Accord de traitement des données (DPA)

Dernière mise à jour : 15 juillet 2025 Conformément à l’Art. 28 RGPD Entre

le Client (le « Responsable du traitement »)
itellico AI GmbH, Postgasse 19, A-1010 Vienne, Autriche (le « Sous-traitant »)

Préambule

Cet Avenant de traitement des données (DPA) régit les droits et obligations des parties en lien avec le traitement des données personnelles pour l’exécution du contrat de service conclu entre les parties (« Contrat principal »).

1. Objet, durée et spécification du traitement des données

1.1 Objet

L’objet du traitement des données est la fourniture des services définis dans le Contrat principal.

1.2 Nature et finalité du traitement

Le traitement sert exclusivement à fournir les services définis dans le Contrat principal.

1.3 Nature des données personnelles

Données de contenu :
- Données vocales et audio de toutes les interactions
- Contenu des conversations sous forme de texte (transcriptions)
- Toutes les données et contenus fournis par le Responsable du traitement dans le cadre du Contrat principal
- Toutes les données et informations fournies volontairement par l’utilisateur final
Données de contact (si fournies par l’utilisateur final) :
- Numéro de téléphone (dans le cadre des données de connexion)
- Nom (s’il est activement fourni par l’utilisateur final, car il n’est pas demandé de manière proactive)
- Adresse email (si activement fournie par l’utilisateur final, car elle n’est pas demandée de manière proactive)
Données d’utilisation (métadonnées pour la facturation et l’analyse) :
- Identifiants uniques (par exemple, ID d’appel, ID de session)
- Horodatage et durée de l’interaction
- Consommation de jetons (pour les services basés sur l’IA et à des fins de facturation)
- Paramètres techniques de la transmission
- Adresse IP

1.4 Catégories de personnes concernées

Utilisateurs finaux du Responsable du traitement (par exemple, clients, prospects) qui interagissent avec l’assistant vocal IA.

1.5 Durée du traitement

La durée du traitement correspond à la durée du Contrat principal.

2. Obligations du Sous-traitant

2.1 Traitement sur instructions

Le Sous-traitant traite les données personnelles exclusivement sur les instructions documentées du Responsable du traitement, sauf obligation légale. L’utilisation des services définis dans le Contrat principal par le Responsable du traitement constitue une telle instruction.

2.2 Confidentialité

Le Sous-traitant garantit que les personnes autorisées à traiter les données personnelles sont soumises à une obligation de confidentialité.

2.3 Mesures techniques et organisationnelles (MTO)

Le Sous-traitant prend toutes les mesures requises conformément à l’Art. 32 RGPD pour la sécurité du traitement. Les MTO spécifiques mises en œuvre sont énumérées dans l’Annexe à cet accord.

2.4 Aucune utilisation pour l’entraînement de l’IA

Le Sous-traitant garantit que pour le traitement des données de contenu telles que les données vocales et textuelles (par exemple, pour la transcription, la génération de contenu et la synthèse texte-parole), il utilise exclusivement des API de sous-traitants qui garantissent contractuellement que les données soumises ne sont pas utilisées pour l’entraînement de modèles d’IA. Cela s’applique à tous les fournisseurs déployés à l’exception de Cartesia. Le traitement est effectué conformément aux dispositions respectives de protection des données des fournisseurs déployés et aux obligations énoncées dans cet accord.

3. Sous-traitants ultérieurs

3.1 Utilisation de sous-traitants ultérieurs

Le Responsable du traitement accorde une autorisation générale pour l’utilisation de sous-traitants ultérieurs afin de fournir les services contractuels. Le Sous-traitant maintient et tient à jour une liste de tous les sous-traitants ultérieurs engagés sur https://itellico.ai/legal/data-processors/.

3.2 Obligations contractuelles et garanties

Le Sous-traitant s’assure, en concluant des contrats (généralement les accords de traitement des données standard des fournisseurs), que chaque sous-traitant ultérieur est soumis à des obligations de protection des données matériellement équivalentes à celles énoncées dans ce DPA (conformément à l’Art. 28(4) RGPD).

3.3 Transferts vers des pays tiers

Pour les sous-traitants ultérieurs situés en dehors de l’UE/EEE, le Sous-traitant s’assure qu’un niveau adéquat de protection des données est en place, par exemple, par certification dans le cadre du Bouclier de protection des données UE-États-Unis (le cas échéant) ou en concluant des Clauses contractuelles types de l’UE (SCC) et en mettant en œuvre les garanties supplémentaires nécessaires.

3.4 Information et droit d’opposition

Le Sous-traitant informe le Responsable du traitement de tout changement prévu concernant l’ajout ou le remplacement d’autres sous-traitants ultérieurs au moins 15 jours avant l’engagement prévu, donnant ainsi au Responsable du traitement la possibilité de s’opposer pour des raisons importantes de protection des données.

4. Droits des personnes concernées

Le Sous-traitant assiste le Responsable du traitement, dans la mesure du possible, avec des mesures techniques et organisationnelles appropriées pour remplir ses obligations concernant les droits des personnes concernées (par exemple, accès, rectification, effacement).

