← Retour à l'accueil
RGPD & Protection des données
Nos engagements conformément au Règlement (UE) 2016/679 et à la loi Informatique et Libertés
⚠️ DOCUMENT À VALIDER PAR VOTRE DPO / AVOCAT — Cette page synthétise nos engagements RGPD. Le registre détaillé des traitements (art. 30 RGPD) et le DPA (Data Processing Agreement) sont disponibles sur demande auprès de notre DPO.
Nos engagements en 5 points
🇪🇺 Hébergement 100 % européen
Vos données sont hébergées en France chez OVH Roubaix. Aucun transfert automatique hors UE sauf pour les canaux nécessitant un opérateur tiers (WhatsApp via Meta, RCS via Google), encadrés par des Clauses Contractuelles Types.
🔐 Chiffrement de bout en bout
Transit en TLS 1.2+, stockage en AES-256, hashage bcrypt des mots de passe, chiffrement des numéros de téléphone de vos contacts en base de données.
👤 Vous êtes responsable de traitement, nous sommes sous-traitants
Conformément à l'art. 28 RGPD, So-Mobile agit comme sous-traitant pour les données de vos contacts. Vous restez propriétaire et responsable de traitement.
📋 Registre des traitements & DPA disponibles
Notre registre des traitements (art. 30) et notre Data Processing Agreement sont disponibles sur simple demande auprès de notre DPO.
⚡ Notification de violation sous 72 h
En cas d'incident affectant vos données, nous nous engageons à vous notifier dans les 72 heures, conformément à l'article 33 du RGPD.
Certifications et conformités
🛡️
SOC 2 Type II
Visée 2027
🏥
HDS Santé
Via partenaire certifié
⚖️
Charte AF2M
Adhérent depuis 2026
Data Processing Agreement (DPA)
Conformément à l'article 28 du RGPD, un DPA est automatiquement conclu entre vous (Responsable de traitement) et So-Mobile (Sous-traitant) dès la souscription d'un abonnement.
Ce DPA couvre :
- L'objet et la durée du traitement
- La nature et la finalité du traitement
- Les types de données et catégories de personnes concernées
- Les obligations et droits du responsable de traitement
- Les mesures techniques et organisationnelles (Annexe II)
- La liste des sous-traitants ultérieurs autorisés (Annexe III)
- La procédure en cas de violation de données
- La restitution/suppression des données en fin de contrat
- Les modalités d'audit
Téléchargement du DPA : accessible depuis votre espace client → Paramètres → RGPD (après souscription), ou sur demande à dpo@so-mobile.fr.
Liste des sous-traitants ultérieurs
So-Mobile fait appel aux sous-traitants suivants pour l'exécution du service. Tous sont liés par des accords conformes à l'art. 28 RGPD :
| Sous-traitant | Finalité | Localisation |
| OVH SAS | Hébergement serveurs | France (Roubaix) |
| SystemPay (Banque Populaire) | Paiement CB sécurisé | France |
| Sinch | Routage SMS international | UE (Suède, France) |
| Link Mobility | Routage SMS EU/DOM-TOM | UE |
| Google (RCS Business Messaging) | Canal RCS (si activé) | UE/US — CCT |
| Meta Platforms (WhatsApp Business) | Canal WhatsApp (si activé) | UE/US — CCT |
| [À compléter] partenaire Email SMTP | Routage Email | UE |
| [À compléter] partenaire Voice | Canal Voice (si activé) | UE |
So-Mobile informe le Client de toute modification de cette liste avec un préavis raisonnable, permettant au Client de s'opposer légitimement.
Catégories de données traitées
Données du Client (compte)
- Identité : nom, prénom, raison sociale, SIRET
- Coordonnées : email, téléphone, adresse
- Identifiants : identifiant de compte, mot de passe hashé
- Paiement : historique des transactions (pas de CB conservée)
- Usage : logs de connexion, IP, user-agent
Données des destinataires (traitées pour le compte du Client)
- Numéro de téléphone (chiffré en base)
- Adresse email (pour les canaux Email)
- Prénom et nom (si fournis par le Client)
- Attributs personnalisés définis par le Client (segmentation)
- Préférences : opt-in, opt-out (STOP), préférences de canal
- Historique des messages reçus et leur statut (livraison, lecture, clic)
So-Mobile ne traite aucune donnée sensible (art. 9 RGPD) sauf dans le cadre du plan HDS Santé soumis à un DPA spécifique.
Droits des personnes concernées
Toute personne dont les données sont traitées (Client ou destinataire final d'un message) dispose des droits suivants :
- Accès à ses données (art. 15)
- Rectification des données inexactes (art. 16)
- Effacement — « droit à l'oubli » (art. 17)
- Limitation du traitement (art. 18)
- Portabilité — export structuré des données (art. 20)
- Opposition — notamment à la prospection (art. 21)
- Retrait du consentement à tout moment (art. 7.3)
- Directives post-mortem (loi I&L art. 40-1)
Pour exercer vos droits, contactez :
- Si vous êtes un Client : connectez-vous à votre espace ou écrivez à dpo@so-mobile.fr
- Si vous êtes un destinataire (vous avez reçu un message) : contactez directement l'annonceur (mentionné dans le message). So-Mobile étant sous-traitant, nous répondrons à votre demande en concertation avec l'annonceur.
Délai de réponse : 1 mois (prolongeable à 3 mois pour les demandes complexes).
Réclamation : vous pouvez à tout moment saisir la CNIL — www.cnil.fr/fr/plaintes.
Opt-in, opt-out et STOP automatique
Conformément à l'article L.34-5 du CPCE et à la charte AF2M :
- Le consentement préalable du destinataire est obligatoire pour tout message de prospection commerciale
- Chaque SMS/RCS commercial doit contenir la mention « STOP » permettant le désabonnement gratuit
- So-Mobile gère automatiquement la réception des STOP et blackliste le numéro pour toute campagne future de l'annonceur
- Les envois sont limités aux plages horaires 8h-20h, interdits le dimanche et jours fériés (prospection)
- So-Mobile propose un horodatage qualifié eIDAS (option payante — Preuve opt-in eIDAS) via Evidency/Universign pour les secteurs sensibles (banque, santé, assurance)
Le Client s'engage à n'envoyer qu'à des destinataires ayant expressément consenti. Le manquement engage la responsabilité du Client, notamment vis-à-vis des sanctions CNIL (jusqu'à 20 M€ ou 4 % du CA mondial).