Article 1Préambule et définitions

Les termes commençant par une majuscule ont la signification qui leur est attribuée par le RGPD. Pour faciliter la lecture, les principales définitions sont rappelées ci-après :

Données à caractère personnel (ou « Données »)

Toute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement (nom, adresse, numéro de téléphone, IBAN, situation professionnelle, etc.).

Traitement

Toute opération ou ensemble d’opérations effectuées sur des Données (collecte, enregistrement, organisation, structuration, conservation, adaptation, extraction, consultation, utilisation, communication, effacement, etc.).

Responsable de traitement

La personne qui détermine les finalités et les moyens du Traitement. En l’espèce, le Mandant.

Sous-traitant

La personne qui traite des Données pour le compte du Responsable de traitement. En l’espèce, RECOLIA Recouvrement.

Personne concernée

La personne physique dont les Données sont traitées. En l’espèce, principalement le Débiteur, son représentant légal éventuel, ou tout tiers identifié dans le cadre du dossier.

Violation de données

Toute violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de Données ou l’accès non autorisé à de telles Données.

CNIL

Commission Nationale de l’Informatique et des Libertés, autorité de contrôle française compétente.

Article 2Objet et qualification des Parties

Le présent DPA a pour objet de définir les conditions dans lesquelles RECOLIA, en qualité de sous-traitant au sens de l’article 28 du RGPD, traite les Données à caractère personnel pour le compte du Mandant, dans le cadre exclusif de l’exécution de la mission de recouvrement.

2.1 Le Mandant — Responsable de traitement

Le Mandant agit en qualité de responsable de traitement. À ce titre, il détermine les finalités et les moyens du traitement des Données qu’il transmet à RECOLIA, et garantit qu’il dispose d’une base légale appropriée au sens de l’article 6 du RGPD pour ce traitement (notamment l’exécution d’un contrat conclu avec le Débiteur ou l’intérêt légitime du Mandant à recouvrer une créance non payée).

2.2 RECOLIA — Sous-traitant

RECOLIA agit en qualité de sous-traitant et ne traite les Données que sur instructions documentées du Mandant, conformément aux finalités définies à l’article 3, et dans le strict cadre de la mission qui lui est confiée.

Article 3Description du traitement

3.1 Finalités

Les Données sont traitées par RECOLIA aux seules finalités suivantes :

• relances multicanales du Débiteur (courrier, courriel, SMS, RCS, téléphone) ;
• négociation, mise en place et suivi d’échéanciers ou de protocoles transactionnels ;
• encaissement des règlements sur compte séquestre dédié et reversement au Mandant ;
• recherches d’adresse et enquêtes de solvabilité (lorsque le module RECHERCHE+ est activé) ;
• préparation et instruction des actions judiciaires (lorsque l’accord du Mandant est obtenu) ;
• déclaration de créances dans les procédures collectives ;
• émission de certificats d’irrécouvrabilité ;
• tenue d’un historique du dossier et reporting au Mandant via la plateforme WebInfo.

3.2 Nature des opérations

Le traitement comporte les opérations suivantes : collecte (auprès du Mandant et de sources publiques autorisées), enregistrement, structuration, conservation, consultation, utilisation, mise à jour, communication par transmission (au Débiteur, au Mandant, aux autorités compétentes en cas de réquisition), effacement à l’issue des durées de conservation.

3.3 Durée du traitement

Le traitement est réalisé pendant toute la durée du contrat liant les Parties et, pour ce qui concerne la conservation des Données, pendant les durées définies à l’article 5 du présent DPA.

Article 4Catégories de Données et de personnes concernées

4.1 Catégories de personnes concernées

Les personnes concernées par le traitement sont :

• le Débiteur personne physique (en B2C) ou les personnes physiques associées au Débiteur personne morale (dirigeant, représentant légal, comptable, contact opérationnel) ;
• les tiers intervenant au dossier (cautions, garants, héritiers en cas de décès, mandataires, conseils du Débiteur).

4.2 Catégories de données traitées

4.3 Exclusion des catégories particulières

RECOLIA ne traite aucune donnée sensible au sens de l’article 9 du RGPD (origine raciale ou ethnique, opinions politiques, convictions religieuses, données de santé, orientation sexuelle, etc.). Si le Mandant transmettait par erreur de telles données, RECOLIA s’engage à les supprimer immédiatement et à en informer le Mandant.