5. Assistance au Responsable du traitement

Le Sous-traitant assiste le Responsable du traitement pour garantir le respect de ses obligations conformément aux articles 32 à 36 du RGPD (Sécurité du traitement, Notification d’une violation de données personnelles, Analyse d’impact relative à la protection des données).

5.1 Notification des violations de données

Le Sous-traitant notifie au Responsable du traitement toute violation de données personnelles sans retard indu après en avoir pris connaissance, conformément à l’Art. 33(2) RGPD. La notification est effectuée au plus tard 24 heures après avoir pris connaissance de la violation à privacy@itellico.ai.

6. Conservation et suppression des données

6.1 Traitement pendant la durée du Contrat

Stockage standard des données de contenu et de contact : Tant que le Contrat principal est actif, les données de contenu (par exemple, enregistrements, transcriptions, bases de connaissances, paramètres) et les données de contact associées sont stockées pour le Responsable du traitement dans le cadre du service convenu et ne sont pas automatiquement supprimées.
Traitement des données configurable : Le Responsable du traitement peut contrôler le traitement de divers types de données via les paramètres de la plateforme :
- Traitement flexible : Le Responsable du traitement peut configurer les paramètres de conservation pour divers types de données avec les catégories suivantes :
  - Paramètres entièrement configurables : Certains types de données peuvent être complètement désactivés (Rétention zéro) ou se voir attribuer des périodes de conservation librement configurables (par exemple, enregistrements d’appels, analyses post-appel automatisées telles que les résumés).
  - Paramètres de rétention minimale : D’autres types de données sont soumis à des périodes de rétention minimales telles que définies ailleurs dans ce DPA à des fins opérationnelles et juridiques, mais peuvent être configurés pour des périodes de rétention plus longues au-delà de ces minimums (par exemple, transcriptions, invites système, journaux d’appels API).
- Rétention minimale : Les adresses IP sont conservées pendant 30 jours pour la sécurité informatique et la prévention de la fraude, puis sont supprimées ou anonymisées. Les numéros de téléphone et autres métadonnées techniques sont conservés jusqu’à 90 jours après la facturation pour se conformer aux réglementations des télécommunications, puis sont automatiquement supprimés ou anonymisés.
- Surveillance des abus et défense juridique : Conformément aux normes de l’industrie, certaines données sont conservées jusqu’à 30 jours pour identifier les abus et garantir la conformité aux politiques d’utilisation :
  - Invites système et contexte de conversation : conservés jusqu’à 30 jours pour la détection des abus et l’analyse des modèles
  - Transcriptions et événements de conversation : conservés jusqu’à 30 jours pour surveiller la conformité aux politiques de la plateforme
  - Journaux d’appels API et appels de fonction : conservés jusqu’à 30 jours pour l’investigation technique et la résolution des litiges
  - Cette période de rétention s’applique indépendamment des paramètres de rétention configurés par le client et sert les intérêts commerciaux légitimes de prévention des abus de la plateforme et de défense contre les violations potentielles signalées par les fournisseurs de services d’IA.
- Rétention légale : Les métadonnées pertinentes pour la facturation doivent être conservées conformément aux obligations légales et ne peuvent pas être supprimées prématurément.
Limites de la configurabilité : Les périodes de rétention des données de contenu configurables par le Responsable du traitement ne peuvent pas être plus courtes que les périodes de rétention minimales pour les métadonnées définies par le Sous-traitant dans la Section 6.3. La génération et la conservation des métadonnées pertinentes pour la facturation et autres par le Sous-traitant ne sont pas affectées par les paramètres spécifiques au client.

6.2 Suppression des données de trafic et autres données personnelles

Suppression automatique des données de trafic selon § 167 TKG 2021 : Le Sous-traitant supprime ou anonymise automatiquement les données de trafic (numéros de téléphone, horodatages exacts, ID d’appels) selon les calendriers suivants :

Prépaiement/Prépayé : Pour les appels couverts par des prépaiements ou des contrats annuels, la suppression a lieu 90 jours après la date de l’appel. - Post-facturation : Pour les appels facturés ultérieurement, la suppression a lieu 90 jours après la date de facturation.

Suppression et restitution après la fin du Contrat ou sur demande : Après la fin du Contrat : À la conclusion de la fourniture des services de traitement (c’est-à-dire après la résiliation du Contrat principal), le Sous-traitant est obligé de supprimer irrévocablement toutes les données de contenu et de contact restantes après une période de 90 jours, y compris toutes les copies existantes. Sur instruction du Responsable du traitement : Au choix du Responsable du traitement, le Sous-traitant soit (a) restitue toutes les données personnelles au Responsable du traitement, soit (b) supprime irrévocablement toutes les données personnelles et copies existantes, sauf si le stockage est requis par le droit de l’UE ou d’un État membre. Les métadonnées pertinentes pour la facturation doivent continuer à être conservées conformément aux périodes de conservation légales.

