Dernière mise à jour : 1er janvier 2026
Accord de Traitement des Données
Data Processing Agreement (DPA)
1. Définitions
- « Responsable du traitement » (Data Controller) : Le Client (commerce) qui utilise VENDAQ pour communiquer avec ses clients finaux et qui détermine les finalités et les moyens du traitement des données personnelles.
- « Sous-traitant » (Data Processor) : VENDAQ SpA, qui traite les données personnelles pour le compte et selon les instructions du Responsable du traitement.
- « Sous-traitant ultérieur » : Tiers engagé par VENDAQ qui traite des données personnelles dans le cadre de la fourniture du Service.
- « Données personnelles » : Toute information se rapportant à une personne physique identifiée ou identifiable.
- « Personne concernée » (Data Subject) : La personne physique dont les données personnelles sont traitées (clients finaux du Commerce).
- « Violation de données » : Incident de sécurité entraînant la destruction, la perte, l'altération ou la divulgation non autorisée de données personnelles.
2. Rôles et Responsabilités
Le Client (Responsable du traitement) :
- Détermine les finalités et les moyens du traitement des données personnelles de ses clients finaux
- Est responsable de disposer d'une base juridique pour la collecte et le traitement des données (consentement, intérêt légitime, relation contractuelle, etc.)
- Doit informer ses clients finaux de l'utilisation de l'IA dans le service client et du traitement de leurs données
- Fournit à VENDAQ des instructions documentées concernant le traitement des données
VENDAQ (Sous-traitant) :
- Traite les données personnelles uniquement selon les instructions documentées du Client
- Ne traite pas les données à des fins propres (sauf obligation légale)
- Garantit que le personnel ayant accès aux données personnelles est soumis à des obligations de confidentialité
- Met en oeuvre des mesures techniques et organisationnelles appropriées pour protéger les données
- Assiste le Client dans le respect de ses obligations en matière de droits des personnes concernées
- Notifie le Client sans délai injustifié de toute violation de données
3. Finalité du Traitement
VENDAQ traite les données personnelles exclusivement pour :
- Fournir le service client par intelligence artificielle
- Traiter et répondre aux conversations des clients finaux
- Maintenir l'historique des conversations et le contexte client
- S'intégrer aux systèmes e-commerce pour consulter les informations de commandes
- Générer des analyses et rapports agrégés pour le tableau de bord du Client
- Gérer la facturation et l'administration du compte du Client
4. Types de Données Traitées
| Catégorie | Types de données | Personnes concernées |
|---|---|---|
| Données d'identification | Nom, numéro de téléphone, photo de profil (de la plateforme de messagerie) | Clients finaux |
| Données de conversation | Contenu des messages texte, audio transcrit, fichiers partagés, horodatages | Clients finaux |
| Données commerciales | Historique d'achats, commandes, préférences produits, adresse de livraison | Clients finaux |
| Données de compte | Nom, email, entreprise, informations de facturation | Client (commerce) |
| Métadonnées | Canal de communication, heure d'interaction, type d'appareil, adresse IP | Clients finaux et Client |
Données sensibles : VENDAQ n'est pas conçu pour traiter des catégories particulières de données (données de santé, données biométriques, données relatives à l'orientation sexuelle, aux croyances religieuses ou à l'affiliation politique). Le Client ne doit pas configurer le service pour collecter intentionnellement ce type de données.
5. Sous-traitants
VENDAQ fait appel aux sous-traitants suivants pour fournir le Service. Le Client autorise le recours à ces sous-traitants en acceptant le présent DPA :
| Sous-traitant | Finalité | Localisation des données |
|---|---|---|
| Google (Gemini) | Traitement du langage naturel — génération de réponses IA | États-Unis |
| Anthropic (Claude) | Traitement du langage naturel — génération de réponses IA | États-Unis |
| Groq | Traitement du langage naturel — inférence rapide | États-Unis |
| Deepgram | Transcription vocale (speech-to-text) | États-Unis |
| Fly.io | Hébergement applicatif — serveurs de la plateforme | São Paulo, Brésil |
| Neon | Base de données PostgreSQL gérée | São Paulo, Brésil |
| Upstash | Cache Redis et files d'attente de messages | São Paulo, Brésil |
| Stripe | Traitement des paiements et facturation | États-Unis |
Modification des sous-traitants : VENDAQ informera le Client au moins 30 jours avant d'ajouter ou de modifier un sous-traitant. Le Client peut s'y opposer par écrit dans les 15 jours suivant la notification. Si l'objection ne peut être résolue, le Client peut résilier le service.
