Commencez aujourd'hui
Découvrez comment Elba gère les appels, WhatsApp et SMS pour les équipes réglementées. Réservez une présentation de 30 minutes, sans engagement.
Valide à partir du : 11 mars 2026
Le présent Accord de Traitement des Données (« DPA ») est conclu entre Kolsetu GmbH (« Sous-traitant ») et le Client (« Responsable du traitement ») conformément à l'art. 28 du RGPD et fait partie intégrante du Contrat de fourniture de la plateforme Elba AI et des services associés (« Accord »). Ce DPA s'applique aux clients d'entreprise et aux clients en libre-service de la plateforme Elba.
Note sur la portée : Ce DPA régit le traitement par Kolsetu des Données personnelles du Client en sa qualité de Sous-traitant. Kolsetu traite également les données personnelles des utilisateurs de la plateforme (administrateurs et opérateurs) en sa qualité de Responsable du traitement ; ce traitement est décrit dans la Politique de confidentialité des produits Kolsetu disponible sur la page d'accueil (www.kolsetu.com).
Le Responsable du traitement détermine les finalités et les moyens du traitement décrits dans les présentes. Le Sous-traitant traite les données personnelles uniquement sur les instructions documentées du Responsable du traitement et à aucune autre fin.
Les termes en majuscules utilisés mais non définis dans ce DPA ont les significations qui leur sont données dans les Conditions Générales, les Conditions de Service Elba applicables (Conditions de Service Entreprise ou Conditions de Service Libre-Service, selon le cas) et, lorsqu'un Bon de Commande a été exécuté, le Bon de Commande.
Dans ce DPA, les termes suivants ont les significations indiquées ci-dessous. Les termes non définis ici ont les significations données à l'art. 4 du RGPD ou dans l'Accord.
Terme | Définition |
Accord | Le Contrat entre les parties pour la fourniture des Services, comprenant les CG, les Conditions de Service Entreprise Elba et le Bon de Commande. |
Données personnelles du Client | Toutes données personnelles que le Sous-traitant traite pour le compte du Responsable du traitement conformément à l'Accord. |
Lois sur la protection des données | RGPD ; la loi fédérale allemande sur la protection des données (BDSG) ; le RGPD du Royaume-Uni et le Data Protection Act 2018 ; le Privacy Act 1988 australien ; et les lois américaines applicables au niveau des États et fédérales sur la vie privée (y compris le CCPA), chacune telle que modifiée de temps à autre et uniquement dans la mesure où elles sont applicables. |
RGPD | Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016. |
Violation de données personnelles | Une violation de la sécurité entraînant la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès accidentel ou illégal à des Données personnelles du Client transmises, stockées ou autrement traitées par le Sous-traitant, telle que définie à l'art. 4(12) du RGPD. |
Services | La plateforme Elba AI et tous les services associés fournis par le Sous-traitant dans le cadre de l'Accord. |
Sous-traitant | Tout sous-traitant de données engagé par le Sous-traitant pour traiter les Données personnelles du Client. |
TOMs | Les mesures techniques et organisationnelles décrites à l'Annexe 2. |
Cadre de protection des données | Le Cadre de protection des données UE-États-Unis établi par la décision de la Commission (UE) 2023/1795. |
2.1 Rôles. Les parties reconnaissent que le Responsable du traitement agit en tant que responsable du traitement des données et que le Sous-traitant agit en tant que sous-traitant des données au sens des lois applicables sur la protection des données. Le Sous-traitant traite les Données personnelles du Client uniquement pour le compte du Responsable du traitement.
2.2 Instructions. Le Responsable du traitement donne instruction au Sous-traitant de traiter les Données personnelles du Client dans la mesure nécessaire à la fourniture des Services et à l'exécution de ses droits et obligations en vertu de l'Accord. Les instructions sont initialement énoncées dans ce DPA et peuvent être modifiées ultérieurement par le Responsable du traitement par écrit.
