DATA PROCESSING AGREEMENT (DPA)

Annexe aux Conditions Générales de Vente Graham AI
Version : 1.0 | Date : Octobre 2025

PRÉAMBULE

Le présent contrat de sous-traitance (ci-après « DPA » ou « Contrat ») constitue une annexe obligatoire aux Conditions Générales de Vente de Graham AI. Il est conclu en application de l'article 28 du Règlement (UE) 2016/679 (RGPD).

ENTRE :

Le Client (ci-après le « Responsable de traitement »), Professionnel exploitant un établissement de restauration, dont les coordonnées figurent dans le contrat de souscription, D’UNE PART,

ET

Graham AI, Société par actions simplifiée au capital de 2 000 euros — Siège social : 1061 chemin de la Lauze, 07700 Bourg-Saint-Andéol, France — RCS Aubenas 991 535 808 — SIRET : 991 535 808 00018 — Représentée par Mathieu THOMAS, Président (ci-après le « Sous-traitant »), D’AUTRE PART.

Ci-après collectivement dénommées « les Parties ».

ARTICLE 1 — OBJET DU CONTRAT

1.1 Objet

Le présent contrat a pour objet de définir les conditions dans lesquelles Graham AI, agissant en qualité de Sous-traitant, traite des données à caractère personnel pour le compte du Client, Responsable de traitement, dans le cadre de la fourniture du service d'assistant vocal intelligent Graham AI.

1.2 Champ d'application

Le présent DPA s'applique à l'ensemble des traitements de données à caractère personnel effectués par Graham AI pour le compte du Client dans le cadre de l'exécution des Conditions Générales de Vente.

1.3 Hiérarchie des documents

En cas de contradiction entre les dispositions du présent DPA et celles des CGV, les dispositions du DPA prévalent pour tout ce qui concerne la protection des données personnelles.

ARTICLE 2 — DÉFINITIONS

  • Données à caractère personnel : Toute information se rapportant à une personne physique identifiée ou identifiable (article 4.1 RGPD).
  • Traitement : Toute opération, automatisée ou non, appliquée à des données à caractère personnel (article 4.2 RGPD).
  • Responsable de traitement : Personne qui détermine les finalités et les moyens du traitement (le Client).
  • Sous-traitant : Personne qui traite des données pour le compte du Responsable de traitement (Graham AI).
  • Violation de données à caractère personnel : Violation de la sécurité entraînant destruction, perte, altération, divulgation ou accès non autorisés.
  • Autorité de contrôle : La CNIL en France.

ARTICLE 3 — DESCRIPTION DES TRAITEMENTS

3.1 Nature et finalité des traitements

Finalités principales :

  • Réception et traitement automatique des appels téléphoniques entrants
  • Gestion des demandes de réservation
  • Fourniture d'informations sur l'établissement du Client
  • Transfert d'appels vers le Client lorsque nécessaire
  • Résumé textuel des conversations
  • Stockage et mise à disposition des données de réservation

Finalités techniques :

  • Hébergement et stockage sécurisé des données
  • Maintenance et amélioration du service
  • Support technique
  • Facturation

3.2 Durée du traitement

Les traitements sont effectués pendant toute la durée du contrat commercial entre les Parties, tel que défini dans les CGV.

3.3 Type de données personnelles traitées

A. Données des appelants (clients finaux du Responsable de traitement) :

  • Données d'identification : nom, prénom (si communiqués volontairement)
  • Données de contact : numéro de téléphone de l'appelant
  • Données conversationnelles : enregistrement de la transcription de la conversation
  • Données de réservation : date, heure, nombre de personnes, demandes spécifiques
  • Métadonnées techniques : date et heure d'appel, durée de communication, numéro appelé

B. Données du Client (Responsable de traitement) :

  • Données d'identification : raison sociale, SIRET, adresse
  • Données de contact : nom, prénom, email, numéro de téléphone des représentants
  • Données de facturation : coordonnées bancaires, historique des paiements
  • Données techniques : identifiants de connexion, adresse IP, logs

3.4 Catégories de personnes concernées

  • Les appelants (clients du restaurant, prospects)
  • Les représentants légaux et employés du Client
  • Les utilisateurs du dashboard Graham AI

Aucune donnée sensible au sens de l'article 9 du RGPD n'est intentionnellement collectée ou traitée.

