Juridique Bonmoniq
Accord de Traitement des Données
- Dernière mise à jour
- 2026-05-11
Cloudflare Web Analytics est utilisé pour la mesure d'audience sans cookie et les Core Web Vitals sur le site public. Il n'utilise pas de cookies, ne suit pas les utilisateurs individuellement et n'est pas utilisé pour traiter le contenu Client dans le Service.
Objet
Le présent Accord de Traitement des Données, ou DPA, s'applique lorsque Bonmoniq traite des données personnelles pour le compte d'un Client professionnel dans le cadre du Service.
Il complète les Conditions Générales d'Utilisation et de Vente et s'applique uniquement aux traitements pour lesquels le Client agit en qualité de responsable de traitement et Bonmoniq agit en qualité de sous-traitant au sens de l'article 4 du RGPD.
Parties
| Rôle | Partie | Coordonnées |
|---|---|---|
| Responsable de traitement | Client professionnel qui souscrit le Service | Coordonnées renseignées dans le Compte ou le contrat |
| Sous-traitant | Bonmoniq SASU, SIREN 104 435 557, RCS Paris | 47 rue Vivienne, 75002 Paris, France, legal@bonmoniq.fr |
Bonmoniq est représentée par Dmitrii Poroshkov, Président.
Objet et durée du traitement
| Élément | Description |
|---|---|
| Objet | Traitement de données personnelles pour fournir le Service logiciel en ligne au Client |
| Durée | Durée de l'Abonnement, puis période nécessaire à la restitution, suppression, sauvegarde limitée et obligations légales |
| Fin du traitement | Suppression ou restitution selon les instructions documentées du Client, sauf conservation imposée par le droit de l'Union européenne ou le droit français |
Nature et finalité du traitement
| Nature du traitement | Finalité |
|---|---|
| Hébergement | Stocker les données du Client dans l'infrastructure du Service |
| Consultation | Afficher les données aux Utilisateurs autorisés du Client |
| Organisation | Permettre la configuration, la recherche, le tri et les actions dans le Service |
| Sauvegarde | Maintenir des sauvegardes de sécurité et de continuité |
| Support | Diagnostiquer et résoudre les incidents demandés par le Client |
| Sécurité | Journaliser les accès, prévenir les abus et protéger le Service |
Bonmoniq ne traite les données du Client que pour fournir le Service et selon les instructions documentées du Client.
Catégories de personnes concernées et de données
| Catégorie | Exemples de données | Personnes concernées |
|---|---|---|
| Utilisateurs du Client | Nom, e-mail, identifiant, rôle, logs d'activité | Salariés, prestataires, administrateurs du Client |
| Contacts importés par le Client | Nom, e-mail, société, informations fournies dans le Service | Clients, prospects, partenaires du Client |
| Données opérationnelles du Client | Contenus, notes, fichiers, champs libres, métadonnées | Personnes dont les données sont saisies par le Client |
| Données techniques | IP, user agent, horodatages, identifiants de session | Utilisateurs autorisés et administrateurs |
Le Client s'engage à ne pas importer de catégories particulières de données au sens de l'article 9 du RGPD, de données d'infractions au sens de l'article 10 du RGPD ou de données de mineurs, sauf accord écrit préalable et mesures complémentaires documentées.
Obligations de Bonmoniq en qualité de sous-traitant
Conformément à l'article 28(3) du RGPD, Bonmoniq s'engage à respecter les obligations suivantes.
Instructions documentées
Bonmoniq traite les données personnelles uniquement sur instructions documentées du Client, notamment les Conditions, le présent DPA, les paramétrages du Compte et les demandes écrites du Client.
Si Bonmoniq estime qu'une instruction viole le RGPD, la loi Informatique et Libertés ou une autre disposition applicable, Bonmoniq en informe le Client dans un délai de 5 jours ouvrés après identification de la difficulté.
