Salon

Télécharger en PDF (FR)

Accord de traitement des données (DPA) — modèle Cenaclo

Dernière mise à jour : 2026-05-21

Le présent accord de traitement des données (ci-après le « DPA », pour Data Processing Agreement) est un modèle préliminaire. Il décrit les conditions dans lesquelles Cenaclo traite des données à caractère personnel pour le compte de ses clients dans le cadre du service Cenaclo Cloud, conformément à l’article 28 du Règlement général sur la protection des données (RGPD).

Ce modèle a vocation à être signé entre l’éditeur de Cenaclo et chaque client professionnel exploitant une communauté sur Cenaclo Cloud, lorsque le service sera ouvert commercialement (V1 et au-delà). Il complète les conditions générales d’utilisation et la politique de confidentialité, dont il fait partie intégrante.

Phase 0 (liste d’attente) : pendant la phase de liste d’attente, aucun traitement n’est réalisé pour le compte d’un client. L’éditeur agit alors en qualité de responsable de traitement de sa propre liste d’inscription (voir la politique de confidentialité). Le présent DPA ne s’applique qu’à partir de l’usage effectif du service Cenaclo Cloud par un client.

Parties

Le présent DPA est conclu entre :

  • le Responsable de traitement (ci-après le « Client ») : la personne physique ou morale qui crée et administre une communauté sur Cenaclo Cloud et qui détermine les finalités et les moyens du traitement des données personnelles de ses membres ;
  • le Sous-traitant (ci-après « Cenaclo ») : l’éditeur du service identifié à l’article 9, qui traite les données personnelles pour le compte du Client.

Le Client agit en qualité de responsable de traitement au sens de l’article 4.7 du RGPD. Cenaclo agit en qualité de sous-traitant au sens de l’article 4.8 du RGPD. Chaque partie s’engage à respecter la réglementation applicable à la protection des données personnelles, en particulier le RGPD et la loi française Informatique et Libertés.

Article 1 — Objet et durée du traitement

Le présent DPA a pour objet de définir les conditions dans lesquelles Cenaclo réalise, pour le compte du Client, les opérations de traitement de données à caractère personnel nécessaires à la fourniture du service Cenaclo Cloud (hébergement et gestion d’une communauté en ligne).

Le traitement est réalisé pour la durée de l’abonnement du Client au service, telle que définie par les conditions générales d’utilisation, augmentée des délais nécessaires à la restitution et à la suppression des données prévus à l’article 6.7. Le présent DPA prend fin de plein droit à l’extinction de toutes les obligations de traitement et de restitution.

Article 2 — Nature et finalité du traitement

Cenaclo traite les données personnelles aux seules fins de fournir le service au Client, et selon ses instructions documentées. La nature des opérations comprend notamment : la collecte, l’enregistrement, l’organisation, la structuration, la conservation, la consultation, l’utilisation, la communication par transmission et la mise à disposition, l’effacement et la destruction des données.

Les finalités du traitement sont strictement limitées à :

  • l’hébergement et la mise à disposition de l’espace communautaire (salons de discussion, ateliers en direct, calendrier, fichiers partagés) ;
  • la gestion des comptes et de l’authentification des membres de la communauté du Client ;
  • l’acheminement des notifications et courriers électroniques liés au fonctionnement de la communauté ;
  • la sécurité, la sauvegarde et le maintien en condition opérationnelle du service.

Cenaclo s’interdit de traiter les données à toute autre fin, et en particulier de les exploiter pour son propre compte, de les revendre ou de les utiliser à des fins publicitaires ou de profilage.

Article 3 — Type de données traitées

Dans le cadre du service, Cenaclo est susceptible de traiter, pour le compte du Client, les catégories de données suivantes :

  • Données d’identification et de compte : adresse électronique, identifiant, pseudonyme, mot de passe (sous forme de condensat), langue, fuseau horaire.
  • Données de profil : nom d’affichage, avatar, et toute information que le membre choisit de renseigner.
  • Contenus publiés : messages, fichiers, images, sons et vidéos publiés par les membres au sein de la communauté.
  • Données techniques et de connexion : adresse IP, journaux d’accès et d’événements, métadonnées de session, nécessaires à la sécurité et au bon fonctionnement du service.

Le service n’a pas vocation à traiter de données sensibles au sens de l’article 9 du RGPD. Si le Client décide de traiter de telles données via le service, il en assume la responsabilité et doit en informer Cenaclo afin que des mesures appropriées soient mises en œuvre.

