Le présent Accord de sous-traitance des données (Data Processing Agreement, ci-après le « DPA ») complète et fait partie intégrante des Conditions générales de vente conclues entre :
- D'une part, le Client, agissant en qualité de Responsable de traitement au sens de l'article 4-7 du RGPD ;
- D'autre part, TRUSTELIA SAS (ci-après « Mankovoice »), agissant en qualité de Sous-traitant au sens de l'article 4-8 du RGPD.
Le DPA est conclu pour répondre aux exigences de l'article 28 du RGPD et de toute législation applicable en matière de protection des données. En cas de divergence avec les CGV, le DPA prévaut sur les seules questions relatives à la protection des données personnelles.
1. Objet
Le présent DPA encadre les traitements de données à caractère personnel effectués par Mankovoice pour le compte du Client dans le cadre de la fourniture du Service Mankovoice (captation des appels entrants sur les Lignes du Client, enregistrement, transcription, génération de comptes-rendus, et, selon la Formule, dialogue conversationnel).
2. Durée
Le DPA prend effet à la date d'entrée en vigueur des CGV et reste applicable pendant toute la durée de la relation contractuelle. À la cessation des CGV, les obligations relatives à la suppression ou à la restitution des données (§10) survivent jusqu'à leur complète exécution.
3. Périmètre du traitement
3.1 Nature et finalité
Le traitement consiste à recevoir les appels entrants sur les Lignes du Client, à les enregistrer et les transcrire, à en générer un compte-rendu (motif, urgence, coordonnées, rappel souhaité), à les mettre à disposition du Client dans son espace et par notification, et — pour la Formule B — à dialoguer avec l'appelant à partir des informations fournies par le Client.
3.2 Catégories de personnes concernées
- Appelants contactant les Lignes du Client (clients ou prospects du Client) ;
- Membres internes du Client habilités à utiliser l'espace client ;
- Personnes mentionnées dans les contenus importés par le Client dans la base de connaissances.
3.3 Catégories de données traitées
- Enregistrements audio des appels ;
- Transcriptions et comptes-rendus des appels (motif, urgence, informations communiquées par l'appelant) ;
- Numéro de téléphone de l'appelant et métadonnées d'appel (date, heure, durée, ligne appelée) ;
- Contenus de la base de connaissances (documents, informations métier) telle qu'importée par le Client ;
- Identifiants des membres du Client accédant à l'espace client.
Aucune catégorie particulière de données au sens de l'article 9 du RGPD n'est censée être traitée. Le Client s'engage à ne pas configurer son standard ou sa base de connaissances pour collecter de telles données. À défaut, il en assume seul la responsabilité.
4. Instructions documentées du Responsable
Mankovoice ne traite les données personnelles que sur instructions documentées du Client : ces instructions résultent du paramétrage du Service par le Client (configuration des Lignes et de la Formule, base de connaissances importée, message d'accueil, paramètres de rétention de l'audio et des transcriptions) et des présentes CGV/DPA.
Si Mankovoice estime qu'une instruction du Client constitue une violation du RGPD ou de toute autre disposition applicable en matière de protection des données, il en informe immédiatement le Client.
5. Confidentialité du personnel
Mankovoice s'assure que les personnes autorisées à traiter les données personnelles s'engagent à respecter la confidentialité (clauses contractuelles, charte informatique). L'accès aux données du Client est limité aux salariés ayant un besoin opérationnel motivé.
6. Mesures techniques et organisationnelles
Mankovoice met en œuvre les mesures suivantes (article 32 RGPD) :
6.1 Mesures techniques
- Chiffrement en transit (TLS 1.2+ sur tous les flux publics et inter-services).
- Chiffrement au repos des bases de données et des objets stockés — enregistrements audio inclus (AES-256 lorsque le fournisseur le permet).
- Hachage des mots de passe avec algorithme robuste (bcrypt ou argon2).
- Tokens de session opaques, durée de vie limitée, rotation à la déconnexion.
- Réseau cloisonné (réseaux isolés, exposition publique limitée au reverse proxy).
- Purge automatique de l'audio et des transcriptions selon les durées de rétention définies par le Client.
- Sauvegardes automatisées avec rétention chiffrée et tests de restauration.
- Mises à jour de sécurité appliquées dans des délais conformes à l'état de l'art.
6.2 Mesures organisationnelles
- Contrôle d'accès basé sur les rôles (RBAC) sur l'espace client et l'API.
- Journalisation des accès aux données sensibles et des actions critiques (suppression, export).
- Cloisonnement multi-tenant strict : chaque Client est isolé logiquement, et les requêtes sont systématiquement filtrées par identifiant d'organisation.
- Procédure documentée de gestion des incidents de sécurité.
- Sensibilisation du personnel à la protection des données.
7. Notification de violation de données
En cas de violation de données personnelles affectant les données du Client, Mankovoice en informe le Client dans les meilleurs délais et en tout état de cause au plus tard 72 heures après en avoir pris connaissance. La notification comprend la nature de la violation, les catégories et le volume approximatif de personnes et données concernées, les mesures correctives prises et envisagées, ainsi qu'un point de contact pour le suivi.
Mankovoice apporte au Client une assistance raisonnable pour qu'il puisse, le cas échéant, satisfaire à ses obligations de notification à la CNIL et aux personnes concernées (articles 33-34 RGPD).