Confidentialité du personnel
Bonmoniq limite l'accès aux données personnelles aux personnes qui en ont besoin pour fournir le Service ou le support. Ces personnes sont soumises à une obligation de confidentialité contractuelle ou légale.
Mesures de sécurité
Bonmoniq applique les mesures de sécurité de l'article 32 du RGPD décrites ci-dessous.
| Mesure | Description |
|---|---|
| Chiffrement en transit | TLS pour les communications entre navigateur, API et services exposés |
| Chiffrement au repos | Chiffrement des données de production et sauvegardes selon les mécanismes de la plateforme d'hébergement |
| Contrôle d'accès | Accès de production limité aux personnes habilitées |
| Authentification | Authentification forte obligatoire pour les comptes administratifs |
| Journalisation | Logs d'accès techniques et événements de sécurité |
| Sauvegardes | Sauvegardes techniques avec accès limité |
| Revue des accès | Vérification des accès au moins tous les 6 mois |
| Gestion des incidents | Analyse, confinement, correction et notification selon les articles 33 et 34 RGPD |
Sous-traitants ultérieurs
Le Client autorise Bonmoniq à recourir aux sous-traitants ultérieurs listés dans le présent DPA pour fournir le Service.
Bonmoniq informe le Client de tout ajout ou remplacement de sous-traitant ultérieur au moins 30 jours à l'avance par e-mail, notification dans le Service ou mise à jour documentée accessible au Client.
Le Client peut s'opposer à un nouveau sous-traitant pour un motif documenté lié à la localisation du traitement, à l'absence de garantie de transfert au sens de l'article 46 du RGPD, à l'ajout de catégories de données ou à un risque de sécurité identifié. En cas d'opposition non résolue, le Client peut résilier la partie concernée du Service avant l'entrée en vigueur du changement.
Bonmoniq impose à chaque sous-traitant ultérieur des obligations de protection des données substantiellement équivalentes à celles du présent DPA.
Assistance aux droits des personnes
Bonmoniq assiste le Client, compte tenu de la nature du traitement, pour répondre aux demandes d'exercice des droits prévus aux articles 15 à 22 du RGPD.
Si une personne concernée adresse directement une demande à Bonmoniq au sujet de données traitées pour le compte du Client, Bonmoniq transmet la demande au Client lorsque celui-ci est identifiable, sauf obligation légale contraire.
Assistance en cas de violation de données
Bonmoniq informe le Client sans délai indu après avoir pris connaissance d'une violation de données personnelles affectant les données traitées pour le compte du Client.
La notification initiale inclut les informations connues par Bonmoniq au moment de l'envoi et est complétée par mises à jour successives lorsque l'enquête confirme de nouveaux éléments:
- la nature de la violation;
- les catégories et volumes approximatifs de données concernées;
- les conséquences probables;
- les mesures prises ou proposées pour remédier à la violation;
- le point de contact Bonmoniq.
Le Client reste responsable des notifications à l'autorité de contrôle et aux personnes concernées lorsqu'il agit en qualité de responsable de traitement, sauf accord écrit contraire.
Assistance DPIA
Bonmoniq fournit au Client la documentation détenue par Bonmoniq sur l'architecture du Service, les sous-traitants, les localisations de traitement, les mesures de sécurité et l'historique des incidents confirmés concernant le Service pour l'aider à réaliser une analyse d'impact relative à la protection des données lorsque l'article 35 du RGPD l'exige.
Suppression ou restitution
À la fin du contrat, Bonmoniq supprime ou restitue les données personnelles traitées pour le compte du Client selon les instructions documentées du Client.
Bonmoniq peut conserver certaines données lorsque le droit français ou le droit de l'Union européenne l'exige, notamment pour la preuve, la comptabilité, la sécurité ou la défense de droits en justice.
Audits
Bonmoniq met à disposition du Client les informations nécessaires pour démontrer le respect de l'article 28 du RGPD.
