Accord de sous-traitance (DPA)
Sommaire
- Art. 1 - Objet
- Art. 2 - Données traitées
- Art. 3 - Finalités
- Art. 4 - Durée
- Art. 5 - Obligations de Softcallia
- Art. 6 - Sous-traitants autorisés
- Art. 7 - Transferts hors UE
- Art. 8 - Droits des personnes
- Art. 9 - Notification de violation
- Art. 10 - Audit
- Art. 11 - Restitution et suppression
Le présent Accord de Sous-Traitance (ci-après « DPA » ou « Accord »), conclu en application de l'article 28 du Règlement (UE) 2016/679 du 27 avril 2016 (RGPD), définit les conditions dans lesquelles Softcallia (ci-après le « Sous-Traitant ») traite des données personnelles pour le compte du Client (ci-après le « Responsable de traitement »).
Cet Accord fait partie intégrante des Conditions Générales d'Utilisation et de Vente de Softcallia et s'applique dès l'acceptation de celles-ci.
Article 1 — Objet
Le présent Accord a pour objet de définir les conditions dans lesquelles le Sous-Traitant s'engage à effectuer, pour le compte du Responsable de traitement, les opérations de traitement de données personnelles nécessaires à la fourniture du service Softcallia.
Softcallia traite les données personnelles uniquement sur instruction documentée du Responsable de traitement, sauf obligation légale imposant un traitement différent. Dans ce cas, le Sous-Traitant informera le Responsable de traitement de cette obligation juridique avant le traitement, sauf interdiction légale.
Article 2 — Données traitées
Dans le cadre de la fourniture du Service, le Sous-Traitant est amené à traiter les catégories de données personnelles suivantes :
| Catégorie | Données concernées | Personnes concernées |
|---|---|---|
| Appels téléphoniques | Enregistrements audio des appels entrants, numéro de l'appelant, durée de l'appel, horodatage | Clients et prospects du Responsable de traitement (appelants) |
| Transcriptions | Transcriptions textuelles des appels, résumés générés par IA, classification d'urgence, type de problème détecté | Clients et prospects du Responsable de traitement (appelants) |
| Coordonnées clients | Nom, prénom, numéro de téléphone, adresse (lorsque communiqués lors de l'appel) | Clients et prospects du Responsable de traitement |
| Rendez-vous | Date, heure, motif, coordonnées du client | Clients du Responsable de traitement |
| Données de compte | Nom, prénom, email, téléphone, nom d'entreprise, SIRET, adresse du Responsable de traitement | Utilisateurs du Service (Responsable de traitement et ses collaborateurs) |
Article 3 — Finalités du traitement
Les données personnelles sont traitées par le Sous-Traitant exclusivement pour les finalités suivantes, sur instruction du Responsable de traitement :
- Réception et traitement des appels par IA : réponse automatisée aux appels entrants, transcription vocale (speech-to-text), génération de résumés, classification du niveau d'urgence, catégorisation du type de problème.
- Gestion des rendez-vous : proposition de créneaux disponibles à l'appelant, création et suivi des rendez-vous dans l'agenda du Responsable de traitement.
- Gestion des urgences : détection automatique des situations urgentes, déclenchement d'alertes en temps réel (notifications push, email, SMS) au Responsable de traitement.
- Tableau de bord et historique : mise à disposition de l'historique des appels, des transcriptions, des statistiques et des outils de gestion pour le Responsable de traitement.
- Notifications transactionnelles : envoi d'alertes, de rappels de rendez-vous et de notifications opérationnelles.
Article 4 — Durée du traitement
Le présent Accord prend effet à la date d'acceptation des Conditions Générales par le Responsable de traitement et reste en vigueur pendant toute la durée du contrat de service Softcallia.
À l'issue du contrat (résiliation, non-renouvellement ou expiration), les données personnelles sont conservées pendant une période maximale de 30 jours pour permettre au Responsable de traitement d'exporter ses données, puis supprimées conformément à l'article 11 du présent Accord.
Les données soumises à des obligations légales de conservation (notamment les données de facturation — 10 ans, article L.123-22 du Code de commerce) sont conservées pour la durée requise par la loi.
Article 5 — Obligations de Softcallia (article 28 du RGPD)
Le Sous-Traitant s'engage à :
5.1. Instructions documentées
Traiter les données personnelles uniquement sur instruction documentée du Responsable de traitement, y compris en ce qui concerne les transferts de données vers un pays tiers, sauf obligation légale.