RECOLIA ne procède à aucun traitement de données relatives aux infractions et condamnations au sens de l’article 10 du RGPD, au-delà des références strictement nécessaires à l’instruction du dossier de recouvrement.

Article 5Durées de conservation

Conformément au principe de limitation de la conservation (article 5.1.e du RGPD), RECOLIA applique les durées de conservation suivantes :

Article 6Obligations de RECOLIA (sous-traitant)

RECOLIA s’engage, conformément aux obligations qui lui incombent au titre de l’article 28 du RGPD, à :

6.1 Traiter les données conformément aux instructions du Mandant

RECOLIA ne traite les Données que sur instructions documentées du Mandant, telles que définies par la Convention de partenariat, les CGV et le présent DPA. Toute instruction nouvelle doit être formalisée par écrit (courriel suffisant). Si RECOLIA estime qu’une instruction constitue une violation du RGPD, elle en informe immédiatement le Mandant.

6.2 Garantir la confidentialité

RECOLIA s’assure que les personnes autorisées à traiter les Données s’engagent à respecter la confidentialité ou sont soumises à une obligation légale de confidentialité (article 11 du présent DPA).

6.3 Mettre en œuvre les mesures de sécurité

RECOLIA met en œuvre les mesures techniques et organisationnelles appropriées définies à l’article 10 du présent DPA, conformément à l’article 32 du RGPD.

6.4 Aider le Mandant à respecter ses obligations

RECOLIA assiste le Mandant, dans la mesure du possible et compte tenu de la nature du traitement, pour :

• répondre aux demandes d’exercice des droits des personnes concernées (article 12) ;
• respecter ses obligations de sécurité, de notification de violation, d’analyse d’impact et de consultation préalable (articles 32 à 36 du RGPD).

6.5 Mettre à disposition les informations nécessaires

RECOLIA met à la disposition du Mandant, sur demande, toutes les informations nécessaires pour démontrer le respect des obligations prévues à l’article 28 du RGPD et permettre la réalisation d’audits dans les conditions prévues à l’article 14 du présent DPA.

6.6 Tenir un registre des traitements

RECOLIA tient un registre des activités de traitement effectuées pour le compte du Mandant, conformément à l’article 30.2 du RGPD. Ce registre est accessible à la CNIL en cas de contrôle.

Article 7Obligations du Mandant (responsable de traitement)

Le Mandant, en sa qualité de responsable de traitement, s’engage à :

7.1 Garantir la licéité du traitement

Le Mandant garantit qu’il dispose d’une base légale au sens de l’article 6 du RGPD pour communiquer les Données à RECOLIA et faire procéder à leur traitement (notamment l’exécution d’un contrat avec le Débiteur ou l’intérêt légitime du Mandant). Le Mandant garantit également avoir respecté ses obligations d’information à l’égard des Personnes concernées au moment de la collecte initiale (articles 13 et 14 du RGPD).

7.2 Documenter ses instructions

Le Mandant documente par écrit ses instructions à RECOLIA. À défaut d’instruction spécifique, les instructions sont réputées correspondre aux finalités décrites à l’article 3 du présent DPA et aux pratiques standards d’un cabinet de recouvrement.

7.3 Veiller à l’exactitude des Données

Le Mandant garantit l’exactitude et la mise à jour des Données qu’il transmet. Toute erreur ou rectification doit être notifiée à RECOLIA sans délai.

7.4 Coopérer avec RECOLIA

Le Mandant coopère de bonne foi avec RECOLIA pour répondre aux demandes des Personnes concernées et aux éventuelles sollicitations de l’autorité de contrôle.

7.5 Indemnisation

Le Mandant garantit RECOLIA contre toute action, réclamation ou sanction (administrative, judiciaire ou de la CNIL) résultant d’un manquement du Mandant à ses propres obligations en qualité de responsable de traitement, notamment en cas d’absence de base légale, de défaut d’information des Personnes concernées, ou de transmission de Données non pertinentes ou excessives.

