RGPD & Natalia Analyse on-premise
En mode déconnecté strict, Natalia n'est ni responsable de traitement ni sous-traitant au sens du RGPD. Pas de DPA à signer, pas de chaîne de sous-traitance ultérieure à auditer.
1. Qualification juridique : Natalia, éditeur de logiciel
Natalia SAS distribue une appliance virtuelle (image VM) que le client déploie sur sa propre infrastructure. Le client détermine seul les finalités et les moyens des traitements effectués par l'appliance sur ses CDR (Call Detail Records). Natalia n'a aucun accès aux données, aucun contrôle à distance de l'appliance, et aucune télémétrie sur les numéros de téléphone client, le contenu des appels ou toute autre donnée personnelle.
Cette qualification repose sur trois fondements convergents :
- Recital 26 RGPD : un éditeur de logiciel standard ne peut être qualifié de sous-traitant dès lors qu'il n'a pas accès aux données traitées par son logiciel.
- EDPB / CEPD 07/2020 §28-29 : le Comité européen de la protection des données exclut explicitement la qualification éditeur-sous-traitant lorsque le fournisseur ne livre que l'outil sans jamais voir les données. Le mode déconnecté strict satisfait ce test by design.
- Art.28 RGPD : l'article ne s'applique qu'en présence d'un traitement effectivement réalisé « pour le compte » d'un responsable. En mode déconnecté strict, Natalia ne réalise aucune opération sur les données du client, pour son propre compte comme pour celui d'un tiers.
2. Mode déconnecté strict — flux de données
En mode déconnecté strict, l'appliance n'a aucune sortie internet à l'exception du canal de vérification de licence. Le tableau ci-dessous liste chaque catégorie de données et montre qu'aucune donnée personnelle client ne sort de l'infrastructure client.
| Catégorie de données | Source | Flux sortant | Sort de l'infra client ? |
|---|---|---|---|
| CDR (numéros, dates, durées) | PBX OXE / OXO | — | ✓ Non |
| KPIs agrégés | Appliance on-prem | — | ✓ Non |
| Comptes utilisateurs (RBAC) | Admin client | — | ✓ Non |
| Journal d'audit | Appliance on-prem | — | ✓ Non |
| Requêtes MCP (LLM DSI) | LLM côté client | LAN client uniquement | ✓ Non |
| Vérification de licence | ID organisation client + token signé | Natalia (UE) | ⚠ ID org uniquement, pas de donnée personnelle |
Le canal de vérification de licence ne transporte que l'identifiant de l'organisation client (UUID), un token signé et un heartbeat anonyme. Il est détaillé en section 4 ci-dessous.
3. Mode connecté — sous-traitance art.28
En mode connecté (opt-in, contractuellement encadré), le client autorise Natalia à effectuer des traitements complémentaires sur les CDR agrégés, incluant l'analyse assistée par LLM. Natalia est alors qualifié de sous-traitant au sens de l'art.28 RGPD, et un DPA complet est signé.
Sous-traitant — Natalia SAS
- Rôle : sous-traitant art.28
- Données traitées : CDR agrégés transmis par le client pour analyse
- Hébergement : UE uniquement (Belgique)
- DPA : DPA mode connecté
Sous-sous-traitant — Gemini (Google Ireland)
- Rôle : sous-sous-traitant analyse LLM
- Région : eu-west (Belgium / Netherlands)
- Rétention : aucun entraînement sur les données client, rétention 0 jour
- Contrat : Google Cloud DPA + EU SCC
4. Canal de licence & télémétrie
Le canal de vérification de licence est le seul flux sortant actif en mode déconnecté strict. Il transporte l'identifiant de l'organisation client (UUID attribué à une personne morale, pas à une personne physique) et un heartbeat anti-fraude. La qualification juridique des données traitées par ce canal est la suivante :
- customer_org_id (UUID) — identifiant d'une personne morale. N'est pas une donnée personnelle stricto sensu (RGPD art.4-1).
- IP source (côté logs) — qualifiée de donnée personnelle par la CJUE dans l'arrêt Breyer C-582/14 en raison de la possibilité de ré-identification via le fournisseur d'accès. Base légale : intérêt légitime art.6-1-f RGPD (anti-fraude + intégrité du service).
- Heartbeat anonyme — compteur d'erreurs sur 24h, version de l'appliance, empreinte matérielle hashée. Aucun numéro de téléphone, aucun contenu d'appel, aucun identifiant utilisateur.
