Data Processing Agreement (DPA) — voc.nc v1

Accord de sous-traitance — article 28 RGPD · Version 1.0 · Mise à jour : 16 May 2026

Télécharger le DPA (PDF) (dpa-voc-nc-v1.pdf · version archivable pour signature)

Parties à l'accord

Accord conclu entre :

Responsable du traitement : Tenant (entreprise ayant ouvert un compte voc.nc).
Sous-traitant : RESILIENCE NC, SARL, RCS 1 494 970, Nouméa, Nouvelle-Calédonie.

Le présent DPA est conclu conformément à l'article 28 du Règlement Général sur la Protection des Données (UE) 2016/679 (« RGPD »). Il est annexé au contrat principal de service voc.nc et en fait partie intégrante.

1. Objet

Le présent DPA encadre le traitement par le Sous-traitant des données à caractère personnel collectées sur voc.nc dans le cadre des campagnes de mesure de satisfaction client du Responsable du traitement, conformément à l'article 28 du RGPD.

2. Nature et finalité du traitement

Nature du traitement :
- générer des tokens à usage unique pour la réalisation d'enquêtes de satisfaction ;
- envoyer des SMS d'enquête via routage SMSlink Pacific lorsque des numéros de téléphone ont été fournis pour les destinataires ;
- collecter les réponses des destinataires via le formulaire web public /r/:token ;
- agréger les indicateurs CSAT / NPS / FCR et restituer les résultats dans l'interface analytique du Responsable du traitement.
Finalité : permettre au Responsable du traitement de mesurer la satisfaction de ses propres clients finaux via des enquêtes ciblées, ponctuelles ou récurrentes.
Durée du traitement : durée du contrat principal. À la suppression d'un formulaire, les journaux d'envoi associés sont supprimés ; à la suppression du compte, l'ensemble des données associées est supprimé.

3. Catégories de données à caractère personnel

Identifiant interne de contact (reference) — référence libre fournie par le Responsable du traitement. Opaque côté voc.nc.
Empreinte cryptographique irréversible — HMAC-SHA256 calculé avec un sel unique chiffré par tenant. Le numéro de téléphone en clair n'est jamais persisté.
Scores de satisfaction : CSAT (1-5), NPS (0-10), FCR (oui/non), commentaires libres.
Timestamps techniques : horodatage d'envoi, de réponse, d'expiration du token.
Statut de livraison SMSlink : identifiant SMS, statut transport.

4. Catégories de personnes concernées

Clients finaux du Responsable du traitement, destinataires des enquêtes de satisfaction : particuliers ou professionnels dont le numéro de téléphone est fourni par le Responsable du traitement via import CSV ou API v1.

5. Obligations du Sous-traitant

Le Sous-traitant s'engage à :

Traiter les données uniquement sur instructions documentées du Responsable du traitement.
Garantir la confidentialité des personnes habilitées par le Sous-traitant à traiter les données.
Mettre en œuvre les mesures techniques et organisationnelles appropriées (art. 32 RGPD) : chiffrement au repos, chiffrement en transit, isolation cryptographique cross-tenant, pseudonymisation irréversible des numéros, suppression automatique à la suppression du formulaire ou du compte, zéro cookie tiers sur les formulaires publics, filtrage des paramètres sensibles dans les logs.
Notifier toute violation de données au Responsable du traitement sous 48 heures.
Permettre au Responsable du traitement d'exporter ou de supprimer ses données sur simple demande (voir article 9).

6. Sous-traitance ultérieure

Le Responsable du traitement autorise le Sous-traitant à faire appel aux sous-traitants ultérieurs listés ci-dessous. Toute nouvelle sous-traitance fait l'objet d'une information préalable du Responsable du traitement, qui dispose d'un droit d'opposition motivé sous 30 jours.

Sous-traitants ultérieurs voc.nc (mis à jour à chaque évolution)
Sous-traitant	Finalité	Localisation	Garanties
SMSlink Pacific (IEM)	Routage SMS + OTP annulation opt-out	Nouméa, NC	DPA signé avec RESILIENCE NC
Google Workspace (RESILIENCE)	Hébergement email	UE → US	Clauses contractuelles types Google
Plausible self-hosted (RESILIENCE)	Analytics agrégés cookieless	Nouméa, NC	Même entité juridique — pas de DPA tiers requis

7. Droits des personnes concernées

Le Sous-traitant assiste le Responsable du traitement dans l'exercice des droits des personnes concernées (art. 12 à 22 RGPD) :

Droit d'opposition (art. 21) — flow entièrement automatisé via le lien d'opt-out sur le formulaire ou via annulation d'opposition.
Droit d'accès / rectification / portabilité (art. 15, 16, 20) — demandes à dpo@voc.nc, traitement sous 72 heures ouvrées.
Droit à l'effacement (art. 17) — purge anticipée sur demande formelle écrite à dpo@voc.nc, traitée sous 30 jours.

Limite structurelle côté numéros de téléphone. Le Sous-traitant ne conservant que des HMAC irréversibles, une demande d'accès émanant directement d'un client final ne peut aboutir techniquement et sera redirigée vers le Responsable du traitement.

8. Notification de violation de données

Toute violation de données personnelles détectée par le Sous-traitant est notifiée au DPO du Responsable du traitement sous 48 heures (art. 33 RGPD), avec description, volumes, conséquences probables, mesures engagées. Point de contact : dpo@voc.nc.

9. Retour ou destruction des données en fin de contrat

À la fin du contrat principal, le Responsable du traitement peut demander à dpo@voc.nc :

Export complet des données au format JSON + CSV via l'API v1 ou un téléchargement signé (lien unique 72 h).
Destruction intégrale — purge immédiate des journaux d'envoi, oppositions, campagnes, formulaires, jetons API et utilisateurs associés au compte.

À la suppression du compte, les données associées sont supprimées automatiquement. À la suppression d'un formulaire individuel, les journaux d'envoi liés à ce formulaire sont également supprimés. Aucune durée de conservation rigide n'est appliquée au-delà de la vie du compte et des formulaires — la pseudonymisation irréversible des numéros garantit que les journaux résiduels ne constituent plus une donnée personnelle ré-identifiable.

10. Audit

Le Responsable du traitement peut demander un audit sur pièces une fois par an, moyennant un préavis écrit de 30 jours à dpo@voc.nc. Le Sous-traitant peut proposer en substitution la communication de son audit CNIL-ready interne (extrait pertinent transmis sur demande).

11. Durée et résiliation du DPA

Ce DPA prend effet à la date de souscription au contrat principal de service voc.nc et reste en vigueur pour toute la durée du contrat principal.

Il s'éteint automatiquement :

À la résiliation du contrat principal, majorée de 30 jours (fenêtre de retour / destruction — article 9).
À la suppression du compte, les données associées sont supprimées.

Les listes d'opposition sont conservées 3 ans à compter de l'expression du refus, conformément à la recommandation CNIL applicable aux listes d'opposition à prospection.

12. Droit applicable et juridiction

Le présent DPA est régi par le droit français (RGPD UE 2016/679 + loi Informatique et Libertés du 6 janvier 1978 modifiée). Tout litige relève de la compétence exclusive des tribunaux de Nouméa.

Le Responsable du traitement conserve le droit de saisir l'autorité de contrôle compétente (CNIL) au titre de l'art. 77 RGPD.

Signatures

Pour le Responsable du traitement (Tenant) : (nom, qualité, date, signature).

Pour le Sous-traitant (voc.nc — RESILIENCE NC) : David Cahez, gérant RESILIENCE NC, 2026-04-22.

Version archivable pour signature : dpa-voc-nc-v1.pdf.