CallsensCallsens

Annexe 1 aux CGV — Accord de traitement de données (DPA)

Dernière mise à jour : 1ᵉʳ avril 2026 — Version 1.0

La présente Annexe fait partie intégrante des Conditions Générales de Vente (CGV) conclues entre Smartsense (« Callsens ») et le Client (« le Client »). En cas de contradiction avec les CGV, la présente Annexe prévaut sur les questions de protection des données personnelles.

Elle a pour objet d'encadrer le traitement, par Callsens, des données personnelles dont le Client est responsable de traitement, conformément à l'article 28 du Règlement (UE) 2016/679 (« RGPD ») et à la Loi Informatique et Libertés du 6 janvier 1978 modifiée.

Article 1 — Définitions

Les termes employés avec une majuscule ont le sens qui leur est donné par le RGPD, notamment :

  • Données personnelles : toute information se rapportant à une personne physique identifiée ou identifiable
  • Traitement : toute opération effectuée sur des Données personnelles
  • Responsable de traitement : entité qui détermine les finalités et moyens du Traitement → ici le Client
  • Sous-traitant : entité qui traite les Données pour le compte du Responsable → ici Callsens
  • Sous-traitant ultérieur : entité à laquelle Callsens confie une partie du Traitement (ex : Supabase, AWS)
  • Personne concernée : personne physique à laquelle se rapportent les Données (ici principalement les appelants)
  • Violation de Données : violation de sécurité entraînant destruction, perte, altération, divulgation ou accès non autorisé à des Données personnelles

Article 2 — Objet et durée

Callsens traite des Données personnelles pour le compte du Client dans le cadre de la fourniture du service Callsens (standardiste téléphonique IA).

La présente Annexe s'applique pendant toute la durée du contrat principal (CGV) et survit dans la limite des obligations relatives à la restitution et à la suppression des Données.

Article 3 — Description du traitement

3.1 Nature et finalité

  • Réception, enregistrement audio et transcription écrite des appels téléphoniques reçus par le Client
  • Qualification et résumé automatique des conversations par intelligence artificielle
  • Mise à disposition du Client des enregistrements, transcriptions et métadonnées via son espace client
  • Conservation et sécurisation des Données pendant la durée fixée par le Client (dans la limite des durées maximales de la Politique de confidentialité de Callsens)

3.2 Catégories de Données traitées

  • Numéro de téléphone de l'appelant
  • Date, heure et durée de l'appel
  • Contenu vocal de la conversation (enregistrement audio)
  • Transcription écrite de la conversation
  • Résumé généré par IA
  • Toute donnée d'identification que l'appelant pourrait communiquer pendant la conversation (nom, prénom, adresse, email, motif de l'appel, etc.)

3.3 Catégories de Personnes concernées

  • Personnes physiques appelant les numéros de téléphone du Client opérés via Callsens
  • Le cas échéant : interlocuteurs mentionnés par l'appelant pendant la conversation

3.4 Durée du traitement

  • Enregistrements audio : durée paramétrable par le Client, par défaut 6 mois, maximum 12 mois
  • Transcriptions : durée de l'abonnement + 30 jours après résiliation
  • Au-delà : suppression sécurisée, sauf obligations légales de conservation

Article 4 — Obligations du Client (responsable de traitement)

Le Client s'engage à :

  1. Disposer d'une base légale pour le traitement des Données des appelants (intérêt légitime, exécution d'un contrat, consentement, etc.)
  2. Informer les personnes concernées (notamment dans sa propre politique de confidentialité et par tout moyen approprié) du traitement de leurs Données et de l'existence du traitement par Callsens en qualité de sous-traitant
  3. Documenter le traitement dans son registre des activités de traitement (art. 30 RGPD) en mentionnant Callsens comme sous-traitant
  4. Donner des instructions licites à Callsens
  5. Respecter ses obligations au titre du RGPD (droits des personnes, durées de conservation, etc.)
  6. Garantir qu'il a le droit de communiquer à Callsens les Données nécessaires à la fourniture du service

