DPA art.28 — Natalia Analyse mode connecté

Article 1 — Objet, durée et droit applicable

Le présent DPA s'applique entre Natalia SAS (le « Sous-traitant ») et le Client (le « Responsable de traitement ») pour la durée d'activation du mode connecté du Logiciel Natalia Analyse. Il est régi par le RGPD (Règlement (UE) 2016/679) et par le droit français pour les matières non couvertes par le RGPD.

Article 2 — Nature, finalité et durée du traitement

Le Sous-traitant réalise pour le compte du Responsable les traitements suivants : (a) analyse assistée par LLM des CDR transmis par le Responsable, (b) interface conversationnelle Q&A, (c) génération d'insights analytiques retournés au Responsable. Le traitement dure tant que le mode connecté est activé et prend fin à sa désactivation par le Responsable.

Article 3 — Catégories de données et personnes concernées

Catégories de données : numéros de téléphone (pseudonymisés côté responsable), métadonnées d'appels (date, heure, durée, sens), KPIs agrégés, prompts conversationnels des utilisateurs du Responsable. Catégories de personnes concernées : salariés du Responsable utilisant le système téléphonique, tiers (appelants et appelés) impliqués dans les appels professionnels.

Article 4 — Obligations du Sous-traitant (art.28 §3 RGPD)

(a) Instructions documentées. Le Sous-traitant ne traite les données personnelles que sur instruction documentée du Responsable, y compris pour les transferts vers un pays tiers. Les instructions du Responsable sont matérialisées par l'activation du mode connecté et par les paramètres de configuration définis dans l'UI admin.

(b) Confidentialité. Le Sous-traitant garantit que les personnes autorisées à traiter les données personnelles sont liées par une obligation de confidentialité opposable.

(c) Mesures de sécurité (art.32). Le Sous-traitant met en œuvre des mesures techniques et organisationnelles appropriées : chiffrement at-rest et in-transit, RBAC, journal d'audit immuable, infrastructure isolée, hébergement UE uniquement, pen test annuel, processus de gestion des vulnérabilités. Le détail est documenté sur la page sécurité.

(d) Sous-traitance ultérieure. Le Sous-traitant recourt aux sous-traitants listés en Annexe 2. Tout nouveau sous-traitant est notifié au Responsable 30 jours à l'avance, avec droit d'opposition. En cas d'opposition, le Responsable peut résilier le mode connecté sans pénalité.

(e) Assistance aux droits des personnes. Le Sous-traitant assiste le Responsable dans le respect des droits des personnes concernées (accès, rectification, effacement, portabilité, opposition) par la mise à disposition de moyens techniques et organisationnels appropriés : endpoints d'export, endpoints de suppression, accès audit.

(f) Assistance aux obligations de sécurité. Le Sous-traitant assiste le Responsable dans les obligations art.32 à 36, notamment la notification des violations de données dans un délai de 48h après détection.

(g) Effacement ou restitution. À la fin du traitement, le Sous-traitant, au choix du Responsable, supprime ou restitue les données personnelles dans un délai de 30 jours, et supprime les copies existantes, sauf obligation de conservation imposée par le droit de l'Union ou d'un État membre.

(h) Information et audit. Le Sous-traitant met à disposition du Responsable toute information nécessaire à la démonstration du respect de l'art.28 et permet la réalisation d'audits, y compris d'inspections, par le Responsable ou par un tiers indépendant mandaté par lui, une fois par an sous réserve d'un préavis de 30 jours.

Article 5 — Transferts internationaux

Les données personnelles sont hébergées exclusivement en Union européenne (Belgique / Irlande). Le sous-sous-traitant Gemini (Google Ireland) traite les données personnelles en région eu-west. Aucun transfert hors UE n'est réalisé. Si un transfert hors UE devenait nécessaire, les clauses contractuelles types UE (Décision d'exécution (UE) 2021/914) s'appliquent avec une Transfer Impact Assessment documentée.

Article 6 — Notification de violation de données

Le Sous-traitant notifie au Responsable toute violation de données personnelles sans délai injustifié et au plus tard 48h après détection. La notification comprend la nature de la violation, les catégories et le nombre approximatif de personnes concernées, les conséquences probables et les mesures prises ou proposées.

Article 7 — Responsabilité

Chaque Partie est responsable des dommages causés par un traitement non conforme au RGPD, dans les limites du contrat-cadre. Le Sous-traitant est notamment responsable lorsqu'il a agi en dehors ou contrairement aux instructions licites du Responsable ou s'il n'a pas respecté ses obligations art.28 RGPD.

Annexe 1 — Mesures de sécurité (art.32)

Chiffrement at-rest, chiffrement in-transit (TLS 1.2+), RBAC, pseudonymisation des numéros par tenant, journal d'audit immuable, hébergement UE uniquement, pen test annuel, processus de notification violation ≤ 48h, authentification individuelle des opérateurs, procédure d'autorisation d'intervention écrite. Détail complet sur la page sécurité de la documentation.

Annexe 2 — Liste des sous-sous-traitants

Gemini (Google Ireland Limited) — Sous-sous-traitant pour l'analyse LLM uniquement. Région : eu-west. Contrat : Google Cloud DPA + SCC UE. Rétention prompts client : 0 jour (contractuel). Entraînement sur prompts client : interdit (contractuel).

Fournisseur d'infrastructure managée en UE — Sous-sous-traitant pour les datastores managés et le stockage objet managé. Région : Belgique. Contrat : DPA fournisseur + SCC UE.