ARTICLE 4 — OBLIGATIONS DU SOUS-TRAITANT

4.1 Traitement conforme aux instructions

4.1.1 Principe

Le Sous-traitant traite les données uniquement sur instruction documentée du Responsable de traitement, sauf obligation légale contraire.

4.1.2 Instructions documentées

  • Initiales : définies dans le présent DPA et les CGV
  • Complémentaires : transmises par le Client via :
    • Le dashboard (paramétrage, activation/désactivation des enregistrements, export, suppression)
    • Email à contact@ai-graham.com pour demandes spécifiques

4.1.3 Délai de traitement des instructions

Traitement sous 48 heures ouvrées suivant réception.

4.1.4 Instructions illégales

En cas d’instruction contraire au RGPD, information immédiate du Responsable de traitement.

4.2 Confidentialité

4.2.1 Engagement

  • Engagement de confidentialité
  • Signature de clauses de confidentialité
  • Obligation légale de confidentialité

4.2.2 Personnel habilité

  • Équipe technique
  • Équipe support client (si nécessaire)
  • Direction (contrôle et supervision)

4.2.3 Traçabilité des accès

  • Logs d’accès 30 jours
  • Traçage : personne, date, heure, nature
  • Consultation possible sur demande écrite

4.3 Sécurité des données

4.3.1 Mesures techniques

Chiffrement :

  • Authentification OAuth2 + JWT
  • Certificats SSL/TLS à jour

Contrôle d’accès :

  • Authentification forte (MFA disponible)
  • Moindre privilège
  • Révocation immédiate en fin de collaboration

Infrastructure :

  • Pare-feu applicatifs (WAF)
  • IDS/IPS
  • Surveillance 24/7

Sauvegardes :

  • Sauvegardes quotidiennes automatiques (2h)
  • Rétention 7 jours
  • Tests de restauration trimestriels

4.3.2 Mesures organisationnelles

Politique de sécurité :

  • Politique documentée et mise à jour annuelle
  • Procédures de gestion des accès

Formation :

  • Formation RGPD annuelle
  • Onboarding sécurité
  • Rappels réguliers

Gestion des incidents :

  • Procédure documentée
  • Astreinte technique
  • PCA/PRA

Tests et audits :

  • Tests de sécurité à chaque mise à jour
  • Patching sous 48h (critiques) / 7 jours (non critiques)
  • Audit possible par le Responsable de traitement

4.4 Assistance au Responsable de traitement

4.4.1 Exercice des droits

Droits : accès, rectification, effacement, limitation, portabilité, opposition.

Procédure :

  1. La personne concernée contacte le Responsable de traitement
  2. Le Responsable traite la demande et contacte le Sous-traitant si besoin
  3. Assistance du Sous-traitant sous 48h ouvrées

Outils :

  • Export CSV/PDF (dashboard)
  • Rectification
  • Suppression
  • Désactivation de la transcription des appels

4.4.2 Violations de données

Notification sous 72h maximum, avec détails et mesures prises; assistance CNIL/personnes concernées; registre interne (3 ans).

4.4.3 Analyses d’impact (AIPD)

  • Résumé AIPD sur demande
  • Assistance pour AIPD du Responsable
  • Mises à jour en cas d’évolution majeure

4.4.4 Consultation préalable (CNIL)

Informations nécessaires fournies sous 5 jours ouvrés si consultation préalable requise.

ARTICLE 5 — SOUS-TRAITANCE ULTÉRIEURE

5.1 Principe

Autorisation de recourir à des sous-traitants ultérieurs pour des opérations spécifiques.

5.2 Sous-traitants actuels — Liste disponible

Liste tenue à jour, fournie :

  • Lors de la signature
  • Sur demande écrite (sous 48h)
  • Automatiquement en cas de modification (voir 5.3)

Catégories : hébergement cloud, téléphonie, IA/NLP, paiement, emails transactionnels, monitoring/analytics.

