Retour
MallOps — Creativity App

DPA — Accord de traitement des données

Version 2.0 En vigueur le 19 mai 2026 Droit français · RGPD
Le présent Data Processing Agreement (DPA) encadre le traitement des données à caractère personnel réalisé par l'Éditeur pour le compte du Client dans le cadre de l'utilisation de MallOps, conformément au RGPD.
  • Sous-traitant : Creativity App, SASU, SIRET 101 888 998 00016, RCS Paris 101 888 998, dont le siège social est situé 25 rue de Ponthieu, 75008 Paris, France, représentée par son président Jeremy Cariou.
  • Responsable du traitement : le Client (entité, centre commercial, foncière, gestionnaire ou collectivité) utilisant la Plateforme MallOps.
  • Contact : contact@creativity-app.com.

Le présent DPA définit les obligations des parties en matière de traitement des données à caractère personnel effectué via la Plateforme MallOps. Il s'applique conformément au Règlement (UE) 2016/679 (RGPD) et à la loi française. Le Client, responsable du traitement, confie à l'Éditeur, sous-traitant, des traitements réalisés pour son compte.

Le Client détermine les finalités et les moyens des traitements réalisés via MallOps (demandes d'intervention, données des demandeurs, messages et pièces jointes du chat). L'Éditeur traite ces données uniquement pour le compte du Client et conformément à ses instructions documentées.

Les traitements portent sur : l'identité et les coordonnées des demandeurs d'intervention, le contenu des messages et des pièces jointes échangés via le chat, les données des dossiers d'aménagement (ERPWISE) et les journaux d'accès. Les finalités sont définies par le Client ; l'Éditeur exécute les opérations techniques (hébergement, stockage, envoi d'emails, interfaces).

La Plateforme met à la disposition du Client un outil de création de formulaires (Form Builder) lui permettant de définir librement les champs de collecte des demandes d'intervention auprès des entreprises et enseignes intervenant dans son centre. Le Client, en sa qualité de responsable du traitement, détermine seul les données collectées au moyen de ces formulaires. Il lui appartient exclusivement de s'assurer que ces données sont adéquates, pertinentes et limitées à ce qui est nécessaire (principe de minimisation), qu'elles reposent sur une base légale valable, que les personnes concernées en sont dûment informées, et qu'aucune donnée sensible au sens de l'article 9 du RGPD n'est collectée sans fondement approprié. L'Éditeur, en sa qualité de sous-traitant, fournit uniquement l'outil technique : il ne détermine ni ne contrôle la nature des données configurées et collectées par le Client, et ne saurait voir sa responsabilité engagée à ce titre.

L'Éditeur ne traite les données que sur instruction documentée du Client, sauf obligation légale. Lorsqu'une obligation légale impose un traitement, l'Éditeur en informe le Client préalablement, sauf si la loi interdit une telle information pour des motifs importants d'intérêt public.

L'Éditeur s'engage à ce que les personnes autorisées à traiter les données soient soumises à une obligation de confidentialité. Il met en œuvre des mesures techniques et organisationnelles appropriées : chiffrement des échanges, contrôle des accès, cloisonnement des données par entité, journalisation et sauvegardes régulières.

L'Éditeur recourt aux sous-traitants ultérieurs suivants pour l'exécution du service :

  • o2switch SAS — hébergement des données, au sein de l'Union européenne.
  • OpenAI — traitements d'intelligence artificielle (pré-analyse des demandes, ERPWISE), aux États-Unis.

Chaque sous-traitant ultérieur est tenu, par contrat, à des obligations de protection des données équivalentes à celles du présent DPA. Conformément aux politiques d'utilisation des données de l'API d'OpenAI, en vigueur depuis le 1er mars 2023, les données transmises via l'API ne sont pas utilisées pour entraîner ni améliorer les modèles d'OpenAI ; elles ne sont conservées que pendant une durée limitée (jusqu'à 30 jours) à des fins de détection des abus. Le Client est informé de tout changement envisagé concernant les sous-traitants ultérieurs et peut formuler une objection motivée.

Les données sont hébergées au sein de l'Union européenne. Le recours à l'API d'OpenAI pour les fonctionnalités d'intelligence artificielle implique un transfert de données vers les États-Unis ; ce transfert est encadré par les clauses contractuelles types de la Commission européenne intégrées à l'accord de traitement des données (Data Processing Addendum) d'OpenAI. En dehors de ce cas, aucun transfert vers un pays tiers n'est réalisé sans garanties appropriées conformes au RGPD.

L'Éditeur assiste le Client, dans la mesure du possible, pour répondre aux demandes d'exercice des droits des personnes concernées (accès, rectification, effacement, limitation, portabilité, opposition). Le Client demeure responsable de la réponse aux personnes concernées.

En cas de violation de données à caractère personnel, l'Éditeur notifie le Client dans les meilleurs délais après en avoir pris connaissance, et lui communique les informations utiles pour permettre, le cas échéant, la notification à l'autorité de contrôle et aux personnes concernées.

L'Éditeur met à la disposition du Client les informations nécessaires pour démontrer le respect des obligations du présent DPA et permettre la réalisation d'audits, dans le respect d'un préavis raisonnable et d'obligations de confidentialité.

Indépendamment de la fin de la prestation, les demandes d'intervention — y compris les données saisies via les formulaires personnalisables, les messages de chat et les pièces jointes — font l'objet d'une suppression automatique et définitive trois (3) ans après la date de fin de l'intervention concernée. Cette purge est exécutée quotidiennement par un traitement automatisé.

Au terme de la prestation, et selon le choix du Client, l'Éditeur restitue ou supprime l'ensemble des données traitées pour son compte dans un délai raisonnable. Sauf obligation légale de conservation, les données sont ensuite définitivement effacées.

Le présent DPA s'applique pendant toute la durée des traitements réalisés via MallOps pour le compte du Client. Il demeure en vigueur tant que l'Éditeur traite des données personnelles pour le compte du Client.

Pour toute question relative au présent DPA : contact@creativity-app.com.

© 2026 MallOps — Creativity App. Tous droits réservés. Contact : contact@creativity-app.com