SocialHook
Se connecterCommencer gratuitement →
Document juridique · Article 28 du RGPD

Accord de traitement des données

Version 1.0 · Avril 2026Incorpore les Clauses contractuelles types de l'UE
Comment signer ce DPA : Ce document représente l'Accord de traitement des données standard de SocialHook pour les clients UE/EEE. Pour recevoir un exemplaire contresigné, envoyez un e-mail à privacy@socialhook.io avec comme objet "Demande DPA" ainsi que le nom de votre entreprise, l'adresse enregistrée et vos coordonnées. Nous retournerons un exemplaire signé dans les 5 jours ouvrables.

Sommaire

01Définitions et champ d'application02Objet et durée03Nature et finalité du traitement04Obligations du sous-traitant (SocialHook)05Obligations du responsable du traitement (Client)06Sous-traitants ultérieurs07Mesures de sécurité08Notification de violation de données09Droits des personnes concernées10Conservation et suppression11Transferts internationaux12Audits et inspections13Résiliation14Droit applicable et litiges15Annexe — Détails du traitement

Parties à cet accord

Cet Accord de traitement des données ("DPA") est conclu entre :

  • Responsable du traitement ("Client") : La personne morale qui a accepté les Conditions d'utilisation de SocialHook et est identifiée dans l'inscription au compte SocialHook.
  • Sous-traitant ("SocialHook") : Lead Lock Systems LLC, constituée dans le Wyoming, États-Unis, exploitant SocialHook sur socialhook.io.

Ce DPA complète et fait partie des Conditions d'utilisation de SocialHook. En cas de conflit entre ce DPA et les Conditions d'utilisation en matière de protection des données, ce DPA prévaudra.

1. Définitions et champ d'application

  • « RGPD » désigne le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016.
  • « Données personnelles » a le sens donné à l'article 4(1) du RGPD.
  • « Personne concernée » désigne la personne physique dont les Données personnelles sont traitées — dans ce contexte, les clients finaux qui envoient des messages aux comptes de plateforme Meta connectés du Responsable du traitement.
  • « Données de messagerie Meta » désigne les Données personnelles contenues dans les messages traités par SocialHook pour la livraison webhook.
  • « Clauses contractuelles types » ou « CCT » désigne les clauses contractuelles types adoptées par la Commission européenne dans la Décision 2021/914.
  • « Sous-traitant ultérieur » désigne tout tiers mandaté par SocialHook pour traiter des Données personnelles au titre de ce DPA.

2. Objet et durée

SocialHook traite les Données personnelles pour le compte du Client uniquement aux fins de la fourniture du service SocialHook — recevoir les messages des API de Meta sur les comptes de plateforme connectés du Client et les livrer au point de terminaison webhook désigné par le Client.

Ce DPA prend effet à la date à laquelle le Client accepte les Conditions d'utilisation et continue jusqu'à la résiliation de l'abonnement SocialHook du Client.

3. Nature et finalité du traitement

SocialHook agit comme un relais automatisé — recevant des données de messages structurées des API de Meta, les normalisant en un payload JSON cohérent, les signant avec HMAC-SHA256, et les livrant au point de terminaison webhook du Client. SocialHook n'effectue aucune analyse indépendante, aucun profilage ni aucun traitement supplémentaire des Données personnelles au-delà de ce qui est nécessaire à la livraison.

4. Obligations du sous-traitant (SocialHook)

  1. 1.Traiter uniquement sur instructions documentées — SocialHook ne traitera les Données personnelles qu'en conformité avec les instructions documentées du Client, telles que représentées par les paramètres de configuration webhook et d'événements du Client.
  2. 2.Confidentialité — SocialHook veillera à ce que les personnes autorisées à traiter les Données personnelles soient soumises à des obligations de confidentialité appropriées.
  3. 3.Sécurité — SocialHook mettra en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque.
  4. 4.Restrictions relatives aux sous-traitants ultérieurs — SocialHook ne fera pas appel à des sous-traitants ultérieurs sans autorisation écrite générale ou spécifique préalable du Client.
  5. 5.Assistance pour les droits des personnes concernées — SocialHook assistera le Client dans l'exécution de ses obligations de réponse aux demandes des personnes concernées, dans la mesure techniquement réalisable.
  6. 6.Suppression à la résiliation — À la résiliation, SocialHook supprimera ou restituera toutes les Données personnelles au Client.
  7. 7.Aucune finalité indépendante — SocialHook n'utilisera pas les Données personnelles à d'autres fins que la fourniture du service SocialHook. SocialHook ne vendra pas, ne louera pas ni n'exploitera pas commercialement les Données personnelles.

5. Obligations du responsable du traitement (Client)

  1. 1.S'assurer de disposer d'une base légale valide au titre de l'article 6 du RGPD pour le traitement des Données personnelles via SocialHook
  2. 2.Fournir des informations de confidentialité adéquates à ses clients finaux concernant le traitement de leurs données de messages
  3. 3.S'assurer que toute instruction donnée à SocialHook est conforme au droit applicable en matière de protection des données
  4. 4.Maintenir la sécurité de son point de terminaison webhook et de sa clé secrète
  5. 5.Traiter toute demande de droits des personnes concernées reçue de ses clients finaux

6. Sous-traitants ultérieurs

Le Client autorise par la présente SocialHook à faire appel aux sous-traitants ultérieurs suivants :

Sous-traitantLocalisationFinalitéMécanisme de transfert
Amazon Web Services (AWS)États-UnisHébergement cloud, base de données, infrastructureClauses contractuelles types
Stripe, Inc.États-UnisTraitement des paiementsClauses contractuelles types
Meta Platforms, Inc.États-UnisSource des données de messages (fournisseur API)Mécanismes de transfert propres à Meta

SocialHook informera le Client de tout changement prévu de sous-traitants ultérieurs avec un préavis écrit d'au moins 14 jours.