2.3 CCPA. En ce qui concerne les Données personnelles du Client qui constituent des « informations personnelles » aux fins du California Consumer Privacy Act (« CCPA »), le Sous-traitant ne doit pas : (a) vendre ou partager les informations personnelles ; (b) conserver, utiliser ou divulguer les informations personnelles à d'autres fins que les finalités commerciales spécifiées dans l'Accord ou autrement autorisées par le CCPA ; (c) conserver, utiliser ou divulguer les informations personnelles en dehors de la relation commerciale directe entre le Sous-traitant et le Responsable du traitement ; ou (d) combiner les informations personnelles reçues du Responsable du traitement avec des informations personnelles reçues ou collectées auprès d'autres sources, sauf autorisation par le CCPA. Le Sous-traitant certifie qu'il comprend et respectera ces restrictions.
Le Sous-traitant traite les Données personnelles du Client pendant la durée de l'Accord, ou jusqu'à ce que le Responsable du traitement donne des instructions contraires, uniquement dans le but de fournir les Services.
Le Sous-traitant traite les Données personnelles du Client dans le cadre de :
La fourniture et l'exploitation de la plateforme d'automatisation vocale Elba AI
Le traitement des interactions vocales, la génération de transcriptions et la fourniture d'analyses de conversation
L'orchestration omnicanale (voix, chat, e-mail, SMS, WhatsApp) pour le compte du Responsable du traitement
Les intégrations avec les systèmes d'entreprise du Responsable du traitement, y compris les CRM, ERP, la téléphonie et les plateformes de communication, via des connecteurs natifs, une API REST et un framework de webhook, tels que configurés par le Responsable du traitement
La gestion des comptes utilisateurs, le contrôle d'accès et l'authentification
La surveillance de la sécurité, la prévention de la fraude et la gestion des incidents
Le support client et le dépannage technique
Selon le cas d'utilisation et la configuration du Responsable du traitement, le Sous-traitant peut traiter :
Les informations de contact (nom, numéro de téléphone, adresse e-mail)
Les enregistrements vocaux et les données audio dérivées
Les transcriptions de conversation et les journaux d'interaction
Les dossiers de service client et les données de cas
Les identifiants de compte et les données d'authentification
Les données d'utilisation, les journaux de session et les métadonnées d'activité
Les données provenant des systèmes d'entreprise intégrés tels que configurés par le Responsable du traitement
Les personnes concernées peuvent inclure :
Les clients finaux du Responsable du traitement qui interagissent avec la plateforme Elba
Les employés du Responsable du traitement et les utilisateurs autorisés de la plateforme
D'autres personnes dont les données sont traitées via des intégrations configurées par le Responsable du traitement
Le Sous-traitant traite les catégories particulières de données personnelles (art. 9 RGPD) uniquement sur les instructions documentées du Responsable du traitement. Le Responsable du traitement est seul responsable de s'assurer que toute soumission de données de catégories particulières à la plateforme est soutenue par une base juridique valide en vertu de l'art. 9 du RGPD, que toutes les conditions requises sont remplies et que des garanties appropriées sont en place avant la soumission. Le Sous-traitant applique les mêmes mesures techniques et organisationnelles aux données de catégories particulières qu'à toutes les autres Données personnelles du Client.
Les Données personnelles du Client sont transférées au Sous-traitant périodiquement pendant la durée de l'Accord, en fonction de la manière dont le Responsable du traitement utilise les Services.
4.1.1 Traiter les Données personnelles du Client uniquement sur les instructions documentées du Responsable du traitement, sauf si la loi applicable l'exige. Dans de tels cas, le Sous-traitant informe le Responsable du traitement avant le traitement, sauf si cela est interdit par la loi.
4.1.2 Si le Sous-traitant estime qu'une instruction enfreint les lois sur la protection des données, il informe immédiatement le Responsable du traitement de ses préoccupations juridiques et peut suspendre l'instruction en attendant sa résolution.
4.2.1 S'assurer que tout le personnel autorisé à traiter les Données personnelles du Client est lié par des obligations de confidentialité appropriées (contractuelles ou statutaires) et reçoit une formation pertinente sur la protection des données.
4.3.1 Mettre en œuvre et maintenir des mesures techniques et organisationnelles appropriées (TOMs) telles que décrites à l'Annexe 2 pour garantir un niveau de sécurité adapté au risque, y compris tel que requis par l'art. 32 du RGPD. Le Sous-traitant peut mettre à jour les TOMs de temps à autre à condition que de telles mises à jour n'entraînent pas une dégradation du niveau de sécurité global.
