Centre de confidentialité et juridique de Devaito

Dernière révision : 29 avril 2026 · Efficace : 29 avril 2026

Cette page consolide les engagements de Devaito en matière de confidentialité et de protection des données. Elle contient cinq documents qui forment ensemble notre cadre complet de confidentialité. Chaque document est identifié, daté et peut être référencé indépendamment :

Navigation rapide :

• Partie A — Politique de confidentialité — How we handle your Personal Data
• Partie B — Politique relative aux cookies — Cookies and similar technologies
• Partie C — Addendum au traitement des données — For business customers (controllers)
• Partie D — Sous-traitants — Service providers we rely on
• Partie E — Mentions Légales — Statutory information about Devaito SAS

Si vous avez signé un accord écrit distinct avec Devaito (contrat de service principal, bon de commande ou similaire), cet accord peut modifier les termes de la Partie C (DPA) pour votre utilisation des Services.

Partie A — Politique de confidentialité

Dernière mise à jour : 29 avril 2026 · Identifiant de la section : PRIV-2026-04

Devaito SAS ("Devaito", "nous", "notre", "nous") cares about your privacy. This Privacy Policy explains what Personal Data we collect, why we collect it, how we use it, who we share it with, how long we keep it, and what rights you have. It applies to all visitors and users of our websites, web applications, mobile applications, APIs, and related services (collectively, the "Services").

En utilisant les Services, vous confirmez avoir lu cette Politique de Confidentialité. Si vous n'êtes pas d'accord, veuillez cesser d'utiliser les Services. Cette Politique de Confidentialité est intégrée à nos Conditions d'utilisation.

A.1. Qui sommes-nous

The data controller for the processing described in this Privacy Policy is Devaito SAS, a French société par actions simplifiée. Statutory information is available in Partie E (Mentions Légales). For privacy enquiries, contact .

This Privacy Policy applies when Devaito acts as a controller. When you use the Services to process Personal Data of your visitors, customers, or members (your "Utilisateurs finaux"), Devaito acts as your processor, and Partie C (Addendum au traitement des données) governs that processing.

A.2. Quelles Données Personnelles Collectons-Nous

Informations que vous fournissez A.2.1

Lorsque vous créez un compte, contactez-nous, vous abonnez à des communications, enregistrez un domaine, achetez un Service Payant, ou interagissez autrement avec nous, vous pouvez fournir :

Données d'identification : name, email address, phone number, postal address, country of residence, language preference.

Données de compte : username, password (stored hashed and salted, never in plaintext), profile picture, account preferences, role, organization name.

Données de facturation : billing address, VAT number, business identification number, last four digits of payment card, payment provider tokens, invoice history. We do not store full payment-card numbers; these are handled by our PCI-DSS-compliant payment processors.

Données de communication : the content of support tickets, emails, chat messages, and call recordings (where applicable and notified).

Documents d'identification : where required for fraud prevention, sanctions screening, or KYC obligations, copies of ID cards, passports, or business-registration documents.

Informations collectées automatiquement A.2.2

Lorsque vous utilisez les Services, nous collectons automatiquement :

Données de l'appareil et de la connexion : IP address, device identifiers, browser type and version, operating system, screen resolution, language, timezone.

Données d'utilisation : pages viewed, clicks, features used, sessions, performance metrics, error logs, referring and exit pages, timestamps.

Données de localisation : approximate location derived from IP address (city/country level only). We do not collect precise GPS location unless you grant explicit permission in a mobile app.

Cookies et technologies similaires : see Partie B (Politique relative aux cookies).

Informations provenant de tiers A.2.3

Nous pouvons recevoir des Données Personnelles de :

Fournisseurs d'identité et d'authentification (e.g. Google, Apple, Facebook) when you sign in via their services — limited to the data you authorize them to share.

Processeurs de paiement regarding the status of transactions.

Fournisseurs de prévention de la fraude et de vérification des sanctions for compliance and security.

Partenaires analytiques et publicitaires for measurement and attribution (only where we have a lawful basis).

Revendeurs et partenaires if you sign up through one of them.

Données sensibles A.2.4

Nous ne collectons pas sciemment de catégories particulières de Données Personnelles (telles que des données révélant la santé, les opinions politiques, la religion, l'orientation sexuelle, les données biométriques ou l'adhésion à un syndicat) et nous vous demandons de ne pas nous fournir de telles données. Si vous téléchargez de telles données dans le cadre de votre Contenu Utilisateur, vous le faites en tant que responsable du traitement et vous êtes responsable de sa base légale.

A.3. Pourquoi Nous Traitons Vos Données Personnelles et Bases Légales

En vertu du RGPD, chaque activité de traitement doit avoir une base légale. Ce qui suit expose les principaux objectifs pour lesquels Devaito traite les Données Personnelles et la base légale sur laquelle nous nous appuyons.

Fournir et exploiter les services A.3.1

but : create your account, authenticate you, deliver the Services, process transactions, manage subscriptions, provide customer support.
Base légale : performance of the contract (Article 6(1)(b) GDPR).

Communiquer avec vous au sujet des services A.3.2

but : send service announcements, security alerts, billing notices, account confirmations, transactional communications.
Base légale : performance of the contract and our legitimate interests (Article 6(1)(b) and (f) GDPR).

