Accord sur le traitement des données (DPA)

Dernière mise à jour : 14/04/2026

1. Préambule et intégration contractuelle

Le présent Accord sur le Traitement des Données (ci-après le « DPA ») constitue un avenant contractuel aux Conditions Générales de Vente ou à tout contrat conclu entre la société GUMP (ci-après « le Prestataire ») et son client professionnel (ci-après le « Client »).

Il régit les conditions dans lesquelles le Prestataire est autorisé à traiter des données à caractère personnel pour le compte du Client, dans le cadre de la fourniture de solutions de cartes de visite connectées NFC, de QR codes dynamiques, ainsi que de l’accès à une plateforme de gestion et de personnalisation des données associées.

Le présent DPA s’applique automatiquement dès l’activation d’un service ou la création d’un compte Client, sans nécessité de signature manuscrite distincte.

2. Définitions

Aux fins du présent DPA, les termes « données à caractère personnel », « traitement », « responsable de traitement », « sous-traitant », « violation de données » et toute autre notion connexe ont la signification qui leur est attribuée par le Règlement (UE) 2016/679 (RGPD).

3. Rôle des parties

Dans le cadre des traitements réalisés pour la fourniture des services de cartes de visite connectées, le Client agit en qualité de Responsable du traitement au sens du RGPD.

Le Prestataire, GUMP, agit en qualité de Sous-traitant, dans la mesure où il traite les données personnelles strictement nécessaires à la fourniture du service, à la personnalisation des cartes, à leur activation, ainsi qu’à l’exploitation de la plateforme associée.

Le Prestataire peut également être amené à agir en qualité de Responsable de traitement indépendant pour certains traitements annexes, notamment la gestion de la relation commerciale, la facturation, le support client et le respect de ses obligations légales.

4. Nature des traitements réalisés

Dans le cadre des services fournis, GUMP est amené à effectuer plusieurs opérations de traitement de données à caractère personnel pour le compte du Client.

Ces traitements incluent notamment la création, l’hébergement et la maintenance de profils numériques associés aux cartes de visite connectées NFC, permettant la redirection via QR code ou technologie sans contact NFC vers une interface digitale personnalisée.

Le Prestataire assure également la gestion d’une plateforme permettant au Client de modifier ses informations professionnelles, de gérer plusieurs cartes au sein d’un même compte administrateur, et d’accéder à certaines données analytiques relatives à l’utilisation des cartes, telles que les interactions, scans et consultations des liens intégrés.

Les traitements incluent en outre la prise en charge des données nécessaires à la production physique des cartes, notamment lors de leur impression, leur personnalisation graphique, ainsi que leur validation préalable via Bon à Tirer (BAT).

5. Catégories de données traitées

Les données traitées dans le cadre des services incluent notamment :

  • les données d’identification professionnelle telles que nom, prénom et fonction ;
  • les coordonnées professionnelles telles que adresse e-mail et numéro de téléphone ;
  • les informations relatives à l’entreprise, incluant le nom commercial et les éléments de marque tels que logos et identités visuelles ;
  • les données de configuration des cartes de visite connectées ;
  • les données d’utilisation telles que les statistiques de scans, de clics et d’interactions avec les contenus numériques associés.

6. Finalité des traitements

Les traitements réalisés par GUMP ont pour finalité exclusive la fourniture, le fonctionnement et l’amélioration du service de cartes de visite connectées.

Ils permettent notamment :

  • l’affichage des informations professionnelles du Client via QR code ou NFC ;
  • la gestion et la mise à jour des contenus numériques associés aux cartes ;
  • la personnalisation des supports physiques et digitaux ;
  • l’accès à des fonctionnalités analytiques permettant au Client de mesurer l’usage de ses cartes ;
  • l’assistance technique et le support utilisateur.

7. Obligations du Client

Le Client s’engage à garantir que l’ensemble des données qu’il transmet dans le cadre de l’utilisation du service est collecté et traité de manière licite et conforme à la réglementation en vigueur.

Le Client demeure seul responsable des contenus intégrés dans les cartes de visite connectées, notamment les informations personnelles de ses collaborateurs, les visuels, les logos et toute donnée diffusée via la plateforme.

Il lui appartient également d’informer les personnes concernées du traitement de leurs données et de disposer de la base légale appropriée pour leur utilisation.

8. Obligations du Prestataire

GUMP s’engage à traiter les données personnelles uniquement sur instruction documentée du Client et dans le strict cadre des finalités définies au présent DPA.

Le Prestataire garantit la confidentialité des données traitées et met en œuvre les mesures organisationnelles et techniques nécessaires afin d’en assurer la protection.

L’accès aux données est strictement limité aux personnes habilitées au sein de GUMP, dans la limite de leurs besoins opérationnels.

9. Mesures de sécurité et infrastructure

Le Prestataire met en œuvre des mesures de sécurité renforcées afin de garantir un niveau de protection adapté aux risques liés aux traitements.

Les données sont hébergées au sein d’infrastructures sécurisées situées dans l’Union européenne via des prestataires conformes aux standards de sécurité applicables, notamment Gandi pour l’hébergement du site et des services associés.

En complément, GUMP dispose d’une infrastructure interne sécurisée reposant sur un système de stockage physique et numérique fourni et maintenu par la société Rex Rotary. Ce dispositif constitue un environnement de stockage sécurisé, conçu pour assurer la protection, la redondance et la conservation des données critiques de l’entreprise, incluant un système de coffre-fort physique et numérique garantissant la résilience des données en cas d’incident majeur, sinistre ou perte d’accès aux systèmes principaux.

Les données sont ainsi protégées contre toute perte accidentelle, altération ou accès non autorisé.

Les paiements et données sensibles sont traités via des prestataires spécialisés conformes aux standards de sécurité applicables.

10. Sous-traitants ultérieurs

Le Client est informé que le Prestataire peut recourir à des sous-traitants techniques nécessaires à l’exécution du service, notamment pour l’hébergement, la communication, la gestion des commandes ou la logistique.

Ces sous-traitants sont sélectionnés pour leur conformité au RGPD et leurs garanties en matière de sécurité et de confidentialité.

11. Logistique et transport

Dans le cadre de la production et de l’envoi des cartes physiques, les livraisons sont assurées par des prestataires logistiques tels que La Poste.

Les données strictement nécessaires à la livraison (nom, prénom, adresse de livraison) peuvent être transmises à ces prestataires uniquement dans le cadre de l’exécution de la commande.

12. Violation de données

En cas de violation de données à caractère personnel, GUMP s’engage à notifier le Client dans les meilleurs délais, et au plus tard dans un délai de 48 heures après en avoir pris connaissance.

Le Prestataire coopère pleinement avec le Client afin de lui permettre de respecter ses obligations légales de notification auprès des autorités compétentes et des personnes concernées.

13. Conservation des données

Les données sont conservées pendant toute la durée contractuelle des services.

À la fin de la relation commerciale, les données peuvent être supprimées ou anonymisées, sauf obligation légale de conservation contraire.

14. Réversibilité

À la demande du Client, GUMP s’engage à restituer les données dans un format exploitable ou à procéder à leur suppression complète, sous réserve des obligations légales de conservation.

15. Modification du DPA

Le présent DPA peut être modifié à tout moment afin de refléter les évolutions légales, techniques ou organisationnelles du service.

La version en vigueur est celle publiée sur le site du Prestataire.

16. Droit applicable

Le présent DPA est régi par le droit français.