Contact

EN

DATA PROCESSING AGREEMENT (DPA)

CONTRAT DE SOUS-TRAITANCE RGPD

Annexe aux Conditions Générales de Vente Graham AI

Version : 1.1

Date de mise à jour : Janvier 2026

Entrée en vigueur : Janvier 2026

PRÉAMBULE

Le présent contrat de sous-traitance (ci-après « DPA » ou « Contrat ») constitue une annexe obligatoire aux Conditions Générales de Vente de Graham AI. Il est conclu en application de l'article 28 du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel (RGPD).

ENTRE :

Le Client (ci-après le « Responsable de traitement »), professionnel exploitant un établissement de restauration, dont les coordonnées figurent dans le contrat de souscription,

D'UNE PART,

ET

Graham AI, société par actions simplifiée, dont le siège social est situé 1061 chemin de la Lauze, 07700 Bourg-Saint-Andéol, France, immatriculée au RCS d'Aubenas sous le numéro 991 535 808 (SIRET : 991 535 808 00018), représentée par Mathieu THOMAS, Président, ci-après le « Sous-traitant »,

D'AUTRE PART.

Ci-après collectivement dénommées « les Parties ».

ARTICLE 1 - OBJET DU CONTRAT

1.1 Objet

Le présent contrat a pour objet de définir les conditions dans lesquelles Graham AI, agissant en qualité de Sous-traitant au sens de l'article 28 du RGPD, traite des données à caractère personnel pour le compte du Client, Responsable de traitement, dans le cadre de la fourniture du service d'assistant vocal intelligent Graham AI.

1.2 Champ d'application

Le présent DPA s'applique à l'ensemble des traitements de données à caractère personnel effectués par Graham AI pour le compte du Client dans le cadre de l'exécution des Conditions Générales de Vente et de tous les services associés.

1.3 Hiérarchie des documents

En cas de contradiction entre les dispositions du présent DPA et celles des Conditions Générales de Vente, les dispositions du DPA prévalent pour tout ce qui concerne la protection des données personnelles.

ARTICLE 2 - DÉFINITIONS

Au sens du présent contrat, les termes suivants ont la signification qui leur est donnée ci-après :

Données à caractère personnel : Toute information se rapportant à une personne physique identifiée ou identifiable (article 4.1 du RGPD).

Traitement : Toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel (article 4.2 du RGPD).

Responsable de traitement : La personne physique ou morale qui détermine les finalités et les moyens du traitement (le Client).

Sous-traitant : La personne physique ou morale qui traite des données à caractère personnel pour le compte du Responsable de traitement (Graham AI).

Violation de données à caractère personnel : Une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données.

Autorité de contrôle : La Commission Nationale de l'Informatique et des Libertés (CNIL) pour la France.

RGPD : Le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.

ARTICLE 3 - DESCRIPTION DES TRAITEMENTS

3.1 Nature et finalité des traitements

Finalités principales :

  • Réception et traitement automatique des appels téléphoniques entrants
  • Gestion automatisée des demandes de réservation
  • Fourniture d'informations sur l'établissement du Client
  • Transfert d'appels vers le Client lorsque nécessaire
  • Transcription et résumé textuel des conversations
  • Stockage sécurisé et mise à disposition des données de réservation

Finalités techniques et administratives :

  • Hébergement et stockage sécurisé des données
  • Maintenance et amélioration continue du service
  • Support technique et assistance client
  • Facturation et gestion administrative

3.2 Durée du traitement

Les traitements sont effectués pendant toute la durée du contrat commercial entre les Parties, tel que défini dans les Conditions Générales de Vente (article 10 des CGV), ainsi que pendant les délais de conservation nécessaires après la fin du contrat conformément aux obligations légales et aux stipulations de l'article 7 du présent DPA.

3.3 Types de données personnelles traitées

A. Données des appelants (clients finaux du Responsable de traitement) :

  • Données d'identification : nom, prénom (si communiqués volontairement lors de l'appel)
  • Données de contact : numéro de téléphone de l'appelant
  • Données conversationnelles : enregistrement audio et transcription de la conversation (uniquement lors de prises de réservation)
  • Données de réservation : date et heure de réservation, nombre de personnes, demandes spécifiques ou allergies communiquées
  • Métadonnées techniques : date et heure d'appel, durée de communication, numéro appelé, numéro appelant

B. Données du Client (Responsable de traitement) :

  • Données d'identification : raison sociale, numéro SIRET, adresse du siège social
  • Données de contact : nom, prénom, email, numéro de téléphone des représentants légaux et utilisateurs
  • Données de facturation : coordonnées bancaires (IBAN), historique des paiements
  • Données techniques : identifiants de connexion, mots de passe hashés, adresse IP, logs de connexion

3.4 Catégories de personnes concernées

Les catégories de personnes dont les données sont traitées comprennent :

  • Les appelants (clients du restaurant, prospects, toute personne contactant le restaurant)
  • Les représentants légaux et dirigeants du Client
  • Les employés du Client autorisés à utiliser le service
  • Les utilisateurs du tableau de bord Graham AI

Important : Aucune donnée sensible au sens de l'article 9 du RGPD (origine raciale ou ethnique, opinions politiques, convictions religieuses, données de santé, données génétiques, données biométriques, vie sexuelle) n'est intentionnellement collectée ou traitée. Si de telles données sont communiquées spontanément par un appelant, elles sont immédiatement supprimées.

