Accord de Traitement des Données
En vigueur à partir du : 17 février 2026
Préambule
Cet Accord précise les obligations de protection des données des parties contractantes entre le Client (ci-après « Responsable du Traitement ») et Kolsetu (ci-après « Sous-traitant ») découlant de l'utilisation du Logiciel et des Services de Kolsetu sur la base de l'Accord de Licence d'Utilisateur Final (EULA) et des Conditions Générales convenues (« Accord Principal »).
Il s'applique à toutes les activités du Sous-traitant en relation avec les services sous l'Accord Principal, au cours desquelles les employés du Sous-traitant ou des tiers agissant pour le compte du Sous-traitant peuvent entrer en contact avec les données personnelles du Responsable du Traitement.
1 Définitions
Les termes « données personnelles » (ou « données »), « traitement », « autorité de contrôle », « personne concernée », « État membre » et « transfert » ont la même signification que dans le Règlement Général sur la Protection des Données (RGPD), et les termes associés doivent être interprétés en conséquence.
2 Portée et Responsabilité
Le Sous-traitant traite les données personnelles pour le compte et selon les instructions du Responsable du Traitement. Cela inclut les activités énumérées et décrites dans l'Accord Principal.
Dans le cadre de l'Accord Principal, le Responsable du Traitement est seul responsable du respect du RGPD et/ou d'autres réglementations de protection des données de l'UE ou de ses États membres (le Responsable du Traitement est le « Responsable » au sens de l'Article 4(7) du RGPD).
Les instructions sont initialement définies dans l'Accord Principal et peuvent ensuite être modifiées, complétées ou remplacées par le Responsable du Traitement par des instructions écrites ou électroniques (forme textuelle). Les instructions orales doivent être confirmées sans délai par écrit ou sous forme textuelle.
Si le Sous-traitant estime qu'une instruction viole le RGPD ou d'autres dispositions de protection des données, il informera immédiatement le Responsable du Traitement de ces préoccupations juridiques.
3 Objet, Durée et Spécification du Traitement
Objet : Le traitement des données personnelles a lieu dans le contexte de la fourniture du Logiciel et des Services de Kolsetu.
Durée : La durée de cet Accord est basée sur la durée de l'Accord Principal, sauf disposition contraire ici.
Type de Traitement : Collecte, stockage, utilisation, transfert et suppression des données personnelles par des moyens automatisés.
Finalité du Traitement : Fourniture et utilisation des fonctions du logiciel contractuel conformément à l'Accord Principal et à l'EULA.
| Type de Données | Nature et Finalité du Traitement | Catégories de Personnes Concernées |
|---|---|---|
| Données principales (ex. nom, coordonnées) | Gestion et fourniture des fonctions du logiciel contractuel | Clients, utilisateurs, employés, contacts |
| Catégories spéciales de données personnelles (données de santé) | Planification de rendez-vous, communication avec les patients, notes (si saisies), soins de santé | Patients, clients finaux du Responsable du Traitement |
| Données contractuelles et de facturation (ex. numéro de client, informations de facturation) | Exécution du contrat, facturation, administration | Clients, contacts |
| Données d'utilisation et de communication (ex. fichiers journaux, adresses IP, données de chat ou vidéo) | Fourniture technique, support, résolution de problèmes, communication | Utilisateurs du logiciel, clients, employés |
| Métadonnées techniques (ex. horodatages, informations sur les appareils) | Sécurité du système, stabilité, surveillance, journalisation | Utilisateurs du logiciel |
| Données de communication et de contenu (ex. enregistrements vocaux, transcriptions, données de conversation) | Communication, support, assurance qualité, fourniture au Responsable du Traitement si nécessaire | Utilisateurs du logiciel, clients, employés, contacts |
| Données des utilisateurs et employés (ex. informations de connexion, rôles, permissions) | Identification des utilisateurs, gestion des accès, gestion des rôles | Employés du Responsable du Traitement |
Activités de Traitement Spéciales
En plus de fournir les services contractuels, le Sous-traitant peut traiter des données de communication et de contenu (ex. enregistrements vocaux, transcriptions, données de conversation) à des fins d'analyse, d'amélioration du produit et de développement ultérieur des modules de voix et d'IA.
Avant une telle utilisation, une anonymisation sera toujours effectuée conformément au RGPD, afin qu'aucune référence aux personnes concernées ne puisse être faite.
Transferts vers des Pays Tiers
Le traitement des données personnelles a généralement lieu au sein de l'Espace Économique Européen (EEE) ou dans des pays bénéficiant d'une décision d'adéquation de la Commission de l'UE.
