Article 1 — Identification des parties

Le Responsable de traitement

Le Client, dont les coordonnées sont renseignées lors de la souscription au service Convertivio, est responsable de traitement au sens de l'article 4(7) du RGPD pour les données personnelles collectées via le chatbot auprès de ses propres visiteurs et prospects.

‍

Le Sous-traitant

Thibault Bellec — Convertivio

IČO : 24598658 | Adresse : Revoluční 1082/8, Praha, 110 00, République Tchèque | Contact : thibault@convertivio.com

‍

Article 2 — Objet et durée du traitement

Le Sous-traitant traite les données personnelles pour le compte du Responsable de traitement dans le cadre de la fourniture du service Convertivio, à savoir :

• L'hébergement et le traitement des conversations du chatbot
• La collecte et le stockage des leads générés (nom, email, téléphone, besoin exprimé)
• L'analyse sémantique des messages via les API Mistral AI
• L'envoi d'emails de récapitulatif aux prospects

‍

Ce traitement est effectué pour la durée du contrat liant les parties. À la fin du contrat, les données sont supprimées ou restituées dans un délai de 30 jours.

‍

Article 3 — Nature et finalité des traitements

Catégorie de données

Finalité

Personnes concernées

Identité du prospect (nom, prénom)

Qualification du lead, suivi commercial

Visiteurs du site Client

Coordonnées (email, téléphone)

Envoi de récapitulatif, prise de RDV

Prospects ayant interagi avec le chatbot

Données de besoins (formation, projet)

Orientation, personnalisation de la réponse

Prospects qualifiés

Historique de conversation

Résumé IA, analytics Client

Tous les utilisateurs du chatbot

Données techniques (IP, session)

Sécurité, continuité de conversation

Tous les utilisateurs du chatbot

‍

Article 4 — Obligations du Sous-traitant

Conformément à l'article 28 du RGPD, le Sous-traitant s'engage à :

‍

4.1 Traiter les données selon les instructions du Responsable

Le Sous-traitant ne traite les données personnelles que sur instruction documentée du Responsable de traitement, sauf obligation légale contraire.

‍

4.2 Confidentialité

Le Sous-traitant s'assure que les personnes autorisées à traiter les données sont soumises à une obligation de confidentialité appropriée.

‍

4.3 Sécurité

Le Sous-traitant met en oeuvre les mesures techniques et organisationnelles suivantes :

• Chiffrement des données en transit (TLS 1.2 minimum) et au repos (AES-256)
• Isolation des données par client (architecture multi-tenant stricte)
• Contrôle d'accès basé sur les rôles
• Journalisation des accès aux données
• Sauvegardes chiffrées quotidiennes hébergées en France
• Tests de sécurité réguliers

‍

4.4 Sous-traitance ultérieure

Le Sous-traitant fait appel aux sous-traitants ultérieurs suivants, préalablement acceptés par le présent contrat :

• Scaleway SAS (Paris, France) — Hébergement, bases de données, emails transactionnels
• Mistral AI SAS (Paris, France) — Traitement IA des messages et des documents (embeddings, génération)

‍

Tout nouveau sous-traitant fera l'objet d'une information préalable au Responsable avec un préavis de 30 jours, laissant la possibilité de s'y opposer.

‍

4.5 Assistance au Responsable

Le Sous-traitant assiste le Responsable dans le respect de ses obligations RGPD, notamment pour :

• Répondre aux demandes d'exercice de droits des personnes concernées
• La réalisation d'analyses d'impact (AIPD) si nécessaire
• La notification des violations de données

‍

4.6 Notification des violations de données

En cas de violation de données personnelles, le Sous-traitant notifie le Responsable dans un délai maximum de 72 heures après en avoir pris connaissance, par email à l'adresse fournie lors de la souscription.

‍

4.7 Sort des données à la fin du contrat

À la résiliation du contrat, le Sous-traitant supprime toutes les données personnelles dans un délai de 30 jours, ou les restitue au Responsable sur demande. Une attestation de suppression peut être fournie sur demande.

‍

Article 5 — Obligations du Responsable de traitement

Le Responsable de traitement s'engage à :

• Fournir une base légale valide pour chaque traitement effectué via le chatbot
• Informer les personnes concernées de la collecte de leurs données (mention d'information sur son site)
• Ne collecter que les données strictement nécessaires à ses finalités (minimisation)
• Transmettre au Sous-traitant uniquement des données loyalement collectées
• Répondre aux demandes d'exercice de droits reçues de ses propres prospects

‍

Article 6 — Transferts hors UE

Aucun transfert de données personnelles hors de l'Union Européenne n'est effectué. Les données sont hébergées exclusivement sur des serveurs Scaleway situés en France. Les traitements IA sont réalisés par Mistral AI, société de droit français établie à Paris.

‍

Article 7 — Registre des traitements

Le Sous-traitant tient à jour un registre des activités de traitement effectuées pour le compte du Responsable, conformément à l'article 30(2) du RGPD. Ce registre est disponible sur demande auprès de l'autorité de contrôle compétente.

‍

Article 8 — Audit

Le Responsable de traitement peut, sur notification préalable de 15 jours ouvrés, procéder à des audits de conformité ou mandater un auditeur tiers pour vérifier le respect des obligations du présent contrat. Les frais d'audit sont à la charge du Responsable.

‍

Article 9 — Droit applicable

Le présent contrat est soumis au droit français. Le Règlement (UE) 2016/679 (RGPD) est directement applicable. En cas de litige, les tribunaux de Paris seront compétents.