ARTICLE 4 - OBLIGATIONS DU SOUS-TRAITANT

4.1 Traitement conforme aux instructions

4.1.1 Principe

Le Sous-traitant s'engage à traiter les données à caractère personnel uniquement sur instruction documentée du Responsable de traitement, conformément à l'article 28.3(a) du RGPD, sauf obligation légale contraire imposant le traitement au Sous-traitant. Dans ce dernier cas, le Sous-traitant informe le Responsable de traitement de cette obligation légale avant le traitement, sauf si le droit applicable interdit une telle information pour des motifs importants d'intérêt public.

4.1.2 Instructions documentées

Instructions initiales : Définies dans le présent DPA et dans les Conditions Générales de Vente

Instructions complémentaires transmises par le Client via :

  • Le tableau de bord Graham AI (paramétrage, activation/désactivation des enregistrements, export de données, suppression)
  • Email à contact@ai-graham.com pour les demandes spécifiques
  • Lettre recommandée avec accusé de réception pour les instructions importantes
4.1.3 Délai de traitement des instructions

Le Sous-traitant s'engage à traiter toute instruction complémentaire du Responsable de traitement dans un délai maximum de 48 heures ouvrées suivant sa réception, sauf instruction spécifique d'urgence pour laquelle le délai sera réduit à 24 heures ouvrées.

4.1.4 Instructions manifestement illégales

Si le Sous-traitant considère qu'une instruction du Responsable de traitement est manifestement contraire au RGPD ou à toute autre disposition du droit de l'Union ou du droit français relative à la protection des données, il en informe immédiatement le Responsable de traitement par écrit. Le Sous-traitant suspend alors l'exécution de cette instruction jusqu'à ce qu'elle soit confirmée ou modifiée par le Responsable de traitement.

4.2 Confidentialité

4.2.1 Engagement de confidentialité

Le Sous-traitant garantit que toutes les personnes autorisées à traiter les données à caractère personnel :

  • Se sont engagées à respecter la confidentialité ou sont soumises à une obligation légale appropriée de confidentialité
  • Ont signé des clauses de confidentialité spécifiques lors de leur embauche
  • Sont soumises à une obligation légale de confidentialité (secret professionnel)
4.2.2 Personnel habilité

L'accès aux données à caractère personnel est strictement limité aux personnes suivantes :

  • L'équipe technique en charge du développement et de la maintenance (accès technique nécessaire)
  • L'équipe support client (uniquement si nécessaire pour résoudre un incident)
  • La direction (pour contrôle et supervision)
4.2.3 Traçabilité des accès

Tous les accès aux données sont journalisés et conservés pendant 12 mois minimum. Ces logs comprennent : l'identité de la personne ayant accédé aux données, la date et l'heure de l'accès, la nature de l'opération effectuée. Ces logs sont consultables par le Responsable de traitement sur demande écrite.

4.3 Sécurité des données

4.3.1 Mesures techniques de sécurité

Conformément à l'article 32 du RGPD, le Sous-traitant met en œuvre les mesures techniques suivantes :

A. Chiffrement des données :

  • Chiffrement en transit : protocole TLS 1.3 pour toutes les communications
  • Chiffrement au repos : AES-256 pour toutes les données stockées
  • Authentification : OAuth2 et JWT (JSON Web Tokens)
  • Certificats SSL/TLS régulièrement mis à jour et vérifiés

B. Contrôle d'accès :

  • Authentification forte obligatoire (authentification multi-facteurs MFA disponible)
  • Principe du moindre privilège strictement appliqué
  • Gestion des habilitations avec révocation immédiate en fin de collaboration
  • Révision trimestrielle des droits d'accès

C. Infrastructure sécurisée :

  • Pare-feu applicatifs (WAF - Web Application Firewall)
  • Systèmes de détection et prévention d'intrusion (IDS/IPS)
  • Surveillance continue 24h/24 et 7j/7
  • Isolation réseau par environnement (production, test, développement)
  • Segmentation des données par client (cloisonnement strict)
  • Protection anti-DDoS

D. Sauvegardes et continuité :

  • Sauvegardes quotidiennes automatiques effectuées à 02h00 (heure de Paris)
  • Rétention des sauvegardes pendant 7 jours
  • Sauvegardes chiffrées et stockées dans des datacenters géographiquement distants
  • Tests de restauration effectués trimestriellement
  • Plan de Continuité d'Activité (PCA) et Plan de Reprise d'Activité (PRA) documentés
4.3.2 Mesures organisationnelles de sécurité

A. Politique de sécurité :

  • Politique de sécurité des systèmes d'information (PSSI) documentée et mise à jour annuellement
  • Procédures de gestion des accès et des habilitations
  • Charte d'utilisation des ressources informatiques
  • Politique de mots de passe robustes (longueur minimale, complexité, renouvellement)

B. Formation et sensibilisation :

  • Formation RGPD obligatoire pour tous les collaborateurs (annuelle)
  • Formation spécifique en sécurité informatique pour l'équipe technique
  • Parcours d'intégration (onboarding) incluant un module sécurité et RGPD
  • Rappels réguliers et communication interne sur les bonnes pratiques