Lorsqu'un transfert vers un pays tiers est requis, cela ne se fera que sous les conditions des Articles 44 et suivants du RGPD, en particulier sur la base des Clauses Contractuelles Types de l'UE (CCT).
4 Obligations du Sous-traitant
Le Sous-traitant ne peut traiter les données que dans le cadre du contrat et des instructions du Responsable du Traitement, sauf si une exception conformément à l'Article 28(3)(a) du RGPD s'applique.
Le Sous-traitant mettra en œuvre des mesures techniques et organisationnelles pour protéger adéquatement les données du Responsable du Traitement, conformément à l'Article 32 du RGPD. Ces mesures sont détaillées dans l'Annexe 1.
Le Sous-traitant assistera le Responsable du Traitement, dans la mesure du possible, dans la réponse aux demandes et réclamations des personnes concernées conformément au Chapitre III du RGPD, et dans le respect des obligations énoncées dans les Articles 33 à 36 du RGPD.
Le Sous-traitant veillera à ce que les personnes autorisées à traiter les données personnelles soient tenues à la confidentialité ou soumises à une obligation légale appropriée de secret.
Le Sous-traitant informera immédiatement le Responsable du Traitement de toute violation de données personnelles dont il aura connaissance.
Le Sous-traitant rectifiera ou supprimera les données couvertes par le contrat si le Responsable du Traitement le lui ordonne.
Contact pour la protection des données : privacy@kolsetu.com
5 Obligations du Responsable du Traitement
Le Responsable du Traitement doit informer immédiatement le Sous-traitant s'il identifie des erreurs ou irrégularités concernant les dispositions de protection des données.
5.1 Légalité du Traitement
- Le transfert de données repose sur une base légale conformément à l'Article 6 du RGPD
- La limitation de la finalité des données traitées est respectée
- Tous les consentements nécessaires des personnes concernées sont obtenus
- Les personnes concernées ont été informées conformément aux Articles 13/14 du RGPD
- Lors de l'utilisation de services d'IA, les conditions des sous-traitants sont respectées
5.2 Indemnisation en Cas de Mauvaise Utilisation
Le Responsable du Traitement s'engage à indemniser internement le Sous-traitant contre toutes les réclamations de tiers et amendes réglementaires dans la mesure où elles sont attribuables à :
- Une utilisation inappropriée du Logiciel de Kolsetu par le Responsable du Traitement
- Des violations des obligations de protection des données par le Responsable du Traitement
- Des ordres illégaux ou contraires aux instructions par le Responsable du Traitement
Cette indemnisation s'applique uniquement entre le Responsable du Traitement et le Sous-traitant. Les droits des personnes concernées en vertu de l'Article 82 du RGPD restent inchangés.
Le Responsable du Traitement désignera un contact pour la protection des données pour le Sous-traitant.
5.3 Responsabilité pour le Traitement Modulaire
Lors de l'utilisation de modules optionnels, le Responsable du Traitement est responsable de :
- L'activation/désactivation conforme à la loi des modules
- La mise en œuvre des consentements requis
- Le respect des réglementations spécifiques à l'industrie
6 Demandes des Personnes Concernées
Le Sous-traitant renvoie les personnes concernées au Responsable du Traitement et transmet rapidement leurs demandes. Le Sous-traitant assiste le Responsable du Traitement avec les réponses dans la mesure du possible.
7 Preuve de Conformité
Le Sous-traitant démontre le respect de ces obligations par des moyens appropriés et permet des audits par le Responsable du Traitement ou des auditeurs désignés.
Les inspections sont effectuées pendant les heures de bureau régulières après un préavis raisonnable. Le Sous-traitant peut exiger la signature d'un accord de confidentialité.
8 Sous-traitants
Le Responsable du Traitement autorise par la présente Kolsetu à engager des sous-traitants pour remplir ses obligations contractuelles. Une liste à jour des sous-traitants utilisés par Kolsetu est jointe à cet Accord.
Kolsetu informera le Responsable du Traitement sous forme textuelle (par exemple, par e-mail) avant tout changement de sous-traitant ou l'engagement d'un nouveau. Le Responsable du Traitement peut s'opposer à un changement dans un délai de 14 jours pour des raisons importantes de protection des données.
Kolsetu conclura un accord de protection des données avec chaque sous-traitant conforme à cet Accord et surveillera le respect. Kolsetu reste responsable de s'assurer que les sous-traitants respectent les obligations légales et contractuelles.
9 Durée et Résiliation
Cet Accord entre en vigueur à la signature et court pour la durée de l'Accord Principal. Avec la résiliation de l'Accord Principal, cet Accord prend également fin.
À la résiliation, Kolsetu restituera ou supprimera toutes les données personnelles au choix du Responsable du Traitement, sauf si des exigences de conservation légales s'appliquent.
