Accord de traitement des données
Dernière mise à jour : 3 avril 2026
1. Parties
Responsable du traitement : Vous (« Client ») — le déployeur d'IA, l'agence ou la plateforme utilisant les services Audact.
Sous-traitant : Audact Ltd (« Audact ») — traitant les métadonnées d'interaction en votre nom.
2. Portée du traitement
Catégories de données : Métadonnées d'appels (horodatages, identifiants de juridiction, décisions de politique, résultats de validation, empreintes de preuves, registres de consentement).
Non traité : Contenu des conversations, enregistrements audio, données à caractère personnel au-delà de ce qui est nécessaire à la validation de conformité. Toutes les données à caractère personnel sont chiffrées avec des clés par personne concernée et soumises au chiffrement destructeur sur demande d'effacement.
Finalité : Validation de conformité, génération de preuves et maintenance de la piste d'audit selon les instructions du Client.
3. Sous-traitants ultérieurs
Tous les tiers qui traitent des données au nom d'Audact ou de nos clients. Cette liste est tenue à jour conformément à l'article 28 du RGPD.
| Sous-traitant | Finalité | Données traitées | Localisation |
|---|---|---|---|
| AWS (Francfort) | Hébergement d'infrastructure | Toutes les données de la plateforme | UE (Francfort) |
| Cloudflare | CDN, DNS, protection DDoS | Métadonnées de requêtes | UE + edge mondial |
| Telnyx | Téléphonie SIP | Audio d'appel en transit, métadonnées téléphoniques | PoPs UE — CCT |
| LiveKit Cloud | Transport WebRTC, détection de tour de parole | Audio en transit (sans conservation) | Région UE |
| Deepgram Nova-3 | Reconnaissance vocale (par défaut) | Audio en transit (sans conservation configurée) | US (endpoint UE) — CCT |
| ElevenLabs Flash | Synthèse vocale (par défaut) | Texte généré par LLM | US/UE — CCT |
| OpenAI / Anthropic | Inférence LLM (GPT-4o-mini par défaut, Claude Sonnet premium) | Texte conversationnel (sans conservation configurée) | US (endpoint UE si disponible) — CCT |
| Google Workspace | E-mail, documents | Communications professionnelles | US/UE — CCT |
| Slack | Communications internes | Messages internes | US — CCT |
| Notion | Wiki / gestion de projet | Données opérationnelles internes | US — CCT |
| 1Password | Gestion des identifiants | Identifiants chiffrés | Canada/UE |
| Stripe (lors de la mise en ligne) | Traitement des paiements | Données de facturation | US/IE — CCT |
Les sous-traitants basés aux États-Unis opèrent sous des Clauses Contractuelles Types (CCT) comme mécanisme de transfert conformément au chapitre V du RGPD.
Nous vous informerons 30 jours avant d'ajouter ou de remplacer un sous-traitant. Vous pouvez vous y opposer dans les 14 jours.
Dernière mise à jour : 12 avril 2026
4. Résidence des données
Toutes les données de conformité des clients (métadonnées d'interaction, chaînes de preuves, journaux d'audit) sont stockées et traitées exclusivement au sein de l'Espace économique européen (EEE) sur AWS eu-central-1 (Francfort).
Certains sous-traitants listés ci-dessus sont basés aux États-Unis et traitent des données opérationnelles limitées sous Clauses Contractuelles Types (CCT). Aucune donnée de conformité des clients ne quitte l'EEE.
5. Mesures de sécurité (RGPD art. 32)
- Chiffrement au repos (AES-256) et en transit (TLS 1.3)
- Clés de chiffrement par personne concernée pour les données à caractère personnel (capacité de chiffrement destructeur)
- Chaînes de hachage SHA-256 pour l'intégrité des preuves
- Contrôle d'accès basé sur les rôles (RBAC)
- SOC 2 Type II prévu pour 2027
- Tests de pénétration réguliers et analyse de vulnérabilités
6. Droits des personnes concernées
Audact assiste le Client dans le traitement des demandes des personnes concernées (accès, rectification, effacement, portabilité) dans les 72 heures suivant la notification. L'effacement est mis en œuvre par chiffrement destructeur : la clé de chiffrement par personne concernée est détruite, rendant les données personnelles définitivement illisibles tout en préservant l'intégrité de la chaîne de preuves.
7. Notification de violation
Audact informera le Client de toute violation de données personnelles dans les 36 heures suivant sa découverte. La notification inclut : la nature de la violation, les catégories de données affectées, le nombre approximatif d'enregistrements, les conséquences probables et les mesures prises.
8. Durée et résiliation
Le présent ATD est en vigueur pendant la durée du contrat de service. À la résiliation, Audact supprimera ou restituera toutes les données du Client dans les 30 jours, sauf si la conservation est requise par la loi (exigences de conservation des preuves de l'Acte sur l'IA de l'UE).
9. Contact
Demandes relatives à l'ATD : dpo@audact.ai