C. Gestion des incidents :

  • Procédure de gestion des incidents de sécurité documentée et régulièrement testée
  • Équipe d'astreinte technique disponible 24h/24 et 7j/7
  • Notification immédiate en cas de violation de données (voir article 4.4.2)
  • Plan de Continuité d'Activité (PCA) et Plan de Reprise d'Activité (PRA)
  • Tests annuels des procédures d'urgence

D. Tests et audits :

  • Tests de sécurité effectués à chaque mise à jour majeure du service
  • Application des correctifs de sécurité : sous 48h pour les vulnérabilités critiques, sous 7 jours pour les autres
  • Veille active sur les vulnérabilités (CVE) et les bonnes pratiques
  • Audits de sécurité périodiques possibles à la demande du Responsable de traitement (voir article 11)

4.4 Assistance au Responsable de traitement

4.4.1 Exercice des droits des personnes concernées

Droits concernés :

Le Sous-traitant aide le Responsable de traitement à honorer les droits suivants des personnes concernées :

  • Droit d'accès (article 15 RGPD)
  • Droit de rectification (article 16 RGPD)
  • Droit à l'effacement (article 17 RGPD)
  • Droit à la limitation du traitement (article 18 RGPD)
  • Droit à la portabilité des données (article 20 RGPD)
  • Droit d'opposition (article 21 RGPD)

Procédure :

  • La personne concernée contacte directement le Responsable de traitement (le Client)
  • Le Responsable de traitement traite la demande et décide de la suite à donner
  • Le Responsable de traitement contacte le Sous-traitant si nécessaire
  • Le Sous-traitant fournit son assistance technique sous 48 heures ouvrées
  • Le Responsable de traitement adresse la réponse finale à la personne concernée

Outils mis à disposition :

Le Sous-traitant met à disposition du Responsable de traitement les outils suivants :

  • Export des données au format CSV ou PDF via le tableau de bord
  • Fonctionnalité de rectification des données
  • Fonctionnalité de suppression des données
  • Désactivation de l'enregistrement audio et de la transcription des appels
  • Recherche et identification des données par numéro de téléphone
4.4.2 Notifications des violations de données

En cas de violation de données à caractère personnel, le Sous-traitant s'engage à :

  • Notification au Responsable de traitement : Dans les meilleurs délais et au plus tard 72 heures après en avoir pris connaissance
  • Contenu de la notification : Nature de la violation, catégories et nombre approximatif de personnes et d'enregistrements concernés, conséquences probables, mesures prises ou proposées pour remédier à la violation
  • Assistance pour notification à la CNIL : Fourniture de toutes les informations nécessaires pour permettre au Responsable de traitement de notifier la violation à la CNIL si requis
  • Assistance pour information des personnes concernées : Si la violation présente un risque élevé pour les droits et libertés des personnes
  • Documentation : Tenue d'un registre interne des violations (conservé 3 ans minimum)

La procédure détaillée de notification des violations figure en Annexe C du présent DPA.

4.4.3 Analyses d'impact relative à la protection des données (AIPD)

Le Sous-traitant fournit au Responsable de traitement toute information nécessaire pour démontrer le respect des obligations prévues par le RGPD et pour permettre la réalisation d'analyses d'impact relatives à la protection des données (AIPD) :

  • Mise à disposition d'un résumé de l'AIPD réalisée par le Sous-traitant sur demande écrite
  • Assistance au Responsable de traitement pour la réalisation de sa propre AIPD si nécessaire
  • Mise à jour de l'AIPD en cas d'évolution majeure du service
  • Délai de fourniture : 10 jours ouvrés maximum après réception de la demande
4.4.4 Consultation préalable de l'autorité de contrôle

Si une consultation préalable de la CNIL est requise (article 36 RGPD), le Sous-traitant fournit au Responsable de traitement toutes les informations nécessaires dans un délai maximum de 5 jours ouvrés suivant la demande.

ARTICLE 5 - SOUS-TRAITANCE ULTÉRIEURE

5.1 Autorisation générale

Le Responsable de traitement autorise le Sous-traitant à recourir à des sous-traitants ultérieurs (« sous-traitants secondaires ») pour effectuer des opérations de traitement spécifiques. Cette autorisation est soumise aux conditions énoncées au présent article 5.

5.2 Liste des sous-traitants ultérieurs

Une liste à jour des sous-traitants ultérieurs est tenue par le Sous-traitant et fournie au Responsable de traitement :

  • Lors de la signature du présent DPA (voir Annexe A)
  • Sur demande écrite du Responsable de traitement (fourniture sous 48 heures ouvrées)
  • Automatiquement en cas de modification (voir article 5.3)

Cette liste comprend pour chaque sous-traitant : l'identité et les coordonnées, la nature du service fourni, la localisation des traitements et du stockage des données, les certifications et garanties de sécurité.

