1. Parties et objet
Le présent Accord de Traitement des Données (« DPA ») complète les Conditions Générales de Vente (« CGV ») conclues entre :
- Le Responsable de Traitement : le Client professionnel utilisateur des services Nodkon.
- Le Sous-traitant : Nodkon, prestataire des services d'automatisation.
Il est conclu conformément à l'article 28 du Règlement (UE) 2016/679 (ci-après « RGPD ») et précise les engagements de chaque partie s'agissant du traitement des données à caractère personnel dans le cadre de l'exécution des prestations Nodkon.
2. Description du traitement
2.1 Nature et finalité
Le Sous-traitant héberge et exécute pour le compte du Responsable de Traitement des workflows d'automatisation (n8n) susceptibles de traiter des données à caractère personnel des clients, prospects, employés ou tiers du Responsable de Traitement.
2.2 Durée
Le traitement est effectué pendant toute la durée des CGV, et jusqu'à suppression effective des données dans les conditions prévues à l'article 10.
2.3 Catégories de personnes concernées
- Clients et prospects du Responsable de Traitement ;
- Employés ou collaborateurs du Responsable de Traitement ;
- Toute autre personne dont les données sont traitées par les workflows configurés par le Responsable de Traitement.
2.4 Catégories de données
La nature précise des données dépend des workflows configurés par le Responsable de Traitement. Typiquement : données d'identification (nom, prénom, email, téléphone), données de contact, données transactionnelles, logs techniques d'exécution. Le Responsable de Traitement s'engage à ne pas traiter de catégories particulières de données (données de santé, opinions politiques, etc.) sans accord écrit préalable du Sous-traitant.
3. Obligations du Sous-traitant
Conformément à l'article 28.3 du RGPD, le Sous-traitant s'engage à :
- Traiter les données uniquement sur instruction documentée du Responsable de Traitement (les instructions étant matérialisées par la configuration des workflows) ;
- Garantir que les personnes autorisées à traiter les données sont soumises à une obligation de confidentialité ;
- Mettre en œuvre les mesures techniques et organisationnelles décrites à l'article 5 ;
- Respecter les conditions de sous-traitance ultérieure prévues à l'article 4 ;
- Assister le Responsable de Traitement dans ses obligations de réponse aux droits des personnes concernées ;
- Aider le Responsable de Traitement dans ses obligations en matière de sécurité, de notification de violations et d'analyses d'impact ;
- À l'issue de la prestation, restituer ou supprimer les données selon l'article 10 ;
- Mettre à disposition toutes les informations nécessaires pour démontrer le respect du présent DPA.
4. Sous-traitants ultérieurs
Le Responsable de Traitement autorise expressément le recours aux sous-traitants ultérieurs listés ci-après.
| Sous-traitant | Rôle | Localisation | Garanties |
|---|---|---|---|
| Hetzner Online GmbH | Hébergement des serveurs et de la base de données | Allemagne (UE) | DPA conforme art. 28 RGPD, ISO 27001 |
Toute modification de cette liste (ajout, remplacement) sera notifiée au Responsable de Traitement au moins 30 jours avant sa mise en œuvre. Le Responsable de Traitement peut s'y opposer pour motif légitime dans ce délai ; à défaut, le changement est réputé accepté.
Le Sous-traitant demeure pleinement responsable vis-à-vis du Responsable de Traitement du respect, par ses sous-traitants ultérieurs, des obligations équivalentes à celles du présent DPA.
5. Mesures de sécurité
Le Sous-traitant met en œuvre les mesures techniques et organisationnelles suivantes :
- Chiffrement des credentials de bout en bout (architecture zero-knowledge) : les identifiants fournis par le Responsable de Traitement pour ses outils tiers sont chiffrés dans son navigateur via X25519 ECDH + AES-256-GCM avant transmission. La clé privée reste sur l'instance du Responsable de Traitement ;
- Chiffrement des communications en transit (TLS 1.3) ;
- Chiffrement des sauvegardes au repos (GPG) ;
- Isolation des instances clientes (conteneurs séparés, réseau virtuel dédié) ;
- Journalisation des accès administrateurs ;
- Authentification forte et rotation des secrets d'infrastructure ;
- Sauvegardes quotidiennes chiffrées, rétention 30 jours ;
- Mises à jour de sécurité appliquées régulièrement aux composants d'infrastructure ;
- Procédure interne de gestion des violations de données.
6. Violation de données
En cas de violation de données à caractère personnel, le Sous-traitant notifie le Responsable de Traitement dans les meilleurs délais et au plus tard sous 48 heures après en avoir pris connaissance, par email à l'adresse de contact communiquée par le Responsable de Traitement.
La notification comprend : la nature de la violation, les catégories et nombre approximatif de personnes concernées, les conséquences probables, et les mesures prises ou proposées pour y remédier.
7. Droits des personnes concernées
Le Responsable de Traitement reste seul responsable du traitement des demandes d'exercice de droits (accès, rectification, effacement, portabilité, opposition, limitation) émanant des personnes concernées.
Le Sous-traitant assiste le Responsable de Traitement dans cette tâche en lui fournissant, dans un délai raisonnable et à ses frais raisonnables, les informations techniques nécessaires à la satisfaction de ces droits (export, suppression ciblée).
8. Transferts hors UE
Les données sont hébergées exclusivement sur des serveurs situés dans l'Union Européenne (Hetzner, Allemagne). Aucun transfert de données en dehors de l'Espace Économique Européen n'est effectué par le Sous-traitant.
Si un workflow configuré par le Responsable de Traitement implique un transfert vers un outil tiers hors UE (ex : API d'un service basé aux États-Unis), ce transfert relève de la responsabilité exclusive du Responsable de Traitement, qui doit s'assurer de la licéité du transfert (clauses contractuelles types, décision d'adéquation, etc.).
9. Audit
Le Responsable de Traitement peut, à ses frais et après un préavis raisonnable de 30 jours, auditer le respect par le Sous-traitant du présent DPA, au plus une fois par année civile, sauf en cas de violation avérée.
L'audit est mené sous couvert de confidentialité, pendant les heures ouvrées, et ne doit pas perturber le fonctionnement de l'infrastructure. À la demande du Sous-traitant, il peut être mené par un tiers indépendant et certifié.
10. Sort des données en fin de contrat
À l'issue de la prestation, le Sous-traitant propose au Responsable de Traitement, à son choix :
- La restitution complète des données au format portable (JSON export des workflows, dump SQL) ;
- Ou la suppression définitive des données (bases actives + sauvegardes à l'expiration du cycle de rétention).
Le choix doit être exprimé par le Responsable de Traitement dans les 30 jours suivant la résiliation. À défaut, les données sont supprimées automatiquement, étant précisé que les sauvegardes sont purgées selon le cycle normal (30 jours).
Les documents conservés au titre d'obligations légales (facturation notamment) sont archivés séparément et ne sont plus utilisés pour le traitement.
11. Responsabilité et articulation avec les CGV
Les limitations de responsabilité prévues aux CGV s'appliquent au présent DPA, sauf stipulation contraire. En cas de contradiction entre le DPA et les CGV s'agissant du traitement de données personnelles, le DPA prévaut.
12. Modification du DPA
Le Sous-traitant peut modifier le présent DPA pour tenir compte d'évolutions législatives ou techniques. Les modifications substantielles sont notifiées au Responsable de Traitement avec un préavis de 30 jours.
13. Contact
Pour toute question relative au présent DPA ou à la protection des données : contact@nodkon.com
Dernière mise à jour : avril 2026.