Pour la sécurité, la prévention de la fraude et la conformité A.3.3

but : detect and prevent fraud, abuse, and security incidents; verify identity; screen for sanctions; comply with anti-money-laundering, tax, accounting, and other legal obligations.
Base légale : compliance with our legal obligations (Article 6(1)(c) GDPR) and our legitimate interests (Article 6(1)(f) GDPR).

Pour améliorer les services A.3.4

but : analyze usage, debug, A/B test, develop new features.
Base légale : our legitimate interests, balanced against your privacy rights (Article 6(1)(f) GDPR). For non-essential analytics that rely on cookies, we rely on your consent (Article 6(1)(a) GDPR and Article 82 of the French Loi Informatique et Libertés).

Pour le marketing A.3.5

but : send promotional emails about features, offers, and events; show personalized advertising; measure campaign performance.
Base légale : your consent (Article 6(1)(a) GDPR), withdrawable at any time. For existing customers, we may rely on the soft opt-in under Article L.34-5 of the French Code des postes et des communications électroniques to send you marketing about similar services, with an easy unsubscribe.

Pour former et améliorer nos modèles d'IA A.3.6

but : as further described in Section A.4, improve our AI models and features.
Base légale : your explicit opt-in consent (Article 6(1)(a) GDPR). We do not rely on legitimate interests for training-related processing of Personal Data.

Pour les réclamations légales et les litiges A.3.7

but : establish, exercise, or defend legal claims; respond to lawful requests from authorities.
Base légale : our legitimate interests and compliance with legal obligations (Article 6(1)(c) and (f) GDPR).

Prise de décision automatisée A.3.8

We do not use solely-automated decision-making producing legal effects on you within the meaning of Article 22 GDPR. We do use automated systems for fraud detection, abuse prevention, and content moderation, but human review is available where these systems produce decisions that materially affect you (such as account suspension). To request human review, contact .

A.4. Services d'IA et Données Personnelles

Ce que font les services d'IA A.4.1

Les Services IA vous permettent de générer du texte, des images, du code, des designs et d'autres contenus à partir de prompts (« Entrées ») pour produire des résultats (« Sorties »). Les Entrées et Sorties peuvent contenir des Données Personnelles si vous choisissez de les inclure.

Comment nous traitons les entrées et sorties A.4.2

Inputs and Outputs are processed to provide the AI Services to you, including by transmitting them to and from third-party AI model providers. The list of current AI providers is in Partie D (Sous-traitants).

Utilisation pour la formation des modèles d'IA A.4.3

Plans payants : Devaito does pas use the content of your Inputs or Outputs to train its proprietary AI models. We use only anonymized usage signals (latency, error rates, feature usage).

Plans gratuits : we will not use your Inputs or Outputs to train AI models sauf si vous choisissez explicitement de participer through your account settings. This consent is granular, separate from your acceptance of the Terms, and revocable at any time. Withdrawal does not affect the lawfulness of prior processing.

Fournisseurs tiers : we contractually require our third-party AI providers not to train their models on your Inputs and Outputs unless you have separately opted in.

Données sensibles et IA A.4.4

Nous vous conseillons vivement de ne pas inclure de Données Personnelles sensibles dans les Entrées des Services IA. Si vous le faites, vous êtes responsable de vous assurer que vous disposez d'une base légale conforme à l'Article 9 du RGPD.

Transparence de l'IA A.4.5

Lorsque la réglementation (UE) 2024/1689 (le Règlement UE sur l'IA) l'exige, nous vous informerons que vous interagissez avec un système d'IA et divulguerons le contenu généré ou modifié par l'IA. Vous restez responsable des obligations de divulgation de l'IA sur votre propre Plateforme Utilisateur.

A.5. Avec Qui Partageons-Nous Vos Données Personnelles

Nous partageons les Données Personnelles uniquement avec des parties ayant un besoin légitime de les traiter.

Fournisseurs de services (sous-traitants) A.5.1

We rely on selected service providers to operate the Services. Each is contractually bound to protect your Personal Data and to process it only on our instructions. The current list is in Partie D (Sous-traitants).

Filiales A.5.2

Nous pouvons partager les Données Personnelles avec nos affiliés et groupes d'entités pour les fins décrites dans cette Politique de Confidentialité. Les transferts intra-groupe sont régis par des garanties appropriées, y compris des Clauses Contractuelles Types le cas échéant.

A.5.3 Autorités et exigences légales

Nous pouvons divulguer les Données Personnelles lorsque la loi l'exige, notamment en réponse à des convocations valides, des ordonnances judiciaires ou autres demandes légales ; pour respecter les obligations fiscales, comptables ou réglementaires ; ou pour protéger nos droits, nos utilisateurs ou le public. Nous évaluons chaque demande en termes de légalité et de nécessité, et vous informons lorsque la loi le permet.

A.5.4 Transferts d'entreprise

Si Devaito participe à une fusion, une acquisition, une vente d'actifs, un financement ou une insolvabilité, vos Données Personnelles peuvent être transférées aux parties impliquées, sous réserve d'obligations de confidentialité et des termes de cette Politique de Confidentialité.

A.5.5 Avec votre direction ou votre consentement

Nous partageons les Données Personnelles avec des tiers lorsque vous nous y autorisez (par exemple, lorsque vous connectez une application tierce via notre marketplace) ou avec votre consentement séparé.