Article 8Localisation et hébergement des Données

8.1 Hébergement souverain en France

L’ensemble des Données traitées par RECOLIA est hébergé exclusivement sur le territoire français, dans les centres de données d’OVHcloud, hébergeur français certifié ISO 27001, ISO 27017, ISO 27018, HDS et SecNumCloud (selon les services). Les Données ne quittent jamais le territoire de l’Union européenne.

8.2 Absence de transferts hors UE

RECOLIA s’engage à ne procéder à aucun transfert de Données vers un pays tiers à l’Union européenne ou vers une organisation internationale, sauf instruction expresse et écrite contraire du Mandant. À ce jour, aucun tel transfert n’est mis en œuvre.

8.3 Accès aux données

L’accès aux Données est strictement limité aux salariés de RECOLIA habilités, depuis des postes de travail situés en France et au moyen de connexions sécurisées (chiffrement, authentification forte, journalisation des accès).

Article 9Absence de sous-traitants ultérieurs

RECOLIA déclare n’avoir recours à aucun sous-traitant ultérieur au sens de l’article 28.2 du RGPD pour le traitement des Données du Mandant. L’ensemble des opérations de traitement est réalisé en interne, par les salariés de RECOLIA, à partir de ses propres infrastructures techniques (à l’exception du stockage physique chez l’hébergeur OVHcloud, qui constitue un prestataire d’hébergement et non un sous-traitant ultérieur au sens du RGPD).

Les partenaires occasionnels intervenant en Phase judiciaire (commissaires de justice, avocats) agissent en qualité de responsables de traitement autonomes dans le cadre des procédures qu’ils diligentent, en application de leurs obligations professionnelles propres. Ils ne sont pas des sous-traitants ultérieurs de RECOLIA et le présent DPA ne s’applique pas à leurs traitements propres.

Article 10Sécurité des Données

Conformément à l’article 32 du RGPD, RECOLIA met en œuvre les mesures techniques et organisationnelles suivantes pour garantir un niveau de sécurité adapté au risque :

10.1 Mesures techniques

• Chiffrement des Données en transit (TLS 1.3) et au repos (AES-256) ;
• Authentification forte à deux facteurs (2FA) pour tous les accès aux outils internes et à WebInfo ;
• Cloisonnement des environnements (production, recette, développement) et des bases de données par client ;
• Sauvegardes quotidiennes chiffrées, conservées sur sites distincts, avec tests de restauration périodiques ;
• Pare-feu, anti-virus, anti-intrusion et outils de détection des comportements anormaux ;
• Journalisation des accès et des opérations sensibles, conservée pendant 12 mois ;
• Mises à jour régulières des systèmes et application des correctifs de sécurité ;
• Tests d’intrusion et audits de sécurité périodiques.

10.2 Mesures organisationnelles

• politique de sécurité interne formalisée et révisée annuellement ;
• habilitations strictement limitées au besoin d’en connaître (principe du moindre privilège) ;
• formation et sensibilisation régulières du personnel à la protection des Données ;
• charte informatique signée par chaque collaborateur ;
• procédures documentées de gestion des incidents et des violations de Données ;
• plan de continuité et de reprise d’activité ;
• contrôle des locaux (badges, vidéosurveillance, accès restreints aux zones sensibles).

10.3 Évolution des mesures

Les mesures de sécurité évoluent selon l’état de l’art, les risques identifiés et les évolutions réglementaires. RECOLIA peut modifier ces mesures dès lors que le niveau de protection global n’est pas diminué.

Article 11Confidentialité du personnel

RECOLIA garantit que les personnes autorisées à traiter les Données :

• sont soumises à une obligation contractuelle de confidentialité formalisée dans leur contrat de travail ;
• reçoivent une formation à la protection des Données et au RGPD lors de leur embauche, puis une formation continue ;
• signent une charte informatique précisant les bonnes pratiques et les interdictions ;
• n’accèdent qu’aux Données strictement nécessaires à l’exécution de leurs missions ;
• sont sensibilisées aux risques de phishing, ingénierie sociale et fuites de données.

Cette obligation de confidentialité perdure après la cessation des fonctions du collaborateur.

