Accord sur le traitement des données

La protection des données et la sécurité de l'information sont au cœur de tout ce que nous faisons chez Driftrock.

This Driftrock Data Processing DPA (“DPA”) reflects the parties’ agreement with respect to the terms governing the Processing of Personal Data under the Driftrock Terms of Service (the “ToS”). This DPA, ToS and the Privacy Policy set out the full extent of our obligations and liabilities concerning the Website and the Software Services and replace any previous DPAs, representations and understandings between us and you.

This DPA is effective upon its incorporation, which incorporation may be specified in the ToS, an Order or the Main Contract (as applicable).


We periodically update these terms. We will let you know when we do via an email or in-app notification.

1. Definitions

Les définitions et règles d'interprétation suivantes s'appliquent au présent DPA.

Audience Management Service means the Driftrock audience management service.

Customer Data means all End User data and data relating to your customers or to the customers of your clients and which is provided by you or on your behalf to us for the purposes of providing the Services.  

Customer Personal Data has the meaning set out in clause 2.4.

CRM and CRM Data has the meaning set out in the Data Protection Appendix.

Data Controller shall have the same meaning as in the Data Protection Laws.

Data Processor shall have the same meaning as in the Data Protection Laws.

Data Protection Appendix means the data protection appendix attached to this DPA.

Data Protection Laws means prior to and including 24 May 2018, the Data Protection Act 1998; and from and including 25 May 2018, (i) unless and until the General Data Protection Regulation ((EU) 2016/679) (“GDPR”)) is no longer directly applicable in the UK, the GDPR and any national implementing laws, regulations and secondary legislation, as amended or updated from time to time, in the UK and then (ii) any successor legislation to the GDPR or the Data Protection Act 1998.

Data Subject shall have the same meaning as in the Data Protection Laws.

Driftrock Apps means Driftrock’s marketing and other applications.  

EEA means the European Economic Area.

End User means any employee, contractor or other individual appointed by or permitted by you to use the Software Services.

End User Data means any data relating to the End Users’ use of the Software Services, such as login and user ID credentials.  

Fees means the sums payable under this DPA specified in the DPA Summary.

Key Mapping Store has the meaning set out in the Data Protection Appendix.

Lead IDs has the meaning set out in the Data Protection Appendix.

Lead Generation Data has the meaning set out in the Data Protection Appendix.

Lead Generation Form has the meaning set out in the Data Protection Appendix.

Main Contract means main agreement executed by the Parties.

Market Acquisition Service means the Driftrock market acquisition service.

Minimum Term means the minimum term of DPA as specified by the Parties in the Main Contract, Order or otherwise.

Order means Driftrock work order template.

Personal Data shall have the same meaning as in the Data Protection Laws.

Software Services means the Driftrock Apps and associated services (the Market Acquisition Service and/or Audience Management Service) to be supplied to you pursuant to this DPA or as may be agreed by the parties in writing from time to time.

ToS means Driftrock Terms of Service as available at Driftrock’s website: https://www.driftrock.com/terms-of-service/.

Website means Driftrock’s website at www.driftrock.com.