A.5.6 Pas de vente de données personnelles

Devaito ne vend pas vos Données Personnelles dans le sens traditionnel de la « vente ». Aux fins de certaines lois américaines sur la protection de la vie privée (voir Section A.13), certains partage à des fins de publicité comportementale inter-contexte peuvent être considérés comme une « vente » ou un « partage » selon des définitions légales larges ; vous avez le droit de refuser.

A.6. Transferts Internationaux de Données

Devaito est basé en France. Nous pouvons transférer des Données Personnelles vers des pays situés en dehors de l'Espace économique européen (EEE), du Royaume-Uni ou de la Suisse. Dans la mesure où nous le faisons, nous nous appuyons sur :

(a) Décisions d'adéquation issued by the European Commission, the UK Government, or the Swiss Federal Council.

(b) Clauses contractuelles types approved by the European Commission (Decision 2021/914) and, for UK transfers, the UK International Data Transfer Addendum.

(c) Cadre de protection des données UE-États-Unis, where the recipient is certified.

(d) Autres mécanismes de transfert reconnus as permitted by applicable law.

We have conducted transfer-impact assessments where required and implement supplementary measures (encryption, pseudonymization, access controls) where appropriate. To request a copy of the safeguards in place for a specific transfer, contact .

A.7. Combien de Temps Conservons-Nous Vos Données Personnelles

Nous conservons les Données Personnelles uniquement aussi longtemps que nécessaire pour les finalités décrites dans cette Politique de Confidentialité ou conformément à la loi :

Données de compte : for the duration of your account, plus up to ninety (90) days after account closure.

Factures et registres fiscaux : ten (10) years from the end of the relevant financial year (Article L.123-22 of the French Code de commerce; Article L.102 B of the French Livre des procédures fiscales).

Registres de vérification d'identité : five (5) years after the end of the relationship (anti-money-laundering rules).

Données marketing : three (3) years from your last interaction (CNIL guidance).

Registres du support client : five (5) years from closure of the support case.

Cookies : as set out in Part B; maximum thirteen (13) months for analytics and advertising cookies (CNIL guidance).

Journaux du serveur : twelve (12) months for security and debugging.

Entrées et sorties de l'IA : stored for as long as your account exists, unless deleted earlier by you.

Après la période de conservation, nous supprimons ou anonymisons les Données Personnelles. Certaines données peuvent être conservées plus longtemps pour respecter des obligations légales ou pour défendre des réclamations ; l'accès à ces données est limité à ces fins.

A.8. Comment Nous Protégez Vos Données Personnelles

Nous mettons en œuvre des mesures techniques et organisationnelles appropriées, notamment :

– Chiffrement en transit (TLS) et au repos pour les données sensibles.

– Contrôles d'accès basés sur le principe du moindre privilège.

– Authentification multifacteur pour l'accès administratif.

– Évaluations de sécurité régulières, tests de pénétration et gestion des vulnérabilités.

– Conformité PCI-DSS pour la gestion des données de cartes de paiement.

– Formation des employés à la sécurité et à la protection des données.

– Procédures de réponse aux incidents et protocoles de notification en cas de violation.

No system can be guaranteed fully secure. You are responsible for the security of your account credentials and for using strong unique passwords. If you suspect unauthorized access, contact immediately.

A.9. Vos Droits

Sous réserve de la législation applicable, vous disposez des droits suivants :

Droit d'accès : obtain confirmation of whether we process your Personal Data and a copy.

Droit de rectification : have inaccurate or incomplete data corrected.

Droit à l'effacement : have your Personal Data deleted in certain circumstances.

Droit à la restriction : ask us to restrict processing.

Droit à la portabilité des données : receive your Personal Data in a structured, commonly used, machine-readable format.

Droit d'opposition : object to processing based on legitimate interests, including profiling, and to direct marketing.

Droit de retirer son consentement : withdraw consent at any time without affecting the lawfulness of prior processing.

Droit de déposer une plainte : with a supervisory authority (in France, the CNIL: cnil.fr).

Droit de définir des directives concernant le sort de vos données après votre décès : under Article 85 of the French Loi Informatique et Libertés.

A.9.1 Comment exercer vos droits

To exercise any of these rights: (a) use the privacy controls in your account settings, including data export and account-deletion features; or (b) contact .

Nous répondons dans un délai d'un (1) mois après reception, renouvelable de deux (2) mois supplémentaires pour les demandes complexes (Article 12 RGPD). Nous pouvons vérifier votre identité. Des frais raisonnables peuvent être facturés ou la demande peut être refusée si elle est manifestement infondée ou excessive.

A.9.2 Suppression de votre compte

Vous pouvez supprimer votre compte à tout moment via vos paramètres. La suppression supprime définitivement votre contenu utilisateur des systèmes actifs dans les quatre-vingt-dix (90) jours, sauf si la loi ou un usage légitime exige une conservation.

A.10. Confidentialité des Enfants

The Services are not directed to children under sixteen (16) (or the higher minimum digital-consent age in your jurisdiction). We do not knowingly collect Personal Data from children under that age. If you believe a child has provided Personal Data to us, contact . If you operate a User Platform that collects data from children, you are responsible for obtaining verifiable parental consent and complying with applicable laws (including the GDPR, the U.S. Children's Online Privacy Protection Act, and the UK Age-Appropriate Design Code).

