Accord de traitement des données (DPA)
Version du 11 juin 2026 — fait partie intégrante des CGV
1. Objet
Le présent Accord de traitement des données (art. 28 RGPD) encadre les traitements de données personnelles que Secondia (« le Sous-traitant ») réalise pour le compte du Client (« le Responsable de traitement ») dans le cadre des services d'agents IA.
2. Nature et finalités des traitements
Réception et qualification d'appels téléphoniques ; création, envoi et suivi de documents de facturation ; relances de paiement ; réponses au support client. Finalité exclusive : l'exécution du service souscrit.
3. Catégories de données et minimisation
Identité et coordonnées des interlocuteurs (nom, téléphone, email), contenu des messages, références et montants de facturation, statuts de paiement. Principe strict de minimisation : pour les professions de santé, aucune donnée de santé (feuilles de soins, codes actes nominatifs, motifs médicaux, dossiers patients) n'est traitée ni stockée — uniquement des références de factures, montants et statuts.
4. Durée
Pendant la durée du contrat. À la résiliation, suppression ou restitution des données au choix du Client sous 30 jours, sauf obligation légale de conservation.
5. Obligations du Sous-traitant
Traiter uniquement sur instruction documentée du Client ; garantir la confidentialité (personnel et systèmes) ; mettre en œuvre des mesures techniques et organisationnelles appropriées (chiffrement en transit, contrôle d'accès, journalisation, cloisonnement par client) ; assister le Client pour les demandes d'exercice de droits et notifications de violation (notification au Client sous 48h) ; tenir un registre des traitements.
6. Sous-traitants ultérieurs
Le Client autorise le recours aux sous-traitants suivants : Vercel (hébergement applicatif), Supabase (base de données, UE), Stripe (paiement), Anthropic (modèles d'IA), Resend (emails transactionnels), et le cas échéant le fournisseur de téléphonie/voix mentionné au contrat. Secondia informe le Client de tout changement et reste pleinement responsable de ses sous-traitants.
7. Transferts hors UE
Lorsque des sous-traitants traitent des données hors UE, les transferts sont encadrés par des clauses contractuelles types ou un mécanisme d'adéquation. Les données sont hébergées en UE chaque fois que possible.
8. Audit
Le Client peut demander une fois par an les éléments démontrant la conformité du Sous-traitant (description des mesures, attestations des sous-traitants ultérieurs).