Contrat de sous-traitance personnalisé

Pour les clients entreprise, nous sommes heureux de fournir un contrat de sous-traitance avec les coordonnées de votre société sur demande.

Faire une demande

Contrat de sous-traitance des données | Safina AI

Dernière mise à jour: 2025-04-26

Contrat de sous-traitance des données conformément à l’art. 28 du RGPD

Date : 26 avril 2025

Le présent contrat de sous-traitance des données (ci-après « CST ») s’applique entre l’utilisateur du service Safina AI, agissant en qualité de responsable du traitement au sens de l’art. 4, point 7, du RGPD (ci-après « donneur d’ordre » ou « client »),

et

DK Tech Solutions UG (haftungsbeschränkt) Schwanthalerstr. 141 80339 München (ci-après « sous-traitant »).

Préambule

Le présent CST fait partie intégrante des conditions d’utilisation du service Safina AI et régit les droits et obligations des parties dans le cadre du traitement de données à caractère personnel pour le compte du donneur d’ordre conformément à l’art. 28 du RGPD. Il s’applique à tous les donneurs d’ordre qui utilisent le service en qualité de professionnel et font traiter des données à caractère personnel par le sous-traitant. Le présent CST prend effet par l’acceptation des conditions d’utilisation de Safina AI par le donneur d’ordre et/ou par l’utilisation du service.

Dans ce contexte, les parties conviennent de ce qui suit :

I. Objet de la mission, champ d’application et responsabilité

L’objet de la présente mission découle des conditions d’utilisation de Safina AI et de la description des prestations du service.

Le sous-traitant traite des données à caractère personnel pour le compte du donneur d’ordre. Cela comprend les activités concrétisées dans les conditions d’utilisation et la description des prestations de Safina AI. Il s’agit notamment de la mise à disposition et de l’exploitation d’une messagerie vocale / d’un assistant téléphonique basé sur l’IA (Safina AI). Cela comprend entre autres :

  • La prise en charge des appels téléphoniques au nom du donneur d’ordre.
  • L’enregistrement des conversations téléphoniques (audio), pour autant que cette fonction soit explicitement activée par le donneur d’ordre (désactivée par défaut).
  • La transcription des conversations téléphoniques.
  • La création de résumés d’appels et d’analyses (p. ex. évaluation du sentiment, détection des tâches à accomplir).
  • La détection et le signalement des appels potentiellement indésirables (spam) ou de tentatives d’hameçonnage (phishing).
  • Le stockage des données d’appels (audio, transcription, métadonnées, résumés).
  • La mise à disposition des informations traitées pour le donneur d’ordre via l’application Safina AI et des notifications configurables (p. ex. push, e-mail).
  • La gestion des coordonnées et des paramètres de configuration du donneur d’ordre dans le cadre de la prestation de services.

Le donneur d’ordre est seul responsable, dans le cadre du présent contrat, du respect des dispositions légales en matière de protection des données, en particulier de la licéité du traitement des données (p. ex. information des appelants sur l’enregistrement, obtention des consentements nécessaires) et de la transmission des données au sous-traitant (« responsable du traitement » au sens de l’art. 4, point 7, du RGPD).

Les instructions sont initialement définies par les conditions d’utilisation et la configuration du service par le donneur d’ordre, et peuvent ensuite être modifiées, complétées ou remplacées par le donneur d’ordre sous forme écrite ou électronique (forme textuelle) par des instructions individuelles, dans la mesure où la fonctionnalité du service le permet. Les instructions verbales doivent être confirmées sans délai par écrit ou sous forme textuelle.

II. Durée de la mission

La durée de la présente mission (durée d’exécution) est liée à la durée d’utilisation du service Safina AI par le donneur d’ordre conformément aux conditions d’utilisation acceptées (p. ex. par le paiement actif d’un abonnement).

Le contrat reste en vigueur, nonobstant l’alinéa précédent, aussi longtemps que le sous-traitant traite des données à caractère personnel pour le compte du donneur d’ordre (y compris les sauvegardes techniques).

