Accord de sous-traitance (DPA)

Dernière mise à jour : juin 2026 — article 28 du RGPD

Préambule

Le présent accord de sous-traitance (« DPA ») complète les Conditions Générales d'Utilisation et de Vente (CGUV) et la Politique de confidentialité. Il encadre le traitement, par la société SecretarIA (« le Sous-traitant »), des données personnelles dont l'utilisateur professionnel (« le Client », « le Responsable de traitement ») est responsable, conformément à l'article 28 du Règlement (UE) 2016/679 (« RGPD »).

Il s'applique exclusivement aux données des appelants et interlocuteurs du Client traitées via le service. Pour les données du compte et de la facturation du Client, SecretarIA agit en qualité de responsable de traitement (voir la Politique de confidentialité).

En acceptant les CGUV, le Client conclut le présent DPA avec le Sous-traitant.

1. Description du traitement

  • Objet et nature : réception et gestion des appels téléphoniques entrants du Client par un assistant vocal IA — transcription, résumé, qualification, prise de message et notifications.
  • Finalité : fournir au Client le service d'accueil téléphonique automatisé, pour son compte et selon ses instructions.
  • Durée : la durée de l'abonnement du Client, sauf obligation légale de conservation.
  • Catégories de personnes concernées : les appelants, clients et prospects du Client.
  • Catégories de données : numéro de téléphone, nom et coordonnées communiqués oralement, motif de l'appel, transcription et résumé de l'échange.

Le service n'a pas vocation à collecter des catégories particulières de données au sens de l'article 9 du RGPD. Toutefois, le Sous-traitant ne peut exclure que de telles données soient occasionnellement communiquées spontanément par les appelants dans le cadre de leurs échanges avec l'assistant vocal.

2. Instructions du Responsable de traitement

Le Sous-traitant ne traite les données que sur instruction documentée du Client. Les présentes CGUV, le présent DPA et le paramétrage du compte par le Client constituent ces instructions. Le Sous-traitant informe le Client si une instruction lui paraît constituer une violation du RGPD.

Article 2 bis – Obligations du Responsable de traitement

Le Client déclare et garantit :

  • disposer d'une base légale valide pour l'ensemble des traitements réalisés au moyen du service ;
  • fournir aux personnes concernées les informations requises par la réglementation applicable ;
  • respecter les obligations relatives aux droits des personnes concernées ;
  • déterminer les durées de conservation appropriées ;
  • s'assurer que les données transmises au Sous-traitant sont pertinentes, adéquates et limitées à ce qui est nécessaire au regard des finalités poursuivies.

Le Client demeure seul responsable de la licéité de la collecte et du traitement des données personnelles de ses appelants, clients et prospects.

3. Confidentialité

Le Sous-traitant veille à ce que les personnes autorisées à traiter les données s'engagent à la confidentialité ou soient soumises à une obligation légale de confidentialité, et n'accèdent aux données que dans la mesure nécessaire à l'exécution du service.

4. Sécurité (article 32)

Le Sous-traitant met en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque : chiffrement des communications (HTTPS/TLS), contrôle et journalisation des accès, cloisonnement des données par compte, authentification renforcée. Ces mesures sont susceptibles d'évoluer pour maintenir un niveau de protection au moins équivalent.

5. Sous-traitants ultérieurs

Le Client autorise le Sous-traitant à recourir aux sous-traitants ultérieurs ci-dessous, chacun étant lié par des obligations de protection des données équivalentes à celles du présent DPA :

  • Vercel — hébergement du site et exécution applicative (données techniques, logs)
  • Supabase — base de données (profils, historique d'appels, fiches clients, rendez-vous, transcriptions)
  • Clerk — authentification et gestion des comptes (email, nom)
  • Vapi — orchestration des appels vocaux (audio, transcriptions, contenu des appels)
  • ElevenLabs — synthèse vocale (voix de l'assistant)
  • Anthropic — génération de texte par IA (résumés d'appels, reformulation de témoignages)
  • Vonage — envoi de SMS (numéros de téléphone, contenu des messages)
  • Resend — envoi d'emails transactionnels (adresses email, contenu)
  • Upstash — limitation de débit anti-abus (adresses IP)
  • Stripe — traitement des paiements (données de facturation)
  • Google et Microsoft — synchronisation d'agenda lorsque l'utilisateur connecte son calendrier (événements, jetons OAuth)

Le Sous-traitant informe le Client de tout ajout ou remplacement de sous-traitant ultérieur, laissant au Client la possibilité d'émettre des objections légitimes.

