Accord de Traitement des Donnees / Data Processing Agreement

1. Parties et objet

Le present Accord de Traitement des Donnees (ci-apres « DPA ») est conclu entre le Client, en qualite de responsable du traitement, et MossLink S.A.S, societe par actions simplifiee de droit francais, dont le siege social est situe 59 rue de Ponthieu, 75008 Paris, France, en qualite de sous-traitant.

Le present DPA regit le traitement des donnees personnelles effectue par MossLink pour le compte du Client dans le cadre de l'utilisation du service Moston, conformement au RGPD.

2. Definitions

Au sens du present accord :

• Donnees personnelles : toute information relative a une personne physique identifiee ou identifiable.
• Traitement : toute operation effectuee sur des donnees personnelles.
• Responsable du traitement : le Client.
• Sous-traitant : MossLink S.A.S.
• Service : la plateforme Moston accessible sur app.moston.app et moston.app.

3. Nature et finalite du traitement

MossLink traite uniquement pour fournir le service.

• Stockage des donnees de compte.
• Traitement des donnees manageriales.
• Transmission aux modeles d'IA.
• Envoi d'emails transactionnels.
• Gestion des integrations.

Pour la duree du contrat.

4. Categories de donnees traitees

Categories traitees :

• Identification : nom, prenom, email.
• Professionnelles : role, equipe.
• Contenu managérial : notes, actions, objectifs.
• Integration : calendrier, code, tickets.
• Techniques : IP, logs, sessions.

5. Obligations du sous-traitant

MossLink s'engage a :

• Traiter sur instruction du Client.
• Garantir la confidentialite.
• Mesures de securite.
• Pas de sous-traitance sans autorisation.
• Assister dans les droits des personnes.
• Aider dans les obligations de securite.
• Supprimer les donnees a l'issue.

6. Obligations du responsable

Le Client s'engage a :

• Base juridique valide.
• Informer les personnes concernees.
• Exactitude des donnees.
• Notifier MossLink.
• Pas d'instructions illicites.

7. Mesures de securite

MossLink maintient :

• TLS 1.2+.
• AES-256.
• Row Level Security.
• Authentification securisee.
• Sauvegardes quotidiennes.
• Infrastructure EU Frankfurt.

Mises a jour regulieres.

8. Violations de donnees

En cas de violation :

• Notification max 72 heures.
• Informations disponibles.
• Cooperation.

Notification a l'email Client.

9. Sous-traitants ulterieurs

Sous-traitants autorises (liste sur moston.app/security) :

Information du Client sur tout changement.

10. Transferts hors EEE

Certains sous-traitants hors EEE, encadres par les CCT (Decision 2021/914).

Garanties appropriees.

11. Droits des personnes

MossLink assiste le Client dans les droits des personnes.

MossLink transmet les demandes directes au Client.

12. Duree et fin

A l'expiration :

• Lecture seule 60 jours.
• Puis suppression.
• Facturation : 10 ans.

Attestation de suppression sur demande.

13. Droit applicable

Le DPA est soumis au droit francais et au RGPD.

Contact : privacy@contact.moston.app

1. Parties and subject matter

This DPA is between the Customer, as data controller, and MossLink S.A.S, 59 rue de Ponthieu, 75008 Paris, France, as data processor.

This DPA governs personal data processing under the Moston service, per the GDPR.

2. Definitions

For the purposes of this agreement:

• Personal data: information relating to an identifiable person.
• Processing: any operation on personal data.
• Controller: the Customer.
• Processor: MossLink S.A.S.
• Service: Moston platform.

3. Nature and purpose

MossLink processes data to provide the Moston service:

• Storing account data.
• Processing managerial data.
• Transmitting to AI models.
• Sending emails.
• Managing integrations.

For the duration of the service agreement.

4. Categories of data

MossLink processes:

• Identification: name, email.
• Professional: role, team.
• Managerial content: notes, actions, objectives.
• Integration: calendar, code, tickets.
• Technical: IP, logs, sessions.

5. Processor obligations

MossLink undertakes to:

• Process only on Customer instructions.
• Ensure confidentiality.
• Implement security measures.
• Not engage sub-processors without authorisation.
• Assist with data subject rights.
• Help with breach notification.
• Delete data upon termination.

6. Controller obligations

The Customer undertakes to:

• Have a valid legal basis.
• Inform data subjects.
• Ensure data accuracy.
• Notify MossLink of changes.
• Not instruct unlawful processing.

7. Security measures

MossLink maintains:

• Encryption in transit: TLS 1.2+.
• Encryption at rest: AES-256.
• Access control: Row Level Security.
• Authentication: secure.
• Backups: daily, EU.
• Infrastructure: EU Frankfurt.

Updated regularly.

8. Data breaches

In case of breach, MossLink undertakes to:

• Notify within 72 hours.
• Provide information.
• Cooperate.

Notification to Customer account email.

9. Sub-processors

Authorised sub-processors (list at moston.app/security):

MossLink will inform of sub-processor changes.

10. Transfers outside EEA

Certain sub-processors are outside the EEA, governed by SCCs (Decision 2021/914).

MossLink ensures appropriate safeguards.

11. Data subject rights

MossLink assists the Customer with data subjects' rights.

MossLink forwards direct data subject requests to the Customer.

12. Term and termination

Upon termination:

• Read-only for 60 days.
• Then deleted.
• Billing data: 10 years.

Certificate of deletion upon request.

13. Governing law

This DPA is governed by French law and the GDPR.

Contact: privacy@contact.moston.app