2. Privacy and data protections

2.1. Driftrock’s privacy policy which can be found at www.driftrock.com/privacy_policy and Driftrock’s ToS which can be found at https://www.driftrock.com/terms-of-service/ are expressly incorporated into this DPA.  
2.2. You agree that you will comply with the Data Protection Laws in respect of any personal data of individuals processed through, or as a consequence of your use of, any Driftrock App (“End Users”). You must as a minimum provide a legally adequate privacy notice and protection for End Users. If End Users provide you with user names, passwords, or other login information or personal data, you must make the users aware that the information may be available to your application and to Driftrock and will be held on third party servers on behalf of Driftrock, including servers located outside the European Union.
2.3. Both parties will comply with all applicable requirements of the Data Protection Laws. This clause 2 is in addition to, and does not relieve, remove or replace, a party's obligations under the Data Protection Laws.
2.4. The parties acknowledge that for the purposes of the Data Protection Laws, you are the Data Controller and we are the Data Processor in respect of any Personal Data in the Customer Data (“Customer Personal Data”).
2.5. The scope, nature and purpose of our processing of the Customer Personal Data depends on the type of Software Service to be supplied by us to you under this DPA, and is set out in the Data Protection Appendix.  
2.6. Without prejudice to the generality of clause 2.1, you shall ensure that you have all necessary appropriate consents and notices in place to enable lawful transfer of the Customer Personal Data to us so that we can use such Customer Personal Data for the purposes and duration of this DPA. In particular, where we are providing you with the Market Acquisition Service, you undertake that you will present valid notices to Data Subjects on each Lead Generation Form.  
2.7. Without prejudice to the generality of clause 2.1, and to the extent that we process Customer Personal Data on your behalf in providing the Software Services, we will:

a) process the Customer Personal Data only for the purpose of providing the Software Services;
b) process the Customer Personal Data only on your written instructions unless otherwise required by law;
c) take appropriate technical and organisational security measures to protect against unauthorised or unlawful processing and accidental loss or destruction of, or damage to, such personal data:

which is appropriate to the harm that might result from the unauthorised or unlawful processing or accidental loss, destruction or damage and the nature of the Customer Personal Data to be protected; andhaving regard to the state of technological development and the cost of implementing any measures (those measures may include, where appropriate, pseudonymising and encrypting the Customer Personal Data, ensuring confidentiality, integrity, availability and resilience of its systems and services, ensuring that availability of and access to the Customer Personal Data can be restored in a timely manner after an incident, and regularly assessing and evaluating the effectiveness of the technical and organisational measures adopted by us;

en tenant compte de l'état du développement technologique et du coût de la mise en œuvre de toute mesure (ces mesures peuvent inclure, le cas échéant, la pseudonymisation et le cryptage des données personnelles du client, la garantie de la confidentialité, de l'intégrité, de la disponibilité et de la résilience de ses systèmes et services, la garantie que la disponibilité des données personnelles du client et l'accès à celles-ci peuvent être rétablis en temps opportun après un incident, et l'évaluation régulière de l'efficacité des mesures techniques et organisationnelles que nous avons adoptées) ;

d) veiller à ce que l'ensemble du personnel qui a accès aux données à caractère personnel des clients et/ou qui les traite soit tenu de les garder confidentielles ;

e) ne pas transférer les données personnelles des clients en dehors de l'EEE, sauf si nous avons obtenu votre consentement ;

f) vous aider à répondre à toute demande émanant d'une personne concernée et à assurer le respect des obligations qui vous incombent en vertu des lois sur la protection des données en ce qui concerne la sécurité, les notifications de violation, les évaluations d'impact et les consultations avec les autorités de contrôle ou les régulateurs ;

g) vous notifier sans délai indu dès qu'il a connaissance d'une violation de données affectant les données à caractère personnel du client ; et

h) dans la mesure où nous stockons des données personnelles du client, à votre demande écrite, supprimer et/ou vous renvoyer les données personnelles du client et les copies de celles-ci à la fin du présent DPA, sauf si nous sommes tenus par les lois applicables de stocker des données personnelles spécifiques du client au-delà de la fin du présent DPA (auquel cas nous supprimerons ces données personnelles du client dès que nous y serons autorisés par les lois applicables).

2.8 Nous tiendrons des registres et des informations complets et précis afin de démontrer notre conformité à la présente clause 2 et nous autoriserons des audits raisonnables, y compris l'inspection de nos locaux par vous ou votre auditeur désigné, moyennant un préavis raisonnable, afin de vérifier la conformité aux lois sur la protection des données et à la présente clause 2.

