Version : 7 mai 2026 / In force as of May 7, 2026
Édité par / Published by BRIDGERS SAS — RCS Paris B 882 679 749 — 149 avenue du Maine, 75014 Paris
Contact unique / Single contact : contact@basile.cc (Niels Cohen, Président de Bridgers SAS)
1. Préambule
Le présent DPA-Client (le « DPA ») complète le Contrat principal entre BRIDGERS (le « Sous-traitant ») et le Client (le « Responsable de traitement ») relatif au Service Basile. Il s'applique exclusivement aux données personnelles téléversées ou transmises par le Client à Basile aux fins d'enrichissement, de vérification, de déduplication, ou d'usage interne (les « Données Client »). Pour les données de la base Basile mises à disposition par BRIDGERS, le Client agit en qualité de Responsable de traitement indépendant ; la relation est alors une relation Responsable-à-Responsable décrite à l'article 11.
2. Description du traitement (Données Client)
Objet : Traitement nécessaire à la fourniture des fonctions d'enrichissement et de gestion des Données Client.
Durée : Durée du Contrat principal augmentée des durées de conservation prévues.
Nature : Stockage, indexation, recherche, comparaison, enrichissement par croisement avec la base Basile et/ou des sources tierces.
Finalité : Fournir au Client les fonctions du Service.
Catégories de données : Identifiants, e-mails professionnels, fonctions, employeurs, données téléphoniques professionnelles, métadonnées (date, source).
Catégories de personnes concernées : Prospects et contacts professionnels du Client.
3. Obligations du Sous-traitant
Le Sous-traitant s'engage à :
- traiter les Données Client uniquement sur instructions documentées du Responsable, y compris pour les transferts hors UE ; le Contrat et le DPA constituent ces instructions ;
- garantir la confidentialité (engagements contractuels et formation du personnel) ;
- mettre en œuvre les mesures de sécurité décrites en Annexe 1 ;
- respecter les conditions de recours aux sous-traitants ultérieurs (article 4) ;
- assister le Responsable pour répondre aux demandes des personnes concernées ;
- aider le Responsable à respecter les articles 32 à 36 RGPD ;
- au choix du Responsable, supprimer ou restituer les Données Client à la fin du contrat (CSV/JSON) sous 30 jours, et détruire les copies sauf obligation légale ;
- mettre à disposition les informations nécessaires pour démontrer la conformité.
4. Sous-traitants ultérieurs
Autorisation générale aux sous-traitants listés en Annexe 2. Notification de toute modification au moins 30 jours avant. Opposition possible pour motifs raisonnables sous 30 jours, par e-mail à contact@basile.cc. À défaut d'accord, résiliation prorata possible.
5. Transferts internationaux
Tout transfert hors UE/EEE est encadré par : (i) une décision d'adéquation, (ii) les CCT — Module 2 (Responsable-Sous-traitant) ou Module 3 (Sous-traitant-Sous-traitant), ou (iii) un autre mécanisme conforme à l'article 46 RGPD.
6. Notification de violation
Notification au Responsable dans un délai raisonnable, et au plus tard 72 heures après prise de connaissance, par e-mail. Contenu : nature de la violation, catégories et nombre approximatif de personnes, conséquences, mesures.
7. Assistance aux droits des personnes
Le Sous-traitant assiste le Responsable, par mesures appropriées et dans la mesure du possible, dans la réponse aux demandes des personnes concernées. Si une personne concernée s'adresse directement au Sous-traitant, ce dernier l'orientera vers le Responsable.
8. Audits
Le Sous-traitant met à disposition, sur demande raisonnable, des rapports SOC 2 Type II ou équivalents. Audit ciblé limité aux exigences du RGPD possible une fois par an, après préavis de 30 jours, sous accord de confidentialité, aux frais du Responsable, sans perturber l'activité. En cas de violation avérée du DPA, frais à la charge du Sous-traitant.
9. Confidentialité
Engagements contractuels ou légaux de confidentialité pour toutes les personnes habilitées.
10. Limitation de responsabilité
Soumise aux limitations du Contrat principal (plafond égal au montant payé sur les 12 derniers mois). Non applicable aux dommages que la loi ne permet pas de limiter.
11. Relation Responsable-à-Responsable (données Basile)
Pour les données issues de la base Basile mises à disposition au Client : BRIDGERS agit en qualité de Responsable de traitement initial (collecte, vérification, structuration), et le Client devient Responsable de traitement indépendant dès lors qu'il intègre ces données dans ses propres traitements. Chaque partie est responsable du respect du RGPD pour ses propres traitements. Aucun traitement conjoint au sens de l'article 26 RGPD n'est constitué. Cette relation est régie par les CGU et la Politique de Confidentialité, et non par le présent DPA.
12. Loi applicable et juridiction
DPA régi par le droit français. Compétence exclusive du Tribunal de Commerce de Paris.
Annexe 1 — Mesures techniques et organisationnelles
Sécurité physique
- Hébergement dans des datacenters certifiés (ISO 27001, SOC 2, PCI-DSS).
- Contrôle d'accès strict.
Sécurité logique
- TLS 1.3, AES-256.
- MFA pour tous les accès admin.
- RBAC, moindre privilège.
- Journalisation centralisée.
Développement sécurisé
- Revue de code, SAST/DAST.
- Tests d'intrusion annuels.
Continuité
- Sauvegardes chiffrées quotidiennes (30 jours).
- DRP testé annuellement.
Organisation
- Politique de sécurité documentée, formation annuelle, engagements de confidentialité.
Annexe 2 — Sous-traitants ultérieurs
Liste à jour : basile.cc/legal/subprocessors. Indicativement :
- Amazon Web Services EMEA SARL — UE — Hébergement.
- Stripe Payments Europe Ltd — Irlande — Paiements.
- Postmark / SendGrid — États-Unis (CCT) — E-mails transactionnels.
- Intercom — Irlande — Support.
- HubSpot — Irlande — CRM.
- Datadog — États-Unis (CCT + EU-US DPF) — Observabilité.
- Sentry — États-Unis (CCT) — Suivi d'erreurs.
- Prestataires de vérification email — UE / sous CCT — Vérification SMTP.
En cas de divergence entre la version française et toute traduction, la version française fait foi.