Callsens fournit au Client les outils techniques nécessaires au respect de ces obligations, notamment :

  • Un message vocal automatique diffusé en début d'appel informant l'appelant qu'il interagit avec un assistant vocal automatisé, que la conversation est enregistrée et transcrite, et lui indiquant comment exercer ses droits
  • Un paramétrage de la durée de conservation des enregistrements
  • Un export des Données sur demande

Article 5 — Obligations de Callsens (sous-traitant)

Callsens s'engage à :

5.1 Conformité aux instructions

Traiter les Données uniquement sur instructions documentées du Client (les CGV et la présente Annexe valent instructions), sauf obligation légale contraire.

5.2 Confidentialité

S'assurer que les personnes autorisées à traiter les Données s'engagent à respecter la confidentialité ou sont soumises à une obligation légale appropriée de confidentialité.

5.3 Sécurité

Mettre en œuvre les mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté au risque (art. 32 RGPD). Voir Appendice C.

5.4 Sous-traitance ultérieure

Recourir à des Sous-traitants ultérieurs uniquement dans les conditions de l'Article 6.

5.5 Assistance au Client

Assister le Client dans :

  • La réponse aux demandes d'exercice des droits des personnes concernées (accès, rectification, effacement, opposition, portabilité, limitation)
  • Le respect des obligations de sécurité (art. 32 RGPD)
  • La notification des violations de Données aux autorités et personnes concernées (art. 33-34 RGPD)
  • La réalisation d'analyses d'impact (AIPD/DPIA, art. 35 RGPD)
  • La consultation préalable de l'autorité de contrôle (art. 36 RGPD)

Cette assistance est fournie compte tenu de la nature du traitement et des informations à disposition de Callsens.

5.6 Notification de violation

En cas de Violation de Données, Callsens notifie le Client sans délai injustifié et au plus tard dans les 72 heures après en avoir pris connaissance, par email à l'adresse de contact RGPD du Client.

La notification comprend, dans la mesure du possible :

  • La nature de la violation
  • Les catégories et le nombre approximatif de personnes et d'enregistrements concernés
  • Les conséquences probables
  • Les mesures prises ou proposées pour remédier à la violation

5.7 Documentation et registre

Tenir un registre des activités de traitement effectuées pour le compte du Client (art. 30.2 RGPD) et le mettre à disposition de l'autorité de contrôle sur demande.

5.8 Audit

Mettre à disposition du Client toutes les informations nécessaires pour démontrer le respect des obligations prévues à l'article 28 du RGPD, et permettre la réalisation d'audits, dans les conditions de l'Article 11.

Article 6 — Sous-traitants ultérieurs

6.1 Autorisation générale

Le Client autorise expressément Callsens à recourir aux Sous-traitants ultérieurs listés à l'Appendice B.

6.2 Modifications

Callsens informe le Client de tout ajout ou remplacement de Sous-traitant ultérieur au moins 30 jours avant son entrée en vigueur, par email ou notification dans l'espace client.

Le Client peut formuler des objections motivées dans les 15 jours suivant la notification. À défaut d'objection dans ce délai, le nouveau sous-traitant est réputé accepté.

En cas d'objection légitime, les parties recherchent une solution amiable. À défaut d'accord dans un délai raisonnable, le Client peut résilier le contrat sans pénalité.

6.3 Obligations imposées aux sous-traitants

Callsens impose à chaque Sous-traitant ultérieur les mêmes obligations de protection des données que celles prévues à la présente Annexe, par contrat écrit. Callsens reste pleinement responsable envers le Client de l'exécution par le Sous-traitant ultérieur de ses obligations.

Article 7 — Sécurité

Callsens met en œuvre les mesures techniques et organisationnelles décrites à l'Appendice C, conformément à l'article 32 du RGPD.

