Accord de partage des données.

Le service Intent Room repose sur l'agrégation et la qualification de signaux d'intention d'achat collectés à partir de sources publiques (offres d'emploi, sites web, profils professionnels, communiqués). Aymazing Ventures est, à ce titre, responsable de traitement de la base de données de signaux qu'il constitue (article 4(7) RGPD), sur le fondement de l'intérêt légitime à la prospection B2B (article 6.1.f RGPD).

Lorsqu'un Membre consulte un Dossier puis utilise les contacts qu'il contient pour ses propres actions (prospection, mise en relation, recrutement), le Membre devient à son tour responsable de traitement indépendant des traitements qu'il met en œuvre. Aymazing Ventures n'agit pas en qualité de sous-traitant du Membre, sauf stipulation contractuelle spécifique conclue séparément.

Le présent Accord (ci-après « DPA ») définit le cadre applicable :

• au traitement par Aymazing Ventures, en qualité de responsable, des données des décisionnaires intégrées aux Dossiers ;
• à la mise à disposition de ces données au Membre, qui en devient responsable de traitement indépendant pour ses propres finalités ;
• aux obligations réciproques pour assurer la conformité RGPD du partage et de l'utilisation des données.

Le présent DPA fait partie intégrante des Conditions Générales d'Utilisation et de Vente et de la Politique de protection des données. Il prévaut sur toute disposition contraire en matière de protection des données personnelles.

Le présent DPA est accepté par le Membre au moment de la souscription au service Intent Room, par validation des CGU/CGV. Cette acceptation électronique vaut signature et engagement contractuel.

Aymazing Ventures met à disposition du Membre, au sein des Dossiers, les catégories de données suivantes, collectées exclusivement à partir de sources publiques :

• Données d'identification professionnelle : prénom, nom, poste actuel, entreprise.
• Coordonnées professionnelles publiques quand disponibles : email professionnel, téléphone professionnel, profil LinkedIn.
• Contexte signal d'intention : offre d'emploi, projet IA mentionné, ancienneté dans le poste, équipe, technologies revendiquées.
• Métadonnées d'entreprise : secteur, taille, localisation, signaux financiers publics.

Aucune donnée relevant des catégories particulières visées à l'article 9 du RGPD (origine raciale, opinions politiques, religion, santé, vie sexuelle, etc.) n'est collectée ni partagée.

En sa qualité de responsable de traitement de la base de données de signaux, Aymazing Ventures s'engage à :

• Loyauté de la collecte : collecter les données uniquement à partir de sources publiques, dans le respect des conditions générales d'utilisation des sources, sans contournement technique des mesures anti-scraping.
• Information des personnes (article 14 RGPD) : publier la présente politique d'information accessible publiquement à www.intentroom.ai/politique-confidentialite et permettre à toute personne identifiée d'exercer ses droits auprès du contact dédié.
• Mise en balance documentée : conserver une analyse documentée de la mise en balance entre l'intérêt légitime à la prospection B2B et les droits et libertés des personnes concernées (LIA — Legitimate Interest Assessment).
• Liste d'exclusion : tenir une liste d'exclusion centralisée et la propager en temps quasi-réel à tous les Dossiers ; toute personne ayant exercé son droit d'opposition est retirée des Dossiers actifs sous 72h ouvrées.
• Sécurité (article 32 RGPD) : mettre en œuvre les mesures techniques et organisationnelles appropriées — chiffrement TLS et au repos, authentification forte, contrôle d'accès strict, journalisation, séparation des environnements.
• Notification des violations (article 33 RGPD) : notifier la CNIL dans les 72h suivant la connaissance d'une violation de données et informer les Membres dans les meilleurs délais lorsque la violation les concerne.

Le Membre, lorsqu'il utilise les données issues des Dossiers pour ses propres traitements, s'engage à :

• Base légale propre : déterminer et documenter la base légale (article 6 RGPD) sur laquelle il fonde ses propres traitements, qu'il s'agisse d'un intérêt légitime à la prospection B2B (article 6.1.f) ou d'un autre fondement.
• Conformité ePrivacy : respecter les règles applicables à la prospection commerciale par voie électronique (directive ePrivacy, article L.34-5 du CPCE, recommandations CNIL B2B), et notamment fournir un mécanisme d'opposition simple et gratuit (lien de désinscription, mention « Stop ») dans chaque communication.
• Information de la personne contactée(article 14 RGPD) : informer la personne contactée, dès le premier contact ou au plus tard sous un mois, de l'origine des données, des finalités du traitement, de la base légale, de la durée de conservation et de ses droits.
• Respect des droits : traiter sans délai et conformément au RGPD toute demande d'accès, de rectification, d'opposition ou d'effacement formulée auprès du Membre.
• Pas de revente : ne pas revendre, redistribuer, louer ou céder à un tiers les données issues des Dossiers, en dehors d'un usage interne à son organisation et de la prise de contact directe avec les entreprises et personnes concernées.
• Pas d'enrichissement croisé non autorisé : ne pas combiner les données issues des Dossiers avec d'autres bases de données dans des conditions susceptibles de créer un traitement disproportionné ou de réidentifier des personnes au-delà de leur sphère professionnelle publique.
• Notification de violation : informer Aymazing Ventures dans les 48h ouvrées de toute violation de données affectant les données issues des Dossiers, lorsque cette violation est imputable au Membre.