6. Transferts hors Union européenne

Certains sous-traitants ultérieurs sont situés hors de l'Union européenne. Ces transferts sont encadrés par les clauses contractuelles types (CCT) de la Commission européenne ou, le cas échéant, par le mécanisme EU-US Data Privacy Framework, assortis de mesures complémentaires appropriées.

7. Assistance au Responsable de traitement

Compte tenu de la nature du traitement, le Sous-traitant aide le Client, dans la mesure du possible et par des mesures appropriées, à :

  • répondre aux demandes d'exercice des droits des personnes concernées (accès, rectification, effacement, opposition, limitation, portabilité) ;
  • assurer la sécurité des traitements et la notification des violations de données ;
  • réaliser, le cas échéant, une analyse d'impact relative à la protection des données (AIPD) et la consultation préalable de l'autorité de contrôle.

L'assistance fournie par le Sous-traitant est limitée aux informations et moyens dont il dispose raisonnablement et n'emporte aucune obligation de conseil juridique ou réglementaire.

Article 7 bis – Demandes des personnes concernées

Lorsque le Sous-traitant reçoit directement une demande émanant d'une personne concernée concernant des données traitées pour le compte du Client, il transmet cette demande au Client dans les meilleurs délais, sauf interdiction légale.

Le Sous-traitant ne répond pas directement à la demande, sauf instruction documentée du Client ou obligation légale applicable.

8. Violation de données à caractère personnel

Le Sous-traitant notifie au Client toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance, en lui fournissant les informations utiles pour lui permettre, le cas échéant, de notifier l'autorité de contrôle (CNIL) dans le délai de 72 heures et d'informer les personnes concernées.

La notification d'une violation de données personnelles par le Sous-traitant ne constitue pas une reconnaissance de responsabilité ni d'un manquement au RGPD.

9. Sort des données en fin de traitement

À la cessation du service, les données demeurent accessibles au Client pendant une période de trente (30) jours afin de permettre leur exportation ou leur récupération.

À l'issue de cette période, le Sous-traitant procède à la suppression des données traitées pour le compte du Client ainsi qu'à la destruction des copies existantes, sauf obligation légale de conservation.

Certaines données peuvent être conservées au-delà de cette période lorsque la loi l'impose, notamment pour des raisons comptables, fiscales, probatoires ou de sécurité.

10. Documentation et audit

Le Sous-traitant met à disposition du Client les informations raisonnablement nécessaires pour démontrer le respect de ses obligations au titre du présent DPA.

Tout audit devra :

  • être notifié avec un préavis minimum de trente (30) jours ;
  • intervenir pendant les heures ouvrées ;
  • ne pas perturber le fonctionnement du service ;
  • être limité à une fois par période de douze (12) mois, sauf obligation légale ou incident de sécurité avéré ;
  • être soumis à un engagement strict de confidentialité.

Le Client supporte l'ensemble des coûts liés à l'audit ainsi que les frais raisonnables engagés par le Sous-traitant pour y répondre.

Le Sous-traitant pourra satisfaire à ses obligations d'audit par la communication de certifications, rapports d'audit indépendants ou documents de conformité équivalents lorsque ceux-ci permettent raisonnablement de démontrer le respect de ses obligations.

11. Responsabilité, durée et modification

Chaque partie assume la responsabilité qui lui incombe en application du RGPD. Le présent DPA produit ses effets pendant toute la durée du traitement des données pour le compte du Client. Il peut être mis à jour pour tenir compte de l'évolution de la réglementation ou du service ; le Client en est informé dans les conditions prévues par les CGUV.

Contact : contact@lesecretaria.fr