4.4.1 Ne pas engager de nouveau sous-traitant ni modifier matériellement le rôle d'un sous-traitant existant sans avoir préalablement informé par écrit le Responsable du traitement (préavis minimum de 30 jours ouvrables). La liste des sous-traitants à la Section 6 de cet ISA constitue le registre faisant foi et à jour des sous-traitants approuvés.
4.4.2 S'assurer que tout sous-traitant engagé est lié par des obligations de protection des données au moins aussi protectrices que celles du présent ISA, par contrat ou par un autre acte juridique. Le Sous-traitant reste pleinement responsable de l'exécution des obligations de protection des données de ses sous-traitants.
4.5.1 Exclusion de la formation IA. Ni le Sous-traitant ni aucun de ses sous-traitants n'utiliseront les Données personnelles du Client – y compris les enregistrements vocaux, les transcriptions, les données de conversation ou toute donnée en dérivant – pour former, affiner ou améliorer tout modèle d'IA ou d'apprentissage automatique à usage général. Cette restriction s'applique, que les données aient été pseudonymisées ou non. Le Sous-traitant s'assurera que des restrictions équivalentes sont imposées contractuellement à tous les sous-traitants IA.
4.5.2 Minimisation des données pour l'inférence IA. Lorsque des Données personnelles du Client sont transmises à des sous-traitants IA pour un traitement d'inférence, le Sous-traitant s'assurera que seules les données minimales nécessaires à la requête d'inférence spécifique sont transmises. Les sous-traitants IA ne conserveront pas les Données personnelles du Client au-delà de la durée de la session d'inférence, sauf si la loi applicable l'exige.
4.5.3 Données biométriques. Le Sous-traitant ne dérive pas d'identifiants biométriques ou d'empreintes vocales à partir des enregistrements vocaux traités via la plateforme Elba et ne traite pas les enregistrements vocaux en tant que données biométriques au sens de l'article 9 du RGPD ou des dispositions équivalentes en vertu des lois applicables sur la protection des données. Les enregistrements vocaux sont traités uniquement aux fins de transcription, d'analyse d'intention et d'analyse de conversation telles que décrites à l'Annexe I-B.
4.6.1 Aider le Responsable du traitement à s'acquitter de ses obligations de répondre aux demandes des personnes concernées en vertu du Chapitre III du RGPD (droits d'accès, de rectification, d'effacement, de restriction, de portabilité et d'opposition). Les demandes reçues directement par le Sous-traitant de la part des personnes concernées seront transmises au Responsable du traitement sans retard indu et en tout état de cause dans un délai de cinq (5) jours ouvrables. Le Sous-traitant ne répondra pas directement aux demandes des personnes concernées sans l'autorisation préalable du Responsable du traitement, sauf s'il y est légalement contraint.
4.7.1 Aider le Responsable du traitement à garantir la conformité aux articles 32 à 36 du RGPD (sécurité, notification de violation, analyses d'impact relatives à la protection des données et consultation préalable des autorités de contrôle), en tenant compte de la nature du traitement et des informations disponibles pour le Sous-traitant.
4.7.2 Lorsque le Responsable du traitement est tenu de fournir des informations à une autorité de contrôle compétente, fournir une assistance raisonnable au Responsable du traitement, aux frais de ce dernier, en fournissant ces informations dans la mesure où elles sont en possession du Sous-traitant.
4.8 Retour et suppression des données
4.8.1 Au choix du Responsable du traitement, supprimer ou retourner toutes les Données personnelles du Client à la résiliation des Services et supprimer les copies existantes, sauf si le droit de l'Union ou d'un État membre impose une conservation. La suppression sera effectuée dans les 30 jours suivant la résiliation ou l'instruction du Responsable du traitement. Une confirmation écrite de la suppression est disponible sur demande.