5.2. Confidentialité
Veiller à ce que les personnes autorisées à traiter les données personnelles s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.
5.3. Sécurité
Mettre en oeuvre les mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté au risque, conformément à l'article 32 du RGPD, incluant notamment :
- Chiffrement en transit (TLS 1.3) et au repos (AES-256)
- Isolation des données par entreprise (Row Level Security)
- Contrôle d'accès basé sur les rôles (RBAC)
- Protection contre les attaques par force brute (rate limiting)
- Hachage des mots de passe (bcrypt avec salage individuel)
- Authentification par tokens JWT avec rotation automatique
- En-têtes de sécurité HTTP (CSP, HSTS, X-Frame-Options)
- Validation des webhooks par signature HMAC
5.4. Sous-traitance ultérieure
Ne pas recruter un autre sous-traitant sans l'autorisation écrite préalable, générale ou spécifique, du Responsable de traitement. La liste des sous-traitants autorisés figure à l'article 6 du présent Accord. Le Responsable de traitement est informé de tout changement de sous-traitant ultérieur et dispose d'un délai de 30 jours pour émettre des objections.
5.5. Assistance
Aider le Responsable de traitement, par des mesures techniques et organisationnelles appropriées, à s'acquitter de son obligation de donner suite aux demandes d'exercice des droits des personnes concernées (articles 15 à 22 du RGPD).
5.6. Suppression ou restitution
Au choix du Responsable de traitement, supprimer ou restituer toutes les données personnelles au terme de la prestation, et détruire les copies existantes, sauf obligation légale de conservation.
5.7. Information et audit
Mettre à la disposition du Responsable de traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues au présent article et contribuer aux audits, y compris les inspections, réalisés par le Responsable de traitement ou un autre auditeur qu'il a mandaté.
Article 6 — Sous-traitants ultérieurs autorisés
Le Responsable de traitement autorise le recours aux sous-traitants ultérieurs suivants. Chacun a fait l'objet d'un accord de sous-traitance (DPA) conforme à l'article 28 du RGPD :
| Sous-traitant | Fonction | Localisation | Garanties |
|---|---|---|---|
| Supabase Inc. | Hébergement de la base de données, authentification, stockage fichiers | USA (infrastructure AWS eu-west, Irlande/Francfort) | SCCs, DPA, AES-256, RLS, SOC 2 Type II |
| Stripe Inc. | Traitement des paiements et facturation | USA (entité irlandaise pour l'UE) | EU-US DPF, SCCs, PCI DSS Niveau 1 |
| OpenAI Inc. | Transcription vocale (Whisper), analyse et résumé des appels (GPT), réponse conversationnelle | USA | DPA spécifique, zero data retention (API), SCCs |
| Twilio Inc. | Téléphonie (réception des appels entrants), envoi de SMS | USA | SCCs, DPA, SOC 2 Type II, ISO 27001 |
| Brevo (Sendinblue) | Envoi d'emails transactionnels (alertes, confirmations, relances) | France | RGPD natif, ISO 27001, hébergement UE |
| Upstash Inc. | Cache applicatif éphémère (rate limiting, sessions) | UE (Francfort, Allemagne) | RGPD natif, données exclusivement UE |
| Functional Software Inc. (Sentry) | Monitoring des erreurs techniques | USA | SCCs, DPA, SOC 2 Type II, données minimisées |
En cas d'ajout ou de remplacement d'un sous-traitant ultérieur, le Sous-Traitant en informera le Responsable de traitement par email au moins 30 jours avant la mise en oeuvre du changement. Le Responsable de traitement pourra s'y opposer par écrit dans ce délai. En cas d'objection légitime non résolue, le Responsable de traitement pourra résilier le contrat sans pénalité.
Article 7 — Transferts de données hors de l'Union européenne
Certains sous-traitants ultérieurs sont situés aux États-Unis. Conformément au chapitre V du RGPD, ces transferts sont encadrés par les mécanismes suivants :
- EU-US Data Privacy Framework (DPF) : décision d'adéquation de la Commission européenne du 10 juillet 2023, pour les sous-traitants certifiés (Stripe).