Ces mesures comprennent notamment :

  • Chiffrement TLS des données en transit
  • Chiffrement au repos des enregistrements et bases de données
  • Contrôle d'accès strict (principe du moindre privilège)
  • Authentification renforcée pour les accès administrateur
  • Journalisation des accès et opérations sensibles
  • Sauvegardes régulières
  • Tests de sécurité périodiques
  • Procédure documentée de gestion des incidents

Article 8 — Transferts hors Union européenne

Certains traitements peuvent impliquer un transfert de Données vers des pays situés en dehors de l'Espace Économique Européen, principalement vers les États-Unis (voir Appendice B).

Ces transferts sont encadrés par :

  • L'adhésion des Sous-traitants ultérieurs concernés au Data Privacy Framework UE–États-Unis (décision d'adéquation de la Commission européenne du 10 juillet 2023), lorsque le sous-traitant est certifié
  • ou la signature de Clauses Contractuelles Types adoptées par la Commission européenne (décision 2021/914), accompagnées le cas échéant de mesures supplémentaires (chiffrement, pseudonymisation, restrictions d'accès) à la suite d'une évaluation d'impact des transferts (« TIA »)

Copie des garanties applicables est disponible sur demande à contact@callsens.fr.

Article 9 — Droits des Personnes concernées

Callsens met à disposition du Client les fonctionnalités techniques permettant de répondre aux demandes des Personnes concernées (accès aux enregistrements et transcriptions, export, suppression).

Si une Personne concernée s'adresse directement à Callsens, Callsens :

  • Transmet la demande au Client dans un délai raisonnable
  • N'y répond pas directement, sauf instruction contraire du Client ou obligation légale

Article 10 — Sort des Données en fin de contrat

À la résiliation du contrat, et selon le choix du Client exprimé par écrit dans les 30 jours suivant la résiliation :

  • Soit restitution : Callsens met à disposition du Client un export complet des Données (audio, transcriptions, métadonnées) dans un format structuré et couramment utilisé
  • Soit suppression : Callsens procède à la suppression sécurisée de l'ensemble des Données

À défaut de choix dans le délai, Callsens procède à la suppression au terme d'un délai de 30 jours.

Callsens peut conserver les Données au-delà uniquement dans les cas suivants :

  • Obligation légale de conservation (notamment données de facturation conservées 10 ans)
  • Données anonymisées de manière irréversible utilisées à des fins statistiques ou d'amélioration des modèles

Article 11 — Audit

11.1 Droit d'audit

Le Client peut, à ses frais, vérifier le respect par Callsens des obligations prévues à la présente Annexe, une fois par an et en cas de Violation avérée, dans les conditions suivantes :

  • Notification préalable écrite au moins 30 jours à l'avance
  • Audit conduit pendant les heures ouvrées, sans perturber l'activité de Callsens
  • Auditeur indépendant soumis à un engagement de confidentialité
  • Périmètre limité aux Données du Client et aux mesures de sécurité applicables

11.2 Alternative

Callsens peut satisfaire à son obligation en fournissant un rapport d'audit récent (datant de moins de 18 mois) réalisé par un tiers indépendant, type SOC 2 Type II, ISO 27001 ou équivalent, lorsqu'un tel rapport existe.

Article 12 — Responsabilité

Chaque partie est responsable du respect des obligations qui lui incombent en propre au titre du RGPD.

La responsabilité de Callsens au titre de la présente Annexe est plafonnée dans les conditions de l'Article 11 des CGV, sauf pour les cas où la limitation n'est pas autorisée par la loi (faute lourde, dol, dommages corporels).

Article 13 — Modifications

Toute modification de la présente Annexe rendue nécessaire par une évolution législative ou réglementaire sera notifiée au Client et entrera en vigueur de plein droit.

Toute autre modification fait l'objet d'un accord écrit entre les parties.