5.3 Nouveau sous-traitant

  1. Notification préalable 30 jours (identité, service, localisation, garanties)
  2. Droit d’opposition 15 jours (motivé)
  3. En cas d’opposition : rechercher une alternative; sinon résiliation sans pénalité (préavis 30 jours)

Absence d’opposition sous 15 jours = accepté.

5.4 Obligations contractuelles des sous-traitants

  • Obligations équivalentes au présent DPA
  • Contrats conformes à l’article 28 RGPD
  • Garanties suffisantes

5.5 Responsabilité

Le Sous-traitant demeure responsable vis-à-vis du Responsable de traitement des actes de ses sous-traitants ultérieurs.

ARTICLE 6 — TRANSFERTS HORS UNION EUROPÉENNE

6.1 Localisation des données

Données hébergées et traitées au sein de l’UE (principalement en France).

Localisation par type :

  • Hébergement principal : France
  • Services d’IA : Région Amérique du Nord (OpenAI)
  • Téléphonie : données stockées dans l’UE
  • Sauvegardes : Union Européenne

6.2 Transfert exceptionnel futur

  1. Notification préalable 60 jours
  2. Garanties appropriées (CCT, BCR, certification/code de conduite, décision d’adéquation)
  3. Droit d’opposition 30 jours; à défaut, transfert possible; information des personnes via message d’accueil

6.3 Réquisition/obligation légale

  • Notification au Responsable (sauf interdiction)
  • Contestation si illégale
  • Minimisation stricte des données transmises

ARTICLE 7 — DURÉE DE CONSERVATION DES DONNÉES

7.1 Durées de conservation pendant le contrat

Données des appelants

Type de donnéesDuréeBase légaleEnregistrements / transcription des appels30 jours max après l’appelPreuve du contrat + Intérêt légitimeDonnées de réservation (nom, téléphone, date)90 jours après la réservationExécution du contratLogs techniques d’appels (métadonnées)30 joursObligation légale (Code CPCE)

Données du Client

Type de donnéesDuréeBase légaleDonnées contractuellesDurée du contrat + 5 ansPrescription commercialeDonnées de facturationDurée du contrat + 10 ansObligations comptables et fiscalesDonnées de connexion (logs)12 moisObligation légale (sécurité)

7.2 Suppression automatique

Processus automatisés; suppression anticipée possible via dashboard ou email.

7.3 Sort des données en fin de contrat

Phase 1 — Période de grâce (7 jours)

  • Accès en lecture seule
  • Export CSV/PDF

Phase 2 — Suppression définitive (sous 7 jours)

  • Suppression sécurisée et irréversible
  • Suppression des sauvegardes et caches
  • Méthode : écrasement multi-passes (NIST SP 800-88)

Phase 3 — Attestation (sous 5 jours ouvrés après suppression)

  • Certificat de suppression (date, méthode)

Exception — Conservation légale : information, accès limité, suppression à la fin de l’obligation.

7.4 Restitution

  • Restitution intégrale des données sur demande
  • Délai 15 jours ouvrés
  • Formats : CSV, JSON, XML

ARTICLE 8 — OBLIGATIONS DU RESPONSABLE DE TRAITEMENT

8.1 Instructions légales

Conformité des instructions au RGPD et textes applicables.

8.2 Base légale

  • Intérêt légitime (art. 6.1.f) pour le traitement des appels
  • Exécution du contrat (art. 6.1.b) pour les réservations

8.3 Information des personnes

  • Assistant vocal IA
  • Finalités
  • Droits des personnes
  • Modalités d’exercice

Message d’accueil fourni par le Sous-traitant, sans exonérer le Responsable de ses obligations.

8.4 Exactitude des données

  • Fournir des informations exactes et à jour
  • Mises à jour régulières via dashboard
  • Information immédiate de toute modification importante

8.5 Coopération

  • Réponses aux demandes d’information
  • Participation aux audits si nécessaire
  • Signalement des problématiques de protection des données

ARTICLE 9 — DROITS DES PERSONNES CONCERNÉES

9.1 Répartition des rôles

Responsable de traitement : interlocuteur direct, traite les demandes et décide de la suite.