Article 4 — Catégories de personnes concernées

Les personnes concernées par le traitement sont les personnes physiques dont les données sont traitées dans le cadre de la communauté du Client, à savoir :

  • les membres de la communauté (inscrits, invités, participants aux ateliers) ;
  • les administrateurs et modérateurs désignés par le Client ;
  • toute personne dont les données figureraient dans un contenu publié au sein de la communauté.

Le Client demeure seul responsable de la licéité de la collecte et de la détermination des catégories de personnes concernées par le traitement qu’il met en œuvre.

Article 5 — Obligations et droits du responsable de traitement

Le Client, en qualité de responsable de traitement :

  • détermine les finalités et les moyens du traitement, et fournit à Cenaclo des instructions documentées ;
  • garantit avoir recueilli une base légale valide (consentement, contrat, intérêt légitime, etc.) pour le traitement des données de ses membres et avoir satisfait à son obligation d’information ;
  • veille au respect de ses propres obligations en matière de protection des données, notamment la tenue du registre des traitements lorsqu’elle s’impose ;
  • est responsable de la modération et de la licéité des contenus publiés au sein de sa communauté ;
  • a le droit d’obtenir de Cenaclo toute information nécessaire pour démontrer le respect des obligations de l’article 28 du RGPD, dans les conditions prévues à l’article 6.8 (audit).

Article 6 — Obligations du sous-traitant Cenaclo

En qualité de sous-traitant, Cenaclo s’engage à respecter les obligations suivantes au titre de l’article 28 du RGPD.

6.1 — Traitement sur instruction documentée

Cenaclo ne traite les données que sur instruction documentée du Client, y compris en matière de transfert hors Union européenne, sauf obligation légale contraire. Dans ce dernier cas, Cenaclo informe le Client de cette obligation juridique avant le traitement, sauf si la loi l’interdit.

6.2 — Confidentialité

Cenaclo veille à ce que les personnes autorisées à traiter les données s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité. L’accès aux données est strictement limité aux personnes ayant besoin d’en connaître pour la fourniture du service.

6.3 — Mesures de sécurité techniques et organisationnelles

Cenaclo met en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque (article 32 du RGPD), notamment :

  • le chiffrement des données en transit (TLS) et le chiffrement au repos des données sensibles (notamment les condensats de mots de passe) ;
  • le cloisonnement des données par communauté (isolation logique des espaces) ;
  • la journalisation des accès et des événements de sécurité ;
  • des sauvegardes régulières et testées, hébergées en Union européenne ;
  • une gestion des accès fondée sur le moindre privilège et l’authentification forte des accès d’administration ;
  • des procédures de maintien en condition de sécurité (mises à jour, gestion des vulnérabilités).

6.4 — Recours à des sous-traitants ultérieurs

Cenaclo est autorisé à recourir à des sous-traitants ultérieurs (sous-processeurs) pour l’exécution d’activités de traitement spécifiques, dans les conditions de l’article 7. Cenaclo impose à chaque sous-processeur, par contrat, les mêmes obligations de protection des données que celles prévues au présent DPA, et demeure pleinement responsable de l’exécution de leurs obligations par ces sous-processeurs.

Cenaclo informe le Client de tout changement envisagé concernant l’ajout ou le remplacement d’un sous-processeur, laissant au Client un délai raisonnable pour émettre des objections motivées avant la mise en œuvre du changement.

6.5 — Notification de violation de données

Cenaclo notifie au Client toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance, et au plus tard dans les 72 heures, afin de permettre au Client de respecter son obligation de notification à l’autorité de contrôle (article 33 du RGPD). La notification précise la nature de la violation, les catégories et le nombre approximatif de personnes concernées, les conséquences probables et les mesures prises ou proposées.

Toute notification de violation est adressée au Client par Cenaclo et toute notification du Client peut être adressée à privacy@cenaclo.com.

6.6 — Assistance et exercice des droits des personnes

Compte tenu de la nature du traitement, Cenaclo aide le Client, par des mesures techniques et organisationnelles appropriées, à donner suite aux demandes d’exercice des droits des personnes concernées (accès, rectification, effacement, limitation, portabilité, opposition — articles 15 à 22 du RGPD). Lorsqu’une personne concernée adresse directement sa demande à Cenaclo, celui-ci la transmet sans délai au Client.

Cenaclo prête également son concours au Client pour le respect des obligations prévues aux articles 32 à 36 du RGPD (sécurité, notification de violation, analyse d’impact relative à la protection des données, consultation préalable de l’autorité de contrôle), compte tenu des informations à la disposition de Cenaclo.