A.11. Communications de Devaito

A.11.1 Communications de service et de facturation

Nous envoyons des communications essentielles concernant votre compte, la sécurité, la facturation et les changements importants des services. Vous ne pouvez pas refuser de recevoir ces communications tant que vous maintenez un compte.

A.11.2 Communications marketing

We send marketing only to recipients who have provided consent or who are existing customers receiving information about similar services (soft opt-in). You can unsubscribe at any time using the link in any marketing email or by contacting .

A.12. Données de l'Utilisateur Final

If you use the Services to operate a User Platform, you collect Personal Data from your own End Users. For that processing, you are the controller and Devaito is your processor. Partie C (DPA) governs this relationship. You must:

(a) disposer d'une base légale pour traiter les données de l'Utilisateur Final ;

(b) maintenir une politique de confidentialité transparente sur votre Plateforme Utilisateur ;

(c) respecter les droits de l'Utilisateur Final en vertu de la loi applicable ;

(d) mettre en œuvre des mesures de sécurité appropriées et répondre aux demandes des sujets des données en tant que responsable du traitement.

Devaito n'a pas de relation directe avec vos Utilisateurs Finaux. Les Utilisateurs Finaux souhaitant exercer leurs droits concernant les données traitées via votre Plateforme Utilisateur doivent vous contacter directement.

A.13. Informations Spécifiques pour les Résidents des États-Unis

Cette section s'applique si vous êtes résident d'un État américain disposant d'une loi sur la protection de la vie privée des consommateurs, notamment la Californie (CCPA/CPRA), la Virginie (VCDPA), le Colorado (CPA), le Connecticut (CTDPA), l'Utah (UCPA), le Texas (TDPSA), l'Oregon, le Montana, l'Iowa, le Tennessee, l'Indiana, le New Jersey, le Delaware, le New Hampshire, le Minnesota, le Maryland, et d'autres.

A.13.1 Catégories d'informations personnelles

Catégories collectées (catégories CCPA) : identifiants ; informations commerciales ; activités en ligne ou autres activités électroniques sur le réseau ; données de géolocalisation (approximatives uniquement) ; informations audio, électroniques, visuelles ou similaires (par exemple, enregistrements d'appels de support) ; informations professionnelles ou relatives à l'emploi (que vous fournissez) ; inférences tirées de ce qui précède.

A.13.2 Sources, objectifs, divulgations

Voir les Sections A.2, A.3 et A.5.

A.13.3 Informations personnelles sensibles

Nous ne traitons pas sciemment d'Informations Personnelles sensibles au-delà de ce qui est nécessaire pour effectuer les Services et se conformer à la loi. Nous n'utilisons pas d'Informations Personnelles sensibles pour inférer vos caractéristiques.

A.13.4 Vente et partage

Nous ne vendons pas d'Informations Personnelles contre rémunération. Nous pouvons participer à des "partages" ou à de la "publicité ciblée" tel que défini par les lois des États-Unis lorsque nous utilisons des cookies publicitaires. Vous avez le droit de refuser.

A.13.5 Vos droits aux États-Unis

Sous réserve de la législation de votre État, vous pouvez avoir le droit de : (a) Savoir / Accéder ; (b) Corriger ; (c) Supprimer ; (d) Refuser la vente ou le partage ; (e) Limiter l'utilisation des Informations Personnelles sensibles ; (f) Non-discrimination ; (g) Faire appel.

A.13.6 Comment exercer les droits des États-Unis

– Email with subject "U.S. State Privacy Request" and your state of residence.

– Utilisez le lien "Je ne vends pas ou ne partage pas mes informations personnelles" dans notre pied de page.

– Soumettez un signal de Contrôle de Confidentialité Globale (GPC) via votre navigateur ; nous respectons la GPC comme demande de refus lorsque la loi l'exige.

Nous pouvons vérifier votre identité. Nous répondons dans les délais requis par la législation de votre État (en général 45 jours, extensible de 45 jours). Pour faire appel, répondez avec le sujet "Appel".

A.13.7 Agents autorisés

Vous pouvez désigner un agent autorisé. Nous requerirons une preuve d'autorisation et pouvons vous demander de vérifier directement votre identité.

A.13.8 Californie — Faites briller la lumière

California residents may request a list of categories of Personal Information disclosed to third parties for direct marketing in the previous calendar year. Send to .

A.13.9 Enfants de moins de 16 ans (Californie)

Nous ne vendons ni ne partageons sciemment les Informations Personnelles des résidents californiens de moins de seize (16) ans sans autorisation affirmative.

A.14. Informations spécifiques pour les résidents du Royaume-Uni

Le RGPD du Royaume-Uni et la Loi sur la Protection des Données 2018 s'appliquent. Les droits sont équivalents. L'autorité de supervision est le Bureau de l'Information Commissioner (ICO) du Royaume-Uni, accessible à ico.org.uk.

A.15. Autres régions

If you reside in a country with a specific data-protection law not addressed above (Brazil's LGPD, Canada's PIPEDA, Australia's Privacy Act, etc.), you may have additional rights. Contact .

A.16. Mises à jour de la politique de confidentialité

Pour les changements importants — y compris ceux qui élargissent les catégories de données collectées, les finalités du traitement ou les destinataires de divulgation — nous fournirons un préavis d'au moins trente (30) jours via les Services ou par e-mail. Les mises à jour non importantes sont affichées avec une date de "Dernière révision" mise à jour. L'utilisation continue après la date effective constitue une acceptation, sauf si la loi applicable exige un consentement renouvelé.

