DPA
Accord de Traitement des Données (Article 28 RGPD)
Annexe RGPD au Contrat de Services – Convertr
ARTICLE 1 – OBJET ET PRIMAUTÉ CONTRACTUELLE
Le présent Accord de Traitement des Données (« DPA ») constitue une annexe contractuelle juridiquement contraignante au Contrat de Services Convertr.
En cas de contradiction :
CGU/CGV > DPA > Politique de Confidentialité > autres documents.
ARTICLE 2 – QUALIFICATION DES PARTIES
- Responsable de Traitement : le Client professionnel
- Sous-traitant : Convertr, EI – Samy BOUSSOUF
Convertr agit exclusivement sur instruction documentée du Client.
ARTICLE 3 – DESCRIPTION DU TRAITEMENT
3.1 Finalités
- Automatisation publicitaire
- Qualification de Leads par IA vocale / SMS
- Analyse de performance
- Sécurité et audit qualité
3.2 Catégories de données
- Identité (nom, prénom, téléphone, email)
- Données vocales (audio, transcriptions)
- Données publicitaires (tracking, conversions)
3.3 Personnes concernées
- Prospects / Leads du Client
ARTICLE 4 – OBLIGATIONS DU SOUS-TRAITANT (RENFORCÉES)
Convertr s’engage à :
- Instruction stricte
Traiter les données uniquement selon les paramètres contractuels et techniques définis par le Client.
- Confidentialité renforcée
- Accès restreint aux seules personnes habilitées
- Engagements de confidentialité écrits
- Sécurité avancée
Conformément à l’Annexe SLA Sécurité (voir section 2).
- Assistance RGPD
Assistance raisonnable pour :
- droits des personnes
- analyses d’impact (DPIA)
- contrôles CNIL
- Violation de données
Notification sans délai excessif et ≤ 48h, incluant :
- nature de la violation
- données concernées
- mesures correctives
ARTICLE 5 – RESPONSABILITÉ & LIMITATION (CRITIQUE)
5.1 Responsabilité du Client
Le Client garantit :
- la licéité de la collecte,
- le consentement explicite des Leads,
- la conformité des scripts d’appel.
Toute sanction RGPD liée à la collecte ou au consentement incombe exclusivement au Client.
5.2 Responsabilité de Convertr
La responsabilité de Convertr est strictement limitée à :
- un manquement directement imputable,
- un plafond équivalent à 3 mois de facturation hors budget média,
- à l’exclusion de toute perte indirecte ou administrative.
ARTICLE 6 – SOUS-TRAITANTS ULTÉRIEURS
Le Client autorise expressément les sous-traitants suivants :
| Prestataire | Fonction | Localisation |
|---|---|---|
| Retell AI | IA vocale | USA |
| Twilio | Téléphonie | USA |
| OpenAI / Anthropic | LLM | USA |
| AWS / Supabase | Cloud / DB | UE / USA |
Tout changement substantiel fera l’objet d’une information préalable.
ARTICLE 7 – SORT DES DONNÉES
À la fin du contrat :
- restitution OU suppression complète,
- sauf obligations légales (logs, factures).
ANNEXE – SLA SÉCURITÉ & DROIT D’AUDIT
A. MESURES TECHNIQUES MINIMALES
Convertr met en œuvre :
- Chiffrement TLS 1.2+ en transit
- Chiffrement AES-256 au repos
- Isolation logique multi-tenant
- RBAC (accès par rôle)
- Journalisation des accès
- Sauvegardes sécurisées
B. DISPONIBILITÉ & INCIDENTS
- Disponibilité cible : 99,5 % mensuel (hors maintenance planifiée)
- Surveillance continue
- Procédure d’incident documentée
C. DROIT D’AUDIT (ENTERPRISE SAFE)
- Audit 1 fois / an max,
- sur préavis écrit ≥ 30 jours,
- audit documentaire prioritaire,
- audit sur site uniquement en cas de violation grave avérée,
- frais à la charge du Client.
Aucun accès direct aux secrets, clés ou code source.
ANNEXE SCC PERSONNALISÉE
Clauses Contractuelles Types – UE → USA
Conformément à la Décision (UE) 2021/914
MODULE APPLICABLE
Module 2 – Responsable de Traitement → Sous-traitant
PARTIES
- Exportateur : Client (UE)
- Importateur : Convertr + sous-traitants US listés
GARANTIES CLÉS
- Transferts encadrés par SCC officielles
- Chiffrement bout-en-bout
- Minimisation des données
- Pas de décision automatisée critique
- Aucune vente ou réutilisation des données
DEMANDES DES AUTORITÉS US
En cas de demande gouvernementale :
- notification au Client (si légalement autorisé),
- contestation raisonnable,
- divulgation strictement minimale.