- Clauses Contractuelles Types (SCCs) : approuvées par la Commission européenne (décision d'exécution 2021/914 du 4 juin 2021), intégrées aux DPA de chaque sous-traitant ultérieur.
- Mesures supplémentaires : chiffrement en transit (TLS 1.3) et au repos (AES-256), minimisation des données transférées, évaluation régulière des risques.
Le Sous-Traitant s'engage à informer le Responsable de traitement de toute évolution réglementaire susceptible d'affecter la validité de ces garanties de transfert.
Article 8 — Droits des personnes concernées
Le Sous-Traitant s'engage à assister le Responsable de traitement pour répondre aux demandes d'exercice des droits des personnes concernées (articles 15 à 22 du RGPD) :
- Droit d'accès (article 15)
- Droit de rectification (article 16)
- Droit à l'effacement (article 17)
- Droit à la limitation du traitement (article 18)
- Droit à la portabilité des données (article 20)
- Droit d'opposition (article 21)
- Droits relatifs aux décisions automatisées (article 22)
Le Sous-Traitant met à la disposition du Responsable de traitement les outils nécessaires dans le tableau de bord (onglet RGPD) : export des données (portabilité), demande de suppression (effacement), gestion des consentements (retrait).
En cas de demande reçue directement par le Sous-Traitant de la part d'une personne concernée, le Sous-Traitant en informera le Responsable de traitement dans un délai de 5 jours ouvrés sans y répondre directement, sauf instruction contraire.
Article 9 — Notification de violation de données
En cas de violation de données personnelles au sens de l'article 4(12) du RGPD, le Sous-Traitant s'engage à :
- Notifier le Responsable de traitement dans un délai maximum de 48 heures après en avoir pris connaissance, par email à l'adresse de contact du Responsable de traitement.
- Fournir toutes les informations disponibles permettant au Responsable de traitement de notifier la violation à la CNIL dans le délai de 72 heures prévu à l'article 33 du RGPD, notamment :
- La nature de la violation (catégories et nombre de personnes et d'enregistrements concernés)
- Les conséquences probables de la violation
- Les mesures prises ou proposées pour remédier à la violation
- Les coordonnées du point de contact pour obtenir plus d'informations
- Prendre immédiatement toutes les mesures nécessaires pour remédier à la violation et en limiter les conséquences.
- Documenter toute violation de données, y compris les faits, ses effets et les mesures correctives prises.
Article 10 — Audit
Le Responsable de traitement a le droit de procéder, ou de faire procéder par un auditeur indépendant mandaté par ses soins, à des audits portant sur le respect par le Sous-Traitant des obligations prévues au présent Accord et au RGPD.
Les audits sont soumis aux conditions suivantes :
- Le Responsable de traitement notifie sa demande d'audit par écrit avec un préavis minimum de 30 jours.
- L'audit se déroule pendant les heures ouvrables et ne doit pas perturber de manière disproportionnée les activités du Sous-Traitant.
- Les coûts de l'audit sont à la charge du Responsable de traitement, sauf si l'audit révèle un manquement du Sous-Traitant.
- L'auditeur est tenu à une obligation de confidentialité couvrant les informations auxquelles il a accès.
- Un maximum de 1 audit par an peut être réalisé, sauf en cas de violation de données avérée ou de demande de la CNIL.
Le Sous-Traitant s'engage à coopérer pleinement lors de l'audit et à fournir toutes les informations et accès nécessaires.
Article 11 — Restitution et suppression des données
Au terme du contrat de service, le Sous-Traitant s'engage, au choix du Responsable de traitement :
- Restituer l'intégralité des données personnelles traitées dans un format structuré, couramment utilisé et lisible par machine (JSON, CSV), via la fonctionnalité d'export du tableau de bord.
- Supprimer l'intégralité des données personnelles et toutes les copies existantes dans un délai maximum de 30 jours après la fin du contrat.
Le Sous-Traitant fournira au Responsable de traitement une attestation écrite de suppression sur demande.
Sont exclues de la suppression les données dont la conservation est imposée par la loi (notamment les données de facturation conservées 10 ans en application de l'article L.123-22 du Code de commerce).
Contact
Pour toute question relative au présent Accord de Sous-Traitance :
- Référent données : dpo@softcallia.com
- Support : support@softcallia.com
- Adresse : Softcallia — Côme Bruchet — 24 rue David, 51100 Reims