Article 12Droits des personnes concernées

12.1 Droits reconnus par le RGPD

Les Personnes concernées disposent des droits suivants, qu’elles peuvent exercer auprès du Mandant (responsable de traitement) :

• droit d’accès à leurs Données (article 15 RGPD) ;
• droit de rectification de Données inexactes (article 16 RGPD) ;
• droit à l’effacement, dans les limites prévues par le RGPD (article 17 RGPD) ;
• droit à la limitation du traitement (article 18 RGPD) ;
• droit d’opposition au traitement, sous réserve d’un motif légitime (article 21 RGPD) ;
• droit à la portabilité de leurs Données (article 20 RGPD) ;
• droit d’introduire une réclamation auprès de la CNIL.

12.2 Modalités d’exercice

Les Personnes concernées exercent leurs droits prioritairement auprès du Mandant, en tant que responsable de traitement. Si une demande est adressée directement à RECOLIA, celle-ci la transmet sans délai au Mandant et l’informe de l’existence de la demande.

RECOLIA assiste le Mandant pour répondre aux demandes dans les délais légaux (un mois, prorogeable de deux mois si nécessaire). Cette assistance est incluse dans les prestations standards, sauf demandes répétées, manifestement infondées ou excessives qui peuvent faire l’objet d’une facturation complémentaire.

12.3 Limites du droit à l’effacement

Le droit à l’effacement ne peut être exercé sur les Données dont la conservation est nécessaire au respect d’une obligation légale (notamment comptable, LCB-FT) ou à la constatation, l’exercice ou la défense de droits en justice (article 17.3 RGPD). RECOLIA peut donc refuser l’effacement de telles Données et en informe la Personne concernée via le Mandant.

Article 13Notification des violations de Données

13.1 Notification au Mandant

En cas de violation de Données affectant le traitement réalisé pour le compte du Mandant, RECOLIA s’engage à notifier le Mandant sans délai injustifié, et au plus tard dans un délai de soixante-douze (72) heures après en avoir pris connaissance.

13.2 Contenu de la notification

La notification précise, dans la mesure du possible :

• la nature de la violation, y compris les catégories et le nombre approximatif de Personnes concernées ;
• les conséquences probables de la violation ;
• les mesures prises ou envisagées par RECOLIA pour remédier à la violation et en atténuer les effets ;
• le nom et les coordonnées du DPO ou point de contact pour obtenir plus d’informations.

13.3 Coopération

RECOLIA assiste le Mandant pour notifier la violation à la CNIL et, le cas échéant, aux Personnes concernées, conformément aux articles 33 et 34 du RGPD. RECOLIA documente toute violation de Données dans un registre interne.

Article 14Audit et contrôle

14.1 Droit d’audit

Le Mandant peut, à ses frais et avec un préavis raisonnable de trente (30) jours, faire réaliser un audit du respect par RECOLIA des obligations du présent DPA, soit par lui-même, soit par un tiers indépendant tenu à une obligation de confidentialité, mandaté par le Mandant.

14.2 Modalités

L’audit est limité à une fois par an, sauf incident de sécurité significatif justifiant un audit complémentaire. Il s’effectue pendant les heures ouvrées, de manière à ne pas perturber l’activité de RECOLIA. L’auditeur ne peut accéder aux Données d’autres mandants.

14.3 Documents alternatifs

RECOLIA peut, au lieu d’un audit sur site, communiquer au Mandant ses certifications en cours de validité (ISO 27001 le cas échéant, attestations d’audit, rapports de test d’intrusion, etc.) lorsque ces documents permettent de démontrer la conformité.

14.4 Frais

Les frais d’audit (audit lui-même, mobilisation des équipes RECOLIA au-delà d’une journée, production de documents spécifiques) sont à la charge du Mandant, sauf si l’audit révèle un manquement significatif imputable à RECOLIA.

Article 15Sort des Données en fin de contrat

À l’issue du contrat, quelle qu’en soit la cause, RECOLIA propose au Mandant, au choix de ce dernier formulé par écrit dans un délai de trente (30) jours suivant la fin du contrat :

• la restitution des Données au format CSV, JSON ou PDF, à la convenance de RECOLIA ;
• la suppression sécurisée des Données après expiration des durées légales de conservation visées à l’article 5.

À défaut d’instruction du Mandant dans le délai imparti, RECOLIA procède à la conservation des Données pendant les durées légales de conservation, puis à leur suppression sécurisée.

