Accord de traitement des données (DPA)

Le présent Accord de Traitement des Données (ci-après « DPA ») encadre les modalités de traitement des données personnelles confiées par le Client à REALITIM EURL, située 34 rue Joncours, 44100 Nantes, France, RCS Nantes 838 763 902 (ci-après « REALITIM » ou « Ultiplace »), dans le cadre de la fourniture des services de la Plateforme.

Le présent DPA fait partie intégrante des CGV et des CGU. Il s'applique de plein droit à tout Client utilisant les fonctionnalités impliquant un traitement de données pour son propre compte (gestion de visiteurs, échanges avec des prospects, assistant IA exposant, etc.).

Nature du traitement : hébergement, collecte, organisation, structuration, conservation, consultation, communication par transmission, extraction, effacement des données personnelles confiées par le Client.

Finalité : permettre au Client d'utiliser les fonctionnalités souscrites (gestion d'un salon virtuel, d'un stand exposant, d'une page venue, conversations, statistiques, assistant IA).

Catégories de personnes concernées : visiteurs, prospects, participants, exposants invités, membres d'équipe internes au Client.

Catégories de données traitées : données d'identification (nom, prénom, email, ville), données professionnelles (entreprise, fonction), contenus échangés (messages, cartes de visite), données techniques (logs, adresse IP, sessions de visite), et — sur option AI Pro — contenus transmis à l'assistant IA exposant.

Ultiplace s'engage à :

• Traiter les données uniquement sur instructions documentées du Client, telles que matérialisées par l'utilisation des fonctionnalités du Service ;
• Garantir la confidentialité des données et veiller à ce que les personnes habilitées soient soumises à une obligation de confidentialité contractuelle ;
• Prendre toutes les mesures techniques et organisationnelles appropriées (article 32 RGPD) — voir section 7 ;
• Respecter les conditions de recours à des sous-traitants ultérieurs — voir section 5 ;
• Aider le Client à répondre aux demandes d'exercice de droits — voir section 9 ;
• Aider le Client à respecter ses propres obligations (analyses d'impact, notifications de violations) ;
• À la fin de la prestation, restituer ou supprimer les données selon le choix du Client — voir section 11 ;
• Mettre à disposition du Client toutes les informations nécessaires pour démontrer le respect du présent DPA — voir section 10.

Le Client garantit :

• Avoir une base légale valide (consentement, contrat, intérêt légitime, etc.) pour chaque traitement confié ;
• Avoir informé les personnes concernées conformément aux articles 13 et 14 du RGPD, en mentionnant notamment le recours à Ultiplace en qualité de sous-traitant ;
• Ne pas confier à Ultiplace de données sensibles au sens de l'article 9 du RGPD au-delà de ce que le Service prévoit ;
• Respecter les durées de conservation qu'il a définies et instruire Ultiplace en conséquence (suppression de visiteurs, purge de stands, etc.) ;
• Documenter les traitements dans son propre registre des activités (article 30 RGPD).

Le Client autorise Ultiplace à recourir aux sous-traitants listés ci-dessous pour l'exécution du Service. Cette liste constitue une autorisation générale au sens de l'article 28.2 du RGPD.

Liste mise à jour le 2026-05-19. En cas d'ajout ou de remplacement, Ultiplace informe les Clients professionnels par email au moins 30 jours avant la mise en production, leur laissant la possibilité d'émettre une objection motivée et, à défaut d'accord, de résilier sans pénalité.

Ultiplace impose à chacun de ses sous-traitants des obligations de protection des données équivalentes à celles du présent DPA, par voie contractuelle (article 28.4 RGPD), et conserve l'entière responsabilité de leur conformité vis-à-vis du Client.

Ultiplace privilégie l'hébergement et le traitement des données dans l'Union européenne (Vercel cdg1, Firestore eur3, AWS Paris, Algolia France, etc.). Certains sous-traitants peuvent toutefois opérer depuis ou via les États-Unis ; dans ce cas, les transferts sont encadrés par le Data Privacy Framework (DPF) EU-US ou par des Clauses Contractuelles Types approuvées par la Commission européenne. Le mécanisme applicable à chaque sous-traitant est précisé dans la politique de confidentialité.

Ultiplace met en œuvre les mesures suivantes pour garantir un niveau de sécurité adapté au risque (article 32 RGPD) :

• Chiffrement en transit (TLS 1.2+) et au repos (chiffrement gérés par Firebase/AWS) ;
• Cloisonnement des données via les règles de sécurité Firestore et les rôles applicatifs ;
• Authentification renforcée (Firebase Auth, OAuth Google et LinkedIn, jetons signés) ;
• Journalisation des actions sensibles (admin, modération) et monitoring continu (Sentry) ;
• Sauvegardes automatiques quotidiennes (Firebase, AWS) avec rétention de 30 jours minimum ;
• Politique d'accès interne sur la base du moindre privilège ; engagement de confidentialité signé par les collaborateurs ;
• Tests de charge et procédures de continuité d'activité pour les pics de trafic (jusqu'à 10 000 utilisateurs simultanés sur un salon) ;
• Veille de vulnérabilités et patching régulier des dépendances.

En cas de violation de données affectant les données traitées pour le compte du Client, Ultiplace en informe le Client dans les meilleurs délais et au plus tard dans les 48 heures suivant la prise de connaissance (article 33.2 RGPD). Cette notification précise la nature de la violation, les catégories et le nombre approximatif de personnes concernées, les conséquences probables et les mesures prises ou envisagées. Ultiplace apporte au Client toute son assistance pour permettre à ce dernier de respecter ses propres obligations (notification à la CNIL sous 72 heures et information des personnes concernées si nécessaire).

Ultiplace met à disposition du Client les outils nécessaires pour répondre aux demandes d'exercice des droits des personnes concernées (accès, rectification, effacement, portabilité, opposition) : exports CSV/JSON depuis l'espace organisateur, suppression directe de visiteurs, anonymisation à la demande. Si une personne contacte directement Ultiplace pour exercer un droit relatif à des données confiées par le Client, Ultiplace transmet la demande au Client dans les meilleurs délais et l'assiste pour y répondre.

Le Client peut, sur demande préalable et raisonnable, demander à Ultiplace la documentation nécessaire pour démontrer le respect du présent DPA (DPA des sous-traitants, attestations de sécurité, réponses aux questionnaires fournisseurs).

Un audit sur site ou un audit technique externe peut être organisé, aux frais du Client demandeur, dans le respect de la confidentialité des autres clients et sous réserve d'un préavis raisonnable et d'un accord sur le périmètre. Les rapports d'audit récents et les certifications externes éventuelles tiendront lieu de réponse pour les demandes équivalentes.

Le présent DPA prend effet à la souscription d'une offre par le Client et reste applicable pendant toute la durée du contrat principal (CGV). À la fin du contrat, le Client peut :

• Exporter ses données via les outils proposés par la Plateforme avant clôture ;
• Demander la suppression de ses données dans un délai maximum de 90 jours.

Sauf demande contraire, les données sont automatiquement supprimées ou anonymisées au plus tard 90 jours après la clôture du contrat, à l'exception des données conservées pour répondre à des obligations légales (notamment 10 ans pour les factures).

Chaque partie est responsable des dommages causés par un traitement non conforme au RGPD ou au présent DPA. La responsabilité totale cumulée de Ultiplace au titre du présent DPA suit les limites prévues par les CGV (section 10), sous réserve des cas où une telle limitation serait interdite par la loi applicable.