Dans la mesure où d’autres accords entre le donneur d’ordre et le sous-traitant contiennent des dispositions différentes relatives à la protection des données à caractère personnel, le présent contrat de sous-traitance prévaut, sauf convention expresse contraire des parties.

III. Précisions

Nature des données

Les types/catégories de données à caractère personnel suivants font l’objet de la collecte, du traitement et/ou de l’utilisation dans le cadre de la mise à disposition de Safina AI :

  • Données de communication : numéros de téléphone (appelants, donneur d’ordre), adresses e-mail (donneur d’ordre pour les notifications/la connexion), métadonnées d’appels (date, heure, durée).
  • Données audio : enregistrements vocaux des appels pris en charge par Safina AI (uniquement en cas d’activation par le donneur d’ordre).
  • Données de contenu : transcriptions de conversations, contenus des résumés d’appels, informations extraites (p. ex. tâches à accomplir, noms, si mentionnés dans la conversation).
  • Données d’identification des personnes : noms des appelants (si mentionnés dans la conversation ou transmis), nom et coordonnées des utilisateurs du donneur d’ordre.
  • Données d’analyse et d’évaluation : résultats de l’analyse de sentiment, classification des appels indésirables (spam).
  • Données de configuration : paramètres choisis par le donneur d’ordre (p. ex. voix, tonalité, règles de transfert, préférences de notification, statut d’activation de l’enregistrement audio).
  • Coordonnées du donneur d’ordre : coordonnées éventuellement déposées ou synchronisées par le donneur d’ordre dans Safina AI pour la gestion des règles d’appels.
  • Données utilisateur du donneur d’ordre : données de connexion, paramètres du profil utilisateur.

Catégories de personnes concernées

Le cercle des personnes concernées par le traitement de leurs données à caractère personnel dans le cadre de la présente mission comprend :

  • Appelants : personnes qui contactent le donneur d’ordre par téléphone et dont l’appel est pris en charge par Safina AI.
  • Collaborateurs/utilisateurs du donneur d’ordre : personnes qui utilisent et gèrent le service Safina AI pour le compte du donneur d’ordre.
  • Contacts du donneur d’ordre : personnes dont les coordonnées sont éventuellement déposées ou synchronisées par le donneur d’ordre dans Safina AI à des fins de configuration.

Lieu du traitement et confidentialité

Le traitement des données est effectué exclusivement dans un État membre de l’Union européenne ou dans un autre État partie à l’Accord sur l’Espace économique européen (en particulier l’Allemagne). Tout transfert vers un pays tiers nécessite le consentement préalable du donneur d’ordre et ne peut avoir lieu que si les conditions particulières des art. 44 à 50 du RGPD sont remplies (p. ex. par des clauses contractuelles types). Le donneur d’ordre ne peut refuser son consentement de manière déraisonnable.

Les parties contractantes s’engagent à garder le secret sur l’ensemble des secrets d’affaires et secrets commerciaux de l’autre partie, à les traiter de manière strictement confidentielle et à ne pas les divulguer à des tiers, sauf si l’autre partie contractante donne expressément son consentement écrit préalable ou s’il existe une obligation légale de divulgation. Cette obligation de confidentialité concerne toutes les informations non publiques dont les parties contractantes prennent connaissance dans le cadre de l’exécution de la collaboration.

Le sous-traitant traite les données à caractère personnel exclusivement dans le cadre des instructions du donneur d’ordre et des dispositions des conditions d’utilisation. Il est interdit au sous-traitant d’utiliser les données à d’autres fins que celles convenues, en particulier de les analyser à ses propres fins ou de les divulguer à des tiers non autorisés. Le sous-traitant garantit que les données à caractère personnel traitées pour le compte du donneur d’ordre, en particulier les enregistrements audio et les transcriptions, ne sont pas utilisées pour l’entraînement de modèles d’IA propres ou tiers.