2.9 Il vous incombe de vous procurer (à vos frais) tous les équipements et services de télécommunications nécessaires pour accéder aux services logiciels. Il vous incombe également de veiller à ce qu'aucune personne n'utilise votre équipement pour accéder aux services logiciels sans votre autorisation. Nous sommes en droit de supposer que toute personne qui accède aux services logiciels à l'aide de votre équipement a votre permission de le faire et vous êtes responsable de tous les frais, coûts ou responsabilités qui peuvent être encourus par ces personnes. Vous acceptez de nous indemniser pour toute perte, responsabilité, réclamation, dommage ou dépense encourus par nous et résultant d'une violation de votre part de la présente clause 2.8.

3. Limitation of liability

3.1. Aucune disposition du présent DPA ne limite ou n'exclut notre responsabilité pour : (a) le décès ou les dommages corporels causés par notre négligence avérée ; (b) toute perte subie par vous du fait que vous vous êtes fié à une déclaration frauduleuse que nous vous avons faite ; ou (c) toute autre responsabilité qui ne peut être limitée ou exclue en vertu de la loi.

3.2. Sous réserve de la clause 3.1, vous acceptez que nous ne soyons pas responsables : (a) toute perte, réclamation ou dommage indirect, ou tout dommage punitif, spécial, accessoire ou consécutif de quelque nature que ce soit ; ou (b) toute perte ou corruption de données (directe ou indirecte) ou (c) toute perte de profit, perte d'opportunité ou d'économies anticipées (directe ou indirecte), dans chaque cas, qu'elle soit fondée sur un contrat, un délit civil (y compris la négligence), une responsabilité stricte ou autre, qui découle de ou est liée de quelque manière que ce soit à (i) toute utilisation des services logiciels ; (ii) toute défaillance ou tout retard dans l'utilisation de tout élément des services logiciels, y compris, sans limitation, toute indisponibilité des services logiciels, quelle que soit la durée de toute période d'indisponibilité ; ou (iii) toute utilisation ou confiance dans les informations, le matériel, les logiciels, les produits, les services et les graphiques connexes obtenus par le biais des services logiciels, dans tous les cas, même si nous avons été prévenus de la possibilité d'une telle perte ou d'un tel dommage.

3.3. Sous réserve des clauses 3.1 et 3.2, la responsabilité totale de Driftrock découlant de ou liée à ce DPA, qu'elle soit basée sur un contrat, un délit (y compris la négligence), une responsabilité stricte ou autre, qui découle de ou est de quelque manière que ce soit liée à (i) toute utilisation des services logiciels ; (ii) toute défaillance ou retard dans l'utilisation de tout composant des services logiciels, y compris, sans limitation, toute indisponibilité des services logiciels, quelle que soit la durée de toute période d'indisponibilité ; ou (iii) toute utilisation ou confiance dans les informations, le matériel, les logiciels, les produits, les services et les graphiques connexes obtenus par le biais des services logiciels, dans tous les cas, même si nous avons été prévenus de la possibilité d'une telle perte ou d'un tel dommage, sera limitée, pour toutes les réclamations relatives à une année contractuelle, aux montants payables par vous au titre de ce DPA ou en rapport avec celui-ci pour l'année contractuelle en question. "Année contractuelle" : période de douze mois commençant à la date d'entrée en vigueur ou à la date anniversaire correspondante.  

3.4. Sans limiter l'effet des clauses 3.2 ou 3.3 ci-dessus, en raison des risques inhérents à l'utilisation d'Internet, nous ne pouvons être tenus responsables de tout dommage ou virus pouvant infecter votre équipement informatique ou tout autre bien lorsque vous utilisez les services logiciels ou naviguez sur le site web. Le téléchargement ou l'acquisition de tout matériel ou information par l'intermédiaire du site web se fait à votre discrétion et à vos risques et périls et avec votre accord préalable de paiement (APD) selon lequel vous serez seul responsable de tout dommage causé à votre système informatique ou de toute perte de données résultant du téléchargement ou de l'acquisition d'un tel matériel.