Partie B — Politique relative aux cookies

Dernière révision : 29 avril 2026 · Identifiant de la section : COOK-2026-04

B.1. Qu'est-ce que les cookies

Cookies are small text files placed on your device when you visit a website. Similar technologies include pixels, web beacons, local storage, and software development kits (SDKs). In this Cookie Policy, "Cookies" refers to all of these.

B.2. Catégories de cookies que nous utilisons

B.2.1 Cookies strictement nécessaires (toujours activés)

Essentiel pour le fonctionnement des Services. Ceux-ci ne nécessitent pas de consentement selon l'Article 82 de la Loi Française Informatique et Libertés.

Exemples : session authentication, CSRF protection, load balancing, language preference, security challenge tokens (e.g. Cloudflare Turnstile).

Durée de vie typique : session to 12 months.

B.2.2 Cookies fonctionnels (consentement requis)

Souvenez-vous de vos préférences et paramètres pour améliorer votre expérience.

Exemples : theme preference, recently viewed items, dismissed banners.

Durée de vie typique : up to 13 months.

B.2.3 Cookies d'analyse (consentement requis)

Aidez-nous à comprendre comment les Services sont utilisés.

Exemples : page views, clicks, session duration, error tracking.

Durée de vie typique : up to 13 months (CNIL guidance).

B.2.4 Cookies publicitaires et de marketing (consentement requis)

Utilisé pour délivrer et mesurer la publicité sur Devaito et sur des plateformes tierces.

Exemples : conversion tracking, audience-building, retargeting, attribution.

Durée de vie typique : up to 13 months.

B.3. Comment gérer les cookies

Vous pouvez accepter ou refuser les cookies non essentiels via notre bannière de cookies affichée lors de votre première visite, et modifier vos choix à tout moment via le lien « Préférences de cookies » dans notre pied de page.

Vous pouvez également gérer les cookies via les paramètres de votre navigateur (supprimer, bloquer, ou être informé). Des instructions détaillées pour les principaux navigateurs sont disponibles sur allaboutcookies.org. Notez que la désactivation des cookies strictement nécessaires peut entraîner une rupture de certains services.

B.3.1 Contrôle mondial de la vie privée

Nous respectons le signal de Contrôle de la Confidentialité Global (GPC) lorsqu'il s'applique en vertu de la loi des États-Unis. Nous ne répondons pas actuellement aux signaux de navigateur « Ne pas suivre » car il n'existe pas de consensus industriel sur leur interprétation.

B.4. Cookies définis par des tiers

Some Cookies are set by service providers acting on our behalf. These are listed with their purpose and lifespan in Partie D (Sous-traitants). The current detailed Cookie inventory, with names and durations, is available through our cookie banner under "Cookie Settings".

B.5. Mises à jour de la politique relative aux cookies

Nous pouvons mettre à jour cette Politique de Cookies lorsque nous ajoutons, supprimons ou modifions des cookies. Les changements importants seront reflétés dans notre bannière de cookies et vous serez invité à rafraîchir votre consentement lorsque la loi l'exige.

Partie C — Addendum sur le traitement des données (DPA)

Dernière révision : 29 avril 2026 · Identifiant de section : DPA-2026-04

La Partie C s'applique aux Clients qui utilisent les Services pour traiter des Données Personnelles de leurs Utilisateurs Finaux en leur qualité de responsable du traitement conformément au RGPD, au RGPD britannique ou à la FADP suisse. It forms part of the Devaito Terms. Where you have signed a separate negotiated Data Processing Agreement with Devaito, that agreement prevails over this Part C in case of conflict.

For convenience and signature evidence, a downloadable PDF version of this DPA, including pre-completed Standard Contractual Clauses, is available at devaito.com/legal/dpa.pdf. Contact to request a counter-signed copy.

C.1. Définitions

Capitalized terms used in this Part C have the meanings given in the Devaito Terms or in applicable data-protection law. In particular: "Client" means you, the entity using the Services; "Données Personnelles du Client" means Personal Data of Customer's End Users processed by Devaito on Customer's behalf; "Lois sur la protection des données" means the GDPR, UK GDPR, Swiss FADP, U.S. state privacy laws, and any other applicable data-protection law.

C.2. Rôles des parties

Pour les données personnelles du Client traitées dans le cadre des Services :

(a) Customer is the responsable du traitement (or processor on behalf of a third-party controller).

(b) Devaito is the destinataire du traitement (or sub-processor, where Customer is itself a processor).

(c) Devaito ne traite les données personnelles du Client que selon les instructions documentées du Client, y compris celles fournies via la configuration et l'utilisation des Services par le Client.

C.3. Objet, durée, nature, but, catégories de données et personnes concernées

The processing details required by Article 28(3) GDPR are set out in Annexe 1 of this Part C. In summary:

Objet : the processing of Customer Personal Data by Devaito as necessary to provide the Services.
Durée : for as long as Customer uses the Services, plus the retention periods set out in Section A.7.
Nature et but : hosting, storage, transmission, retrieval, and processing of Customer Personal Data to provide the Services described in the Devaito Terms.
Catégories de personnes concernées : Customer's End Users (visitors, customers, members, employees, contacts).
Catégories de Données Personnelles : identifiers, contact information, account credentials, transactional data, content uploaded by Customer or its End Users, and any other Personal Data Customer chooses to process through the Services.