4.9.1 Mettre à la disposition du Responsable du traitement toutes les informations raisonnablement nécessaires pour démontrer la conformité à l'article 28 du RGPD. Le Responsable du traitement fournira un préavis écrit raisonnable pour tout audit demandé (au moins 30 jours ouvrables, sauf en cas de suspicion de violation). Les audits n'auront lieu qu'une fois par an et par l'un des moyens suivants : (a) le Sous-traitant fournissant une copie de ses rapports d'audit actuels préparés par des auditeurs indépendants tiers (par exemple, certification ISO 27001, SOC 2 Type II) ; (b) le Sous-traitant fournissant des réponses écrites à des questionnaires de sécurité de l'information ; ou (c) le Responsable du traitement chargeant une inspection dirigée des mesures techniques et organisationnelles convenues, dont les résultats seront partagés par le Sous-traitant sous forme de résumé.
5.1 Se conformer à toutes les lois applicables sur la protection des données concernant les Données personnelles du Client. Le Responsable du traitement n'utilisera pas les Services d'une manière qui viole les lois sur la protection des données.
5.2 Représenter et garantir qu'il dispose d'une base juridique valide en vertu de l'article 6 du RGPD (et de l'article 9 le cas échéant) pour toutes les données personnelles soumises au Sous-traitant, et pour tout transfert de Données personnelles du Client au Sous-traitant. Le Responsable du traitement informera immédiatement le Sous-traitant de tout changement dans les bases juridiques du traitement.
5.3 S'assurer que toutes les notifications requises ont été faites, et le cas échéant, tous les consentements requis ont été obtenus des personnes concernées en relation avec le traitement effectué dans le cadre du présent ISA.
5.4 Avoir la responsabilité exclusive de l'exactitude, de la qualité et de la légalité des Données personnelles du Client et des moyens par lesquels le Responsable du traitement les acquiert.
5.5 Informer rapidement le Sous-traitant de toute demande ou plainte reçue d'une personne concernée ou d'une autorité de contrôle concernant le traitement des Données personnelles du Client dans le cadre du présent ISA.
5.6 Consentement général aux sous-traitants. Le Responsable du traitement donne une autorisation écrite générale au Sous-traitant pour engager des sous-traitants et des affiliés du Sous-traitant dans le traitement des Données personnelles du Client, sous réserve de la procédure de notification et d'objection à la Section 6.
6.1 La liste faisant foi des sous-traitants engagés par le Sous-traitant à la date d'entrée en vigueur du présent ISA est définie à l'Annexe I-C. Tout changement de sous-traitant est soumis à la procédure de notification et d'objection des clauses 6.2 et 6.3, et entraîne la publication d'une nouvelle version de l'Annexe I-C adressée au Responsable du traitement.
6.2 Le Sous-traitant fournira un préavis écrit d'au moins 30 jours ouvrables pour tout ajout ou remplacement prévu de sous-traitants. Le Responsable du traitement peut, dans un délai de 10 jours ouvrables suivant la réception de cet avis, s'opposer à un sous-traitant nouveau ou de remplacement pour des motifs substantiels de protection des données (« Raisons légitimes »). Si le Responsable du traitement ne notifie pas d'objection dans ce délai, il est réputé avoir accepté le nouveau sous-traitant.
6.3 Si le Responsable du traitement soulève une objection, le Sous-traitant travaillera de bonne foi avec le Responsable du traitement pour répondre aux Raisons légitimes. Si les parties ne parviennent pas à un accord dans les 20 jours ouvrables suivant la réception de l'objection par le Sous-traitant, le Responsable du traitement pourra, par notification écrite, résilier les composantes du service qui nécessitent l'utilisation du sous-traitant proposé.
6.4 Le Sous-traitant reste pleinement responsable envers le Responsable du traitement de la performance en matière de protection des données de tous les sous-traitants.
6.5 Fournisseurs d'IA fournis par le client. Lorsque le Responsable du traitement configure les Services pour utiliser des fournisseurs de modèles d'IA tiers sous ses propres comptes et accords (y compris, mais sans s'y limiter, les clés API LLM auto-fournies), le Responsable du traitement est seul responsable de la conformité aux lois applicables sur la protection des données concernant ces fournisseurs, y compris la conclusion de tout accord de traitement de données requis. Ces fournisseurs ne sont pas des sous-traitants du Sous-traitant et ne sont pas couverts par le présent ISA.