3.5. Vous acceptez de nous indemniser en cas de réclamation ou de procédure judiciaire pouvant résulter de votre utilisation des services logiciels ou d'une violation du présent DPA de votre part.

3.6. Nous vous informerons de toute réclamation ou procédure de ce type et vous tiendrons au courant de l'évolution de ces réclamations ou procédures.

4. Termination

  • 4.1. Le présent accord restera pleinement en vigueur tant que nous traiterons les données à caractère personnel du client en votre nom. La durée minimale du présent DPA correspond à la durée du contrat principal, à la durée d'exécution de la commande ou à toute autre durée convenue par écrit entre les parties. La résiliation du contrat principal ou de la commande entraîne automatiquement la résiliation du présent DPA.
  • 4.2. Sans préjudice de tout autre droit ou recours dont elle dispose, chaque partie peut résilier le présent DPA avec effet immédiat en adressant une notification écrite à l'autre partie dans les cas suivants

a) the other party commits a material breach of any other term of this DPA which breach is irremediable or (if such breach is remediable) fails to remedy that breach within a period of 30 days after being notified in writing to do so; orb) the other party repeatedly breaches any of the terms of this DPA in such a manner as to reasonably justify the opinion that its conduct is inconsistent with it having the intention or ability to give effect to the terms of this DPA.

  • 4.3. En cas de résiliation du présent DPA pour quelque raison que ce soit, toutes les sommes qui nous sont dues deviennent immédiatement exigibles, sans préjudice de tout droit à réclamer des intérêts en vertu de la loi ou de tout autre droit prévu par le présent DPA.
  • 4.4 En cas de résiliation de ce DPA, vous devez immédiatement cesser d'utiliser les services logiciels et détruire tout matériel téléchargé ou imprimé à partir du site web ou autrement en rapport avec la fourniture des services logiciels.
  • 4.5. La résiliation de ce DPA pour quelque raison que ce soit n'affecte pas les droits et obligations accumulés par vous ou par nous au moment de cette résiliation.

5. General

  • 5.1. Tout manquement ou retard de notre part dans la mise en œuvre de l'un de nos droits en vertu du présent DPA ne doit pas être considéré comme une renonciation à ce droit ou à tout autre droit, sauf si nous reconnaissons et acceptons cette renonciation par écrit.
  • 5.2. Une personne qui n'est pas partie à ce DPA n'a aucun droit en vertu de la loi de 1999 sur les contrats (droits des tiers) pour faire appliquer une quelconque condition de ce DPA.
  • 5.3. Si une clause ou une partie d'une clause de ce DPA est ou devient invalide, illégale ou inapplicable, le reste du DPA reste valide et applicable.
  • 5.4. Sous réserve de la clause 5.1, vous ne disposez d'aucun recours en cas de fausse déclaration sur laquelle vous vous êtes appuyé pour conclure le présent DPA, à l'exception de tout recours que vous pourriez avoir en cas de violation des conditions expresses du présent DPA. En outre, vous reconnaissez qu'en concluant ce DPA, vous ne vous êtes fié à aucune déclaration, représentation ou fausse déclaration qui ne soit pas expressément mentionnée dans le présent document.
  • 5.5. Le présent DPA et tout litige ou réclamation découlant de celui-ci ou en rapport avec celui-ci sont régis et interprétés conformément au droit anglais et les parties acceptent irrévocablement de se soumettre à la compétence exclusive des tribunaux anglais.
  • 5.6. Driftrock peut céder le bénéfice de ce DPA sans vous en avertir et est autorisée à sous-traiter tous ses droits ou obligations en vertu des présentes.