C.4. Obligations de Devaito en tant que sous-traitant

Devaito :

(a) ne traite les données personnelles du Client que selon les instructions documentées du Client, sauf si la loi de l'UE ou d’un État membre oblige Devaito à traiter ces données, auquel cas Devaito informera le Client avant le traitement, sauf si la loi interdit cette notification ;

(b) veille à ce que les personnes autorisées à traiter les données personnelles du Client soient soumises à des obligations de confidentialité ou sous une obligation légale appropriée de confidentialité ;

(c) implement appropriate technical and organizational measures as set out in Annexe 2;

(d) respecte les conditions de recours aux sous-traitants fixées à la Section C.7 ;

(e) assiste le Client, en tenant compte de la nature du traitement, par des mesures techniques et organisationnelles appropriées, dans la mesure du possible, pour remplir l'obligation du Client de répondre aux demandes d'exercice des droits des sujets de données ;

(f) aide le Client à assurer la conformité aux articles 32 à 36 du RGPD (sécurité, notification des violations, évaluations d'impact sur la protection des données, consultation préalable), en tenant compte de la nature du traitement et des informations disponibles pour Devaito ;

(g) à la demande du Client, supprime ou retourne toutes les données personnelles du Client à la fin de la prestation des Services, et supprime les copies existantes sauf si la loi de l'UE ou d’un État membre exige leur stockage ; et

(h) met à la disposition du Client toutes les informations nécessaires pour démontrer la conformité avec l'article 28 du RGPD, et permet et contribue aux audits, y compris inspections, menés par le Client ou un autre auditeur mandaté par le Client (sous réserve des conditions de la Section C.9).

C.5. Obligations du client en tant que responsable

Le Client déclare et garantit que :

(a) il a fourni tous les avis requis aux sujets de données et a obtenu ou dispose d'une base légale alternative pour le traitement réalisé dans le cadre des Services ;

(b) les instructions qu'il donne à Devaito (y compris via la configuration des Services) sont conformes aux lois applicables sur la protection des données ;

(c) il ne fournira pas à Devaito de données personnelles sensibles en excès de ce qui est raisonnablement nécessaire, et reconnaît que les Services ne sont pas conçus pour traiter des catégories particulières de données sauf si cela est spécifiquement supporté et configuré ;

(d) il est responsable de l'exactitude, de la qualité et de la légalité des données personnelles du Client et des moyens par lesquels ces données ont été acquises.

C.6. Sécurité

Devaito implements and maintains appropriate technical and organizational measures designed to ensure a level of security appropriate to the risk, as further described in Annexe 2. Devaito reviews and updates these measures regularly to maintain effectiveness.

C.7. Sous-traitants

(a) Le Client fournit une autorisation écrite générale à Devaito pour engager des sous-traitants pour traiter les données personnelles du Client, sous réserve de cette Section C.7.

(b) Devaito maintains a current list of sub-processors in Partie D.

(c) Devaito will inform Customer of any intended additions or replacements of sub-processors at least trente (30) jours before the change takes effect, by email to the address Customer designates and/or by updating Part D and notifying through the Services. Customer may object to such change on reasonable grounds related to data protection within fifteen (15) days of notification by emailing . If the parties cannot reach a resolution, Customer may terminate the affected Services without penalty for the period not yet provided.

(d) Devaito impose des obligations de protection des données à chaque sous-traitant qui soient aussi protectrices que celles de cette Partie C, par contrat écrit.

(e) Devaito reste pleinement responsable vis-à-vis du Client de la performance des obligations de chaque sous-traitant.

C.8. Transferts internationaux de données

Lorsque les données personnelles du Client sont transférées hors de l'EEE, du Royaume-Uni ou de la Suisse par Devaito ou ses sous-traitants, les parties conviennent que :

(a) the European Commission's Clauses contractuelles types (Decision 2021/914) are incorporated by reference and apply to such transfers, with Customer as data exporter and Devaito (or the relevant sub-processor) as data importer. The applicable module is determined by the parties' roles for the transfer in question (typically Module 2: controller to processor; or Module 3: processor to processor where Customer is itself a processor);

(b) for transfers subject to UK GDPR, the Annexe sur le transfert international de données du Royaume-Uni issued by the UK Information Commissioner under Section 119A of the Data Protection Act 2018 is incorporated by reference and applies in addition to or in modification of the SCCs as required;

(c) pour les transferts soumis au FADP suisse, les SCC s'appliquent avec les modifications recommandées par le Commissaire fédéral à la protection des données et à l'information suisse ;

(d) la clause de docking et l'option de la clause 7 des SCC sont sélectionnées ; l'option de la clause 9 (autorisation écrite générale pour les sous-traitants) est sélectionnée avec le délai de préavis de 30 jours prévu à la section C.7(c) ; le langage facultatif de la clause 11 concernant la résolution indépendante des litiges n'est pas adopté ; la loi applicable dans la clause 17 est la loi de la France ; le forum dans la clause 18 est les tribunaux de Paris, France ;

(e) Devaito a effectué une évaluation de l'impact du transfert et applique des mesures complémentaires appropriées.