Catégories de sous-traitants ultérieurs :

  • Hébergement et infrastructure cloud
  • Services de téléphonie et acheminement d'appels
  • Intelligence artificielle et traitement du langage naturel
  • Traitement des paiements
  • Envoi d'emails transactionnels
  • Surveillance, monitoring et analytics

5.3 Recours à un nouveau sous-traitant ultérieur

En cas de recours à un nouveau sous-traitant ultérieur ou de remplacement d'un sous-traitant existant :

  • Notification préalable : Le Sous-traitant notifie le Responsable de traitement au moins 30 jours calendaires avant tout changement, par email à l'adresse indiquée lors de la souscription
  • Contenu de la notification : Identité du nouveau sous-traitant, nature du service fourni, localisation des données, garanties de sécurité et conformité RGPD
  • Droit d'opposition : Le Responsable de traitement dispose d'un délai de 15 jours calendaires pour formuler des objections motivées et légitimes
  • Traitement de l'opposition : Si le Responsable de traitement s'oppose, les Parties recherchent de bonne foi une solution alternative. À défaut, le Responsable de traitement peut résilier le contrat sans pénalité moyennant un préavis de 30 jours
  • Absence d'opposition : À défaut d'opposition dans le délai de 15 jours, le changement est réputé accepté

5.4 Obligations contractuelles des sous-traitants ultérieurs

Le Sous-traitant impose à tout sous-traitant ultérieur des obligations strictement équivalentes à celles du présent DPA, notamment concernant :

  • Les garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées
  • La conformité aux exigences de l'article 28 du RGPD
  • La limitation du traitement aux seules instructions du Responsable de traitement
  • La confidentialité et la sécurité des données
  • L'assistance pour l'exercice des droits des personnes et la notification des violations

5.5 Responsabilité

Le Sous-traitant demeure pleinement responsable vis-à-vis du Responsable de traitement de l'exécution par le sous-traitant ultérieur de ses obligations en matière de protection des données. Toute défaillance du sous-traitant ultérieur dans l'exécution de ses obligations en matière de protection des données engage la responsabilité du Sous-traitant à l'égard du Responsable de traitement.

ARTICLE 6 - TRANSFERTS DE DONNÉES 

6.1 Localisation actuelle des données

À la date d'entrée en vigueur du présent DPA, les données à caractère personnel sont principalement hébergées et traitées au sein de l'Union Européenne :

  • Hébergement principal : France (datacenters OVHcloud à Strasbourg)
  • Services d'intelligence artificielle : Région Amérique du Nord (Microsoft Azure OpenAI Service)
  • Téléphonie : Données stockées dans l'Union Européenne (Twilio)
  • Sauvegardes : Union Européenne uniquement

Important concernant les services d'IA : Les données traitées par Microsoft Azure OpenAI Service sont transmises dans la région Amérique du Nord. Microsoft applique les garanties appropriées conformément au RGPD, notamment les Clauses Contractuelles Types de la Commission Européenne et est certifié ISO 27001, ISO 27018 et SOC 2. Les appelants sont informés de ce traitement par le message d'accueil de l'assistant vocal.

6.2 Transfert futur exceptionnel

Si le Sous-traitant envisage d'effectuer un nouveau transfert de données vers un pays tiers à l'Union Européenne :

  • Notification préalable : Au moins 60 jours calendaires avant le transfert
  • Garanties appropriées : Clauses Contractuelles Types (CCT) approuvées par la Commission européenne, Règles d'entreprise contraignantes (BCR), Certification ou code de conduite approuvé, ou Décision d'adéquation de la Commission européenne
  • Droit d'opposition : Le Responsable de traitement dispose de 30 jours pour s'opposer au transfert. À défaut d'opposition, le transfert est réputé accepté
  • Information des personnes concernées : Les appelants sont informés via le message d'accueil de l'assistant vocal

6.3 Réquisition ou obligation légale d'un pays tiers

En cas de réquisition ou d'obligation légale imposée par les autorités d'un pays tiers d'accéder aux données à caractère personnel :

  • Le Sous-traitant notifie immédiatement le Responsable de traitement, sauf si le droit applicable l'interdit
  • Le Sous-traitant conteste la demande si elle apparaît illégale
  • Le Sous-traitant applique une minimisation stricte des données transmises

ARTICLE 7 - DURÉE DE CONSERVATION DES DONNÉES

7.1 Durées de conservation pendant le contrat

A. Données des appelants (clients finaux) :

  • Enregistrements audio et transcriptions : 30 jours maximum après l'appel (Base légale : Intérêt légitime + Exécution du contrat)
  • Données de réservation : 90 jours après la date de réservation (Base légale : Exécution du contrat)
  • Logs techniques d'appels : 30 jours (Base légale : Obligation légale - Code des postes et communications électroniques)

B. Données du Client (Responsable de traitement) :

  • Données contractuelles : Durée du contrat + 5 ans (Base légale : Prescription commerciale)
  • Données de facturation : Durée du contrat + 10 ans (Base légale : Obligations comptables et fiscales)
  • Données de connexion : 12 mois (Base légale : Obligation légale - Sécurité des systèmes)

7.2 Suppression automatique

Des processus automatisés sont mis en place pour supprimer les données à l'expiration des durées ci-dessus. Le Responsable de traitement peut demander une suppression anticipée à tout moment via le tableau de bord ou par email à contact@ai-graham.com.