10 Obligations d'Information, Forme Écrite, Loi Applicable
Le Sous-traitant informe rapidement le Responsable du Traitement des mesures réglementaires concernant les données traitées.
Les modifications à cet Accord nécessitent une forme écrite ou textuelle.
En cas de conflit, les dispositions de cet Accord prévalent sur l'Accord Principal.
Loi applicable : Loi allemande. Lieu de juridiction : Hambourg.
11 Responsabilité
La responsabilité est régie par les dispositions de l'Accord Principal. La responsabilité de Kolsetu est en conséquence limitée.
Chaque partie est responsable de ses propres violations et indemnise l'autre partie contre les réclamations de tiers qui en résultent.
Annexe 1 – Mesures Techniques et Organisationnelles (TOMs) selon l'Art. 32 du RGPD
Nonobstant les mesures supplémentaires convenues dans l'Accord Principal, le Sous-traitant garantit au moins les mesures techniques et organisationnelles suivantes :
Confidentialité
- Contrôle d'accès physique : Pas d'accès non autorisé aux installations de traitement
- Contrôle d'accès au système : Pas d'utilisation non autorisée du système (mots de passe, 2FA, cryptage)
- Contrôle d'accès interne : Pas de lecture/copie/modification non autorisée des données
- Contrôle de séparation : Traitement séparé pour différentes finalités
- Pseudonymisation : Les données personnelles sont stockées séparément
Intégrité
- Contrôle de transfert de données : Protection pendant le transfert électronique
- Contrôle de saisie de données : Journalisation des modifications et suppressions
Disponibilité et Stabilité
- Contrôle de disponibilité : Protection contre la perte/destruction (sauvegardes, pare-feu, récupération après sinistre)
- Récupération rapide : Plans d'urgence et de redémarrage
Autres Mesures
- Gestion de la protection des données
- Gestion de la réponse aux incidents
- Contrôle des contrats/ordres
- Confidentialité par conception et par défaut
- Aucun traitement par des tiers sans instructions
- Due diligence lors de la sélection des fournisseurs de services
Annexe 2 – Sous-traitants
Kolsetu engage les sous-traitants suivants. Le traitement a lieu au sein de l'EEE ou dans des pays bénéficiant d'une décision d'adéquation de l'UE.
| Entreprise | Portée des Services | Emplacement |
|---|---|---|
| Amazon Web Services (AWS) | Infrastructure cloud (calcul, stockage, réseau) | Centres de données de l'UE (Francfort), Luxembourg |
| Microsoft Azure | Infrastructure cloud (calcul, stockage, réseau) | Centres de données de l'UE (Francfort), Pays-Bas |
| Google Cloud | Infrastructure cloud (calcul, stockage, réseau) | Centres de données de l'UE (Francfort), Irlande |
| Entreprise | Portée des Services | Emplacement |
|---|---|---|
| OpenAI | Génération de voix et de texte alimentée par l'IA pour des fonctionnalités de dialogue avancées | OpenAI Ireland Ltd., 1st Floor, The Liffey Trust Centre, 117–126 Sheriff Street Upper, Dublin 1, Irlande |
| Zoho | Solution cloud pour l'acquisition de clients, la gestion de comptes et le support | Zoho Corporation GmbH, Trinkaustr. 7, 40213 Düsseldorf, Allemagne |
| Stripe | Traitement des paiements par carte de crédit et sans numéraire | Stripe Payments Europe, Limited, 1 Grand Canal Street Lower, Dublin 2, Irlande |
| PayPal | Traitement des paiements | PayPal (Europe) S.à.r.l. et Cie, 22–24 Boulevard Royal, 2449 Luxembourg |
| Telnyx | API de voix, messagerie et réseaux (téléphonie, SMS, VoIP) | Telnyx UK Limited, 71–75 Shelton Street, London, WC2H 9JQ, Royaume-Uni |
| LiveKit | Plateforme API audio et vidéo en temps réel (WebRTC), streaming en direct, interactions IA | LiveKit Inc., 4285 Payne Avenue, Suite 9154, San Jose, CA 95157, États-Unis |
| Twilio | API de communication cloud (SMS, VoIP, WebRTC, 2FA) | Twilio Ireland Limited, 25–28 North Wall Quay, Dublin 1, Irlande |
| Langfuse | Surveillance et observabilité pour les applications alimentées par l'IA (traçage, journalisation, analyse) | Langfuse GmbH, Chausseestraße 8, 10115 Berlin, Allemagne |
| n8n | Plateforme d'automatisation et d'intégration (automatisation des flux de travail, traitement des données) | n8n GmbH, Novalisstraße 10, 10115 Berlin, Allemagne |