Accord de Traitement des Données (DPA) — Maylee

Version : 7 mai 2026 / In force as of May 7, 2026

Édité par / Published by BRIDGERS SAS — RCS Paris B 882 679 749 — 149 avenue du Maine, 75014 Paris

Contact unique / Single contact : contact@maylee.app (Niels Cohen, Président de Bridgers SAS)

1. Préambule

Le présent Accord de Traitement des Données (le « DPA ») complète le contrat conclu entre BRIDGERS (le « Sous-traitant ») et le Client (le « Responsable de traitement ») relatif à l'utilisation du Service Maylee (le « Contrat principal »). Il définit les conditions dans lesquelles le Sous-traitant traite des données à caractère personnel pour le compte du Responsable de traitement, conformément à l'article 28 du Règlement (UE) 2016/679 (« RGPD »). En cas de contradiction, le présent DPA prévaut sur le Contrat principal pour les seules questions relatives aux données personnelles.

2. Description du traitement

Objet : Traitement nécessaire à la fourniture du Service Maylee.

Durée : Durée du Contrat principal, augmentée des durées de conservation prévues.

Nature : Hébergement, stockage en cache, indexation, recherche, transmission, traitement par fonctionnalités d'IA activées.

Finalité : Fournir, sécuriser, maintenir et améliorer le Service.

Catégories de données : Données d'identification, de connexion, contenu et métadonnées d'e-mails, contacts, pièces jointes, événements de calendrier, préférences.

Catégories de personnes concernées : Utilisateurs du Responsable de traitement et tiers correspondant par e-mail.

3. Obligations du Sous-traitant

Le Sous-traitant s'engage à :

• traiter les données uniquement sur instructions documentées du Responsable de traitement, y compris pour les transferts hors UE ; le Contrat principal et le DPA constituent ces instructions ;

• garantir que les personnes habilitées s'engagent à la confidentialité ;

• mettre en œuvre les mesures techniques et organisationnelles appropriées (article 32 RGPD), telles que décrites en Annexe 1 ;

• respecter les conditions de recours à des sous-traitants ultérieurs (article 4 ci-après) ;

• assister le Responsable dans la mesure du possible pour répondre aux demandes des personnes concernées ;

• aider le Responsable à respecter les obligations des articles 32 à 36 RGPD (sécurité, notification de violations, AIPD, consultation préalable) ;

• au choix du Responsable, supprimer ou restituer les données à la fin du contrat (formats standards : MBOX, EML, CSV, vCard, JSON) sous 30 jours, et détruire les copies (sauf obligation légale contraire) ;

• mettre à disposition les informations nécessaires pour démontrer le respect du DPA et permettre des audits.

4. Sous-traitants ultérieurs

Le Responsable autorise de façon générale le Sous-traitant à recourir aux sous-traitants listés en Annexe 2. Le Sous-traitant informera le Responsable de toute modification (ajout ou remplacement) au moins 30 jours avant son entrée en vigueur, par e-mail ou via le Service. Le Responsable peut s'y opposer pour des motifs raisonnables liés à la protection des données dans les 30 jours, par e-mail à contact@maylee.app. À défaut d'accord, le Responsable peut résilier la partie du Contrat affectée, sans frais, sous réserve de remboursement prorata temporis. Le Sous-traitant impose à ses sous-traitants des obligations équivalentes et reste pleinement responsable de leur exécution.

5. Transferts internationaux

Tout transfert hors UE/EEE est encadré par : (i) une décision d'adéquation, (ii) les Clauses Contractuelles Types (CCT) — Module 2 (Responsable vers Sous-traitant) ou Module 3 (Sous-traitant vers Sous-traitant), ou (iii) un autre mécanisme conforme à l'article 46 RGPD. Les CCT sont incorporées par référence aux présentes lorsque le Responsable est lui-même soumis au RGPD et transfère des données vers le Sous-traitant ou ses sous-traitants situés hors UE.