6.7 — Sort des données en fin de traitement

Au terme de la prestation de service, et selon le choix du Client, Cenaclo procède à la restitution de l’ensemble des données dans un format structuré et couramment utilisé, puis à leur suppression, y compris des copies de sauvegarde, sauf obligation légale de conservation. Le Client dispose d’un délai raisonnable après la fin de l’abonnement pour exporter ses données avant leur suppression définitive. La suppression intervient ensuite dans les meilleurs délais.

6.8 — Mise à disposition et audit

Cenaclo met à la disposition du Client toutes les informations nécessaires pour démontrer le respect des obligations de l’article 28 du RGPD et permet la réalisation d’audits, y compris des inspections, par le Client ou un auditeur mandaté par lui. Les modalités d’audit (préavis raisonnable, périodicité, prise en charge des coûts, respect de la confidentialité et de la sécurité des autres clients) sont définies d’un commun accord afin de ne pas perturber le service.

Article 7 — Transferts hors Union européenne

Le traitement est réalisé au sein de l’Union européenne. Les données du service (base de données, fichiers et sauvegardes) sont hébergées en zone UE.

Lorsqu’un sous-processeur est juridiquement établi hors de l’Union européenne (par exemple Cloudflare, Inc. et Discord, Inc., entités américaines), le traitement effectif est cantonné aux datacenters européens et tout transfert résiduel est encadré par les clauses contractuelles types (CCT) adoptées par la Commission européenne, complétées le cas échéant par des mesures supplémentaires. Aucun transfert n’est réalisé en l’absence de garanties appropriées au sens du chapitre V du RGPD.

Article 8 — Liste des sous-processeurs

À la date de mise à jour du présent DPA, Cenaclo recourt aux sous-processeurs suivants. Cette liste est cohérente avec celle de la politique de confidentialité et tenue à jour ; tout ajout ou remplacement est notifié au Client conformément à l’article 6.4.

Sous-processeurFinalitéJuridiction / hébergementGaranties
Listmonk (auto-hébergé par l’éditeur)Gestion des listes et acheminement des emails (transactionnels et campagnes) liés à la communautéInstance auto-hébergée par l’éditeur sur un VPS situé en Union européenne (Hetzner)Auto-hébergé : contrôle direct, aucun partage avec un tiers hors du backend SMTP Amazon SES
Amazon Web Services EMEA SARL (Amazon SES)Backend SMTP utilisé par Listmonk pour la livraison effective des emails (métadonnées d’envoi)Région SES eu-west (Irlande / Francfort), entité juridique AWS Europe au LuxembourgDPA signé, clauses contractuelles types (CCT) de l’UE, conformité ISO 27001 / SOC 2
PostHog Cloud EUMesure d’audience anonyme et analyse produit du serviceHébergement UE — Francfort (clusters PostHog EU)DPA signable, CCT de l’UE, réglage « Discard client IP data » activé côté projet
Cloudflare, Inc.CDN, protection anti-DDoS, hébergement statique, anti-spam (Turnstile)Entité américaine ; traitement effectif sur des nœuds situés en UECCT de l’UE (clauses publiées par Cloudflare), Data Processing Addendum disponible
Hetzner Online GmbHHébergement des serveurs (VPS Listmonk et backend Cenaclo)Datacenters en Allemagne (Falkenstein, Nuremberg) ou en Finlande (Helsinki)Juridiction allemande, conformité RGPD native, DPA disponible
Discord, Inc. (V1+, opt-in)Lecture des messages d’un serveur Discord pour migration vers une communauté Cenaclo — opt-in expliciteEntité américaineCCT de l’UE et opt-in explicite par communauté ; non concerné en l’absence d’activation

Article 9 — Identité du sous-traitant

Le service Cenaclo Cloud est édité par le sous-traitant identifié ci-après :

  • Sous-traitant : Nicolas Roger EGERMANN
  • Statut : entrepreneur individuel — micro-entreprise (auto-entrepreneur), profession libérale non réglementée
  • SIRET : 522 700 640 00033
  • Adresse : 79 rue des Micocouliers, 30260 Cannes-et-Clairan, France
  • Contact protection des données : privacy@cenaclo.com

Pour toute question relative au présent DPA ou pour exercer les droits prévus par le RGPD, le Client et les personnes concernées peuvent écrire à privacy@cenaclo.com.