7.1 Tout traitement d'inférence IA des Données personnelles du Client a lieu exclusivement via le service Azure OpenAI au sein de la région Azure UE. Le Sous-traitant s'assurera que tout transfert de Données personnelles du Client vers des pays tiers (hors EEE) est conforme au Chapitre V du RGPD en s'appuyant sur : (a) une décision d'adéquation de la Commission européenne ; (b) des clauses contractuelles types de l'UE (Décision 2021/914 de la Commission) ; ou (c) pour les fournisseurs américains auto-certifiés dans le cadre du Cadre de protection des données, le Cadre de protection des données tel que défini par la Décision (UE) 2023/1795 de la Commission.
7.2 Prévalence des mécanismes de transfert. Lorsque plusieurs mécanismes de transfert sont applicables, les transferts seront soumis aux mécanismes dans l'ordre de prévalence suivant : (a) le Cadre de protection des données ; (b) les clauses contractuelles types de l'UE ; (c) d'autres mécanismes de transfert alternatifs autorisés par la loi applicable.
7.3 Des analyses d'impact sur les transferts (AIT) sont réalisées par le Sous-traitant pour tous les transferts vers des sous-traitants de pays tiers. La documentation AIT est disponible pour le Responsable du traitement sur demande écrite.
Le Sous-traitant met en œuvre et maintient des mesures techniques et organisationnelles appropriées pour protéger les Données personnelles du Client contre la destruction, la perte, l'altération, la divulgation ou l'accès non autorisé, accidentels ou illégaux. Les détails complets sont exposés à l'Annexe 2. Les mesures clés comprennent :
Chiffrement des Données personnelles du Client en transit et au repos à l'aide d'algorithmes standard de l'industrie
Contrôles d'accès basés sur les rôles et authentification multifacteur pour tout accès privilégié
Isolation logique des locataires – les données de chaque client sont traitées dans un environnement dédié et logiquement isolé
Tests de pénétration réguliers et gestion continue des vulnérabilités par des fournisseurs qualifiés
Procédures documentées de détection, de réponse et d'escalade des incidents
Formation du personnel à la protection des données et vérification appropriée des antécédents
Dispositions de continuité des activités et de reprise après sinistre, testées au moins une fois par an
Surveillance des sous-traitants garantissant des normes de protection des données équivalentes tout au long de la chaîne d'approvisionnement
9.1 En cas de violation de données personnelles, le Sous-traitant en informera le Responsable du traitement sans retard indu, et en tout état de cause dans les 48 heures suivant sa prise de connaissance.
9.2 La notification doit inclure, dans la mesure de ce qui est connu : la nature de la violation ; les catégories et le nombre approximatif de personnes concernées ; les catégories et le nombre approximatif d'enregistrements concernés ; les conséquences probables ; et les mesures prises ou proposées. Lorsque des informations complètes ne sont pas disponibles dans la notification initiale, elles seront fournies par phases sans délai indu.
9.3 Le Processeur documente toutes les violations et mesures de réparation conformément à l'art. 33(5) du RGPD.
10.1 Le Processeur a mis en œuvre des mesures pour réglementer la divulgation des Données Personnelles du Client aux entités gouvernementales. Ces mesures exigent que le Processeur tienne compte de ses obligations de se conformer à tout ordre ou demande gouvernementale et de ses obligations légales de protéger les Données Personnelles du Client.
10.2 Dans la mesure permise par la loi, le Processeur notifie rapidement le Contrôleur de toute demande légalement contraignante de divulgation de Données Personnelles du Client par une autorité de police ou une autorité gouvernementale avant de répondre à une telle demande. Si le Processeur n'est pas autorisé à notifier le Contrôleur, il demandera l'autorisation de le faire ou demandera à l'autorité émettrice de rechercher les informations directement auprès du Contrôleur.
10.3 Le Processeur conteste un ordre ou une demande gouvernementale lorsque cela est approprié et que des motifs juridiques valables existent. Si une production est requise pour se conformer à une ordonnance ou une demande judiciaire valide, le Processeur divulgue le montant minimum de Données Personnelles du Client nécessaire pour se conformer.
