What is Melis Platform?

Melis Platform is a free, Open Source Digital Experience Platform (DXP) made in France that unifies CMS, e-commerce, marketing and CRM, and natively embeds generative and agentic AI through Melis AI, with Model Context Protocol (MCP) integration.

How does Melis Platform use AI?

Melis AI brings generative AI (content creation, translation, page layout) and agentic AI (multi-step automated tasks) into the back office, and uses MCP to connect with external AI models and tools across CMS, commerce, marketing and CRM.

What is MCP integration in Melis Platform?

MCP (Model Context Protocol) lets Melis Platform connect to external AI models, tools and data, and expose its own content, commerce and CRM context to AI agents, so agentic workflows can operate on the DXP.

Is Melis Platform open source and free?

Yes. The Community Edition is free and Open Source. Professional and Enterprise editions add support, SLA and custom development.

What makes Melis Platform different from other DXPs or CMSs?

It is one of the few Open Source DXPs to combine CMS, e-commerce, marketing and CRM in one extensible PHP platform, and among the first to make the DXP intelligent with native generative and agentic AI and MCP, without vendor lock-in and with European / GDPR sovereignty.

Melis AI Essayer

Légal · Annexe C

Traitement des données personnelles

Version 1 — en vigueur depuis le 10 avril 2025

Document contractuel de référence, publié à titre informatif. Les Conditions Particulières et la grille tarifaire, communiquées séparément, précisent le périmètre et les tarifs applicables et prévalent en cas de divergence.

C.1. Contexte et Objet

Le Client, responsable de traitement, a souscrit à un ou plusieurs services auprès de Melis Technology, dans le cadre d’un contrat particulier.

Le Client héberge des données à caractère personnel sur les serveurs de Melis Technology ce qui donne à Melis Technology le statut, conformément à la doctrine de la CNIL, de sous-traitant.

Les présentes clauses ont pour objet de définir les conditions dans lesquelles le sous-traitant s’engage à effectuer pour le compte du responsable de traitement les opérations de traitement de données à caractère personnel définies ci-après.

Dans le cadre de leurs relations contractuelles, les parties s’engagent à respecter la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable à compter du 25 mai 2018 (ci-après, « le règlement européen sur la protection des données »).

Il est rappelé que l’étendue des traitements réalisés par Melis Technology pour le compte du Responsable de Traitement dépend des services souscrits au contrat particulier. Lorsque le Client souscrit un service d’hébergement seul, Melis Technology se limite à héberger les données à caractère personnel (stockage et, le cas échéant, sauvegarde si cette option est souscrite) sans intervenir sur leur contenu. Lorsque le Client souscrit un service en mode SaaS, d’infogérance ou de maintenance applicative (TMA), Melis Technology agit en qualité de sous-traitant au sens de l’article 28 du règlement européen sur la protection des données et peut être amené à accéder aux données à caractère personnel et à les traiter, dans la stricte mesure nécessaire à l’exploitation, à la maintenance, au support et à la correction des Applications, exclusivement sur instruction documentée du Responsable de Traitement et pour les seules finalités des services souscrits.

Dans le cas d’un hébergement seul, et en sa qualité d’hébergeur au sens de la LCEN, Melis Technology n’a pas d’obligation générale de surveillance du contenu hébergé. Dans le cas d’un service SaaS, d’infogérance ou de maintenance applicative, Melis Technology connaît la nature des traitements qu’il opère pour le compte du Client, tels que décrits aux Conditions Particulières, et assume à ce titre l’ensemble des obligations du sous-traitant prévues à l’article 28 du règlement européen sur la protection des données.

C.2. Description du traitement faisant l’objet de la sous-traitance

Le Prestataire (ou sous-traitant) est autorisé à traiter pour le compte de la SOCIÉTÉ (ou responsable de traitement) les données à caractère personnel nécessaires pour fournir le ou les service(s) d’hébergement des Progiciels et d’infogérance associée (ou de maintenance et d’assistance associées).

L’intégralité des services commandés est décrite dans le présent Contrat (et/ou les Bons de Commande ou Conditions Particulières approuvés par la SOCIÉTÉ).

La ou les finalité(s) du traitement sont la fourniture des services commandés tels que décrits dans le présent Contrat. La SOCIÉTÉ concède au PRESTATAIRE un droit de reproduction de ses données, personnel, incessible, non exclusif et non transmissible, aux seules fins d’exécution des services souscrits pour la durée du contrat.

Les données à caractère personnel traitées sont tous les fichiers ou données de la SOCIÉTÉ transmis au PRESTATAIRE aux fins d’exécution des services souscrits, saisies par la SOCIÉTÉ dans les logiciels hébergés par le PRESTATAIRE, ainsi que les données collectées ou traitées par le PRESTATAIRE dans le cadre du service souscrit par la SOCIÉTÉ de type : données d’identification, vie professionnelle, suivi de la relation commerciale, login/mot de passe, IP, navigation web.

Les catégories de personnes concernées sont les sociétés individuelles/personnes physiques qui ont la qualité de clients, prospects et fournisseurs de la SOCIÉTÉ, les collaborateurs de la SOCIÉTÉ.