Data protection appendix

Les paragraphes suivants décrivent la portée, la nature, la finalité et la durée de notre traitement des données à caractère personnel du client, ainsi que les catégories pertinentes de données à caractère personnel et de personnes concernées :

Market Acquisition Service

By default, the Lead Generation Data is processed momentarily before being discarded.If you have instructed us to retain Lead Generation Data (including Customer Personal Data) within the Key Mapping Store, we will process the Customer Personal Data for as long as required to provide the Software Services to you.Lead IDs and Driftrock IDs are retained indefinitely.CRM Data, including email addresses, are processed momentarily before being discarded.Hashed email addresses are stored for the duration of the DPA.

Market Acquisition Service

By default, the Lead Generation Data is processed momentarily before being discarded.If you have instructed us to retain Lead Generation Data (including Customer Personal Data) within the Key Mapping Store, we will process the Customer Personal Data for as long as required to provide the Software Services to you.Lead IDs and Driftrock IDs are retained indefinitely.CRM Data, including email addresses, are processed momentarily before being discarded.Hashed email addresses are stored for the duration of the DPA.Market Acquisition Service

By default, the Lead Generation Data is processed momentarily before being discarded.If you have instructed us to retain Lead Generation Data (including Customer Personal Data) within the Key Mapping Store, we will process the Customer Personal Data for as long as required to provide the Software Services to you.Lead IDs and Driftrock IDs are retained indefinitely.CRM Data, including email addresses, are processed momentarily before being discarded.Hashed email addresses are stored for the duration of the DPA.

Scope and nature of processing

Lorsque vos comptes de médias sociaux sont liés aux applications Driftrock, nous traiterons les informations de génération de leads qui nous sont fournies par la plate-forme de médias sociaux sur laquelle vos comptes de médias sociaux sont hébergés ("Données de génération de leads"). Les données de génération de leads consisteront en des données non structurées soumises par un individu via un formulaire de génération de leads lié à votre (vos) compte(s) de médias sociaux ("Formulaire de génération de leads"), et incluront les Données Personnelles du Client.A la réception des données de génération de leads, nous conservons les numéros d'identification anonymes qui nous sont fournis par la plateforme de médias sociaux concernée, par exemple, l'ID du lead, l'ID Facebook, l'ID de la campagne et l'ID de l'annonce ("Lead IDs"). Nous créons également un identifiant Driftrock unique pour chaque lead. En outre, nous stockons toutes les données de génération de leads (y compris les données personnelles des clients) que vous nous avez permis de conserver en mettant à jour les paramètres du magasin de cartographie clé, qui est le composant des applications Driftrock qui stocke ces données ("magasin de cartographie clé").

Nous traitons les données personnelles des clients que vous nous fournissez à partir de votre système CRM ou d'une autre base de données clients ("CRM") par le biais d'une API ou d'une autre méthode de transmission électronique des données. Dès réception des données personnelles des clients ("données CRM"), nous identifions et rendons anonymes les adresses électroniques à l'aide d'un algorithme de hachage sécurisé (actuellement SHA-256). Nous n'utilisons pas l'adresse électronique d'origine ni aucune autre donnée contenue dans les données CRM. Nous comparons les adresses électroniques hachées à la liste précédente d'adresses électroniques hachées que nous détenons depuis le dernier transfert de données CRM de votre CRM vers nous. Toute mise à jour de la liste des adresses électroniques hachées est notifiée par nos soins à la plateforme de médias sociaux que vous avez désignée.

Portée et nature du traitement

Market Acquisition Service



Where your social media account(s) are linked to the Driftrock Apps, we will process lead generation information provided to us from the social media platform on which your social media accounts are hosted (“Lead Generation Data”). The Lead Generation Data will consist of unstructured data submitted by an individual via a lead generation form linked to your social media account(s) (“Lead Generation Form”), and will include Customer Personal Data.On receipt of the Lead Generation Data, we retain the anonymous ID numbers provided to us by the relevant social media platform, for example, the lead ID, Facebook ID, campaign ID and advert ID (“Lead IDs”). We also create a unique Driftrock ID for each lead. Further, we store any Lead Generation Data (including Customer Personal Data) that you have permitted us to retain by updating the settings for the key mapping store, being the component of the Driftrock Apps that stores such data (“Key Mapping Store”).