7. Mesures de sécurité

  • Chiffrement en transit — TLS 1.2 ou supérieur pour toutes les données en transit
  • Chiffrement au repos — Chiffrement AES-256 pour les données stockées, y compris les payloads temporairement mis en mémoire tampon
  • Contrôles d'accès — Contrôle d'accès basé sur les rôles avec authentification multifacteur pour tout accès interne au système
  • TTL du tampon de payload — Les tampons de payload de livraison échouée sont automatiquement supprimés après 24 heures maximum
  • Aucun contenu de message dans les journaux — Les journaux applicatifs sont configurés pour exclure le contenu du corps des messages
  • Signature des payloads — Signature HMAC-SHA256 sur chaque livraison
  • Sécurité de l'infrastructure — Infrastructure AWS avec certification ISO 27001, SOC 2

8. Notification de violation de données

En cas de violation de Données personnelles, SocialHook notifiera le Client dans les 48 heures suivant sa prise de connaissance (afin de laisser au Client suffisamment de temps pour respecter sa propre obligation de notification de 72 heures au titre de l'article 33 du RGPD). SocialHook indiquera la nature de la violation, les catégories de personnes concernées affectées et les mesures prises pour y remédier.

9. Droits des personnes concernées

Le Client, en tant que responsable du traitement, est principalement responsable du traitement des demandes de droits des personnes concernées. SocialHook informera promptement le Client de toute demande reçue directement, et assistera le Client dans sa réponse dans la mesure techniquement réalisable.

Étant donné que SocialHook ne stocke pas de manière permanente le contenu des messages, l'étendue de l'assistance de SocialHook est limitée à : (a) la suppression de toute donnée de payload dans le tampon de nouvelle tentative de 24 heures, et (b) la suppression des journaux de métadonnées de livraison relatifs à la personne concernée concernée.

10. Conservation et suppression

Principe clé : Le contenu des messages n'est jamais conservé au-delà de 24 heures. Les métadonnées de livraison sont conservées pendant 30 jours. Les données de compte sont conservées pendant la durée de l'abonnement plus 30 jours.

À la résiliation du service, SocialHook supprimera toutes les données de compte Client et les Données personnelles associées dans les 30 jours suivant la résiliation, sauf si la loi applicable exige une conservation plus longue. SocialHook fournira une confirmation écrite de suppression sur demande.

11. Transferts internationaux

SocialHook est basé aux États-Unis. Dans la mesure où SocialHook traite des Données personnelles en provenance de l'UE/EEE, ces transferts sont effectués sur la base des Clauses contractuelles types (CCT) adoptées par la Commission européenne dans la Décision 2021/914. Les CCT sont incorporées par référence dans ce DPA et sont disponibles en intégralité sur demande.

12. Audits et inspections

SocialHook mettra à disposition toutes les informations raisonnablement nécessaires pour démontrer la conformité aux obligations au titre de l'article 28 du RGPD. Les audits peuvent être conduits par le Client ou un auditeur tiers désigné par le Client, sous réserve d'un préavis écrit d'au moins 30 jours, pendant les heures normales d'ouverture, et pas plus d'une fois par an en l'absence de motif spécifique.

13. Résiliation

Ce DPA prend fin automatiquement à la résiliation de l'abonnement SocialHook du Client. L'une ou l'autre partie peut résilier ce DPA immédiatement si l'autre partie manque matériellement à ses obligations en matière de protection des données et ne remédie pas à ce manquement dans les 30 jours suivant la notification écrite.

14. Droit applicable et litiges

Ce DPA est régi par les lois de l'État d'Arizona, États-Unis, sans préjudice de toute disposition impérative du droit européen de la protection des données susceptible de s'appliquer au Client en tant que responsable du traitement établi dans l'UE/EEE.

15. Annexe — Détails du traitement

Catégories de personnes concernées

Clients finaux et contacts qui envoient des messages aux Pages Facebook, comptes Instagram Business ou numéros WhatsApp Business connectés du Responsable du traitement.

Catégories de données personnelles

  • Identifiants : numéros de téléphone (WhatsApp), identifiants utilisateurs scopés par page (Facebook), identifiants utilisateurs et noms d'utilisateur Instagram (Instagram)
  • Contenu des messages : texte, indicateurs de type de média et URLs de médias
  • Métadonnées : horodatages, identifiants de conversation, identifiants de compte de plateforme

Nature et finalité du traitement

Normalisation automatisée, signature et livraison des messages entrants de la plateforme Meta au point de terminaison webhook du Responsable du traitement. Aucune revue manuelle, profilage ou utilisation indépendante des Données personnelles.

Durée du traitement

Pour la durée de l'abonnement SocialHook du Client. Le contenu des messages est traité de manière transitoire — conservation maximale de 24 heures pour les livraisons échouées. Métadonnées de livraison conservées pendant 30 jours.

Demander un DPA signé

Pour recevoir un DPA contresigné pour vos dossiers, envoyez-nous un e-mail avec le nom de votre entreprise, l'adresse enregistrée et le contact du signataire autorisé.

Demander le DPA →