← Retour au site

Accord de Sous-Traitance (DPA)

Accord de Sous-Traitance (DPA) — SoL IA

Dernière mise à jour : 20/05/2026

Conformément à l’article 28 du Règlement (UE) 2016/679 du 27 avril 2016 (« RGPD »).

Entre les Parties

Le Responsable de traitement : toute personne morale ou physique agissant à titre professionnel ayant souscrit à une offre du Sous-traitant, dont l’identification résulte du devis signé, de la facture acquittée ou du formulaire de souscription au service (ci-après le « Responsable de traitement » ou « Client »),

d’une part,

Et le Sous-traitant : SoL IA, micro-entreprise immatriculée au Registre National des Entreprises sous le numéro SIREN 104 858 741 (SIRET 104 858 741 00010), dont le siège social est situé au Marigot (97225), Martinique, représentée par M. Andy SOLER, en qualité d’Entrepreneur individuel, joignable à l’adresse s0l.ia.contact972@gmail.com (ci-après le « Sous-traitant » ou « SoL IA »),

d’autre part.

Ci-après désignées ensemble les « Parties ».

1. Objet

Le présent accord (ci-après le « DPA ») a pour objet d’encadrer le traitement, par le Sous-traitant pour le compte du Responsable de traitement, des données à caractère personnel collectées dans le cadre de la fourniture du service de standardiste téléphonique propulsé par intelligence artificielle, conformément aux Conditions Générales de Vente conclues entre les Parties (ci-après le « Contrat principal »).

Le présent DPA prévaut sur toute disposition contraire des CGV en matière de protection des données personnelles.

2. Définitions

Les termes « données à caractère personnel », « traitement », « responsable de traitement », « sous-traitant », « personne concernée », « violation de données à caractère personnel » et « autorité de contrôle » ont la signification qui leur est attribuée à l’article 4 du RGPD.

3. Description du traitement

3.1 Nature et finalité du traitement

Le Sous-traitant traite les données pour la finalité suivante : prise en charge automatisée des appels téléphoniques entrants du Responsable de traitement, prise de rendez-vous, réponse aux questions courantes, transfert d’appels et qualification des appelants.

3.2 Catégories de personnes concernées

  • Les personnes physiques contactant le Responsable de traitement par téléphone (clients, prospects, fournisseurs).

3.3 Catégories de données traitées

  • Identité de l’appelant (nom, prénom) ;
  • Coordonnées (numéro de téléphone, email éventuel) ;
  • Contenu de la conversation (transcription textuelle et, le cas échéant, enregistrement vocal) ;
  • Métadonnées d’appel (date, heure, durée, statut) ;
  • Motif d’appel et informations transmises (rendez-vous, demandes spécifiques).

Aucune donnée sensible au sens de l’article 9 du RGPD n’est sollicitée par le Sous-traitant. Si une telle donnée venait à être communiquée spontanément par un appelant, elle ferait l’objet de mesures de protection renforcées et ne serait conservée que dans la stricte mesure nécessaire.

3.4 Durée du traitement

Le traitement est effectué pour la durée du Contrat principal. Les durées de conservation spécifiques sont précisées à l’article 11 du présent DPA.

4. Obligations du Sous-traitant

Le Sous-traitant s’engage à :

  • Traiter les données personnelles uniquement sur instruction documentée du Responsable de traitement, y compris en ce qui concerne les transferts hors UE, sauf obligation légale contraire ;
  • Garantir que les personnes habilitées à traiter les données sont soumises à une obligation de confidentialité appropriée ;
  • Mettre en œuvre les mesures techniques et organisationnelles prévues à l’article 9 du présent DPA, conformément à l’article 32 du RGPD ;
  • Aider le Responsable de traitement à répondre aux demandes d’exercice des droits des personnes concernées (art. 12 à 22 RGPD) ;
  • Aider le Responsable de traitement dans l’exécution de ses obligations de sécurité, de notification de violations, et d’analyses d’impact (art. 32 à 36 RGPD) ;
  • Mettre à disposition du Responsable de traitement toute information nécessaire pour démontrer le respect des obligations prévues à l’article 28 du RGPD.

5. Sous-traitance ultérieure

Le Responsable de traitement autorise expressément le Sous-traitant à recourir aux sous-traitants ultérieurs suivants pour l’exécution du service :

  • Netlify, Inc. (États-Unis) — hébergement et diffusion CDN du site internet ;
  • OVH SAS (France) — bureau d'enregistrement du nom de domaine ;
  • Retell AI (États-Unis) — moteur d’intelligence artificielle vocale ;
  • Zadarma — opérateur de téléphonie ;
  • n8n Cloud — plateforme d’orchestration et d’automatisation ;
  • Cal.com — gestion et synchronisation des rendez-vous ;
  • Brevo (France) — envoi des emails et SMS de confirmation de rendez-vous aux appelants.

Le Sous-traitant informe le Responsable de traitement de tout changement envisagé concernant l’ajout ou le remplacement d’un sous-traitant ultérieur, en lui laissant la possibilité d’émettre des objections motivées dans un délai de quinze (15) jours. À défaut d’objection dans ce délai, le changement est réputé accepté.

Le Sous-traitant impose à ses sous-traitants ultérieurs des obligations contractuelles équivalentes à celles prévues par le présent DPA et demeure pleinement responsable, à l’égard du Responsable de traitement, de l’exécution par ces tiers de leurs obligations en matière de protection des données.

6. Information des personnes concernées

Il appartient au Responsable de traitement de fournir aux personnes concernées l’information requise par les articles 13 et 14 du RGPD au moment de la collecte des données. Le Sous-traitant fournit, en début d’appel, une information minimale concernant le caractère automatisé de l’interaction et la possibilité d’enregistrement, conformément aux instructions du Responsable de traitement.