IV. Mesures techniques et organisationnelles

Le sous-traitant prend, dans son domaine de responsabilité, toutes les mesures techniques et organisationnelles nécessaires conformément à l’art. 32 du RGPD pour assurer une protection adéquate des données à caractère personnel, en tenant compte de la nature, de la portée, des circonstances et des finalités du traitement ainsi que de la probabilité et de la gravité variables des risques pour les droits et libertés des personnes physiques. Une description des mesures techniques et organisationnelles actuelles est mise à disposition du donneur d’ordre sur demande ou en annexe du présent accord.

Les mesures techniques et organisationnelles convenues sont soumises au progrès technique et à l’évolution. Le sous-traitant est autorisé à mettre en œuvre des mesures alternatives adéquates. Le niveau de sécurité des mesures définies ne doit pas être abaissé. Le sous-traitant documentera les modifications substantielles et les communiquera au donneur d’ordre sur demande.

V. Droits des personnes concernées

Le sous-traitant assiste le donneur d’ordre, dans son domaine de responsabilité et dans la mesure du possible, par des mesures techniques et organisationnelles appropriées, dans l’accomplissement de ses obligations de répondre aux demandes d’exercice des droits des personnes concernées (art. 12 à 23 du RGPD).

Le sous-traitant ne peut rectifier, supprimer ou limiter le traitement des données traitées pour le compte du donneur d’ordre de sa propre initiative, mais uniquement sur instruction documentée du donneur d’ordre. Si une personne concernée (en particulier un appelant) s’adresse directement au sous-traitant à ce sujet, ce dernier transmettra cette demande sans délai au donneur d’ordre.

Dans la mesure où la fourniture de renseignements, la suppression, la limitation ou la portabilité des données relèvent du périmètre des prestations et peuvent être effectuées par le donneur d’ordre lui-même via les fonctionnalités de Safina AI, cela incombe au donneur d’ordre. Dans les autres cas, le sous-traitant apporte son assistance sur instruction.

VI. Assurance qualité et autres obligations du sous-traitant

Le sous-traitant est tenu, en plus du respect des dispositions du présent contrat, de respecter ses propres obligations légales en vertu du RGPD ; à cet égard, il garantit notamment le respect des exigences suivantes :

Le respect de la confidentialité conformément à l’art. 28, al. 3, phrase 2, point b), art. 29, art. 32, al. 4 du RGPD. Le sous-traitant n’emploie pour l’exécution des travaux que des collaborateurs tenus à la confidentialité et préalablement informés des dispositions pertinentes en matière de protection des données. Le sous-traitant et toute personne placée sous son autorité ayant accès aux données à caractère personnel ne peuvent traiter ces données que conformément aux instructions du donneur d’ordre, sauf s’ils y sont tenus par le droit de l’Union ou des États membres.

Le donneur d’ordre et le sous-traitant coopèrent, sur demande, avec l’autorité de contrôle dans l’exercice de ses missions.

L’information sans délai du donneur d’ordre concernant les contrôles et mesures de l’autorité de contrôle, dans la mesure où ils se rapportent au présent contrat. Cela s’applique également dans la mesure où une autorité compétente mène une enquête dans le cadre d’une procédure pour infraction administrative ou pénale relative au traitement de données à caractère personnel dans le cadre de la sous-traitance auprès du sous-traitant.

Dans la mesure où le donneur d’ordre est lui-même soumis à un contrôle de l’autorité de contrôle, à une procédure pour infraction administrative ou pénale, à une demande en responsabilité d’une personne concernée ou d’un tiers, ou à toute autre prétention en rapport avec la sous-traitance par le sous-traitant, ce dernier doit l’assister au mieux dans la mesure nécessaire.

Le sous-traitant contrôle régulièrement les processus internes ainsi que les mesures techniques et organisationnelles afin de garantir que le traitement dans son domaine de responsabilité est conforme aux exigences du droit applicable en matière de protection des données et que la protection des droits des personnes concernées est assurée.

Démonstration des mesures techniques et organisationnelles prises vis-à-vis du donneur d’ordre dans le cadre de ses pouvoirs de contrôle prévus à l’article VIII du présent contrat (p. ex. par des certifications, attestations, rapports ou auto-évaluations appropriés).