Appendice A — Description détaillée du traitement

ÉlémentDescription
Nature du traitementRéception, enregistrement, transcription, qualification IA et stockage des communications téléphoniques entrantes
FinalitésFourniture d'un service de standardiste IA pour le compte du Client
Catégories de DonnéesNuméro de téléphone appelant, audio, transcription, résumé, métadonnées de l'appel, données d'identification éventuellement communiquées par l'appelant
Catégories de Personnes concernéesPersonnes physiques appelant les numéros opérés par le Client
Types d'opérationsCollecte, enregistrement, organisation, structuration, conservation, adaptation, consultation, communication par transmission, effacement
DuréeDurée du contrat principal ; conservation audio 6 mois par défaut (paramétrable), transcriptions abonnement + 30 jours

Appendice B — Liste des Sous-traitants ultérieurs

Liste à jour à la date de la dernière mise à jour. La version courante est disponible à l'adresse callsens.fr/sous-traitants.

Sous-traitantRôleLocalisationGaranties pour transferts hors UE
Supabase Inc.Base de données, authentificationSingapour (siège) / UE (infrastructure Francfort)Data Privacy Framework + Clauses Contractuelles Types
Amazon Web Services (AWS)Hébergement infrastructure (DB, stockage)UE et États-UnisData Privacy Framework
Vercel Inc.Hébergement du site et de l'application (front)États-Unis (edge réseau UE — Paris)Data Privacy Framework / SCC
Google LLCAuthentification OAuth (connexion espace client) et Google Analytics 4 (mesure d'audience, sur consentement)États-UnisData Privacy Framework
Stripe Payments Europe LtdTraitement des paiements (facturation des abonnements)Irlande + États-Unis (Stripe Inc.)Data Privacy Framework + Clauses Contractuelles Types
Twilio Inc.Attribution et acheminement téléphonique des numérosÉtats-UnisData Privacy Framework + Clauses Contractuelles Types
Meta Platforms Inc.Pixel publicitaire (mesure des conversions des campagnes Meta Ads, sur consentement)États-UnisData Privacy Framework

Appendice C — Mesures techniques et organisationnelles

Callsens met en œuvre les mesures suivantes pour assurer la sécurité des Données, conformément à l'article 32 du RGPD :

1. Pseudonymisation et chiffrement

  • Chiffrement TLS 1.2+ de toutes les communications réseau
  • Chiffrement au repos des bases de données et du stockage objet (AES-256)
  • Stockage des secrets dans un coffre-fort de secrets (variables d'environnement chiffrées)

2. Contrôle d'accès

  • Authentification renforcée pour les comptes administrateurs (2FA obligatoire)
  • Principe du moindre privilège : chaque collaborateur n'accède qu'aux données nécessaires à ses fonctions
  • Cloisonnement des environnements (production / pré-production / développement)
  • Cloisonnement strict des données entre clients via Row Level Security (RLS) au niveau base de données
  • Révocation immédiate des accès en fin de contrat ou de mission

3. Disponibilité et résilience

  • Sauvegardes automatiques quotidiennes des bases de données
  • Procédures documentées de reprise d'activité (PCA/PRA)
  • Architecture résiliente avec redondance des composants critiques

4. Tests et évaluation

  • Tests de sécurité périodiques (revue de code, dépendances, configuration)
  • Veille active sur les vulnérabilités des dépendances logicielles
  • Mise à jour régulière des composants logiciels

5. Gestion des incidents

  • Procédure documentée de gestion des Violations de Données
  • Notification au Client sous 72 heures
  • Journal des incidents conservé pendant 5 ans

6. Mesures organisationnelles

  • Engagement de confidentialité signé par tous les collaborateurs et prestataires accédant aux Données
  • Sensibilisation périodique à la protection des données
  • Documentation des procédures internes
  • Désignation d'un point de contact RGPD : contact@callsens.fr

7. Spécificités liées à l'IA

  • Aucune décision produisant des effets juridiques n'est prise sans intervention humaine
  • Information explicite de l'appelant en début d'appel sur la nature automatisée de l'échange
  • Modèles IA entraînés sur données anonymisées ou pseudonymisées uniquement
  • Aucune transmission de Données identifiables à des tiers à des fins d'entraînement de modèles