7. Exercice des droits des personnes concernées

Dans la mesure du possible, le Sous-traitant aide le Responsable de traitement, par des mesures techniques et organisationnelles appropriées, à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées.

Si une personne concernée adresse directement une demande au Sous-traitant, ce dernier la transmet au Responsable de traitement dans les meilleurs délais.

8. Notification des violations de données

Le Sous-traitant notifie au Responsable de traitement toute violation de données à caractère personnel dans les meilleurs délais, et au plus tard dans les soixante-douze (72) heures après en avoir pris connaissance, par email à l’adresse de contact désignée par le Responsable de traitement.

La notification comporte au minimum :

  • La nature de la violation et, si possible, les catégories et le nombre approximatif de personnes concernées et d’enregistrements concernés ;
  • Les conséquences probables de la violation ;
  • Les mesures prises ou envisagées pour y remédier et en limiter les effets.

9. Mesures techniques et organisationnelles

Le Sous-traitant met en œuvre les mesures de sécurité suivantes :

  • Chiffrement des données en transit (TLS 1.2 ou supérieur) ;
  • Authentification forte des accès aux outils contenant des données personnelles ;
  • Gestion des habilitations sur le principe du moindre privilège ;
  • Sélection de sous-traitants ultérieurs présentant des garanties suffisantes ;
  • Sauvegardes périodiques et tests de restauration ;
  • Procédure documentée de gestion des incidents et des violations.

10. Aide au Responsable de traitement

Le Sous-traitant fournit au Responsable de traitement, sur demande raisonnable, les informations nécessaires à la réalisation d’une analyse d’impact relative à la protection des données (AIPD) en lien avec le service fourni, ainsi qu’à la consultation préalable de l’autorité de contrôle si elle est requise.

11. Sort des données en fin de contrat

Au terme du Contrat principal, et selon le choix du Responsable de traitement notifié par écrit dans les trente (30) jours suivant la fin du contrat, le Sous-traitant procède, à ses frais :

  • Soit à la restitution au Responsable de traitement de l’ensemble des données traitées dans un format structuré et couramment utilisé ;
  • Soit à la suppression définitive desdites données et de leurs copies.

À défaut d’instruction du Responsable de traitement dans ce délai, les données sont supprimées par défaut. Le Sous-traitant atteste par écrit de la suppression effective.

Cette obligation ne s’étend pas aux données dont la conservation est imposée par une obligation légale (notamment les données comptables).

12. Documentation et audit

Le Sous-traitant met à disposition du Responsable de traitement toute documentation nécessaire pour démontrer le respect de ses obligations. Le Responsable de traitement peut, sous réserve d’un préavis raisonnable de trente (30) jours et au plus une fois par an (sauf incident avéré), réaliser un audit (sur pièces et/ou sur site) des mesures mises en œuvre par le Sous-traitant. Les frais de l’audit sont à la charge du Responsable de traitement, sauf en cas de manquement avéré du Sous-traitant.

13. Transferts hors Union européenne

Tout transfert de données vers un pays tiers ou une organisation internationale est encadré par l’un des mécanismes prévus aux articles 44 à 49 du RGPD, notamment par la signature de Clauses Contractuelles Types (CCT) ou par l’adhésion au Data Privacy Framework (DPF) lorsque celui-ci est applicable au sous-traitant ultérieur concerné.

14. Obligations du Responsable de traitement

Le Responsable de traitement s’engage à :

  • Documenter par écrit toute instruction donnée au Sous-traitant relative au traitement des données ;
  • Veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le RGPD du côté du Sous-traitant ;
  • Informer ses propres clients/appelants du recours à un agent vocal IA et, le cas échéant, de l’enregistrement des appels.

15. Durée

Le présent DPA prend effet à la date d’acceptation des CGV par le Client (article 18 ci-après) et demeure en vigueur pendant toute la durée du Contrat principal. Les obligations qui par leur nature sont destinées à survivre à la cessation du contrat (confidentialité, sort des données, audit, responsabilité) continueront de produire effet après sa résiliation.

Les obligations qui par leur nature sont destinées à survivre à la cessation du Contrat (notamment la confidentialité et le sort des données) demeurent applicables après la résiliation.

16. Responsabilité

Chaque Partie est responsable, à l’égard des personnes concernées et des autorités, des manquements qui lui sont propres. Les éventuelles limitations de responsabilité prévues au Contrat principal s’appliquent au présent DPA dans les limites permises par le droit applicable, étant précisé qu’aucune clause ne saurait avoir pour effet de limiter la responsabilité d’une Partie en cas de violation intentionnelle ou de faute lourde.

17. Droit applicable et juridiction

Le présent DPA est régi par le droit français. Tout litige relatif à son interprétation ou son exécution sera, à défaut de résolution amiable, de la compétence exclusive des tribunaux du ressort de Fort-de-France, Martinique.

18. Acceptation

Le présent DPA constitue un avenant aux Conditions Générales de Vente de SoL IA. En souscrivant à une offre du Prestataire (signature d'un devis, paiement d'une facture ou utilisation effective du service), le Client reconnaît avoir pris connaissance du présent DPA et en accepte sans réserve l'intégralité des termes, lesquels forment une partie indissociable du contrat conclu entre les Parties.

Aucune signature manuscrite ou électronique distincte n'est requise. Le DPA est opposable aux Parties à compter de la date de prise d'effet du contrat principal et pour toute la durée pendant laquelle SoL IA traite des données à caractère personnel pour le compte du Client.

La version applicable est celle publiée sur le site sol972ia.net à la date de souscription. Toute modification substantielle sera notifiée au Client par email avec un préavis raisonnable avant son entrée en vigueur.