C.9. Audits

(a) Sur demande du Client, Devaito mettra à disposition toutes les informations raisonnablement nécessaires pour démontrer la conformité avec cette Partie C, y compris les rapports d'audit tiers, les certifications (telles que ISO 27001, SOC 2), et les questionnaires de sécurité.

(b) Le Client peut, au plus une fois tous les douze (12) mois et avec un préavis raisonnable (pas moins de trente (30) jours, sauf en cas de violation confirmée des données personnelles), effectuer ou mandater un audit tiers des pratiques de protection des données de Devaito dans la mesure strictement nécessaire pour vérifier la conformité à cette Partie C.

(c) Les audits doivent être réalisés pendant les heures ouvrables, ne doivent pas perturber de manière déraisonnable les opérations de Devaito, et l'auditeur doit exécuter des engagements de confidentialité appropriés. Le client supporte ses propres coûts d'audit sauf si l'audit révèle une non-conformité matérielle, auquel cas Devaito remboursera les coûts raisonnables.

C.10. Violations de données personnelles

Devaito informera le Client sans retard excessif, et en tout état de cause dans les soixante-douze (72) heures, après avoir pris connaissance d'une violation de données personnelles affectant les données personnelles du Client. La notification décrira, dans la mesure du connu, la nature de la violation, les catégories et le nombre approximatif de sujets de données et d'enregistrements concernés, les conséquences probables, et les mesures prises ou proposées. Devaito apportera une coopération raisonnable pour aider le Client à respecter ses obligations de notification en cas de violation.

C.11. Demandes des sujets de données

Devaito fournira au Client une assistance raisonnable, notamment par des mesures techniques et organisationnelles appropriées, pour remplir son obligation de répondre aux demandes des sujets de données exerçant leurs droits en vertu des lois sur la protection des données. Si Devaito reçoit une demande directement d'un sujet de données concernant les Données Personnelles du Client, Devaito transmettra rapidement la demande au Client et n'y répondra pas directement sauf si la loi l'exige.

C.12. Retour ou suppression des données

À la fin des Services, le Client pourra exporter ses Données Personnelles en utilisant les outils d'exportation fournis dans les Services. Après quatre-vingt-dix (90) jours suivant la fin (ou toute période plus longue requise pour remplir ses obligations légales), Devaito supprimera les Données Personnelles du Client des systèmes actifs. Les copies de sauvegarde sont supprimées dans le cours normal des affaires dans le délai de rotation du système de sauvegarde concerné.

C.13. Responsabilité

La responsabilité de chaque partie en vertu de cette Partie C est soumise aux limitations énoncées dans les Termes Devaito (notamment la limitation accrue pour les violations de la protection des données), sans préjudice de la responsabilité qui ne peut être limitée selon la loi applicable.

C.14. Annexes

Annexe 1 — Description du traitement

Catégories de personnes concernées : Customer's End Users, including visitors, registered users, customers, members, contacts, and any other individual whose Personal Data Customer chooses to process through the Services.

Catégories de Données Personnelles : identifiers (name, email, username), contact details, IP address and device data, login credentials (hashed), transaction data, communications, content uploaded, and any other Personal Data Customer chooses to include.

Catégories sensibles : none by default. The Services are not designed for processing special categories of data within the meaning of Article 9 GDPR. If Customer chooses to process such data, Customer is responsible for ensuring it has the required legal basis.

Fréquence de traitement : continuous, for the duration of the Services.

Nature du traitement : hosting, storage, retrieval, transmission, display, backup, deletion, and other operations necessary to provide the Services.

but : provision of the Services as described in the Devaito Terms.

Période de conservation : as set out in Section A.7 of this document and in Customer's configuration of the Services.

Annexe 2 — Mesures techniques et organisationnelles

Devaito met en œuvre les mesures suivantes pour assurer la sécurité des Données Personnelles du Client :

Chiffrement : data encrypted in transit using TLS 1.2 or higher; sensitive data at rest encrypted using industry-standard algorithms.

Contrôle d'accès : role-based access control with the principle of least privilege; multi-factor authentication for administrative access; access logs reviewed regularly.

Sécurité du réseau : firewalls, intrusion detection and prevention systems, DDoS protection.

Sécurité de l'application : secure development lifecycle, code review, static and dynamic application security testing, regular dependency vulnerability scanning.

Sécurité physique : data center providers compliant with ISO 27001 or equivalent; restricted physical access; environmental controls.

Personnel : background checks where lawful; confidentiality undertakings; mandatory security and privacy training.

Sauvegarde et récupération : regular automated backups with tested recovery procedures; geographically redundant backup storage.

Réponse aux incidents : documented incident-response plan with breach-notification procedures; security operations monitoring.

Gestion des fournisseurs : due diligence on sub-processors; contractual security obligations; regular review.

Gestion des vulnérabilités : regular penetration testing; bug-bounty program; patch-management procedures.

Continuité des activités : documented business-continuity and disaster-recovery plans; periodic testing.

Enregistrement et surveillance : security event logging with appropriate retention; log analysis for anomaly detection.

Annexe 3 — Liste des sous-traitants

The list of authorized sub-processors is maintained in Partie D of this document.

Partie D — Sous-traitants

Dernière modification : 29 avril 2026 · Identifiant de la section : SUBP-2026-04

This Part D lists the third-party service providers (sub-processors) that Devaito engages to process Personal Data in connection with the Services. Devaito has data-protection contracts with each sub-processor that are no less protective than the obligations in Partie C (DPA).

