notifications, confirmations).
• Managing third-party integrations activated by the Customer (Google Calendar, GitHub, GitLab, Jira, Linear).

Processing is carried out for the duration of the service agreement between the Customer and MossLink.

4. Catégories of data processed

MossLink processes the following catégories of data on behalf of the Customer:

• Identification data: name, surname, and email address of Customer account users.
• Professional data: role, team size, activity domain, team member profiles.
• Managerial content data: meeting notes, actions, commitments, topics, projects, objectives (OKRs).
• Integration data: calendar events, code activity (commits, pull requests), project management tickets, if integrations are activated by the Customer.
• Technical data: IP addresses, accèss logs, session identifiérs, browser type.

5. Obligations of the processor

MossLink undertakes to:

• Process personal data only on documented instructions from the Customer, unless required by applicable law.
• Ensure the confidentiality of personal data processed and ensure that persons authorised to process such data are subject to an appropriate obligation of confidentiality.
• Implement the appropriate technical and organisational measures referred to in Article 7 of this agreement.
• Not engage another sub-processor without prior written authorisation from the Customer, subject to the provisions of Article 9.
• Assist the Customer in fulfilling its obligation to respond to requests for the exercise of data subjects' rights.
• Help the Customer ensure compliance with obligations relating to security, breach notification, impact assessments, and prior consultation.
• Delete or return to the Customer all personal data upon termination of services, and delete existing copies, unless applicable law requires their retention.

6. Obligations of the controller

The Customer undertakes to:

• Have a valid legal basis for each processing of personal data entrusted to MossLink.
• Inform data subjects of the processing of their personal data, in accordance with Articles 13 and 14 of the GDPR.
• Ensure that personal data transmitted to MossLink is accurate and up to date.
• Notify MossLink without delay of any change to processing instructions.
• Not instruct MossLink to carry out unlawful or GDPR-incompatible processing.

7. Security measures

MossLink implements and maintains the following technical and organisational measures:

• Encryption in transit: all communications are encrypted using TLS 1.2 or higher.
• Encryption at rest: stored data is encrypted using AES-256.
• Accèss control: data accèss is restricted through Row Level Security policies and per-organisation data isolation.
• Authentication: secure authentication with session management and automatic expiry.
• Backups: daily backups, encrypted, stored in the EU region.
• Infrastructure: hosted in the European Union (EU Frankfurt region via Supabase / AWS).

MossLink updates its security measures in line with evolving threats and industry best practices.

8. Data breaches

In the event of a personal data breach within the meaning of Article 4(12) of the GDPR, MossLink undertakes to:

• Notify the Customer without undue delay and, where possible, no later than 72 hours after becoming aware of it.
• Provide all available information to enable the Customer to fulfil its notification obligations to the competent supervisory authority.
• Cooperate fully with the Customer to remedy the breach and limit its effects.

Notification is sent to the email address associated with the Customer account or, if known, to the Customer's data protection officer.

9. Sub-processors

The Customer authorises MossLink to engage the following sub-processors, the current list of which is maintained at moston.app/security:

MossLink will inform the Customer of any intended changes regarding the addition or replacement of sub-processors, giving the Customer the opportunity to object. MossLink imposes equivalent data protection obligations on sub-processors.

10. Transfers outside the EEA

Certain sub-processors (Anthropic, Stripe, Resend) are located outside the European Economic Area. These transfers are governed by the Standard Contractual Clauses (SCCs) adopted by the European Commission (Decision 2021/914), which constitute an appropriate safeguard within the meaning of Article 46 of the GDPR.

MossLink ensures that any transfer outside the EEA is accompanied by appropriate safeguards and can demonstrate this on request from the Customer.

11. Data subject rights

MossLink undertakes to assist the Customer in fulfilling data subjects' rights: right of accèss, rectification, erasure, restriction, portability, and objection.

MossLink will forward to the Customer, as promptly as possible, any request received directly from a data subject in relation to the processing of Customer data, without acting on it unless otherwise instructed by the Customer.

12. Term and termination

This DPA is entered into for the duration of the service agreement. Upon expiry or termination of the agreement:

• Active data is retained in read-only mode for 60 days to allow export.
• After this period, all personal data is irreversibly deleted.
• Exception: billing data is retained for 10 years in accordance with French legal obligations.

Upon express request from the Customer, MossLink may provide a certificate of data deletion.

13. Governing law and jurisdiction

This DPA is governed by French law and the GDPR. Any dispute arising from this agreement shall be subject to the exclusive jurisdiction of the courts competent in the district of MossLink S.A.S's registered office, after an attempt at amicable résolution.

For any questions regarding this DPA: privacy@contact.moston.app