RECOLIA délivre, sur demande, une attestation de suppression ou de restitution.

Les Données dont la conservation est imposée par une obligation légale (comptabilité, LCB-FT, durée du titre exécutoire) sont conservées en archivage intermédiaire à accès restreint pour la durée légale, puis supprimées.

Article 16Documentation et registre des traitements

RECOLIA tient un registre des activités de traitement conformément à l’article 30.2 du RGPD, dans lequel figurent :

• l’identité et les coordonnées de RECOLIA et de chaque Mandant pour lequel un traitement est réalisé ;
• les catégories de traitements effectués pour le compte de chaque Mandant ;
• les transferts éventuels (à ce jour, néant) ;
• la description générale des mesures de sécurité mises en place.

Ce registre est mis à disposition de la CNIL en cas de contrôle. Une copie peut être communiquée au Mandant sur demande motivée.

Article 17Responsabilité et sanctions

17.1 Responsabilité de chaque Partie

Chaque Partie est responsable des dommages causés par un traitement effectué en violation du RGPD ou du présent DPA. RECOLIA répond des dommages causés par le traitement uniquement lorsqu’elle n’a pas respecté les obligations qui lui incombent spécifiquement en sa qualité de sous-traitant ou lorsqu’elle a agi en dehors des instructions licites du Mandant ou contrairement à celles-ci.

17.2 Plafond de responsabilité

De convention expresse, et sauf cas de faute lourde ou intentionnelle, la responsabilité de RECOLIA au titre du présent DPA est limitée dans les conditions prévues à l’article 13 des CGV (limitation au montant des honoraires perçus au titre des douze derniers mois). Sont expressément exclus les préjudices indirects.

17.3 Sanctions internes

Tout manquement d’un collaborateur de RECOLIA aux obligations de protection des Données fait l’objet de mesures disciplinaires pouvant aller jusqu’au licenciement et, le cas échéant, à des poursuites pénales sur le fondement des articles 226-16 et suivants du Code pénal.

Article 18Délégué à la protection des données

Le référent à la protection des Données est l’interlocuteur privilégié du Mandant et de la CNIL pour toute question relative au présent DPA et à son exécution. Il est également chargé de la tenue du registre, de la veille réglementaire et de la coordination des réponses aux demandes des Personnes concernées.

Article 19Modification du DPA

Le présent DPA peut être modifié par RECOLIA, notamment pour tenir compte de l’évolution de la réglementation, des recommandations de la CNIL ou du Comité européen de la protection des données (CEPD), ou pour préciser certaines mesures de sécurité.

Toute modification substantielle est notifiée au Mandant par tout moyen écrit (courriel, notification sur WebInfo, publication sur recolia.fr/dpa) au moins soixante (60) jours avant son entrée en vigueur.

Le Mandant qui n’accepterait pas la nouvelle version dispose d’un délai de trente (30) jours à compter de la notification pour formuler une objection écrite et motivée. À défaut, la nouvelle version est réputée acceptée et applicable.

Les modifications mineures (corrections rédactionnelles, mises à jour techniques sans incidence sur les droits) sont applicables de plein droit.

Article 20Dispositions finales

20.1 Articulation avec les CGV

Le présent DPA fait partie intégrante du contrat liant les Parties. Il complète les CGV et la Convention de partenariat. En cas de contradiction sur les seules questions relatives au traitement des Données personnelles, le présent DPA prévaut sur les CGV et la Convention.

20.2 Survivance

Les obligations du présent DPA survivent à la fin du contrat principal pour la durée nécessaire à leur exécution, notamment les obligations de conservation, de confidentialité et de restitution / suppression des Données.

20.3 Acceptation

L’acceptation des CGV et la signature de la Convention de partenariat emportent acceptation pleine et entière du présent DPA, dans sa version en vigueur à la date de signature.

20.4 Loi applicable et juridiction

Le présent DPA est soumis au droit français et à la réglementation européenne applicable. Les juridictions compétentes sont celles définies à l’article 23 des CGV (compétence exclusive du Tribunal de commerce d’Amiens).

20.5 Langue

Le présent DPA est rédigé en langue française. Toute traduction est fournie à titre de courtoisie ; seule la version française fait foi entre les Parties.