Accord de Traitement des Donnees / Data Processing Agreement

Versao 1.0 · 9 de junho de 2026

Descarregar DPA (PDF)

1. Parties et objet

Le present Accord de Traitement des Donnees (ci-apres « DPA ») est conclu entre le Client, en qualite de responsable du traitement, et MossLink S.A.S, societe par actions simplifiee de droit francais, dont le siege social est situe 59 rue de Ponthieu, 75008 Paris, France, en qualite de sous-traitant.

Le present DPA regit le traitement des donnees personnelles effectue par MossLink pour le compte du Client dans le cadre de l'utilisation du service Moston, conformement au RGPD.

2. Definitions

Au sens du present accord :

  • Donnees personnelles : toute information relative a une personne physique identifiee ou identifiable.
  • Traitement : toute operation effectuee sur des donnees personnelles.
  • Responsable du traitement : le Client.
  • Sous-traitant : MossLink S.A.S.
  • Service : la plateforme Moston accessible sur app.moston.app et moston.app.

3. Nature et finalite du traitement

MossLink traite uniquement pour fournir le service.

  • Stockage des donnees de compte.
  • Traitement des donnees manageriales.
  • Transmission aux modeles d'IA.
  • Envoi d'emails transactionnels.
  • Gestion des integrations.

Le traitement est effectue pour la duree du contrat.

4. Categories de donnees traitees

Categories traitees :

  • Identification : nom, prenom, email.
  • Professionnelles : role, equipe.
  • Contenu managérial : notes, actions, objectifs.
  • Integration : calendrier, code, tickets.
  • Techniques : IP, logs, sessions.

5. Obligations du sous-traitant

MossLink s'engage a :

  • Traiter sur instruction du Client.
  • Garantir la confidentialite.
  • Mettre en oeuvre les mesures de securite.
  • Ne pas sous-traiter sans autorisation.
  • Assister dans les droits des personnes.
  • Aider dans les obligations de securite.
  • Supprimer les donnees a l'issue.

6. Obligations du responsable

Le Client s'engage a :

  • Avoir une base juridique valide.
  • Informer les personnes concernees.
  • S'assurer de l'exactitude des donnees.
  • Notifier MossLink de toute modification.
  • Ne pas instruire de traitements illicites.

7. Mesures de securite

MossLink maintient :

  • Chiffrement en transit : TLS 1.2+.
  • Chiffrement au repos : AES-256.
  • Controle d'acces : Row Level Security.
  • Authentification securisee.
  • Sauvegardes quotidiennes, region EU.
  • Infrastructure : EU Frankfurt.

Mesures mises a jour regulierement.

8. Violations de donnees

En cas de violation :

  • Notification sans delai, max 72 heures.
  • Informations pour la notification.
  • Cooperation pour remedier.

Notification a l'email du compte Client.

9. Sous-traitants ulterieurs

Sous-traitants autorises (liste sur moston.app/security) :

Sous-traitantRoleLocalisationCertification
SupabaseHebergement BDDEU (Frankfurt)SOC 2 Type II
AnthropicGeneration IAUSAZero data retention
StripePaiementsUSA/EUPCI-DSS Level 1
ResendEmails transactionnelsUSASOC 2 Type II

MossLink informe le Client de tout changement.

10. Transferts hors EEE

Certains sous-traitants sont hors EEE, encadres par les CCT (Decision 2021/914).

MossLink garantit les garanties appropriees.

11. Droits des personnes concernees

MossLink assiste le Client dans les droits des personnes concernees.

MossLink transmet toute demande directe au Client.

12. Duree et fin du traitement

A l'expiration :

  • Lecture seule 60 jours.
  • Puis suppression irreversible.
  • Exception : facturation 10 ans.

Attestation de suppression sur demande.

13. Droit applicable

Le DPA est soumis au droit francais et au RGPD.

Pour toute question : privacy@contact.moston.app

English version below

1. Parties and subject matter

This DPA is entered into between the Customer, as data controller, and MossLink S.A.S, 59 rue de Ponthieu, 75008 Paris, France, as data processor.

This DPA governs personal data processing under the Moston service, in accordance with the GDPR.

2. Definitions

For the purposes of this agreement:

  • Personal data: information relating to an identifiable person.
  • Processing: any operation on personal data.
  • Controller: the Customer.
  • Processor: MossLink S.A.S.
  • Service: Moston platform at app.moston.app and moston.app.

3. Nature and purpose

MossLink processes data solely to provide the Moston service. Processing includes:

  • Storing account and user profile data.
  • Processing managerial data.
  • Transmitting context to AI models.
  • Sending transactional emails.
  • Managing third-party integrations.

Processing is for the duration of the service agreement.

4. Categories of data

MossLink processes:

  • Identification: name and email.
  • Professional: role, team size.
  • Managerial content: notes, actions, objectives.
  • Integration: calendar, code, tickets.
  • Technical: IP, logs, sessions.

5. Processor obligations

MossLink undertakes to:

  • Process only on Customer instructions.
  • Ensure confidentiality.
  • Implement security measures.
  • Not engage sub-processors without authorisation.
  • Assist with data subject rights.
  • Help with security and breach notification.
  • Delete data upon termination.

6. Controller obligations

The Customer undertakes to:

  • Have a valid legal basis.
  • Inform data subjects.
  • Ensure data accuracy.
  • Notify MossLink of changes.
  • Not instruct unlawful processing.

7. Security measures

MossLink maintains:

  • Encryption in transit: TLS 1.2+.
  • Encryption at rest: AES-256.
  • Access control: Row Level Security.
  • Authentication: secure with session management.
  • Backups: daily, encrypted, EU.
  • Infrastructure: EU Frankfurt.

Security measures updated regularly.

8. Data breaches

In case of breach, MossLink undertakes to:

  • Notify within 72 hours.
  • Provide information for notifications.
  • Cooperate to remedy.

Notification to Customer account email.

9. Sub-processors

Authorised sub-processors (list at moston.app/security):

Sub-processorRoleLocationCertification
SupabaseDatabase hostingEU (Frankfurt)SOC 2 Type II
AnthropicAI generationUSAZero data retention
StripePaymentsUSA/EUPCI-DSS Level 1
ResendTransactional emailsUSASOC 2 Type II

MossLink will inform of sub-processor changes.

10. Transfers outside EEA

Certain sub-processors are outside the EEA, governed by SCCs (Decision 2021/914).

MossLink ensures appropriate safeguards.

11. Data subject rights

MossLink assists the Customer with data subjects' rights.

MossLink forwards direct data subject requests to the Customer.

12. Term and termination

Upon termination:

  • Read-only for 60 days.
  • Then irreversibly deleted.
  • Exception: billing data 10 years.

Certificate of deletion upon request.

13. Governing law

This DPA is governed by French law and the GDPR.

For questions: privacy@contact.moston.app

Assinaturas

Responsavel pelo tratamento

O Cliente

Assinatura

Data

Subcontratado

MossLink S.A.S

Assinatura

Data