10.4 Concernant les données personnelles des résidents de l'EEE, le Processeur respecte les obligations énoncées dans les SCC de l'UE en ce qui concerne les demandes d'accès gouvernemental.
Lorsqu'une activité de traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées, le Processeur fournit une assistance raisonnable au Contrôleur dans la réalisation d'une Analyse d'impact relative à la protection des données (AIPD) conformément à l'art. 35 du RGPD, notamment en fournissant des informations sur ses activités de traitement et ses mesures de sécurité.
12.1 La responsabilité de chaque partie en vertu du présent DPA est soumise aux limitations énoncées dans les T&C. Les réclamations introduites en vertu du présent DPA sont soumises aux termes et conditions de l'Accord, y compris les exclusions et limitations qui y sont énoncées ; à condition qu'aucune des parties n'ait limité sa responsabilité en vertu de l'Accord à l'égard des droits d'une personne concernée en vertu des lois sur la protection des données lorsque une telle limitation est interdite par la loi applicable.
12.2 En cas de conflit entre l'Accord et le présent DPA, les dispositions du présent DPA prévalent.
Le présent DPA entre en vigueur à la signature (ou, lorsque l'Accord est exécuté via un Bon de Commande, à l'exécution du Bon de Commande) et reste en vigueur pendant la durée de l'Accord. Lors de la résiliation de l'Accord, le présent DPA est automatiquement résilié. Les obligations des sections 4.2 (confidentialité), 4.8 (retour et suppression des données) et 9 (notification de violation) survivent à la résiliation.
14.1 Droit applicable. Le présent DPA est régi par les lois de la République fédérale d'Allemagne. Les litiges sont soumis aux dispositions de résolution des litiges des T&C.
14.2 Modifications. Les modifications du présent DPA nécessitent une forme écrite. En cas de conflit, le présent DPA prévaut sur l'Accord.
14.3 Notifications. Toutes les notifications en vertu du présent DPA doivent être envoyées aux adresses fournies dans l'Accord.
14.4 Divisibilité. Si une disposition du présent DPA est jugée invalide ou inapplicable, les dispositions restantes resteront en vigueur et de plein effet.
14.5 SCC. Dans la mesure où les SCC de l'UE entrent en conflit avec une disposition du présent DPA, les SCC prévalent dans la mesure de ce conflit. Les parties n'ont pas l'intention de contredire ou de restreindre une disposition des SCC.
14.6 Langue et traductions. Le présent DPA est disponible en anglais et en allemand, tous deux ayant été examinés pour leur exactitude juridique. Le texte anglais est la version faisant autorité à toutes fins, y compris l'interprétation, la résolution des litiges et l'application. Les traductions dans d'autres langues peuvent être publiées à titre de référence uniquement et n'ont aucun effet juridique. En cas d'incohérence entre le texte anglais et toute traduction, le texte anglais prévaut.
Contact Confidentialité : privacy@kolsetu.com
Adresse : Kolsetu GmbH, Gaensemarkt 33, 20354 Hamburg, Allemagne
Nom : Client tel que défini dans le Bon de Commande ou lors de l'enregistrement du compte (Elba Self-Serve)
Adresse : Tel que défini dans le Bon de Commande ou lors de l'enregistrement du compte (Elba Self-Serve)
Contact : Tel que défini dans le Bon de Commande ou lors de l'enregistrement du compte (Elba Self-Serve)
Signature : Les clients d'entreprise acceptent le présent DPA en signant le Bon de Commande. Les clients en libre-service acceptent le présent DPA en complétant l'enregistrement du compte et en acceptant les Conditions d'utilisation d'Elba Self-Serve. Dans les deux cas, l'acceptation du présent DPA inclut, le cas échéant, l'acceptation des Clauses Contractuelles Types de l'UE.
Rôle : Contrôleur
Nom : Kolsetu GmbH
Adresse : Gaensemarkt 33, 20354 Hamburg, Allemagne (HRB 191266)
Contact Confidentialité : privacy@kolsetu.com
Rôle : Processeur
Note : Kolsetu GmbH étant établie en Allemagne (EEE), la relation primaire contrôleur-processeur ne nécessite pas de Clauses Contractuelles Types de l'UE. Les SCC s'appliquent uniquement aux transferts ultérieurs vers des sous-processeurs de pays tiers tels que définis dans le tableau des sous-processeurs à la section 6 et à l'Annexe I-B.