7.3 Sort des données en fin de contrat

Phase 1 — Période de grâce (7 jours calendaires) :

  • Accès au tableau de bord en mode lecture seule
  • Possibilité d'export des données au format CSV ou PDF
  • Service d'assistant vocal désactivé

Phase 2 — Suppression définitive (sous 7 jours calendaires maximum) :

  • Suppression sécurisée et irréversible de toutes les données
  • Suppression des sauvegardes et copies en cache
  • Méthode : écrasement multi-passes conforme à la norme NIST SP 800-88
  • Suppression des données chez les sous-traitants ultérieurs

Phase 3 — Attestation (sous 5 jours ouvrés après suppression) :

  • Délivrance d'un certificat de suppression au Responsable de traitement
  • Attestation comprenant : date de suppression effective, méthode utilisée, confirmation de la suppression chez les sous-traitants

Exception — Conservation légale obligatoire :

Si une obligation légale impose la conservation de certaines données (ex. : données de facturation pendant 10 ans), le Sous-traitant en informe le Responsable de traitement. Ces données sont alors conservées de manière sécurisée avec accès limité au strict nécessaire, et supprimées dès la fin de l'obligation légale.

7.4 Restitution des données

Sur demande écrite du Responsable de traitement formulée avant ou pendant la période de grâce, le Sous-traitant restitue l'intégralité des données à caractère personnel sous forme électronique dans un délai de 15 jours ouvrés. Les formats de restitution disponibles sont : CSV (valeurs séparées par des virgules), JSON (JavaScript Object Notation), XML (Extensible Markup Language). La restitution est effectuée de manière sécurisée par un lien de téléchargement chiffré à usage unique.

ARTICLE 8 - OBLIGATIONS DU RESPONSABLE DE TRAITEMENT

8.1 Instructions légales et conformes

Le Responsable de traitement garantit que ses instructions de traitement sont conformes au RGPD et à tout autre texte applicable en matière de protection des données à caractère personnel. Le Responsable de traitement assume seul la responsabilité en cas d'instruction non conforme.

8.2 Base légale du traitement

Le Responsable de traitement déclare disposer d'une base légale appropriée pour le traitement des données :

  • Intérêt légitime (article 6.1.f du RGPD) pour le traitement des appels entrants et l'amélioration du service client
  • Exécution du contrat (article 6.1.b du RGPD) pour la gestion des réservations entre le Client et ses clients finaux

8.3 Information des personnes concernées

Le Responsable de traitement s'engage à informer les personnes concernées (appelants) conformément aux articles 13 et 14 du RGPD, notamment sur :

  • L'utilisation d'un assistant vocal intelligent basé sur l'intelligence artificielle
  • Les finalités du traitement
  • Les droits des personnes concernées
  • Les modalités d'exercice de ces droits
  • La durée de conservation des données
  • Le traitement par des sous-traitants situés hors Union Européenne le cas échéant

Le Sous-traitant fournit un message d'accueil type pouvant être utilisé par l'assistant vocal, mais ce message ne décharge pas le Responsable de traitement de son obligation d'information complète (par exemple via sa politique de confidentialité, son site web, ou d'autres moyens appropriés).

8.4 Exactitude des données

Le Responsable de traitement s'engage à :

  • Fournir des informations exactes, à jour et complètes concernant son établissement
  • Effectuer des mises à jour régulières via le tableau de bord
  • Informer immédiatement le Sous-traitant de toute modification importante
  • Vérifier régulièrement l'exactitude des données de réservation enregistrées

8.5 Coopération

Le Responsable de traitement s'engage à :

  • Répondre dans les meilleurs délais aux demandes d'information du Sous-traitant
  • Participer aux audits si nécessaire (voir article 11)
  • Signaler au Sous-traitant toute problématique relative à la protection des données
  • Fournir toute information nécessaire pour permettre au Sous-traitant de respecter ses obligations RGPD

ARTICLE 9 - DROITS DES PERSONNES CONCERNÉES

9.1 Répartition des rôles

Responsable de traitement (le Client) :

  • Interlocuteur direct des personnes concernées
  • Traite les demandes d'exercice des droits
  • Décide de la suite à donner aux demandes
  • Adresse les réponses aux personnes concernées

Sous-traitant (Graham AI) :

  • Fournit l'assistance technique nécessaire
  • Met à disposition les outils appropriés
  • Renvoie au Responsable de traitement toute demande reçue directement d'une personne concernée

9.2 Demande adressée directement au Sous-traitant

Si une personne concernée adresse directement sa demande d'exercice de droits au Sous-traitant (par exemple à contact@ai-graham.com) :

  • Le Sous-traitant accuse réception de la demande sous 48 heures ouvrées
  • Le Sous-traitant transfère immédiatement la demande au Responsable de traitement sous 48 heures ouvrées
  • Le Sous-traitant fournit son assistance technique au Responsable de traitement sous 48 heures ouvrées
  • La réponse finale est adressée par le Responsable de traitement à la personne concernée

9.3 Outils mis à disposition

Via le tableau de bord :

  • Recherche et export des données par numéro de téléphone
  • Rectification des données de réservation
  • Suppression des données
  • Désactivation globale ou individuelle des enregistrements audio et transcriptions

Via email à contact@ai-graham.com :

  • Traitement de cas complexes
  • Fourniture de logs et justificatifs
  • Traitement des demandes d'opposition

9.4 Délais d'assistance

  • Délai standard : 48 heures ouvrées pour toute demande d'assistance
  • Délai urgent : 24 heures ouvrées en cas de réclamation auprès de la CNIL ou de litige contentieux

