Accord de Protection des Données Personnelles

Annexe aux Conditions Générales de Skipcall

Dernière mise à jour : 1er avril 2026

Le présent accord (ci-après l'« Accord ») a pour objet de définir les conditions dans lesquelles SKIPCALL, agissant en qualité de « sous-traitant » au sens de la réglementation européenne relative à la protection des données à caractère personnel, s'engage à réaliser, pour le compte du Client, agissant en qualité de responsable de traitement, des opérations de traitement de données à caractère personnel dans le cadre de l'exécution des services couverts par le Contrat tel que décrit dans les Conditions Générales de Service de SKIPCALL, dont le présent Accord constitue une annexe.

Dans le cadre de leurs relations contractuelles, les Parties s'engagent à respecter la réglementation applicable en matière de protection des données à caractère personnel, et notamment le RGPD ou Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (applicable depuis le 25 mai 2018), ainsi que la loi française n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (ci-après collectivement désignés la « Réglementation Applicable »).

Les Parties adoptent les définitions énoncées dans la réglementation applicable, en particulier le RGPD, notamment « données à caractère personnel », « traitement », « responsable de traitement » et « sous-traitant ».

Article 1. Obligations Générales de SKIPCALL

SKIPCALL s'engage à :

  • Traiter les Données Personnelles uniquement sur instruction du Client et ne pas utiliser les données personnelles à d'autres fins que la stricte exécution du Contrat.
  • Traiter les données conformément aux instructions du Client. Le Client comprend qu'il peut configurer lui-même les paramètres de traitement (type de données, opérations de traitement, durée de conservation, etc.). Si SKIPCALL estime qu'une instruction n'est pas conforme à la Réglementation Applicable, elle en informera le Client.
  • Garantir la confidentialité des Données Personnelles traitées et s'assurer que les personnes autorisées sont soumises à des obligations de confidentialité.
  • Appliquer les principes de protection des données dès la conception et par défaut dans ses outils et services.
  • Mettre en œuvre les mesures techniques et organisationnelles appropriées et fournir une assistance permettant au Client de remplir ses obligations légales.
  • Mettre en œuvre des mesures de sécurité tenant compte des risques tels que la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès aux données personnelles.
  • Notifier le Client de toute violation de données personnelles dans les meilleurs délais après en avoir pris connaissance, notamment par e-mail au DPO du Client, en incluant :
    • La description de la violation
    • Le point de contact
    • Les conséquences probables
    • Les mesures prises ou proposées

    Si l'ensemble des informations n'est pas immédiatement disponible, des détails complémentaires seront fournis dans les meilleurs délais.

  • Fournir toutes les informations nécessaires pour démontrer la conformité et permettre la réalisation d'audits dans des conditions raisonnables. Le Client est limité à un audit par année contractuelle (sauf situations d'urgence). Si les audits génèrent une charge de travail, ils pourront être facturés sauf obligation prévue par l'article 28 du RGPD.
  • Tenir un registre écrit des activités de traitement comprenant :
    • Les coordonnées du Client
    • Les sous-traitants
    • Les catégories de traitement
    • Les transferts internationaux
    • Les mesures de sécurité

Article 2. Sous-traitance

SKIPCALL peut faire appel à des sous-traitants listés.

En cas d'ajout de nouveaux sous-traitants, SKIPCALL en informera le Client, qui pourra s'y opposer dans un délai de 15 jours pour des motifs valables.

Les sous-traitants doivent respecter des obligations équivalentes en matière de protection des données et de confidentialité.

Article 3. Droits d'Information des Personnes Concernées

Le Client est responsable de l'information des personnes concernées lors de la collecte des données.

Si des personnes concernées contactent directement SKIPCALL, SKIPCALL transmettra les demandes au Client dans les meilleurs délais.

Article 4. Conservation et Suppression des Données Personnelles

SKIPCALL ne conservera pas les données au-delà des durées de conservation définies par le Client, sauf pour des besoins de conformité ou de preuve contractuelle.

Sur instruction du Client ou à la fin du contrat, SKIPCALL restituera ou supprimera définitivement les données et fournira une confirmation de destruction.

Article 5. Délégué à la Protection des Données

Chaque Partie doit communiquer les coordonnées de son DPO et notifier tout changement.

Article 6. Transferts de Données

SKIPCALL hébergera et traitera les données personnelles au sein de l'UE ou dans des pays bénéficiant d'un niveau de protection adéquat reconnu par la Commission européenne et la CNIL.

Les transferts hors de l'UE n'auront lieu qu'avec des garanties appropriées telles que des certifications ou des Clauses Contractuelles Types.

Article 7. Données Sensibles

Les Services ne traitent pas de données sensibles au sens des articles 9 et 10 du RGPD.

Si nécessaire, le traitement sera encadré par un avenant précisant les garanties supplémentaires.

Article 8. Obligations du Client

Le Client s'engage à :

  • Fournir les données nécessaires
  • Documenter ses instructions
  • Assurer la conformité réglementaire et réaliser des analyses d'impact si nécessaire
  • Superviser les traitements et les audits
  • Tenir un registre des traitements
  • Garantir la licéité des traitements de données
  • Obtenir des obligations équivalentes s'il agit lui-même en qualité de sous-traitant

Article 9. Coopération en Cas de Non-Conformité

En cas de manquement à la conformité, les Parties collaboreront pour évaluer la gravité et déterminer si le traitement doit être suspendu ou le Contrat résilié.

Si SKIPCALL ne peut se conformer, elle en informera le Client. Après 30 jours de suspension, des droits de résiliation peuvent s'appliquer.

Le Client peut résilier en cas de manquement grave ou répété de SKIPCALL ou de non-respect de décisions réglementaires.

SKIPCALL peut résilier si les instructions du Client violent la législation applicable.