Rétention IP source
- 0–30 jours : IP complète conservée (fenêtre investigation incident)
- 30 jours+ : IP anonymisée (dernier octet zéroé pour IPv4, troncature /64 pour IPv6)
- 13 mois : entrée de log supprimée intégralement
Droits client
- Droit d'accès aux entrées du canal de licence identifiant son organisation : demande à [email protected]
- Droit d'opposition : désactivation du heartbeat en mode connecté (le canal de licence est lui contractuellement nécessaire et ne peut être désactivé).
5. Mentions légales (art.13 & 14 RGPD)
Éditeur
- Natalia SAS
- Société par actions simplifiée
- 3 rue Jean Jaurès, 85000 La Roche-sur-Yon, France
- SIREN : 990 566 499
- SIRET (siège) : 990 566 499 00010
- TVA : FR40990566499
DPO & contact juridique
- DPO : [email protected]
- Juridique : [email protected]
- Autorité de contrôle : CNIL — cnil.fr
- Directeur de la publication : François-Guillaume Ribreau, CEO Natalia SAS
Informations collectées au titre des art.13 & 14 RGPD : les données transmises par l'organisation client au canal de licence sont traitées à des fins de vérification de licence et d'anti-fraude, sur le fondement de l'intérêt légitime (art.6-1-f). Conservation : 13 mois maximum, anonymisation IP après 30 jours. Les droits d'accès, rectification, effacement, limitation et opposition s'exercent auprès du DPO ci-dessus.
6. FAQ avocat IT
Les questions ci-dessous sont celles que nous recevons le plus souvent lors de l'onboarding DPO d'ETI et d'hôpitaux.
1. Devons-nous ajouter Natalia à notre registre des sous-traitants ?
Mode déconnecté strict : non. Natalia est éditeur de logiciel au sens du Recital 26 et du CEPD 07/2020 §28-29 — même logique que votre éditeur de texte ou votre moteur de base de données. Mode support 72h : oui, mais comme sous-traitant ponctuel limité à l'intervention support. Mode connecté : oui, comme sous-traitant art.28 plein.
2. Quels sous-sous-traitants devons-nous auditer ?
Modes déconnecté strict et support 72h : aucun. Il n'y a pas de chaîne de sous-traitance puisque Natalia ne traite pas vos données. Mode connecté : Gemini (Google Ireland Ltd, région eu-west) pour l'analyse assistée par LLM, avec SCC UE et rétention contractuelle 0 jour sur les prompts client.
3. Le canal de licence émet une IP — n'est-ce pas un transfert de donnée personnelle ?
L'IP est qualifiée de donnée personnelle par l'arrêt CJUE Breyer C-582/14. Nous nous appuyons sur l'intérêt légitime (art.6-1-f) à des fins d'anti-fraude, anonymisons l'IP après 30 jours et supprimons l'entrée du log après 13 mois. Le traitement est documenté dans notre registre art.30 et le test de mise en balance (LIA) est disponible sur demande.
4. Avons-nous besoin de réaliser une AIPD (DPIA) ?
La CNIL considère que le traitement systématique des CDR au-delà d'environ 5000 lignes téléphoniques peut tomber sous le critère "surveillance systématique du travail". En deçà, un test de mise en balance art.6-1-f documenté suffit en général. Au-delà, une AIPD est recommandée — nous fournissons un modèle pré-rempli.
5. AI Act — Natalia Analyse tombe-t-il sous le régime risque élevé ?
Non. Le mode déconnecté strict est hors champ car Natalia ne fournit pas de système IA. Le mode connecté tombe sous le régime risque limité (obligations de transparence art.50) pour le Q&A analytique. Seul un usage explicite de décisions RH automatisées (scoring employés) déclencherait le régime risque élevé — et cet usage est explicitement exclu du périmètre produit.
6. Notre RSSI peut-il auditer le code-source de l'appliance ?
Oui, sur demande sous accord de confidentialité. L'appliance est livrée avec des binaires signés cryptographiquement (vérifiés Cosign) et un manifest de build reproductible. Un pen test ciblé par un cabinet indépendant (de type Synacktiv) est disponible en option.
7. Que deviennent les CDR si nous résilions le contrat ?
Ils restent dans votre appliance, sur votre hyperviseur, jusqu'à ce que vous décidiez de les supprimer. Il n'y a pas de destruction à distance des données par Natalia — nous n'y avons pas accès. Voir la page réversibilité.
Une question spécifique de votre DPO ?
Nous répondons sous 48h aux demandes écrites des DPO.
Écrire à notre DPO