Customer Audience Syncing



Where your social media account(s) are linked to the Driftrock Apps, we will process lead generation information provided to us from the social media platform on which your social media accounts are hosted (“Lead Generation Data”). The Lead Generation Data will consist of unstructured data submitted by an individual via a lead generation form linked to your social media account(s) (“Lead Generation Form”), and will include Customer Personal Data.On receipt of the Lead Generation Data, we retain the anonymous ID numbers provided to us by the relevant social media platform, for example, the lead ID, Facebook ID, campaign ID and advert ID (“Lead IDs”). We also create a unique Driftrock ID for each lead. Further, we store any Lead Generation Data (including Customer Personal Data) that you have permitted us to retain by updating the settings for the key mapping store, being the component of the Driftrock Apps that stores such data (“Key Mapping Store”).

Catégories de données personnelles des clients

Service d'acquisition de marché

The Lead Generation Data is unstructured, therefore the categories will depend on the fields in each lead generation form. However it is likely to include names, email addresses, contact details and other Customer Personal Data such as age and gender.


Customer Audience Syncing

Les données CRM comprennent les adresses électroniques et toutes les autres données personnelles des clients saisies par votre CRM, telles que les noms et les coordonnées.

Finalité du traitement

Market Acquisition Service



We process the Customer Personal Data in order to provide you with the Software Services.

Synchronisation de l'audience des clients

Le traitement des données CRM (à l'exclusion des adresses électroniques) par nos soins est accessoire à la fourniture des services logiciels. Nous ne traitons ces données CRM que dans le but d'identifier et de capturer les adresses électroniques. Nous traitons les adresses électroniques pour créer des adresses électroniques hachées.

Catégories de personnes concernées

Service d'acquisition de marché

Individuals that submit information via Lead Generation Forms.

Customer Audience Syncing

Individuals with Customer Personal Data included in your CRM.

Durée du traitement

Market Acquisition Service



By default, the Lead Generation Data is processed momentarily before being discarded.If you have instructed us to retain Lead Generation Data (including Customer Personal Data) within the Key Mapping Store, we will process the Customer Personal Data for as long as required to provide the Software Services to you.Lead IDs and Driftrock IDs are retained indefinitely.CRM Data, including email addresses, are processed momentarily before being discarded.Hashed email addresses are stored for the duration of the DPA.

Customer Audience Syncing

CRM Data, including email addresses, are processed momentarily before being discarded. Hashed email addresses are stored for the duration of the DPA.

Ready to close the loop?

Book a 30-minute discovery call with our automotive team. 
We'll show you exactly where your leads are being lost — and what it would take to fix it.
“You're in this with us. A lot of what we've earned has been because of you.”
Tom Cregg, Head of Customer Experience (CRM) UK @ JAECOO & OMODA
Book a demoDiscover our case studies
$2.7B+
In vehicle sales enabled
2M+
Leads processed annually
24
Markets live in EMEA, NA and APAC
The Automotive Customer Acquisition Platform. 
Turning digital intent into vehicle sales.
Réserver une démonstration
Solutions
Augmenter le volume de prospects
Améliorer la qualité des prospects
Increase Conversions
Mesurer et optimiser
driftrock for...
Automotive Brands
Éditeurs
features
All Features
API de conversion
Ressources
Webinars
Études de cas
Lead Capture Library
Base de connaissances
Press & Brand kit
Canaux
Intégrations
Blog
Company
About
Rencontrer l'équipe
Carrières
Communiqués de presse
Durabilité
follow driftrock
Sign up to newsletter
© 2026 Driftrock Ltd. All rights reserved. Registered in England & Wales.
Privacy policy / Terms of service / Information security /data protection