9.5 Droit d'opposition aux enregistrements

Les personnes concernées peuvent s'opposer aux enregistrements audio et transcriptions :

  • Avant l'appel : Information dans le message d'accueil de l'assistant vocal
  • Pendant l'appel : Possibilité de demander à ne pas être enregistré
  • Après l'appel : Demande de suppression de l'enregistrement auprès du Responsable de traitement
  • Désactivation globale : Le Responsable de traitement peut désactiver complètement les enregistrements via le tableau de bord

ARTICLE 10 - DOCUMENTATION ET REGISTRE

10.1 Documentation tenue par le Sous-traitant

Conformément à l'article 30.2 du RGPD, le Sous-traitant tient et met à jour un registre des activités de traitement comprenant au minimum :

  • Le nom et les coordonnées du Sous-traitant et de chaque Responsable de traitement pour le compte duquel il agit
  • Les catégories de traitements effectués pour le compte de chaque Responsable de traitement
  • Les transferts de données vers un pays tiers, le cas échéant, avec les garanties appropriées
  • Une description générale des mesures techniques et organisationnelles de sécurité

Documentation complémentaire disponible :

  • Analyse d'impact relative à la protection des données (AIPD)
  • Politique de sécurité des systèmes d'information (PSSI)
  • Procédures de notification des violations de données
  • Procédures d'exercice des droits des personnes
  • Contrats de sous-traitance avec les sous-traitants ultérieurs

10.2 Mise à disposition de la documentation

La documentation est mise à la disposition du Responsable de traitement sur demande écrite adressée à contact@ai-graham.com :

  • Registre et AIPD : sous 5 jours ouvrés maximum
  • Description des mesures de sécurité : sous 10 jours ouvrés maximum
  • Autres documents : délai raisonnable selon la complexité de la demande

10.3 Registre du Responsable de traitement

Le Responsable de traitement est responsable de la tenue de son propre registre des activités de traitement conformément à l'article 30.1 du RGPD. Le Sous-traitant fournit au Responsable de traitement toutes les informations nécessaires pour compléter ce registre concernant les traitements effectués pour son compte.

ARTICLE 11 - AUDITS ET INSPECTIONS

11.1 Droit d'audit

Conformément à l'article 28.3(h) du RGPD, le Responsable de traitement a le droit de faire réaliser des audits, y compris des inspections, pour vérifier le respect par le Sous-traitant de ses obligations au titre du présent DPA et du RGPD.

11.2 Modalités d'audit

Fréquence : Un audit par an maximum, sauf en cas d'incident grave de sécurité ou de violation de données

Préavis : 30 jours calendaires minimum, avec communication de la date prévue, de la durée estimée et du périmètre de l'audit

Périmètre de l'audit :

  • Documentation technique et organisationnelle
  • Procédures et politiques de sécurité
  • Mesures techniques de protection des données
  • Entretiens avec le personnel du Sous-traitant
  • Registre des activités de traitement

Exclusions du périmètre :

  • Accès physique aux serveurs hébergés par OVHcloud (soumis aux règles d'OVHcloud)
  • Code source et algorithmes propriétaires (secrets d'affaires)
  • Données à caractère personnel d'autres clients du Sous-traitant

Modalités pratiques :

  • Audit documentaire à distance privilégié (visioconférence, partage de documents)
  • Audit sur site possible après accord mutuel sur les modalités
  • Signature d'un accord de confidentialité (NDA) préalable par l'auditeur
  • Présence d'un représentant du Sous-traitant durant toute la durée de l'audit

Frais :

  • Premier audit documentaire par an : gratuit
  • Audits supplémentaires ou audit sur site : frais raisonnables facturés sur devis préalable
  • Frais de déplacement et d'hébergement de l'auditeur : à la charge du Responsable de traitement

11.3 Auditeur

L'audit peut être réalisé par le Responsable de traitement lui-même ou par un auditeur indépendant mandaté par celui-ci. Le Sous-traitant peut refuser un auditeur pour des motifs légitimes (conflit d'intérêts, concurrent, absence de qualification), ce refus ne pouvant être arbitraire.

11.4 Rapport d'audit

À l'issue de l'audit, un rapport écrit est remis au Responsable de traitement et au Sous-traitant. En cas de non-conformités constatées, le Sous-traitant s'engage à proposer un plan d'actions correctives dans un délai de 30 jours calendaires et à mettre en œuvre les actions nécessaires dans des délais raisonnables. Le Responsable de traitement peut demander un suivi de la mise en œuvre du plan d'actions.

11.5 Audit par la CNIL

En cas d'audit ou de contrôle par la CNIL (Commission Nationale de l'Informatique et des Libertés), le Sous-traitant s'engage à coopérer pleinement, à informer immédiatement le Responsable de traitement, à fournir tous les documents et informations requis, et à permettre l'accès aux locaux et systèmes si nécessaire et dans le respect de la législation applicable.

ARTICLE 12 - RESPONSABILITÉ ET ASSURANCE

12.1 Principe de responsabilité

Conformément à l'article 82 du RGPD, le Sous-traitant est responsable des dommages causés par un traitement uniquement s'il n'a pas respecté les obligations du RGPD qui incombent spécifiquement aux sous-traitants ou s'il a agi en dehors des instructions légales du Responsable de traitement ou contrairement à celles-ci.