D.1. Comment nous informons des changements

Devaito may add, remove, or change sub-processors. We will notify Customers of changes at least trente (30) jours before the change takes effect, by email to the address Customer designates and/or by updating this Part D and notifying through the Services. Customers with an active DPA may object on reasonable data-protection grounds within fifteen (15) days of notification, in accordance with Section C.7.

To receive proactive email notifications of subprocessor changes, subscribe at devaito.com/legal/subprocessor-updates or contact .

D.2. Catégories de sous-traitants

Les sous-traitants actuels sont organisés par catégorie. Le tableau détaillé ci-dessous identifie, pour chaque sous-traitant : son nom légal, la catégorie de service, le type de Données Personnelles traitées, le pays de traitement, et le mécanisme de transfert de données applicable lorsque les données quittent l'EEE.

D.2.1 Infrastructure et hébergement

Hébergement cloud, distribution de contenu, DNS, infrastructure de sécurité.

D.2.2 Communications

Livraison d'e-mails transactionnels et marketing, SMS, messagerie intégrée, outils de support client.

D.2.3 Paiements et facturation

Traitement des paiements, détection de fraude pour les transactions, facturation, services fiscaux.

D.2.4 Identité, sécurité et conformité

Authentification, détection de fraude et d'abus (y compris les services de détection de bots tels que Cloudflare Turnstile), filtrage des sanctions, surveillance de la sécurité.

D.2.5 Fournisseurs de modèles d'IA

Fournisseurs d'IA tiers utilisés pour fournir des fonctionnalités alimentées par l'IA. Chaque fournisseur est lié par des restrictions contractuelles, y compris un engagement de non-formation, sauf si vous avez opté séparément pour l'amélioration du modèle.

D.2.6 Analyse et produit

Analytique de produit, suivi des erreurs, suivi des performances.

D.2.7 Opérations internes

Stockage de documents, collaboration interne, comptabilité, systèmes RH.

D.3. Tableau détaillé des sous-traitants

La liste détaillée actuelle avec les noms des fournisseurs, services, lieux de traitement, et mécanismes de transfert est publiée et mise à jour sur doiventavio.com/legal/subprocessors. Par obligation contractuelle, cette liste est maintenue synchronisée avec les sous-traitants réels en usage.

Partie E — Avis juridique (Mentions légales)

Dernière modification : 29 avril 2026 · Identifiant de la section : LEGN-2026-04

Les informations ci-dessous sont publiées conformément à l'article 6 III de la Loi pour la Confiance dans l'Économie Numérique (LCEN) française et à l'article L.111-1 du Code de la consommation français.

Éditeur E.1

Devaito SAS
Legal form: société par actions simplifiée
Registered office: [registered office address to insert]
Share capital: [share capital amount in EUR to insert]
RCS registration: [city of registration] B [SIREN number]
SIRET: [SIRET number to insert]
VAT number: [intracommunity VAT number to insert]
APE/NAF code: [activity code to insert]
Director of publication: [name and title of legal representative to insert]
Contact:

Fournisseur d'hébergement E.2

[Nom légal du fournisseur d'hébergement]
[Address]
[Contact information]

Propriété intellectuelle E.3

Les Services, y compris leur structure, contenu (textes, images, vidéos, sons, logiciels, bases de données, mises en page, et marques), sont protégés par des droits de propriété intellectuelle appartenant à Devaito SAS ou à ses licenciés. Toute reproduction, représentation, modification, publication ou adaptation de tout ou partie des Services, par quelque moyen que ce soit, est interdite sans l'autorisation écrite préalable de Devaito SAS, sauf si cela est expressément permis par les Termes Devaito.

Signalement de contenu illicite E.4

In accordance with Article 6 of the LCEN and Regulation (EU) 2022/2065 (Digital Services Act), illegal content hosted on Devaito or on a User Platform may be reported to . Reports should include the elements required by law to enable assessment.

Médiation pour les consommateurs E.5

Conformément aux articles L.611-1 et suivants du Code de la consommation français, les consommateurs français peuvent faire appel à un médiateur de la consommation après avoir tenté en vain de résoudre un litige avec notre service client. Les informations actuelles sur le médiateur seront publiées sur devonsisto.com/legal/mediation lors de sa désignation.

Résolution amiable des litiges en ligne (UE) E.6

Conformément au Règlement (UE) n° 524/2013, les consommateurs de l'UE peuvent accéder à la plateforme de Résolution en Ligne des Litiges de la Commission européenne à l'adresse ec.europa.eu/consumers/odr.

Contact

Devaito SAS
Privacy & Data Protection:
Legal:
Security:
Copyright:
Billing:
General support:

Adresse postale : voir la Partie E (Mentions Légales).

Si vous n'êtes pas satisfait de notre réponse, vous avez le droit de déposer une réclamation auprès de l'autorité de supervision locale. Pour les résidents français, la CNIL est joignable à cnil.fr ou par courrier à l'adresse 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07, France.

Ce document est rédigé à l'origine en anglais. Des traductions peuvent être mises à disposition pour votre commodité ; en cas de conflit, la version anglaise prévaut, sauf si la loi française en dispose autrement pour les consommateurs français.