Point | Détail |
Objet | Traitement des données personnelles en lien avec la fourniture de la plateforme et des Services Elba AI. |
Durée | Pendant la durée de l'Accord, sauf instruction du Contrôleur pour une suppression ou un retour antérieur. |
Nature du traitement | Collecte, stockage, utilisation, transfert et suppression des Données Personnelles du Client par des moyens automatisés, y compris le traitement IA en temps réel des interactions vocales et des données de conversation. |
Finalités | Fourniture et exploitation de la plateforme Elba ; automatisation vocale IA et orchestration omnicanale ; intégrations d'entreprise ; analyse et reporting ; sécurité et support. |
Catégories de données | Telles que listées à la section 3.3 du présent DPA. |
Catégories de personnes concernées | Telles que listées à la section 3.4 du présent DPA. |
Données sensibles (art. 9 RGPD) | Le Processeur traite des catégories particulières de données personnelles uniquement sur les instructions documentées du Contrôleur. Le Contrôleur est seul responsable de s'assurer que toute soumission de données de catégories particulières à la plateforme est soutenue par une base juridique valide en vertu de l'art. 9 du RGPD (ou une disposition équivalente en vertu des lois applicables sur la protection des données), que tous les consentements requis ou autres conditions sont remplis, et que des garanties appropriées sont en place avant la soumission. Le Processeur applique les mêmes mesures techniques et organisationnelles aux données de catégories particulières qu'à toutes les autres Données Personnelles du Client en vertu du présent DPA. |
Sous-processeurs | Tels que listés à l'Annexe I-C du présent DPA. |
Fréquence des transferts | Périodiquement pendant la durée de l'Accord, en fonction de l'utilisation des Services par le Contrôleur. |
Conservation | Enregistrements vocaux : tels que configurés par le Contrôleur (maximum par défaut 90 jours). Toutes les autres données : pendant la durée de l'Accord, sauf instruction de suppression antérieure. |
L'autorité de contrôle compétente est le Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI), conformément à la Clause 13 des SCC, Kolsetu GmbH étant établie à Hambourg, Allemagne.
Cet Annexe liste tous les sous-traitants engagés par Kolsetu GmbH à la date d'entrée en vigueur du présent DPA. Les modifications de cette liste sont soumises à la procédure de notification et d'objection décrite à la Section 6. Une nouvelle version de cet Annexe sera émise au Contrôleur lorsque les accords avec les sous-traitants changeront.
Sous-traitant | Pays | Service | Localisation des données | Base de transfert |
Amazon Web Services EMEA SARL | 38 Avenue John F. Kennedy, L-1855 Luxembourg | Infrastructure cloud (calcul, stockage, réseau) ; centres de données UE (Francfort) | EEE | Aucun transfert requis |
Microsoft Ireland Operations Ltd. (Azure) | One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Ireland | Hébergement et infrastructure cloud ; centres de données UE (Francfort / Europe de l'Ouest) | EEE | Aucun transfert requis |
Microsoft Ireland Operations Ltd. (Azure OpenAI) | One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Ireland | Inférence IA (voix, NLP, LLM) via Azure OpenAI Service ; traitée exclusivement dans la région Azure UE | EEE | Aucun transfert requis |
Anthropic (Claude) | Anthropic Ireland Ltd., 77 Sir John Rogerson's Quay, Dublin 2, Ireland | Modèle linguistique IA pour des cas d'utilisation internes de sécurité, de conformité et opérationnels ; région UE | EEE | Aucun transfert requis |
Google Ireland Limited | Gordon House, Barrow Street, Dublin 4, Ireland | Google Workspace — collaboration interne, e-mail, calendrier et gestion de documents ; peut contenir incidemment des données de support client et opérationnelles | EEE | Aucun transfert requis |
LiveKit Inc. | 4285 Payne Avenue, Suite 9154, San Jose, CA 95157, United States | Audio/WebRTC en temps réel pour les interactions IA en direct ; données traitées dans des centres de données UE (Allemagne) | EEE (point d'extrémité UE) | SCC UE (Décision de la Commission 2021/914) |