Le Client peut demander un audit documentaire une fois par an, avec un préavis de 30 jours. Si l'audit documentaire ne permet pas de vérifier un point précis de l'article 28 du RGPD, un audit sur site peut être organisé sous accord de confidentialité, sans accès aux données d'autres clients, pendant les heures ouvrables et avec un périmètre limité au point non couvert.
Liste des sous-traitants ultérieurs
| Sous-traitant | Service | Localisation | Garanties |
|---|---|---|---|
| Cloudflare Inc. | Diffusion du site et de l'interface du Service, CDN, DNS, protection DDoS, sécurité réseau et cache edge | États-Unis, avec réseau edge mondial | Clauses contractuelles types, DPF lorsque certifié et garanties contractuelles applicables |
| Sinch AB | Infrastructure de communications: numéros, voix, SMS et RCS | Suède, UE | Opérateur UE, RGPD-natif |
| Mistral AI SAS | Traitement des agents vocaux IA lorsque activés | France, UE | Opérateur UE, RGPD-natif |
| Stripe Payments Europe ou Mollie B.V. | Traitement des paiements (un seul prestataire actif à la fois) | Union européenne, avec possibles opérations hors UE | UE, SCC + DPF selon entité et transfert |
| Google Workspace | E-mail professionnel et outils bureautiques | UE/USA | SCC + DPF lorsque certifié |
Transferts internationaux
Lorsque des données personnelles sont transférées hors Union européenne, Bonmoniq utilise les mécanismes prévus par les articles 44 à 49 du RGPD.
Les contenus de voix, de messagerie et de conversation IA client du parcours européen sont traités par Sinch AB et Mistral AI SAS dans l'Union européenne. Bonmoniq ne présente pas cette architecture comme une absence totale de technologies américaines: Cloudflare et certains outils business peuvent rester américains pour la diffusion, la sécurité, l'e-mail ou les paiements.
| Destination | Mécanisme | Commentaire |
|---|---|---|
| États-Unis | Clauses contractuelles types, article 46 RGPD | Utilisées pour les prestataires non couverts par une décision d'adéquation applicable |
| États-Unis | EU-US Data Privacy Framework, article 45 RGPD | Utilisable lorsque le destinataire est certifié et figure sur la liste DPF |
| Autres pays tiers | SCC ou autre garantie valide | Évaluation avant activation du prestataire |
Responsabilité et indemnisation
Chaque partie est responsable des manquements qui lui sont imputables au regard du RGPD, de la loi Informatique et Libertés et du contrat.
Bonmoniq n'est pas responsable des traitements déterminés par le Client, des données importées par le Client, des instructions illicites du Client ou des traitements effectués par le Client en dehors du Service.
Toute limitation de responsabilité convenue dans les Conditions ou le contrat principal s'applique au présent DPA dans les limites autorisées par le droit français. Aucune limitation ne s'applique lorsqu'elle est interdite par la loi.
Durée et résiliation
Le présent DPA entre en vigueur à la date à laquelle le Client accepte les Conditions ou signe un contrat incluant le DPA. Il reste applicable pendant toute la durée des traitements effectués par Bonmoniq pour le compte du Client.
La résiliation du contrat principal entraîne la fin du DPA après suppression ou restitution des données, sauf obligations légales de conservation.
Contact
| Sujet | Contact |
|---|---|
| Questions contractuelles | legal@bonmoniq.fr |
| Données personnelles | privacy@bonmoniq.fr |
| Sécurité | security@bonmoniq.fr |
Droit applicable et juridiction compétente
Le présent DPA est régi par le droit français et le droit de l'Union européenne applicable à la protection des données personnelles.
Pour les litiges entre professionnels relatifs au présent DPA, compétence exclusive est attribuée au Tribunal de commerce de Paris, sous réserve des dispositions impératives contraires.
Date de mise à jour
Le présent DPA a été mis à jour le 11 mai 2026.
Dernière mise à jour: 11 mai 2026 Pour toute question concernant ce document, contactez-nous à legal@bonmoniq.fr.