Limitation de responsabilité : La responsabilité du Sous-traitant est plafonnée à un (1) mois d'abonnement payé par le Responsable de traitement, conformément à l'article 9.2 des Conditions Générales de Vente.

Exceptions au plafond de responsabilité :

  • Faute lourde ou intentionnelle du Sous-traitant
  • Violation délibérée des obligations RGPD
  • Dommages corporels
  • Violation des obligations de confidentialité et de sécurité caractérisée

12.2 Partage de responsabilité

Si le Responsable de traitement et le Sous-traitant sont conjointement impliqués dans un même traitement ayant causé un dommage, chaque partie est tenue responsable du dommage dans son intégralité afin de garantir à la personne concernée une indemnisation effective (responsabilité solidaire). Toutefois, dans leurs relations internes, chaque partie n'est responsable qu'à hauteur de sa part de responsabilité dans le dommage, en fonction de sa faute respective. Le Sous-traitant est exonéré de responsabilité s'il prouve qu'il n'est nullement responsable du fait ayant causé le dommage.

12.3 Assurance responsabilité civile professionnelle

Le Sous-traitant justifie d'une assurance responsabilité civile professionnelle souscrite auprès d'un assureur agréé, couvrant les conséquences pécuniaires de sa responsabilité professionnelle, y compris en matière de protection des données à caractère personnel. Une attestation d'assurance en cours de validité peut être fournie sur demande écrite. Les garanties sont conformes aux standards du marché pour les prestataires SaaS B2B.

12.4 Indemnisation des sanctions

En cas d'amende ou de sanction pécuniaire prononcée par la CNIL ou toute autre autorité compétente :

  • L'amende est due par la partie fautive lorsqu'elle est seule à l'origine du manquement constaté
  • En cas de faute conjointe, le partage de l'amende est proportionnel à la responsabilité de chaque partie
  • Chaque partie notifie immédiatement l'autre partie de toute procédure, mise en demeure ou décision de sanction
  • Les parties se transmettent sans délai copie de toute décision ou notification reçue d'une autorité de contrôle

ARTICLE 13 - DURÉE ET RÉSILIATION DU DPA

13.1 Durée

Le présent DPA entre en vigueur à la date de signature du contrat de services Graham AI et demeure en vigueur pendant toute la durée d'exécution des Conditions Générales de Vente.

13.2 Effet de la résiliation du contrat principal

La résiliation ou l'expiration des Conditions Générales de Vente entraîne automatiquement la fin du présent DPA, sous réserve des obligations post-contractuelles prévues à l'article 7.3 (sort des données) et à l'article 13.4 (survie de certaines clauses).

13.3 Résiliation pour manquement

Résiliation par le Responsable de traitement :

Le Responsable de traitement peut résilier le présent DPA en cas de manquement grave du Sous-traitant à ses obligations, notamment :

  • Violation grave ou répétée des mesures de sécurité
  • Non-conformité persistante au RGPD
  • Refus de coopérer ou de fournir les informations nécessaires
  • Recours à un sous-traitant ultérieur non autorisé
  • Transfert de données hors Union Européenne sans garanties appropriées

La résiliation intervient par lettre recommandée avec accusé de réception après mise en demeure restée sans effet pendant 15 jours calendaires.

Résiliation par le Sous-traitant :

Le Sous-traitant peut résilier le présent DPA si le Responsable de traitement persiste à donner des instructions manifestement illégales au regard du RGPD, après avoir été informé de l'illégalité de ces instructions. La résiliation intervient moyennant un préavis de 30 jours calendaires.

13.4 Survie de certaines clauses

Les dispositions suivantes survivent à l'expiration ou à la résiliation du présent DPA :

  • Article 4.2 (Confidentialité) : pendant 5 ans
  • Article 7.3 (Sort des données en fin de contrat) : jusqu'à complète exécution
  • Article 12 (Responsabilité et assurance) : pendant toute la durée de prescription applicable
  • Article 14 (Droit applicable et juridiction) : indéfiniment

ARTICLE 14 - DROIT APPLICABLE ET JURIDICTION

14.1 Droit applicable

Le présent DPA est régi et interprété conformément au droit français et au Règlement (UE) 2016/679 (RGPD).

14.2 Interprétation

En cas de contradiction entre une disposition du présent DPA et le RGPD, les dispositions du RGPD prévalent.

14.3 Règlement des litiges

Les Parties s'engagent à rechercher une solution amiable à tout différend relatif à l'interprétation ou l'exécution du présent DPA pendant un délai de 30 jours calendaires. À défaut d'accord amiable, les Parties peuvent recourir à une médiation conventionnelle conformément à l'article 14.2 des Conditions Générales de Vente.

À défaut de règlement amiable ou de médiation, tout litige relatif au présent DPA sera porté devant le Tribunal de commerce d'Aubenas, même en cas de pluralité de défendeurs ou d'appel en garantie.

14.4 Autorité de contrôle

L'autorité de contrôle compétente est la Commission Nationale de l'Informatique et des Libertés (CNIL) :

  • Adresse : 3 Place de Fontenoy - TSA 80715 - 75334 PARIS CEDEX 07
  • Téléphone : 01 53 73 22 22
  • Site web : www.cnil.fr

Toute personne concernée dispose du droit d'introduire une réclamation auprès de la CNIL si elle estime que le traitement de ses données à caractère personnel constitue une violation du RGPD.

