DPA

Accord de Traitement des Données (Article 28 RGPD)

Annexe RGPD au Contrat de Services – Convertr


ARTICLE 1 – OBJET ET PRIMAUTÉ CONTRACTUELLE

Le présent Accord de Traitement des Données (« DPA ») constitue une annexe contractuelle juridiquement contraignante au Contrat de Services Convertr.

En cas de contradiction :

CGU/CGV > DPA > Politique de Confidentialité > autres documents.


ARTICLE 2 – QUALIFICATION DES PARTIES

  • Responsable de Traitement : le Client professionnel
  • Sous-traitant : Convertr, EI – Samy BOUSSOUF

Convertr agit exclusivement sur instruction documentée du Client.


ARTICLE 3 – DESCRIPTION DU TRAITEMENT

3.1 Finalités

  • Automatisation publicitaire
  • Qualification de Leads par IA vocale / SMS
  • Analyse de performance
  • Sécurité et audit qualité

3.2 Catégories de données

  • Identité (nom, prénom, téléphone, email)
  • Données vocales (audio, transcriptions)
  • Données publicitaires (tracking, conversions)

3.3 Personnes concernées

  • Prospects / Leads du Client

ARTICLE 4 – OBLIGATIONS DU SOUS-TRAITANT (RENFORCÉES)

Convertr s’engage à :

  1. Instruction stricte

    Traiter les données uniquement selon les paramètres contractuels et techniques définis par le Client.

  2. Confidentialité renforcée
    • Accès restreint aux seules personnes habilitées
    • Engagements de confidentialité écrits
  3. Sécurité avancée

    Conformément à l’Annexe SLA Sécurité (voir section 2).

  4. Assistance RGPD

    Assistance raisonnable pour :

    • droits des personnes
    • analyses d’impact (DPIA)
    • contrôles CNIL
  5. Violation de données

    Notification sans délai excessif et ≤ 48h, incluant :

    • nature de la violation
    • données concernées
    • mesures correctives

ARTICLE 5 – RESPONSABILITÉ & LIMITATION (CRITIQUE)

5.1 Responsabilité du Client

Le Client garantit :

  • la licéité de la collecte,
  • le consentement explicite des Leads,
  • la conformité des scripts d’appel.

Toute sanction RGPD liée à la collecte ou au consentement incombe exclusivement au Client.

5.2 Responsabilité de Convertr

La responsabilité de Convertr est strictement limitée à :

  • un manquement directement imputable,
  • un plafond équivalent à 3 mois de facturation hors budget média,
  • à l’exclusion de toute perte indirecte ou administrative.

ARTICLE 6 – SOUS-TRAITANTS ULTÉRIEURS

Le Client autorise expressément les sous-traitants suivants :

PrestataireFonctionLocalisation
Retell AIIA vocaleUSA
TwilioTéléphonieUSA
OpenAI / AnthropicLLMUSA
AWS / SupabaseCloud / DBUE / USA

Tout changement substantiel fera l’objet d’une information préalable.


ARTICLE 7 – SORT DES DONNÉES

À la fin du contrat :

  • restitution OU suppression complète,
  • sauf obligations légales (logs, factures).

ANNEXE – SLA SÉCURITÉ & DROIT D’AUDIT

A. MESURES TECHNIQUES MINIMALES

Convertr met en œuvre :

  • Chiffrement TLS 1.2+ en transit
  • Chiffrement AES-256 au repos
  • Isolation logique multi-tenant
  • RBAC (accès par rôle)
  • Journalisation des accès
  • Sauvegardes sécurisées

B. DISPONIBILITÉ & INCIDENTS

  • Disponibilité cible : 99,5 % mensuel (hors maintenance planifiée)
  • Surveillance continue
  • Procédure d’incident documentée

C. DROIT D’AUDIT (ENTERPRISE SAFE)

  • Audit 1 fois / an max,
  • sur préavis écrit ≥ 30 jours,
  • audit documentaire prioritaire,
  • audit sur site uniquement en cas de violation grave avérée,
  • frais à la charge du Client.

Aucun accès direct aux secrets, clés ou code source.


ANNEXE SCC PERSONNALISÉE

Clauses Contractuelles Types – UE → USA

Conformément à la Décision (UE) 2021/914

MODULE APPLICABLE

Module 2 – Responsable de Traitement → Sous-traitant

PARTIES

  • Exportateur : Client (UE)
  • Importateur : Convertr + sous-traitants US listés

GARANTIES CLÉS

  • Transferts encadrés par SCC officielles
  • Chiffrement bout-en-bout
  • Minimisation des données
  • Pas de décision automatisée critique
  • Aucune vente ou réutilisation des données

DEMANDES DES AUTORITÉS US

En cas de demande gouvernementale :

  • notification au Client (si légalement autorisé),
  • contestation raisonnable,
  • divulgation strictement minimale.