6.3 Conservation des métadonnées

La conservation des métadonnées est liée à la finalité et différenciée par type de données :

Métadonnées pertinentes pour la facturation : Pour se conformer aux obligations légales de comptabilité et de documentation (par exemple, 7 ans selon § 212 UGB en Autriche), les métadonnées pertinentes pour la facturation (par exemple, ID client, durée, consommation de jetons) sont conservées pendant la durée des périodes légales.
Données anonymisées : Après anonymisation complète, les données peuvent être conservées indéfiniment pour l’analyse statistique et l’amélioration du produit, car elles n’ont plus de référence personnelle.

7. Droits d’audit

Le Responsable du traitement a le droit de vérifier la conformité du Sous-traitant avec les dispositions de cet accord. Ces inspections doivent être annoncées avec un préavis raisonnable et effectuées pendant les heures de travail normales. Le Sous-traitant peut également fournir des preuves de conformité en soumettant des certificats, rapports ou attestations appropriés et à jour d’auditeurs indépendants (par exemple, auditeurs, délégués à la protection des données, certifications de sécurité).

Annexe – Mesures techniques et organisationnelles (MTO)

Au : 15 juillet 2025 Voici les mesures techniques et organisationnelles réelles mises en œuvre par le Sous-traitant pour assurer la sécurité du traitement des données.

1. Contrôle d’accès physique

Centres de données : AWS Francfort (eu-central-1) avec conformité RGPD.
Accès : Contrôles biométriques et surveillance 24/7 par le centre de données AWS.

2. Contrôle d’accès au système

Administrateurs : L’authentification multifacteur (MFA) est obligatoire.
Applications : Authentification API basée sur des jetons.
Principe : Contrôle d’accès strict basé sur les rôles (RBAC).

3. Contrôle d’accès aux données (autorisations)

Bases de données : Accès exclusivement depuis le cluster Kubernetes protégé.
Stockage : Politiques granulaires de compartiments S3 selon le principe du moindre privilège.
Secrets : Utilisation d’AWS Secrets Manager pour toutes les informations d’identification.

4. Contrôle de séparation

Locataires : Séparation logique stricte des locataires au niveau de l’application. Chaque locataire se voit attribuer un ID unique (UUID) qui est validé à chaque demande d’accès aux données. Cela garantit que les requêtes ne peuvent renvoyer que les données appartenant au locataire respectif.
Environnements : Clouds privés virtuels (VPC) séparés pour les systèmes de développement et de production.
Conteneurs : Espaces de noms Kubernetes pour l’isolation des services.

5. Pseudonymisation et chiffrement

Données en transit : TLS 1.3 pour tous les transferts de données.
Données au repos : Chiffrement AES-256 pour le stockage S3 et les sauvegardes.
Pseudonymisation : Appliquée aux données personnelles spécifiques si nécessaire.

6. Contrôle de disponibilité

Haute disponibilité : Déploiement multi-AZ sur au moins 3 zones de disponibilité.
Sauvegardes : Sauvegardes automatiques régulières avec périodes de rétention appropriées.
Surveillance : Surveillance des performances du système 24/7 avec alertes automatisées.

7. Contrôle des entrées (journalisation)

Journaux système : Utilisation d’AWS CloudTrail pour tous les appels API.
Journaux d’accès : Journalisation complète de tous les accès aux données sensibles.
Audit : Journaux d’audit Kubernetes pour le suivi des activités des conteneurs.

8. Contrôle des tâches (conformité)

Processus : Procédures opérationnelles standard (POS) documentées pour les opérations critiques.
Gestion des changements : Infrastructure sous contrôle de version (Infrastructure-as-Code).
Formation : Formation régulière sur la protection des données et la sécurité pour tous les employés concernés.

Premiers pas

Créer

Tester

Lancer

Optimiser

Comptes et sous-comptes

Réseau de partenaires

Mentions légales

​Accord de traitement des données (DPA)

​Préambule

​1. Objet, durée et spécification du traitement des données

​1.1 Objet

​1.2 Nature et finalité du traitement

​1.3 Nature des données personnelles

​1.4 Catégories de personnes concernées

​1.5 Durée du traitement

​2. Obligations du Sous-traitant

​2.1 Traitement sur instructions

​2.2 Confidentialité

​2.3 Mesures techniques et organisationnelles (MTO)

​2.4 Aucune utilisation pour l’entraînement de l’IA

​3. Sous-traitants ultérieurs

​3.1 Utilisation de sous-traitants ultérieurs

​3.2 Obligations contractuelles et garanties

​3.3 Transferts vers des pays tiers

​3.4 Information et droit d’opposition

​4. Droits des personnes concernées

​5. Assistance au Responsable du traitement

​5.1 Notification des violations de données

​6. Conservation et suppression des données

​6.1 Traitement pendant la durée du Contrat

​6.2 Suppression des données de trafic et autres données personnelles

​6.3 Conservation des métadonnées

​7. Droits d’audit

​Annexe – Mesures techniques et organisationnelles (MTO)

​1. Contrôle d’accès physique

​2. Contrôle d’accès au système

​3. Contrôle d’accès aux données (autorisations)

​4. Contrôle de séparation

​5. Pseudonymisation et chiffrement

​6. Contrôle de disponibilité

​7. Contrôle des entrées (journalisation)

​8. Contrôle des tâches (conformité)