6. Notification de violation de données

Le Sous-traitant notifiera au Responsable toute violation de données dans un délai raisonnable, et au plus tard 72 heures après en avoir pris connaissance, par e-mail à l'adresse de contact indiquée. La notification précisera : la nature de la violation, les catégories et le nombre approximatif de personnes concernées, les conséquences probables, les mesures prises ou envisagées.

7. Assistance aux demandes des personnes concernées

Le Sous-traitant assistera le Responsable, par des mesures techniques et organisationnelles appropriées, dans la mesure du possible, pour répondre aux demandes d'exercice de droits des personnes concernées. Si une personne concernée s'adresse directement au Sous-traitant, ce dernier informera la personne qu'elle doit s'adresser au Responsable et en informera ce dernier.

8. Audits

Le Sous-traitant met à disposition du Responsable, sur demande raisonnable, des informations lui permettant de démontrer la conformité au DPA, notamment des rapports SOC 2 Type II ou équivalents, ainsi que les certifications applicables. Le Responsable peut, après préavis de 30 jours et au plus une fois par an, demander un audit ciblé limité aux exigences du RGPD, sous réserve de signature d'un accord de confidentialité, à ses frais et de manière à ne pas perturber l'activité du Sous-traitant. En cas de violation avérée du DPA par le Sous-traitant, les frais d'audit sont à sa charge.

9. Confidentialité

Le Sous-traitant garantit que toutes les personnes habilitées à traiter les données s'engagent à les conserver confidentielles, par engagement contractuel ou obligation légale.

10. Limitation de responsabilité

Sauf disposition impérative contraire, la responsabilité du Sous-traitant au titre du présent DPA est soumise aux limitations prévues par le Contrat principal, et notamment à la limitation au montant total payé par le Client au Sous-traitant au cours des 12 mois précédant le fait générateur. La présente clause ne s'applique pas aux dommages causés à une personne concernée que la loi ne permet pas de limiter.

11. Loi applicable et juridiction

Le présent DPA est régi par le droit français. Tout litige relève de la compétence exclusive du Tribunal de Commerce de Paris.

Annexe 1 — Mesures techniques et organisationnelles

Sécurité physique

• Hébergement dans des datacenters certifiés (ISO 27001, SOC 2, PCI-DSS).

• Contrôle d'accès strict aux installations physiques.

Sécurité logique

• Chiffrement TLS 1.3 en transit, AES-256 au repos.

• Gestion des secrets via solution dédiée (Vault, KMS).

• MFA sur tous les accès administratifs.

• RBAC, principe du moindre privilège.

• Journalisation centralisée et alertes.

Développement sécurisé

• Revue de code obligatoire, scans SAST/DAST automatisés.

• Tests d'intrusion annuels par tiers indépendant.

• Politique de gestion des vulnérabilités.

Continuité

• Sauvegardes chiffrées quotidiennes, conservées 30 jours.

• Plan de reprise d'activité (DRP) documenté et testé annuellement.

Organisation

• Politique de sécurité documentée.

• Sensibilisation et formation annuelle du personnel.

• Engagements de confidentialité contractuels.

Annexe 2 — Liste des sous-traitants

Liste à jour : maylee.app/legal/subprocessors. À titre indicatif :

• Amazon Web Services EMEA SARL — UE — Hébergement.

• Stripe Payments Europe Ltd — Irlande — Paiements.

• OpenAI Ireland Ltd — Irlande / États-Unis (CCT + EU-US DPF) — IA.

• Anthropic PBC — États-Unis (CCT + EU-US DPF) — IA.

• Google Cloud EMEA Ltd — UE — Vertex AI.

• Mistral AI — France — IA.

• Postmark / SendGrid — États-Unis (CCT) — E-mails transactionnels.

• Intercom — Irlande — Support.

• HubSpot — Irlande — CRM.

• Datadog — États-Unis (CCT + EU-US DPF) — Observabilité.

• Sentry — États-Unis (CCT) — Suivi d'erreurs.

En cas de divergence entre la version française et toute traduction, la version française fait foi.