Journey Studio legal
Traitement des donnees
Comment nous mettons en oeuvre le traitement des donnees pour les parcours clients.
Date d’effet : 25 février 2026
Dernière mise à jour : 1 mai 2026
Cet addendum relatif au traitement des données (« DPA ») fait partie de l’accord entre GreenRoot Analytics B.V. (« Sous-traitant ») et le client (« Responsable du traitement ») lors de l’utilisation de la plateforme GreenRoot Analytics (le « Service »).
Transparence. Nous visons à exploiter le Service avec une transparence maximale et une approche privacy-first. Ce DPA est rédigé pour décrire clairement le traitement que nous effectuons en tant que Sous-traitant et les garanties que nous appliquons.
1) Objet et durée
1.1. Le Sous-traitant traite les données personnelles pour fournir le Service pendant la durée de l’accord client (et toute période de transition nécessaire pour restituer ou supprimer les données).
2) Nature et finalité du traitement
2.1. Le traitement peut inclure l’administration des comptes, des workspaces, des projets et des accès.
2.2. Le traitement peut inclure la création, la configuration, le partage et la distribution de journeys, d’enquêtes et de customer-journey-maps.
2.3. Le traitement peut inclure la collecte et le stockage des réponses aux enquêtes, des listes de participants et des workflows d’invitations et de rappels initiés par le Responsable du traitement.
2.4. Le traitement peut inclure la génération d’analytics, d’exports, d’artefacts PDF/rapport et de sorties de résumés exécutifs demandés ou déclenchés par le Responsable du traitement.
2.5. Le traitement peut inclure des fonctionnalités assistées par IA (par exemple l’extraction de contexte de site Web à partir de contenus de sites Web publics fournis par les utilisateurs, la génération guidée de journeys/questions/phases/KPI et la génération de résumés exécutifs) via un sous-traitant IA.
2.6. Le traitement peut inclure des workflows de sécurité, de journalisation, de prévention des abus et de suppression/nettoyage réalisés sur instruction du Responsable du traitement.
3) Catégories de personnes concernées et de données personnelles
3.1. Les personnes concernées typiques incluent les utilisateurs clients (utilisateurs de workspace).
3.2. Les personnes concernées typiques incluent les répondants aux enquêtes (utilisateurs finaux).
3.3. Les données personnelles typiques incluent des identifiants de compte (p. ex. nom, adresse e-mail, langue préférée et rôle au sein du workspace).
3.4. Les données personnelles typiques incluent les réponses des répondants et les réponses en texte libre (selon la configuration du Responsable du traitement), les adresses e-mail des participants et les métadonnées d’invitation/rappel, ainsi que le contexte de projet/map/journey saisi par le Responsable du traitement.
3.5. Les données personnelles typiques incluent des métadonnées opérationnelles nécessaires au fonctionnement du Service (p. ex. horodatages, identifiants techniques, journaux limités de livraison/sécurité/diagnostic et artefacts d’export/rapport demandés par le Responsable du traitement).
3.6. Le Service n’est pas destiné au traitement de données relevant des catégories particulières (article 9 RGPD). Le Responsable du traitement ne doit pas demander au Sous-traitant de traiter de telles données et doit éviter de les collecter dans les enquêtes. Si des données relevant des catégories particulières sont saisies par des répondants (p. ex. via des champs de texte libre), le Responsable du traitement reste responsable en tant que Responsable du traitement ; le Sous-traitant assistera, dans la mesure raisonnablement possible, à la suppression/anonymisation.
4) Obligations du Responsable du traitement
4.1. Le Responsable du traitement est responsable de disposer d’une base légale pour traiter les données personnelles et, lorsque requis, d’obtenir un ou des consentements valides.
4.2. Le Responsable du traitement est responsable de fournir toutes les informations requises aux personnes concernées (y compris les répondants) et de traiter les demandes des personnes concernées en tant que Responsable du traitement.
4.3. Le Responsable du traitement est responsable de configurer les enquêtes/journeys de manière appropriée pour le public visé et de ne pas solliciter de données relevant des catégories particulières.