ARTICLE 15 - MODIFICATION DU DPA

15.1 Évolutions législatives et réglementaires

Le présent DPA peut être modifié par le Sous-traitant pour tenir compte des évolutions législatives, réglementaires ou des recommandations des autorités de contrôle en matière de protection des données personnelles.

15.2 Procédure de modification

Modifications substantielles :

  • Notification écrite au moins 60 jours calendaires avant l'entrée en vigueur
  • Accord écrit exprès du Responsable de traitement requis
  • Possibilité de résiliation du contrat principal en cas de refus, conformément aux CGV

Modifications non substantielles (mises à jour mineures, corrections, clarifications) :

  • Notification écrite au moins 30 jours calendaires avant l'entrée en vigueur
  • Acceptation tacite si absence d'opposition dans un délai de 15 jours calendaires
  • En cas d'opposition motivée, discussion de bonne foi pour trouver un accord

15.3 Conservation des versions successives

Le Sous-traitant conserve toutes les versions successives du DPA pendant une durée de 10 ans minimum. Les versions antérieures peuvent être fournies au Responsable de traitement sur demande écrite.

ARTICLE 16 - DISPOSITIONS GÉNÉRALES

16.1 Intégralité de l'accord

Le présent DPA, conjointement avec les Conditions Générales de Vente Graham AI, constitue l'intégralité de l'accord entre les Parties relatif au traitement des données à caractère personnel. Il annule et remplace tous accords, négociations ou documents antérieurs relatifs au même objet.

16.2 Ordre de priorité

En cas de contradiction entre les documents contractuels, l'ordre de priorité suivant s'applique :

  • 1. Le présent Data Processing Agreement (DPA)
  • 2. Les Conditions Générales de Vente Graham AI
  • 3. Le contrat de souscription
  • 4. Tout avenant ou annexe ultérieur

16.3 Nullité partielle

Si une ou plusieurs stipulations du présent DPA sont tenues pour non valides ou déclarées telles en application d'une loi, d'un règlement ou à la suite d'une décision définitive d'une juridiction compétente, les autres stipulations conserveront toute leur force et leur portée. Les Parties s'efforceront de remplacer la clause invalidée par une clause valide d'effet équivalent.

16.4 Non-renonciation

Le fait pour l'une des Parties de ne pas se prévaloir d'un manquement de l'autre Partie à l'une quelconque des obligations du présent DPA ne saurait être interprété comme une renonciation à se prévaloir ultérieurement d'un tel manquement.

16.5 Notifications

Toutes les notifications requises ou autorisées par le présent DPA doivent être effectuées par écrit :

  • Pour le Sous-traitant : contact@ai-graham.com
  • Pour le Responsable de traitement : adresse email indiquée lors de la souscription
  • Pour les actes importants : lettre recommandée avec accusé de réception

16.6 Langue

Le présent DPA est rédigé en langue française. En cas de traduction en une ou plusieurs langues étrangères, seule la version française fera foi en cas de litige.

16.7 Cession

Le Responsable de traitement ne peut céder le présent DPA à un tiers sans l'accord écrit préalable du Sous-traitant. Le Sous-traitant peut céder le présent DPA dans le cadre d'une opération de restructuration (fusion, acquisition, cession d'actifs) sous réserve d'en informer le Responsable de traitement au moins 60 jours calendaires à l'avance.

ARTICLE 17 - ANNEXES

Version au : Janvier 2026

Conformément à l'article 5 du présent DPA, voici la liste actualisée des sous-traitants ultérieurs auxquels Graham AI fait appel pour la fourniture de son service :

1. OVHCLOUD SAS

  • Nature du service : Hébergement et infrastructure cloud
  • Localisation des données : France (Strasbourg)
  • Certifications : ISO 27001, HDS (Hébergeur de Données de Santé), ISO 27018
  • Site web : www.ovhcloud.com

2. TWILIO INC.

  • Nature du service : Téléphonie et acheminement d'appels
  • Localisation des données : Union Européenne
  • Certifications : ISO 27001, SOC 2 Type II
  • Site web : www.twilio.com

3. MICROSOFT (AZURE OPENAI SERVICE)

  • Nature du service : Intelligence artificielle et traitement du langage naturel
  • Localisation des données : Région Amérique du Nord
  • Garanties : Clauses Contractuelles Types de la Commission Européenne
  • Certifications : ISO 27001, ISO 27018, SOC 2 Type II
  • Site web : azure.microsoft.com/openai

Note importante : Cette liste peut être mise à jour conformément à l'article 5.3 du DPA. Toute modification sera notifiée au Responsable de traitement au moins 30 jours calendaires à l'avance, avec droit d'opposition dans un délai de 15 jours.

Pour obtenir une version à jour de cette liste, le Responsable de traitement peut adresser une demande écrite à contact@ai-graham.com. La liste actualisée sera fournie sous 48 heures ouvrées.

© Graham AI 2026 — Data Processing Agreement v1.1

Conforme au RGPD (Règlement UE 2016/679) et à la loi n°78-17 du 6 janvier 1978 modifiée

Dernière mise à jour : Janvier 2026