Le Membre autorise Aymazing Ventures à recourir aux sous-traitants ultérieurs listés dans la Politique de protection des données personnelles (Supabase, Cloudflare, Stripe, Resend, n8n self-hosted, Crawl4AI, DeepInfra, xAI).

En cas de modification substantielle de la liste des sous-traitants (ajout ou remplacement entraînant un transfert hors UE non préalablement autorisé), Aymazing Ventures s'engage à en informer le Membre par email avec un préavis de 15 jours. Le Membre dispose de ce délai pour s'y opposer par écrit avec motifs légitimes. À défaut d'opposition dans ce délai, la modification est réputée acceptée.

Aymazing Ventures impose à tout sous-traitant ultérieur des obligations de protection des données équivalentes à celles du présent DPA et demeure responsable du respect de ces obligations.

Les sous-traitants d'Aymazing Ventures établis hors UE (Cloudflare, Resend, DeepInfra, xAI) ne reçoivent que les données strictement nécessaires à l'exécution du service. Les transferts sont encadrés par les clauses contractuelles types (CCT) adoptées par la Commission Européenne conformément à l'article 46 du RGPD.

Les sous-traitants hébergés en France ou dans l'UE (Supabase région UE, Stripe Irlande, n8n self-hosted, Crawl4AI) ne font l'objet d'aucun transfert hors de l'Union Européenne.

Le présent DPA prend effet à la date de souscription au service par le Membre et prend fin à la résiliation du contrat de service, quelle qu'en soit la cause.

À l'issue du contrat, Aymazing Ventures supprime les données de compte du Membre dans les conditions prévues à la Politique de protection des données. Les données issues des Dossiers déjà téléchargées ou utilisées par le Membre demeurent sous sa seule responsabilité — le Membre s'engage à appliquer les durées de conservation et obligations RGPD applicables à ses propres traitements.

Chaque partie supporte la responsabilité des traitements qu'elle met en œuvre en sa qualité de responsable. Aymazing Ventures ne peut être tenu responsable :

• du défaut de base légale propre du Membre pour ses traitements ultérieurs ;
• du non-respect par le Membre des obligations ePrivacy / L.34-5 CPCE applicables à la prospection électronique ;
• du non-respect par le Membre des droits des personnes contactées dans le cadre de ses propres campagnes ;
• de tout détournement de finalité, revente ou usage non autorisé des données issues des Dossiers par le Membre.

La responsabilité globale d'Aymazing Ventures au titre du présent DPA est limitée au montant des sommes effectivement perçues au titre du contrat de service au cours des 12 mois précédant l'événement dommageable, sauf faute lourde ou intentionnelle.

Aymazing Ventures met à disposition du Membre, sur demande écrite, les informations nécessaires à la démonstration du respect des obligations du présent DPA (registre des traitements, politique de sécurité, liste à jour des sous-traitants, dernier rapport pentest s'il existe).

Les audits sur site sont possibles, sous réserve d'un préavis écrit de 30 jours, dans des conditions ne perturbant pas l'activité d'Aymazing Ventures, et aux frais du Membre demandeur.

Le présent DPA est soumis au droit français et au Règlement (UE) 2016/679 (RGPD).

En cas de litige relatif à l'interprétation ou à l'exécution du présent DPA, les parties s'engagent à rechercher une solution amiable dans un délai de 30 jours à compter de la notification du différend. À défaut d'accord amiable, le litige sera soumis aux juridictions compétentes du ressort de la Cour d'appel d'Aix-en-Provence.

Toute réclamation auprès d'une autorité de contrôle reste possible. En France, l'autorité compétente est la CNIL ( www.cnil.fr).

Si l'une des clauses du présent DPA était déclarée nulle ou inapplicable, les autres clauses resteraient en vigueur.

Le présent DPA peut être modifié par Aymazing Ventures avec un préavis de 30 jours notifié par email au Membre. Le Membre qui continue à utiliser le service après ce délai est réputé avoir accepté les modifications.

Pour toute question relative au présent DPA : contact@aymenbenali.com.