Sous-traitant : assistance technique, outils, renvoi des demandes reçues au Responsable.

9.2 Demande directe au Sous-traitant

  1. Accusé de réception sous 48h ouvrées
  2. Transfert au Responsable sous 48h ouvrées
  3. Assistance technique sous 48h ouvrées
  4. Réponse finale par le Responsable

9.3 Outils mis à disposition

Via dashboard : export par téléphone, rectification, suppression, désactivation des enregistrements.

Via email : cas complexes, logs justificatifs, opposition.

9.4 Délais d’assistance

  • Standard : 48h ouvrées
  • Urgent (réclamation/litige) : 24h ouvrées

9.5 Droit d’opposition aux enregistrements

  • Avant l’appel : information dans le message d’accueil
  • Pendant l’appel : demande de ne pas être enregistré
  • Après l’appel : demande de suppression

Désactivation globale possible via le dashboard.

ARTICLE 10 — DOCUMENTATION ET REGISTRE

10.1 Documentation du Sous-traitant

Registre : coordonnées, catégories de traitements, transferts éventuels, mesures de sécurité.

Compléments : AIPD, PSSI, procédures violations et droits, contrats sous-traitants.

10.2 Mise à disposition

  • Registre/AIPD : sous 5 jours ouvrés
  • Mesures de sécurité : sous 10 jours ouvrés
  • Autres documents utiles à la conformité

10.3 Registre du Responsable

Le Responsable tient son propre registre (art. 30.1 RGPD); le Sous-traitant fournit les informations nécessaires.

ARTICLE 11 — AUDITS ET INSPECTIONS

11.1 Droit d’audit

Droit de faire réaliser des audits pour vérifier le respect du DPA.

11.2 Modalités

Fréquence : 1 audit/an (sauf incident grave). Préavis 30 jours (date, durée, périmètre). Périmètre : doc technique/org, procédures sécurité, mesures, entretiens, registre.

Exclusions : accès physique serveurs OVH, code source et algorithmes, données d’autres clients.

Pratique : documentaire à distance privilégié; sur site possible; NDA préalable; présence Graham AI.

Frais : 1 audit documentaire/an gratuit; audits supplémentaires/sur site sur devis.

11.3 Auditeur

Responsable de traitement ou auditeur indépendant accepté par le Sous-traitant (refus non arbitraire).

11.4 Rapport

  • Rapport remis au Responsable
  • Plan d’actions correctives sous 30 jours si non-conformités
  • Suivi de mise en œuvre

11.5 CNIL

Coopération pleine, information du Responsable, fourniture des documents, accès si requis.

ARTICLE 12 — RESPONSABILITÉ ET ASSURANCE

12.1 Responsabilité

Le Sous-traitant est responsable des dommages causés par un traitement non conforme au RGPD ou aux instructions légales.

Plafond : limité à un (1) mois d’abonnement payé par le Responsable (cf. CGV 9.1). Exceptions : faute lourde/intentionnelle, violation délibérée, dommages corporels.

12.2 Partage de responsabilité

Responsabilité conjointe possible (art. 82 RGPD); recours entre Parties selon leur part de responsabilité; exonération si absence de faute.

12.3 Assurance

RCP couvrant les conséquences pécuniaires; attestation sur demande; garantie conforme au marché SaaS B2B.

12.4 Indemnisation des sanctions

  • Amende due par la partie fautive lorsqu’elle est seule à l’origine
  • Partage proportionnel en cas de faute conjointe
  • Notification et transmission immédiate des décisions

ARTICLE 13 — DURÉE ET RÉSILIATION DU DPA

13.1 Durée

En vigueur à la signature du contrat de services Graham AI et pendant l’exécution des CGV.

13.2 Effets de la résiliation du contrat principal

Fin automatique du DPA, sous réserve des obligations post-contractuelles (sort des données, responsabilité).