C.3. Durée du contrat

La durée de ce contrat se réfère à la durée du contrat d’hébergement signé par les deux parties.

C.4. Obligations du sous-traitant vis-à-vis du responsable de traitement

Le sous-traitant s’engage à :

Traiter les données uniquement pour les seules finalités qui font l’objet de la sous-traitance, telles que définies aux Conditions Particulières : héberger les données et, selon les services souscrits, exploiter, maintenir en condition opérationnelle, corriger et supporter les Applications. Dans le cas d’un hébergement seul, le sous-traitant n’effectue aucune action sur les données en dehors de leur stockage et, le cas échéant, de leur sauvegarde. Dans le cas d’un service SaaS, d’infogérance ou de maintenance applicative, tout accès du sous-traitant aux données à caractère personnel est limité à ce qui est strictement nécessaire à la fourniture des services souscrits.
Traiter les données conformément aux services souscrits par le Client et aux instructions documentées du responsable de traitement. Si le sous-traitant considère qu’une instruction constitue une violation du règlement européen sur la protection des données ou de toute autre disposition du droit de l’Union ou du droit des États membres relative à la protection des données, il en informe immédiatement le responsable de traitement. En outre, si le sous-traitant est tenu de procéder à un transfert de données vers un pays tiers ou à une organisation internationale, en vertu du droit de l’Union ou du droit de l’État membre auquel il est soumis, il doit informer le responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public.
Garantir la confidentialité et la sécurité des données à caractère personnel traitées dans le cadre du présent contrat (dans la mesure où le Responsable du Traitement ne rend pas son hébergement accessible à des tiers non autorisé et veille à ce que les mesures de sécurité permettant la confidentialité soient prises, puisque le client a un total accès sur les données à caractère personnel hébergées par Melis Technology)
Veiller à ce que les personnes autorisées à traiter les données à caractère personnel en vertu du présent contrat :
- S’engagent à respecter la confidentialité et la sécurité ou soient soumises à une obligation légale appropriée de confidentialité et de sécurité
- Reçoivent la formation nécessaire en matière de protection des données à caractère personnel
Prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut

C.5. Sous-traitance

Le sous-traitant peut faire appel à l’entité Oracle via Oracle Cloud Infrastructure (ci-après, « le sous-traitant ultérieur ») pour mener des activités de traitement suivant :

L’hébergement des serveurs physiques dans ses Datacenter localisés en FRANCE
La gestion du réseau
Les sauvegardes

Dans ce cas, il informe préalablement et par écrit le responsable de traitement de tout changement envisagé concernant l’ajout ou le remplacement d’autres sous-traitants.

Cette information doit indiquer clairement les activités de traitement sous-traitées, l’identité et les coordonnées du sous-traitant et les dates du contrat de sous-traitance.

Le responsable de traitement dispose d’un délai maximum de 15 jours à compter de la date de réception de cette information pour présenter ses objections.

Cette sous-traitance ne peut être effectuée que si le responsable de traitement n’a pas émis d’objection pendant le délai convenu.

Le sous-traitant ultérieur est tenu de respecter les obligations du présent contrat pour le compte et selon les instructions du responsable de traitement. Il appartient au sous-traitant initial de s’assurer que le sous-traitant ultérieur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de sorte que le traitement réponde aux exigences du règlement européen sur la protection des données.

Si le sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, le sous-traitant initial demeure pleinement responsable devant le responsable de traitement de l’exécution par l’autre sous-traitant de ses obligations.

C.6. Droit d’information des personnes concernées

Il appartient au responsable de traitement de fournir l’information aux personnes concernées par les opérations de traitement au moment de la collecte des données.

C.7. Exercice des droits des personnes

Dans la mesure du possible, le sous-traitant doit aider le responsable de traitement à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées : droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage).

Lorsque les personnes concernées exercent auprès du sous-traitant des demandes d’exercice de leurs droits, le sous-traitant doit adresser ces demandes dès réception par courrier électronique à l’adresse indiqué par le Client au moment de la souscription aux services.

C.8. Notification des violations de données à caractère personnel

Le sous-traitant notifie au responsable de traitement toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance et par email à l’adresse indiquée par le client au moment de la souscription des services.

Cette notification est accompagnée de toute documentation utile afin de permettre au responsable de traitement, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente.

La notification contient au moins :

la description de la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés ;
le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent êtres obtenues ;
la description des conséquences probables de la violation de données à caractère personnel ;
la description des mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

Si, et dans la mesure où il n’est pas possible de fournir toutes ces informations en même temps, les informations peuvent être communiquées de manière échelonnée sans retard indu.

Le responsable du traitement assume la communication auprès des personnes concernées des violations des données à caractère personnel. Dans le cas d’un hébergement seul, le sous-traitant n’a pas connaissance du contenu des données hébergées et n’est donc pas en mesure d’évaluer seul si une violation est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes ; cette évaluation incombe au responsable du traitement. Dans le cas d’un service SaaS, d’infogérance ou de maintenance applicative, le sous-traitant assiste le responsable du traitement dans cette évaluation au regard des informations dont il dispose.