Meta Platforms Ireland Limited | Merrion Road, Ballsbridge, Dublin 4, Ireland | WhatsApp Business API - communication client omnicanale via WhatsApp ; région UE | EEE | Aucun transfert requis |
Twilio Ireland Limited | 25–28 North Wall Quay, Dublin 1, Ireland | API de communication cloud (SMS, VoIP, WebRTC, authentification à deux facteurs) | EEE | Aucun transfert requis |
Soniox | Cesta v Gorice 34B, 1000 Ljubljana, Slovenia | Service de reconnaissance vocale | EEE | Aucun transfert requis |
Slack Technologies Limited | One Park Place, Hatch Street Upper, Dublin 2, Ireland | Communication interne et routage du support client en temps réel ; peut contenir incidemment des données d'interaction client partagées dans les flux de travail de support | EEE | Aucun transfert requis |
Zoho Corporation GmbH | Trinkausstraße 7, 40213 Düsseldorf, Germany | CRM : acquisition de clients, gestion de comptes et support | EEE | Aucun transfert requis |
Stripe Payments Europe Ltd. | 1 Grand Canal Street Lower, Grand Canal Dock, Dublin 2, Ireland | Traitement des paiements (facturation d'entreprise) | EEE | Aucun transfert requis |
UAB Revolut Business | Konstitucijos ave. 21B, Vilnius, LT-08130, Lithuania | Traitement des paiements (facturation et recouvrement d'entreprise) | EEE | Aucun transfert requis |
PayPal (Europe) S.à.r.l. et Cie, S.C.A. | 22–24 Boulevard Royal, L-2449 Luxembourg | Traitement des paiements (paiements par carte et transactions sans numéraire) | EEE | Aucun transfert requis |
Kolsetu GmbH maintient un SGSI aligné sur la norme ISO 27001 et examine et met à jour ces mesures au moins une fois par an. Les mesures suivantes sont en place à la date d'entrée en vigueur du présent DPA.
Domaine | Engagement |
Organisation et Gouvernance | Kolsetu a nommé un RSSI/DPO responsable de la sécurité de l'information. Un cadre de politique documenté couvrant tous les domaines de sécurité matériels est maintenu et revu au moins une fois par an. |
Gestion des Risques | Des évaluations formelles des risques sont menées avant le déploiement de nouvelles activités de traitement et revues au moins une fois par an. |
Contrôle d'Accès | L'accès aux systèmes traitant les Données Personnelles des Clients est accordé selon le principe du moindre privilège et du besoin d'en connaître. L'authentification multifacteur est appliquée pour les accès privilégiés. |
Chiffrement | Les Données Personnelles des Clients sont chiffrées au repos et en transit à l'aide d'algorithmes standard de l'industrie. TLS est appliqué pour toutes les données transmises sur des réseaux publics. |
Sécurité Physique | L'infrastructure cloud est hébergée dans des centres de données certifiés ISO 27001. Les contrôles d'accès physiques sont maintenus par le fournisseur d'hébergement (Microsoft Azure). |
Tests de Sécurité | Des tests de pénétration et des évaluations de vulnérabilité réguliers sont effectués. Les vulnérabilités identifiées sont corrigées selon des délais basés sur leur gravité. |
Gestion des incidents | Un plan de réponse aux incidents documenté est maintenu. Le Contrôleur est informé dans les 48 heures suivant la prise de connaissance par le Processeur d'une violation de données personnelles. |
Continuité des activités | Des procédures de sauvegarde et de récupération sont maintenues et testées. Une infrastructure redondante est conçue pour assurer la continuité du service. |
Gestion des fournisseurs | Les sous-processeurs sont soumis à des obligations contractuelles de protection des données non moins protectrices que le présent DPA. Une diligence raisonnable est effectuée avant l'intégration de nouveaux sous-processeurs. |
Accès gouvernemental | Kolsetu met en œuvre des mesures techniques, contractuelles et organisationnelles pour protéger les Données Personnelles du Client contre tout accès illégal par des autorités étrangères, comme décrit plus en détail à la Section 10. |