13.3 Résiliation pour manquement

Par le Responsable : manquement grave (sécurité, non-conformité, refus de coopérer, sous-traitance non autorisée, transfert hors UE non autorisé) — LRAR après mise en demeure restée sans effet 15 jours.

Par le Sous-traitant : instructions manifestement illégales maintenues — préavis 30 jours.

13.4 Survie

  • Confidentialité (4.2) : 5 ans
  • Sort des données (7.3)
  • Responsabilité (12) : durée de prescription
  • Droit/Juridiction (14)

ARTICLE 14 — DROIT APPLICABLE ET JURIDICTION

14.1 Droit applicable

Droit français et RGPD.

14.2 Interprétation

Prévalence du RGPD en cas de contradiction.

14.3 Litiges

  • Résolution amiable (30 jours)
  • Médiation conventionnelle
  • Compétence : Tribunal de commerce d’Aubenas

14.4 Autorité de contrôle

CNIL — 3 Place de Fontenoy — TSA 80715 — 75334 PARIS CEDEX 07 — Tél : 01 53 73 22 22 — www.cnil.fr. Droit de réclamation.

ARTICLE 15 — MODIFICATION DU DPA

15.1 Évolutions législatives

Mise à jour possible en cas d’évolution réglementaire.

15.2 Procédure

Substantielle : notification 60 jours, accord écrit requis, résiliation possible en cas de refus. Non substantielle : notification 30 jours, acceptation tacite si pas d’opposition sous 15 jours.

15.3 Versions successives

Conservation 10 ans; versions antérieures disponibles sur demande écrite.

ARTICLE 16 — DISPOSITIONS GÉNÉRALES

16.1 Intégralité

Le DPA et les CGV constituent l’intégralité de l’accord relatif au traitement des données.

16.2 Ordre de priorité

  1. Le présent DPA
  2. Les CGV
  3. Le contrat de souscription
  4. Tout avenant ultérieur

16.3 Nullité partielle

Remplacement de toute clause nulle par une clause valide d’effet équivalent.

16.4 Non-renonciation

L’absence d’exercice d’un droit ne vaut pas renonciation.

16.5 Notifications

  • Email : contact@ai-graham.com (Sous-traitant)
  • Email indiqué lors de la souscription (Responsable)
  • LRAR pour les actes importants

16.6 Langue

Version française faisant foi.

16.7 Cession

Cession par le Responsable uniquement avec accord écrit; cession possible par le Sous-traitant en cas de restructuration (information 60 jours à l’avance).

ARTICLE 17 — ANNEXES

Le présent DPA comprend les annexes suivantes :

Annexe A — Liste des sous-traitants ultérieurs

  • Fournie lors de la signature
  • Mise à jour sur demande (48h)
  • Notification automatique en cas de modification (préavis 30 jours, droit d’opposition)

Annexe B — Mesures techniques et organisationnelles

  • Détails complets des mesures
  • Mise à jour annuelle
  • Disponible sur demande (10 jours ouvrés)

Annexe C — Procédure de notification des violations

  • Processus détaillé, modèles de notification
  • Contacts d’urgence

ANNEXE A — LISTE DES SOUS-TRAITANTS ULTÉRIEURS (exemple de structure)

Version au : [Date]

Sous-traitantNature du serviceLocalisation des donnéesCertificationsOVHcloud SASHébergement / infrastructure cloudFrance (Strasbourg)ISO 27001, HDSTwilio Inc.Téléphonie / acheminement d’appelsUnion EuropéenneISO 27001, SOC 2Microsoft (Azure OpenAI)IA / traitement du langage naturelRégion EuropeISO 27001, SOC 2, ISO 27018[Processeur paiement]Paiements en ligneUnion EuropéennePCI-DSS[Service email]Emails transactionnelsUnion EuropéenneISO 27001[Service monitoring]Monitoring / analyticsUnion EuropéenneISO 27001

© Graham AI 2025 — Data Processing Agreement v1.0
Conforme au RGPD (Règlement UE 2016/679) et à la loi n°78-17 du 6 janvier 1978 modifiée.
Dernière mise à jour : Octobre 2025