C.9. Aide du sous-traitant dans le cadre du respect par e responsable de traitement de ses obligations

Le sous-traitant communique au responsable de traitement la documentation pertinente pour la réalisation d’analyses d’impact relative à la protection des données par ce dernier, s’agissant uniquement des aspects dont le sous-traitant à la charge, c’est-à-dire, pour le sous-traitant, l’hébergement des données.

Le sous-traitant aide dans la mesure du possible et raisonnablement le responsable de traitement pour la réalisation de la consultation préalable de l’autorité de contrôle en fournissant la documentation nécessaire.

C.10. Mesures de sécurité

Le sous-traitant s’engage à mettre en œuvre les mesures de sécurité suivantes :

une responsabilisation du personnel par une sensibilisation à la sécurité informatique ;
l’usage d’un gestionnaire de mot de passe professionnel ;
la mise en place d’outils permettant d’être prêt face aux attaques informatiques (antivirus, antispam, pare-feux) ;
l’étanchéité des réseaux du client ;
tout accès d’administration à un système de production est réalisé via un bastion ;
la connexion au système cible est réalisé soit par un compte de service partagé, soit par compte nominatif via des bastions ;
l’utilisation de comptes par défaut sur les systèmes et équipements est interdit ;
les clés SSH sont protégées par un mot de passe répondant aux exigences de la politique de mot de passe ;
une gestion automatique des mises à jour de sécurité ;
tous les systèmes et données nécessaires à la continuité des services, à la reconstruction du système d’information ou à l’analyse après incident sont sauvegardés ;
les fréquences, durées de rétention et modalités de stockage des sauvegarde sont définies en adéquation avec les besoins de chaque actif sauvegardé ;
la réalisation des sauvegardes fait l’objet d’un monitoring, ainsi que d’une gestion des alertes et erreurs ;
une journalisation de tous les logs des serveurs utilisés dans l’infrastructure

Les mesures de Melis Technology ne se substituent pas aux mesures de sécurité que doit prendre le responsable de traitement pour les traitements de données à caractère personnel afin de s’assurer de la conformité de ses traitements au RGPD.

C.11. Sort des données à l’issue de la relation commerciale

Au terme de la prestation de services relatifs au traitement de ces données, le sous-traitant s’engage à :

Au choix des parties :

détruire toutes les données à caractère personnel ou
à renvoyer toutes les données à caractère personnel au responsable du traitement ou
à renvoyer les données à caractère personnel au sous-traitant désigné par le responsable du traitement

sauf existence d’une réglementation faisant obligation au sous-traitant de conserver ces données ou d’une clause du présent contrat autorisant le sous-traitant à conserver ces données.

Le renvoi doit s’accompagner de la destruction de toutes les copies existantes dans les systèmes d’information du

sous-traitant.

C.12. Documentation et Audit

Le sous-traitant met à la disposition du responsable du traitement la documentation nécessaire pour démontrer le

respect de ses obligations relatives au traitement de données à caractère personnel effectué pour le compte du

responsable du traitement et pour permettre la réalisation d’audits, y compris des inspections, par le responsable du

traitement ou un autre auditeur qu’il a mandaté, et contribuer à ces audits.

Ces informations sont disponibles sur demande. Le Client peut demander au sous-traitant des informations supplémentaires.

Le sous-traitant permettra au Client ou à un autre auditeur mandaté par le Client de procéder à des audits dans les conditions précisées ci-après :

Le sous-traitant s’engage à répondre aux demandes d’audit du Client et effectuées par le Client lui-même ou
par un tiers qu’il aura sélectionné.
L’audit sera effectué sous réserve d’un préavis minimum de 30 jours.
Les audits doivent permettre une analyse du respect des obligations du présent contrat et notamment par la
vérification de l’ensemble des mesures de sécurité mises en œuvre par le sous-traitant.
Le nombre maximum d’audit est fixé à une fois par an.
Les conclusions de l’audit seront transmises par courriel au sous-traitant.
Les frais de l’audit seront supportés par le Client.

A l’issue de l’audit, si des manquements sont constatés, le sous-traitant disposera d’un délai de 2 mois pour remédier à ces derniers et devra en apporter la preuve au Client par écrit. Passé ce délai, si ce manquement subsiste, le Client pourra résilier le présent contrat pour manquement en suivant la procédure décrite dans les conditions particulières.

C.13. Délégué à la protection des données

Le sous-traitant communique au responsable du traitement le nom et les coordonnées de la personne chargée de la protection des données personnelles.

C.14. Obligations du responsable de traitement vis-à-vis du sous-traitant

Le responsable de traitement s’engage à :

Documenter par écrit toute instruction concernant le traitement des données par le sous-traitant
Veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le règlement européen sur la protection des données de la part du sous-traitant ;
Superviser le traitement auprès du sous-traitant conformément au Contrat.

Version 1 — en vigueur depuis le 10 avril 2025 — Melis Technology