8. Sous-traitants ultérieurs
Le Client autorise de manière générale Mankovoice à recourir à des sous-traitants ultérieurs pour la fourniture du Service. La liste à jour est tenue à disposition à l'annexe 1 du présent DPA et reproduite ci-dessous.
Mankovoice informe le Client de tout ajout ou remplacement de sous-traitant ultérieur au moins 30 jours calendaires avant l'entrée en vigueur, par notification dans l'espace client ou par courrier électronique. Le Client peut, dans ce délai, formuler une objection motivée. En cas d'objection que les parties ne pourraient résoudre, le Client peut résilier le DPA et les CGV sans frais.
Mankovoice impose à chaque sous-traitant ultérieur, par contrat, des obligations de protection des données équivalentes à celles du présent DPA, et demeure responsable des manquements éventuels du sous-traitant ultérieur à l'égard du Client.
9. Assistance aux droits des personnes
Compte tenu de la nature du traitement, Mankovoice met à disposition du Client les fonctionnalités techniques permettant de répondre aux demandes d'exercice des droits des appelants (accès, rectification, effacement, portabilité, opposition).
Le Client demeure le seul responsable de la qualification juridique des demandes et de la réponse à apporter aux appelants. Mankovoice apporte une assistance raisonnable lorsque l'exercice du droit nécessite une intervention technique sur sa plateforme.
10. Suppression ou restitution des données
À la cessation, pour quelque motif que ce soit, des CGV, et selon le choix du Client :
- Restitution : Mankovoice met à disposition du Client, pendant 30 jours, l'export de ses Contenus Client (comptes-rendus, transcriptions, base de connaissances) au format CSV ou JSON.
- Suppression : à l'issue de ce délai, Mankovoice supprime les Contenus Client de ses systèmes de production, sous réserve des obligations légales de conservation (notamment les données nécessaires à la facturation et à la comptabilité).
Les sauvegardes contenant éventuellement encore des Contenus Client sont conservées pour une durée limitée (90 jours maximum) avant rotation, dans des conditions de sécurité équivalentes.
11. Audits
Mankovoice met à disposition du Client toutes les informations raisonnablement nécessaires pour démontrer le respect des obligations du présent DPA (notamment documentation technique, certifications le cas échéant, audits tiers).
Le Client peut, à ses frais, à raison d'une fois par an au plus, et après préavis raisonnable d'au moins 30 jours, faire procéder à un audit par un tiers indépendant tenu au secret professionnel. Cet audit ne pourra porter atteinte à la disponibilité du Service ni à la confidentialité des données d'autres clients de Mankovoice.
12. Transferts hors UE
Certains sous-traitants ultérieurs peuvent traiter des données en dehors de l'EEE (notamment les fournisseurs de téléphonie et de modèles d'IA aux États-Unis). Ces transferts sont encadrés par les clauses contractuelles types approuvées par la Commission européenne (Décision 2021/914) et, lorsque le sous-traitant y est éligible, par l'EU-US Data Privacy Framework. Une analyse d'impact des transferts (TIA) a été conduite par Mankovoice et peut être partagée avec le Client sur demande motivée.
13. Responsabilité
Chaque partie est responsable du respect des obligations qui lui incombent en application du RGPD. La responsabilité de Mankovoice au titre du présent DPA est soumise à la limitation de responsabilité prévue à l'article « Responsabilité » des CGV.
Annexe 1 — Sous-traitants ultérieurs
| Sous-traitant | Service rendu | Localisation du traitement | Garanties de transfert |
|---|---|---|---|
| OVH SAS | Hébergement infrastructure (serveurs, base de données, file de tâches, cache) | UE (France) | Sans objet |
| Stockage objet compatible S3 | Stockage objet : enregistrements audio, documents importés, exports | UE | Sans objet (région UE) |
| Twilio Inc. | Fourniture des numéros et acheminement des appels téléphoniques | États-Unis | Clauses contractuelles types UE 2021/914 + Data Privacy Framework |
| ElevenLabs Inc. | Transcription (speech-to-text) et synthèse vocale (text-to-speech) | États-Unis | Clauses contractuelles types UE 2021/914 + Data Privacy Framework |
| Anthropic, PBC | Génération des comptes-rendus d'appels par modèle de langage (Claude) | États-Unis | Clauses contractuelles types UE 2021/914 + Data Privacy Framework |
| OpenAI, Inc. | Indexation de la base de connaissances (embeddings) | États-Unis | Clauses contractuelles types UE 2021/914 + Data Privacy Framework |
| Brevo (Sendinblue SAS) | Envoi des emails transactionnels (notifications, factures, alertes) | UE (France) | Sans objet |
La présente annexe est mise à jour au fil des évolutions du Service. La dernière version applicable est consultable à l'URL https://mankovoice.com/dpa.
Annexe 2 — Détail des mesures de sécurité
L'annexe 2 décrit les mesures de sécurité techniques et organisationnelles complémentaires à celles présentées au §6 (procédures internes, plan de continuité d'activité, gestion des correctifs de sécurité, sensibilisation interne). Cette annexe peut être communiquée sur demande au Client à contact@mankova-consulting.com.
Document édité par Trustelia pour le service Mankovoice.