4.4. Le Responsable du traitement est responsable de s’assurer que les invitations et rappels aux participants sont licites (y compris les exigences applicables en matière de confidentialité et d’anti-spam), et que les listes de participants téléversées sont obtenues et utilisées légalement.
4.5. Le Responsable du traitement est responsable de fournir des instructions documentées au Sous-traitant lorsque nécessaire, y compris pour les demandes de suppression/restitution et tout usage de fonctionnalités assistées par IA sur le Contenu Client.
4.6. Lorsque le Responsable du traitement demande au Sous-traitant d’analyser un contenu de site Web public dans le cadre d’un flux de configuration assisté par IA, le Responsable du traitement est responsable de s’assurer qu’il est autorisé à fournir l’URL/le contenu concerné à cette fin.
5) Sous-traitants
Le Sous-traitant peut engager des sous-traitants pour fournir certaines parties du Service (par exemple hébergement, livraison d’e-mails et fonctionnalités assistées par IA).
5.1. Le Sous-traitant maintiendra une liste de sous-traitants.
5.2. Le Sous-traitant demeure responsable de la performance des sous-traitants au titre de ce DPA.
Voir : Sous-traitants (Section 10).
5.3. Le Sous-traitant mettra à jour la liste des sous-traitants lorsque des prestataires significatifs liés au rôle de sous-traitant changent. Lorsque cela est raisonnablement praticable, le Responsable du traitement peut s’opposer à un nouveau sous-traitant pour des motifs raisonnables de protection des données, et les parties travailleront de bonne foi à une solution appropriée.
5.4. Ce DPA et la liste des sous-traitants de la section 10 couvrent les services utilisés par le Sous-traitant pour traiter le Contenu Client pour le compte du Responsable du traitement. GreenRoot peut également utiliser des prestataires agissant pour ses propres activités de facturation, de paiement, d’émission de factures et d’administration de comptes (par exemple Stripe). Ces prestataires ne sont pas listés comme sous-traitants du DPA sauf s’ils traitent le Contenu Client pour le compte du Responsable du traitement.
6) Transferts internationaux
6.1. Si des données personnelles sont transférées hors de l’EEE/Royaume-Uni, le Sous-traitant veillera à ce que des garanties appropriées soient en place (par exemple les clauses contractuelles types (SCC), le cas échéant).
7) Restitution ou suppression
7.1. À la résiliation du Service et sur demande du Responsable du traitement (le cas échéant), le Sous-traitant supprimera ou restituera les données personnelles conformément aux instructions du Responsable du traitement et au droit applicable, sous réserve d’une conservation limitée nécessaire à des fins légales, de prévention de la fraude ou de sécurité.
7.2. Lorsque le Sous-traitant génère des exports, des PDF, des résumés exécutifs ou des artefacts similaires pour le Responsable du traitement, ces artefacts sont traités comme du Contenu Client et relèvent du même cadre de suppression/restitution, sous réserve d’exceptions de conservation licites.
8) Obligations du Sous-traitant (RGPD article 28)
8.1. Le Sous-traitant ne traitera les données personnelles que sur instructions documentées du Responsable du traitement, y compris en ce qui concerne les transferts vers un pays tiers, sauf si le droit de l’Union ou d’un État membre l’y oblige (dans ce cas, le Sous-traitant informera le Responsable du traitement de cette obligation légale sauf si la loi l’interdit).
8.2. Le Sous-traitant veillera à ce que les personnes autorisées à traiter les données personnelles soient tenues à la confidentialité.
8.3. Le Sous-traitant mettra en oeuvre des mesures techniques et organisationnelles appropriées pour protéger les données personnelles (RGPD article 32).
8.4. Le Sous-traitant n’engagera pas un autre sous-traitant sans respecter les exigences de la section 5.
8.5. Le Sous-traitant assistera le Responsable du traitement, en tenant compte de la nature du traitement, par des mesures techniques et organisationnelles appropriées, dans la mesure du possible, afin de répondre aux demandes d’exercice des droits des personnes concernées (RGPD chapitre III).
8.6. Le Sous-traitant notifiera le Responsable du traitement sans retard injustifié après avoir pris connaissance d’une violation de données personnelles affectant des données personnelles traitées au titre de ce DPA.
