Annexe RGPD — Accord de traitement des données

Version 1.0 — Dernière mise à jour : 18 juin 2026

1. Objet

La présente Annexe RGPD encadre les traitements de données personnelles réalisés par Allan DARDART EI, entrepreneur individuel exerçant sous le nom commercial KinFlux, SIREN 510 342 959, siège 38, rue des Mathurins 75008 Paris France, pour le compte des Organisations clientes dans le cadre du service KinFlux.

Elle complète les CGV, les CGU et la Politique de confidentialité. En cas de contradiction sur les obligations de protection des données traitées pour le compte d'une Organisation, la présente Annexe prévaut.

2. Rôles des parties

L'Organisation cliente agit en qualité de responsable du traitement pour les données personnelles qu'elle importe, saisit, transmet ou rend accessibles via KinFlux concernant ses clients, prospects, créateurs, partenaires, collaborateurs ou contacts.

KinFlux agit en qualité de sous-traitant au sens de l'article 28 du RGPD lorsqu'il traite ces données pour le compte de l'Organisation et sur ses instructions.

KinFlux peut également agir en qualité de responsable du traitement distinct pour ses propres traitements : gestion des comptes, facturation, sécurité, prospection KinFlux, analytics agrégées et amélioration du service.

3. Instructions documentées

KinFlux traite les données uniquement sur instruction documentée de l'Organisation, telle que résultant du contrat, de la configuration du compte, des actions réalisées par les Utilisateurs autorisés et des demandes écrites adressées au support.

Si KinFlux estime qu'une instruction constitue une violation du RGPD ou d'une autre disposition applicable, KinFlux en informe l'Organisation dans les meilleurs délais.

4. Catégories de données traitées

Les catégories de données susceptibles d'être traitées sont notamment :

• Données d'identification : nom, prénom, email, téléphone, fonction, société ;
• Données professionnelles : entreprise, rôle, secteur, relations commerciales ;
• Données de campagne : briefs, livrables, validations, contenus, commentaires, droits, KPI ;
• Données financières : devis, factures, budgets, honoraires, paiements, références comptables ;
• Données créateurs : profils publics, handles sociaux, statistiques publiques, tarifs, disponibilités, contrats, factures ;
• Données de portail : tokens, actions, validations, dépôts, signatures, logs ;
• Données de communication : emails synchronisés, pièces jointes, notes et échanges liés aux campagnes ;
• Données techniques : identifiants, logs, adresses IP, traces d'audit, paramètres de sécurité.

5. Catégories de personnes concernées

Les personnes concernées peuvent être :

• Utilisateurs de l'Organisation ;
• Clients, prospects et contacts de l'Organisation ;
• Créateurs, talents, influenceurs et représentants ;
• Fournisseurs, partenaires et prestataires ;
• Visiteurs de portails tokenisés ;
• Interlocuteurs apparaissant dans les communications synchronisées.

6. Finalités du traitement

Les traitements sont réalisés pour fournir KinFlux : CRM, gestion de campagnes, shortlists, portails clients et créateurs, documents, contrats, facturation, reporting, synchronisation email, support, sécurité, sauvegarde et maintenance.

KinFlux ne traite pas les données de l'Organisation à des fins propres incompatibles avec ces finalités.

7. Confidentialité

KinFlux s'assure que les personnes autorisées à traiter les données sont soumises à une obligation de confidentialité appropriée. L'accès aux données est limité aux besoins stricts de fourniture, sécurité, maintenance, support autorisé ou obligation légale.

8. Sécurité

KinFlux met en œuvre des mesures techniques et organisationnelles adaptées, notamment :

• Chiffrement en transit ;
• Isolation multi-tenant par Organisation ;
• Contrôle d'accès par rôles et permissions ;
• Gestion des secrets et accès production restreints ;
• Sauvegardes et procédures de restauration ;
• Journalisation des accès et actions sensibles ;
• Portails tokenisés ;
• Revue des droits et durcissement progressif des accès ;
• Mesures de prévention des pertes, altérations ou divulgations non autorisées.

9. Sous-traitants ultérieurs

L'Organisation autorise KinFlux à recourir à des sous-traitants ultérieurs nécessaires à la fourniture du Service. La liste principale figure dans la Politique de confidentialité.

KinFlux impose à ses sous-traitants ultérieurs des obligations de protection des données substantiellement équivalentes à celles de la présente Annexe. KinFlux demeure responsable vis-à-vis de l'Organisation de l'exécution des obligations confiées à ses sous-traitants ultérieurs.

KinFlux informe l'Organisation de tout changement substantiel de sous-traitant ultérieur lorsque ce changement affecte les traitements réalisés pour son compte.

10. Transferts hors Union européenne

Lorsque des données sont transférées hors de l'Union européenne, KinFlux s'assure que le transfert repose sur un mécanisme légal approprié : Clauses Contractuelles Types, Data Privacy Framework lorsque applicable, décision d'adéquation ou autre mécanisme prévu par le RGPD.

11. Violations de données personnelles

KinFlux notifie à l'Organisation toute violation de données personnelles affectant les données traitées pour son compte dans les meilleurs délais après en avoir pris connaissance.

La notification décrit, dans la mesure du possible, la nature de la violation, les catégories et volumes de données concernées, les conséquences probables, les mesures prises ou proposées et le point de contact utile.

L'Organisation reste responsable des notifications à la CNIL et aux personnes concernées lorsqu'elles sont requises, sauf obligation directement applicable à KinFlux.

12. Assistance

KinFlux assiste raisonnablement l'Organisation, dans la mesure du possible et compte tenu des informations disponibles, pour :

• Répondre aux demandes d'exercice de droits ;
• Respecter ses obligations de sécurité ;
• Documenter une violation de données ;
• Réaliser une analyse d'impact lorsque le traitement l'exige ;
• Coopérer avec une autorité de contrôle.

Les demandes manifestement excessives, complexes ou hors périmètre peuvent faire l'objet d'une facturation raisonnable après accord préalable.

13. Restitution et suppression

À la fin du contrat, KinFlux permet à l'Organisation d'exporter ses données pendant la période prévue aux CGV. À l'issue de cette période, les données sont supprimées ou anonymisées, sauf conservation imposée par la loi ou nécessaire à la défense de droits.

Les sauvegardes résiduelles sont purgées selon les cycles techniques habituels et restent protégées jusqu'à suppression.

14. Audit et documentation

KinFlux met à disposition les informations raisonnablement nécessaires pour démontrer le respect des obligations prévues par la présente Annexe. Les audits sont réalisés sur demande écrite, avec un préavis raisonnable, pendant les heures ouvrées et sans compromettre la sécurité, la confidentialité des autres clients ou la continuité du Service.

15. Cession, restructuration et future société

En cas de restructuration, apport, cession de l'activité KinFlux, transfert de patrimoine professionnel, fusion, création ou substitution d'une société venant aux droits d'Allan DARDART EI, l'entité cessionnaire reprend l'ensemble des obligations de KinFlux au titre de la présente Annexe.

Les données personnelles nécessaires à la continuité du Service peuvent être transmises à cette entité. L'Organisation est informée au moins trente jours avant la prise d'effet du changement, avec l'identité, les coordonnées et les informations pertinentes du nouveau responsable du traitement ou sous-traitant.

La cession ne réduit pas les droits de l'Organisation, ne modifie pas les finalités du traitement et n'interrompt pas le Service.

16. Contact

Pour toute question relative à la présente Annexe RGPD : info@kinflux.co