Tous les sous-traitants sont soumis à des accords contractuels exigeant le même niveau de protection des données que celui prévu dans le présent DPA.
6. Mesures de Sécurité
VENDAQ met en oeuvre les mesures techniques et organisationnelles suivantes :
Chiffrement
- Chiffrement au repos : AES-256 pour les bases de données et le stockage
- Chiffrement en transit : TLS 1.2+ pour toutes les communications
- Chiffrement des sauvegardes
Contrôle d'accès
- Authentification multifacteur (MFA) pour tout le personnel ayant accès à la production
- Principe du moindre privilège pour les accès internes
- Contrôle d'accès basé sur les rôles (RBAC)
- Révision périodique des autorisations d'accès
Surveillance et audit
- Journalisation de tous les accès aux données personnelles
- Surveillance de sécurité en temps réel
- Alertes automatiques en cas d'activités suspectes
- Conservation des journaux d'audit pendant 12 mois
Sécurité applicative
- Isolation des données par tenant (multi-tenancy sécurisé)
- Revue de code et tests de sécurité
- Mises à jour de sécurité appliquées régulièrement
Continuité d'activité
- Sauvegardes automatisées quotidiennes avec rétention de 30 jours
- Plan de reprise après sinistre documenté
- Infrastructure redondante
7. Notification de Violation de Données
En cas de violation de données affectant des données personnelles :
- VENDAQ notifiera le Client dans les 72 heures suivant la découverte de la violation
- La notification inclura :
- La nature de la violation et les données affectées
- Les mesures prises ou proposées pour atténuer l'impact
- Le nombre approximatif de personnes concernées
- Le point de contact pour plus d'informations
- VENDAQ coopérera avec le Client dans l'investigation et l'atténuation de la violation
- VENDAQ assistera le Client dans le respect de ses obligations de notification aux autorités et aux personnes concernées
8. Droits d'Audit
Le Client a le droit de vérifier le respect du présent DPA par VENDAQ :
- VENDAQ fournira, sur demande raisonnable, la documentation et les rapports relatifs à ses pratiques de sécurité et de protection des données
- Le Client peut réaliser ou mandater des audits avec un préavis de 30 jours et pendant les heures ouvrables
- Les audits se limiteront aux aspects pertinents du présent DPA et ne perturberont pas les opérations normales
- Les frais d'audit seront à la charge du Client, sauf si l'audit révèle un manquement significatif de la part de VENDAQ
- VENDAQ peut fournir des rapports d'audit de tiers indépendants comme alternative aux audits sur site
9. Transferts Internationaux de Données
Certains sous-traitants traitent des données en dehors du Chili (principalement aux États-Unis et au Brésil). Pour ces transferts :
- Tous les sous-traitants disposent de mesures de protection adéquates
- Les fournisseurs de LLM (Google, Anthropic, Groq) traitent les données via des API professionnelles avec des engagements contractuels de ne pas utiliser les données pour l'entraînement
- L'infrastructure principale (base de données, application) est hébergée à São Paulo, Brésil, afin de minimiser les transferts internationaux et réduire la latence en Amérique latine
10. Suppression des Données
À la fin de la relation contractuelle :
- Le Client disposera de 30 jours pour exporter ses données via les outils fournis par la plateforme ou en demandant une exportation à notre équipe
- Après la période d'exportation, VENDAQ supprimera toutes les données personnelles traitées pour le compte du Client dans un délai de 90 jours
- Seront supprimées les données de :
- Base de données principale
- Caches et files d'attente de messages
- Sauvegardes (lors du prochain cycle de rotation)
- VENDAQ fournira une confirmation écrite de la suppression sur demande
- Les données devant être conservées en vertu d'une obligation légale seront protégées et traitées uniquement à cette fin
11. Durée
Le présent DPA entre en vigueur dès que le Client commence à utiliser le Service et reste en vigueur tant que VENDAQ traite des données personnelles pour le compte du Client.
Les obligations de confidentialité et de protection des données survivent à la résiliation du présent accord.
Contact
Pour toute question relative au présent DPA ou à la protection des données :
- Email : [email protected]
- Responsable de la protection des données : [email protected]