8.7. Le Sous-traitant assistera le Responsable du traitement afin d’assurer le respect des obligations relatives à la sécurité, à la notification de violation et aux obligations de DPIA/consultation (RGPD articles 32-36), en tenant compte de la nature du traitement et des informations dont dispose le Sous-traitant.
8.8. Le Sous-traitant mettra à la disposition du Responsable du traitement les informations nécessaires pour démontrer le respect de ce DPA et permettre et contribuer aux audits conformément à la section 9.
9) Droits d’audit
9.1. Le Responsable du traitement peut demander des informations raisonnablement nécessaires pour démontrer la conformité du Sous-traitant avec ce DPA.
9.2. Le Responsable du traitement peut également effectuer un audit (y compris des inspections) au maximum une fois par 12 mois, avec un préavis écrit raisonnable, pendant les heures ouvrables normales, et sous réserve des exigences de sécurité et de confidentialité du Sous-traitant.
9.3. Lorsque disponible, le Sous-traitant peut satisfaire les demandes d’audit en fournissant des rapports d’audit tiers ou de la documentation de sécurité au lieu d’une inspection sur site.
9.4. Le Responsable du traitement supporte les coûts d’audit.
10) Sous-traitants
10.1. Chez GreenRoot, nous construisons et maintenons nous-mêmes la technologie principale de la plateforme. Pour des infrastructures supplémentaires et des services spécialisés (comme la livraison d’e-mails et les fonctionnalités assistées par IA), nous nous appuyons sur un petit nombre de sous-traitants soigneusement sélectionnés listés ci-dessous.
10.2. Dernière mise à jour : 1 mai 2026.
| Sous-traitant | Finalité | Catégories de données | Localisation/Région | Notes |
|---|---|---|---|---|
| Namecheap (hébergement VPS / infrastructure) | Hébergement / infrastructure | Données de compte, de workspace, de projet, de map et de journey, réponses, artefacts de rapports/exports, journaux | États-Unis (voir notes) | Fournisseur principal actuel d’infrastructure VPS. Les services d’enregistrement de domaine / DNS sont hors du périmètre de cette ligne sauf s’ils traitent aussi le Contenu Client |
| PrivateEmail | Livraison d’e-mails transactionnels (SMTP) | Adresses e-mail des utilisateurs du workspace, adresses e-mail des participants, contenu des messages, métadonnées limitées de livraison | États-Unis (voir notes) | Utilisé pour les invitations, rappels, notifications liées à l’accès et messages indiquant que des exports/rapports sont prêts dans le cadre du rôle de sous-traitant |
| OpenAI | Assistance IA | Contexte de journey/projet/map, réponses d’enquête utilisées pour des résumés, contexte de rapport et URLs/contenus de sites Web publics fournis par les utilisateurs lorsque des fonctionnalités assistées par IA sont utilisées | Global (multi-région) | Utilisé pour l’extraction de contexte de site Web, la génération guidée et la génération de résumés exécutifs lorsqu’elle est invoquée |
10.3. Les artefacts d’export/PDF/rapport liés au rôle de sous-traitant sont actuellement stockés sur la même infrastructure auto-hébergée, sauf si un fournisseur de stockage objet compatible S3 distinct est configuré pour un environnement donné. Si un fournisseur de stockage objet distinct est activé pour traiter le Contenu Client, cette liste de sous-traitants doit être mise à jour en conséquence.
10.4. « Localisation/Région » est fournie à un niveau élevé et peut varier selon la configuration du fournisseur et le routage. Si vous avez besoin d’une localisation définitive pour un compte ou un environnement spécifique, confirmez-la avec le fournisseur.
10.5. Les prestataires utilisés par GreenRoot pour ses propres activités de facturation, de paiement, d’analytics/mesure et d’administration de comptes relevant du rôle de responsable du traitement sont hors du périmètre de ce tableau de sous-traitants lié au rôle de sous-traitant, sauf s’ils traitent le Contenu Client pour le compte du Responsable du traitement.
11) Contact
11.1. Questions : contact@greenrootanalytics.com