Data Processing Agreement (DPA)

Version : 1.0
Entrée en vigueur : 14 Juin 2025

  • Introduction
  • 1. Définitions
  • 2. Objet et durée du traitement
  • 3. Nature et finalités du traitement
  • 4. Catégories de données traitées
  • 5. Obligations du Client
  • 6. Obligations de Kanam
  • 7. Sous-traitants ultérieurs
  • 8. Transferts de données hors de l’UE
  • 9. Assistance et coopération
  • 10. Sort des données en fin de contrat
  • 11. Audit
  • 12. Contact et notification
  • 13. Hiérarchie contractuelle
  • 14. Version et entrée en vigueur

Introduction

Ce Data Processing Agreement (DPA) fait partie intégrante de l’Accord-cadre de service SaaS (MSA) conclu entre Darewell SAS (éditeur de la plateforme Kanam) et le Client, et régit le traitement des données à caractère personnel dans le cadre de l’utilisation des services Kanam.

1. Définitions

Les termes en majuscules ont la signification donnée par le Règlement (UE) 2016/679 (RGPD).

En particulier :

  • Données personnelles : toute information se rapportant à une personne physique identifiée ou identifiable.

  • Traitement : toute opération ou ensemble d’opérations effectuées sur des données personnelles (collecte, enregistrement, conservation, consultation, etc.).

  • Sous-traitant : Darewell SAS (Kanam), agissant pour le compte du Client.

  • Responsable du traitement : le Client utilisant la plateforme Kanam.

  • Sous-traitant ultérieur : tout prestataire auquel Kanam fait appel pour exécuter une partie du traitement.

2. Objet et durée du traitement

Le présent DPA a pour objet de définir les conditions dans lesquelles Kanam traite les données personnelles pour le compte du Client.

Le traitement couvre les opérations nécessaires à la fourniture, au maintien, au support et à l’amélioration de la plateforme Kanam.
Il est applicable pendant toute la durée du contrat principal (MSA), et jusqu’à la suppression ou restitution des données conformément à l’article 10 du présent DPA.

3. Nature et finalités du traitement

Les traitements réalisés par Kanam pour le compte du Client incluent notamment :

Catégorie de traitementFinalité
Gestion des comptes utilisateursCréation, authentification et gestion des accès à la plateforme
Collaboration et performanceGestion des objectifs (OKR), compétences, rôles et interactions d’équipe
Analyse et amélioration produitSuivi d’usage anonymisé, statistiques, feedback et assistance
CommunicationNotifications, e-mails de service et support client
Intelligence artificielleSuggestions automatisées et génération de contenu (via API OpenAI)

4. Catégories de données traitées

Kanam traite uniquement les catégories de données strictement nécessaires à la fourniture du service :

  • Données d’identification : nom, prénom, adresse e-mail professionnelle, fonction, photo de profil (optionnelle)

  • Données de connexion : identifiants, logs d’accès, adresse IP, date et heure de connexion

  • Données d’activité : objectifs, évaluations, commentaires, auto-évaluations, fichiers partagés

  • Données de communication : messages échangés via la plateforme ou le support

  • Données générées par l’IA (contenu contextuel non sensible)

Kanam ne collecte ni ne traite de données dites “sensibles” au sens de l’article 9 du RGPD.

5. Obligations du Client (responsable du traitement)

Le Client demeure seul responsable :

  • de la licéité du traitement des données confiées à Kanam,

  • des informations transmises aux personnes concernées,

  • et de la collecte du consentement lorsque cela est requis.

Le Client doit informer Kanam sans délai de toute anomalie, demande ou réclamation relative aux données traitées.

6. Obligations de Kanam (sous-traitant)

Kanam s’engage à :

  1. Traiter les données uniquement sur instruction documentée du Client,

  2. Garantir la confidentialité des données et imposer la même obligation à son personnel,

  3. Mettre en œuvre des mesures techniques et organisationnelles appropriées pour assurer la sécurité des données (contrôles d’accès, chiffrement, sauvegardes, etc.),

  4. Aider le Client à s’acquitter de ses obligations (droits d’accès, rectification, effacement, portabilité, etc.),

  5. Notifier sans délai toute violation de données à caractère personnel,

  6. Tenir à jour un registre des traitements,

  7. Restituer ou supprimer les données à la fin du contrat, selon le choix du Client.

7. Sous-traitants ultérieurs

Kanam est autorisée à faire appel aux sous-traitants listés sur la page :
https://kanam.io/legal/subprocessors

Cette liste précise pour chaque prestataire :

  • son rôle,

  • sa localisation,

  • et les garanties mises en place (hébergement en UE, Clauses Contractuelles Types, etc.).

Kanam informera le Client de toute modification substantielle (ajout ou remplacement) au moins 30 jours avant son entrée en vigueur.
Le Client pourra s’opposer par écrit à cette modification en cas de motif légitime.

8. Transferts de données hors de l’UE

Les données sont principalement hébergées dans l’Union européenne (Allemagne – IONOS).
Certains traitements spécifiques peuvent impliquer des transferts vers des pays tiers, notamment :

  • Stripe (paiements) : États-Unis / UE – Clauses Contractuelles Types,

  • OpenAI (API IA) : États-Unis – Clauses Contractuelles Types + anonymisation des entrées,

  • Brevo (e-mails) : UE (France / Allemagne).

Kanam veille à ce que tout transfert hors de l’EEE soit encadré par des garanties adéquates conformément au RGPD (art. 46).

9. Assistance et coopération

Kanam aide le Client, dans la mesure du possible, à :

  • Répondre aux demandes d’exercice des droits des personnes concernées,

  • Effectuer des analyses d’impact (DPIA),

  • Coopérer avec les autorités de contrôle (CNIL ou équivalent).

10. Sort des données en fin de contrat

À l’expiration du contrat ou sur demande écrite du Client :

  • Kanam procède, au choix du Client, à la restitution ou à la suppression complète des données,

  • sauf si une conservation est requise par la loi ou pour la défense des droits de Kanam.

Les sauvegardes automatisées sont supprimées dans un délai maximum de 30 jours.

11. Audit

Sur demande écrite, le Client peut obtenir les informations nécessaires pour démontrer la conformité de Kanam au présent DPA.
Les audits sur site peuvent être réalisés par un tiers indépendant mandaté par le Client, sous réserve :

  • d’un préavis minimum de 30 jours,

  • d’un périmètre raisonnable,

  • et d’un engagement de confidentialité.

12. Contact et notification

Pour toute question relative à la protection des données ou au présent DPA, le Client peut contacter :

Délégué à la protection des données (DPO)
Darewell SAS – Kanam
📧 [email protected]

13. Hiérarchie contractuelle

En cas de contradiction entre le présent DPA et l’Accord-cadre de service SaaS (MSA), le DPA prévaut sur les dispositions du MSA relatives au traitement des données personnelles.

14. Version et entrée en vigueur

Version 1.0 – En vigueur à compter du 15 mars 2025
Ce DPA remplace toute version antérieure.