Le sous-traitant assiste le donneur d’ordre dans le respect de ses obligations en vertu des art. 33 et 34 du RGPD (notification des violations de données à caractère personnel). Le sous-traitant signale sans délai au donneur d’ordre les violations de la protection des données à caractère personnel traitées dans le cadre de la présente mission, dès qu’il en a connaissance. La notification contient au minimum les informations requises par l’art. 33, al. 3 du RGPD.

Le sous-traitant assiste le donneur d’ordre dans le respect de ses obligations d’information envers les personnes concernées et lui fournit les informations nécessaires relatives au traitement effectué par le sous-traitant.

Dans la mesure où le donneur d’ordre est tenu de réaliser une analyse d’impact relative à la protection des données conformément à l’art. 35 du RGPD concernant l’utilisation de Safina AI, le sous-traitant l’assiste en lui fournissant les informations nécessaires dont il dispose. Il en va de même pour une éventuelle obligation de consultation de l’autorité de contrôle conformément à l’art. 36 du RGPD.

Le présent contrat ne dispense pas le sous-traitant du respect des autres dispositions du RGPD.

VII. Relations de sous-traitance ultérieure

Le sous-traitant est autorisé à faire appel à des sous-traitants ultérieurs pour fournir la prestation contractuellement due (relations de sous-traitance ultérieure). Sont considérées comme relations de sous-traitance ultérieure au sens de la présente disposition les prestations de services qui se rapportent directement à la fourniture de la prestation principale (service Safina AI). Cela comprend notamment les prestataires d’hébergement, les fournisseurs de modèles d’IA pour la transcription ou l’analyse, et les prestataires de services de communication.

Le sous-traitant informe le donneur d’ordre de tout recours prévu à un sous-traitant ultérieur ou de tout changement de sous-traitant ultérieur. Une liste actualisée des sous-traitants ultérieurs utilisés, indiquant leur lieu d’établissement et la prestation fournie, est mise à la disposition du donneur d’ordre séparément (p. ex. sur le site internet du sous-traitant ou en annexe). Le donneur d’ordre a le droit de s’opposer, pour un motif important lié à la protection des données, au recours à un sous-traitant ultérieur ou à son changement. L’opposition doit être formulée par écrit ou sous forme textuelle auprès du sous-traitant dans un délai de 14 jours à compter de la réception de l’information. Si le donneur d’ordre ne s’oppose pas dans ce délai, le recours au sous-traitant ultérieur est réputé approuvé.

Le sous-traitant veille à ce qu’un accord contractuel conforme à l’art. 28, al. 2 à 4 du RGPD soit conclu avec chaque sous-traitant ultérieur, reprenant pour l’essentiel les obligations découlant du présent accord, en particulier en ce qui concerne les mesures techniques et organisationnelles et la confidentialité.

La transmission de données à caractère personnel du donneur d’ordre au sous-traitant ultérieur et le début de son activité ne sont autorisés que lorsque l’engagement du sous-traitant ultérieur conformément à l’art. 28, al. 4 du RGPD a été effectué.

Si le sous-traitant ultérieur fournit la prestation convenue en dehors de l’UE/EEE, le sous-traitant assure la licéité du transfert au regard de la protection des données par des garanties appropriées conformément aux art. 44 et suivants du RGPD (p. ex. clauses contractuelles types de l’UE), en l’absence de décision d’adéquation. Le sous-traitant vérifie régulièrement le respect des obligations par le sous-traitant ultérieur.

Toute sous-traitance ultérieure par le sous-traitant ultérieur (sous-sous-traitance) nécessite l’accord préalable du sous-traitant et, le cas échéant, l’information du donneur d’ordre selon la procédure décrite ci-dessus.

VIII. Droits de contrôle du donneur d’ordre

Le donneur d’ordre a le droit de contrôler, dans la mesure nécessaire, le respect des dispositions légales en matière de protection des données et des accords contractuels par le sous-traitant, ou de le faire contrôler par des vérificateurs à désigner au cas par cas.

