Data Processing Agreement
Version 1.0 — Mars 2026
Le présent Data Processing Agreement (DPA) s'applique entre le Client (Responsable de traitement) et Ojja, SASU représentée par Yassine Jlidi, Président (Sous-traitant), dans le cadre de l'utilisation du service ojja.ai.
Article 1 — Définitions
- Données personnelles : toute information se rapportant à une personne physique identifiée ou identifiable, au sens de l'article 4 du RGPD.
- Traitement : toute opération effectuée sur des données personnelles (collecte, stockage, analyse, suppression).
- Responsable de traitement : le Client, qui détermine les finalités et les moyens du traitement de ses données CRM.
- Sous-traitant : Ojja, qui traite les données personnelles pour le compte du Client dans le cadre du service.
Article 2 — Objet et durée
Le présent DPA encadre le traitement des données personnelles effectué par Ojja en tant que sous-traitant, pour le compte du Client, dans le cadre de la fourniture du service de Revenue Intelligence ojja.ai.
Le DPA prend effet à la date de création du compte Client et reste en vigueur pendant toute la durée de l'abonnement, puis 60 jours après la résiliation (durée de conservation des données avant suppression).
Article 3 — Nature et finalité du traitement
3.1 Données traitées
- Données de contacts commerciaux (noms, emails, entreprises) importées depuis le CRM du Client
- Données de deals (montants, dates, motifs de perte, notes commerciales)
- Données d'engagement (emails envoyés/reçus, appels logués)
- Données de compte utilisateur (nom, email, rôle)
3.2 Personnes concernées
- Contacts commerciaux présents dans le CRM du Client
- Utilisateurs de la plateforme Ojja au sein de l'organisation du Client
3.3 Finalités
- Analyse de la qualité des données CRM
- Scoring et classification des deals perdus
- Génération de recommandations de relance par intelligence artificielle
- Calcul de métriques de performance commerciale (pipeline, forecast, ROI)
Article 4 — Obligations du Sous-traitant
Ojja s'engage à :
- Traiter les données uniquement sur instruction documentée du Client et conformément au présent DPA
- Garantir la confidentialité des données — tout le personnel ayant accès aux données est soumis à une obligation de confidentialité
- Mettre en œuvre les mesures techniques et organisationnelles décrites à l'Article 5
- Ne pas sous-traiter le traitement sans l'accord préalable du Client (voir Article 6)
- Assister le Client pour répondre aux demandes d'exercice des droits des personnes concernées
- Notifier le Client dans un délai de 48 heures en cas de violation de données
- Supprimer ou restituer les données à la fin du contrat, au choix du Client
Article 5 — Mesures de sécurité
- Hébergement : Supabase PostgreSQL — Frankfurt, Allemagne (eu-central-1)
- Chiffrement : AES-256 au repos, TLS 1.3 en transit
- Isolation : Row Level Security (RLS) PostgreSQL — chaque client ne voit que ses propres données
- Authentification : Clerk avec MFA supporté, sessions sécurisées avec rotation de tokens
- Backups : automatiques quotidiens avec rétention 30 jours
- Accès CRM : OAuth 2.0 en lecture seule via Nango — aucun mot de passe stocké
- Intelligence artificielle : traitement via Anthropic Claude API avec politique zero data retention — les données ne sont jamais utilisées pour l'entraînement de modèles
- Audit : logs d'audit conservés 7 ans (obligation légale)
Article 6 — Sous-traitants ultérieurs
Le Client autorise Ojja à recourir aux sous-traitants ultérieurs suivants. Ojja informera le Client de tout changement de sous-traitant avec un préavis de 30 jours.
| Sous-traitant | Rôle | Localisation | Garanties |
|---|---|---|---|
| Supabase | Base de données | Frankfurt, Allemagne 🇪🇺 | RGPD, SOC 2 |
| Vercel | Hébergement application | Europe 🇪🇺 | RGPD, SOC 2 |
| Clerk | Authentification | États-Unis 🇺🇸 | SCC, SOC 2 |
| Anthropic | Intelligence artificielle | États-Unis 🇺🇸 | SCC, zero data retention |
| Stripe | Paiement | États-Unis 🇺🇸 | SCC, PCI DSS |
| Nango | Intégrations CRM | Europe 🇪🇺 | RGPD |
| Resend | Emails transactionnels | États-Unis 🇺🇸 | SCC |
| PostHog | Analytics | Europe 🇪🇺 | RGPD |
| Inngest | Jobs asynchrones | États-Unis 🇺🇸 | SCC |
Les transferts hors UE sont encadrés par les Clauses Contractuelles Types (SCC) de la Commission Européenne.
Article 7 — Transferts hors UE
Les données personnelles sont hébergées en Union Européenne (Frankfurt, Allemagne). Certains sous-traitants ultérieurs sont situés aux États-Unis (voir Article 6). Ces transferts sont encadrés par les Clauses Contractuelles Types (SCC) adoptées par la Commission Européenne (Décision d'exécution 2021/914).
Article 8 — Droits des personnes concernées
Ojja assiste le Client pour répondre aux demandes d'exercice des droits prévus par le RGPD :
- Droit d'accès (Art. 15)
- Droit de rectification (Art. 16)
- Droit à l'effacement (Art. 17) — traité sous 48h
- Droit à la portabilité (Art. 20) — export CSV/JSON disponible
- Droit d'opposition (Art. 21)
- Droit à la limitation du traitement (Art. 18)
Article 9 — Notification des violations
En cas de violation de données personnelles, Ojja s'engage à notifier le Client dans un délai de 48 heures après en avoir pris connaissance. La notification inclura :
- La nature de la violation
- Les catégories et le nombre approximatif de personnes concernées
- Les conséquences probables
- Les mesures prises ou proposées pour remédier à la violation
Article 10 — Durée de conservation et suppression
- Données CRM importées : durée de l'abonnement + 30 jours
- Données de compte : durée de l'abonnement + 30 jours
- Données d'usage (analytics) : 24 mois
- Logs d'audit : 7 ans (obligation légale)
À l'issue de l'abonnement, le Client dispose de 30 jours pour exporter ses données. Passé ce délai, les données sont supprimées sous 60 jours.
Article 11 — Droit applicable
Le présent DPA est régi par le droit français et le Règlement (UE) 2016/679 (RGPD). Tout litige sera soumis aux tribunaux compétents de Paris.
Version 1.0 — Mars 2026
Pour toute question : legal@ojja.ai