Le sous-traitant s’engage à fournir au donneur d’ordre, sur demande écrite et dans un délai raisonnable, toutes les informations et preuves nécessaires à la réalisation du contrôle. Cela peut notamment se faire par la présentation d’attestations, de rapports d’organismes indépendants, d’auto-évaluations ou de certifications appropriées.

Des inspections sur site chez le sous-traitant sont possibles après un préavis raisonnable (en règle générale au moins 10 jours ouvrables) pendant les heures normales de bureau et sans perturber le fonctionnement de l’entreprise. Le sous-traitant est en droit de facturer un remboursement raisonnable des frais engagés, sauf si l’inspection est motivée par un soupçon concret de violation de la protection des données par le sous-traitant.

IX. Pouvoir d’instruction du donneur d’ordre

Le sous-traitant ne traite les données à caractère personnel que dans le cadre des dispositions du présent contrat et conformément aux instructions documentées du donneur d’ordre, à moins qu’il ne soit tenu au traitement par le droit de l’Union ou des États membres (art. 28, al. 3, phrase 2, point a) du RGPD). Les instructions initiales résultent des conditions d’utilisation et de l’utilisation/configuration de Safina AI par le donneur d’ordre.

Le sous-traitant informe sans délai le donneur d’ordre s’il estime qu’une instruction enfreint le RGPD ou d’autres dispositions en matière de protection des données de l’Union ou des États membres. Le sous-traitant est en droit de suspendre l’exécution de l’instruction concernée tant qu’elle n’a pas été confirmée ou modifiée par le donneur d’ordre.

X. Suppression et restitution des données à caractère personnel

À la fin de l’utilisation du service par le donneur d’ordre (p. ex. par résiliation de l’abonnement) ou à tout moment sur instruction du donneur d’ordre, le sous-traitant est tenu, au choix du donneur d’ordre, soit de supprimer de manière conforme à la protection des données, soit de restituer au donneur d’ordre, l’ensemble des données à caractère personnel faisant l’objet du présent contrat de sous-traitance et se trouvant sous son contrôle, sauf si des obligations légales de conservation ou des intérêts légitimes du sous-traitant s’opposent à la suppression.

La suppression inclut toutes les copies existantes, y compris les copies de sauvegarde techniques (backups), la suppression des sauvegardes étant effectuée dans le cadre des possibilités techniques et des cycles de sauvegarde habituels.

Le sous-traitant confirme au donneur d’ordre, sur demande, la suppression ou la restitution effectuée par écrit.

XI. Responsabilité

La responsabilité des parties en cas de violation de la protection des données est régie par les dispositions légales, en particulier l’art. 82 du RGPD. Le donneur d’ordre et le sous-traitant sont responsables envers les personnes concernées conformément aux dispositions de l’art. 82 du RGPD.

XII. Exigence de forme écrite, clause de sauvegarde

Les modifications et compléments au présent contrat de sous-traitance et à l’ensemble de ses composantes doivent être faits par écrit (la forme textuelle conformément au § 126b BGB est suffisante). Cela s’applique également à la renonciation à cette exigence de forme. Les accords verbaux accessoires sont inexistants.

Le présent contrat de sous-traitance est soumis au droit allemand, à l’exclusion de la Convention des Nations Unies sur les contrats de vente internationale de marchandises.

Si certaines dispositions du présent contrat de sous-traitance devaient être ou devenir nulles en tout ou en partie, la validité des autres dispositions n’en serait pas affectée. Les parties s’engagent à remplacer la disposition nulle par une disposition valable se rapprochant le plus possible de l’objectif économique de la disposition nulle. Il en va de même pour les éventuelles lacunes contractuelles.

Pour le sous-traitant :

München

DK Tech Solutions UG (haftungsbeschränkt) David Schemm & Karsten Kreh, gérants

Version faisant foi

Le présent document est une traduction fournie à titre informatif uniquement. En cas de divergence entre cette traduction et l’original en allemand, la version allemande prévaudra.