Accord de traitement des données (DPA) — Version 1

Cet Accord de Traitement des Données (Data Processing Agreement, ou « DPA ») définit les obligations respectives de VoxNote (sous-traitant) et de l'entreprise cliente (responsable de traitement) concernant le traitement de données personnelles dans le cadre de l'utilisation du logiciel VoxNote.

Sous-traitant : Auto-Artisan (Entrepreneur individuel (micro-entreprise)), éditeur du logiciel VoxNote — SIRET 105 093 777 00016, siège social 37 Grande Rue, 88340 Le Val-d'Ajol, France. Délégué à la protection des données : Alexis Forquin, auto.artisan@proton.me.

En cochant la case « J'ai lu et signé le DPA » lors de votre inscription, vous acceptez l'ensemble des clauses suivantes.

1. Objet du contrat

Le présent DPA a pour objet de définir les conditions dans lesquelles le sous-traitant (Auto-Artisan) traite, pour le compte du responsable de traitement (entreprise artisanale cliente), les données personnelles nécessaires à la fourniture du service VoxNote. Il fixe les obligations respectives des parties au regard du RGPD et prend effet à compter de la signature électronique du DPA par le responsable de traitement lors de la création de son compte VoxNote. Le DPA cesse de produire effet à la résiliation du contrat principal (CGU), augmentée d'une période de grâce de trente (30) jours destinée à permettre la récupération des données par le responsable.

2. Description du traitement

Nature : collecte, structuration, conservation, modification, consultation, extraction, transmission par envoi (email transactionnel et facture PDF), restitution (export RGPD), et suppression de données personnelles.

Finalités : saisie vocale terrain (PWA mobile + transcription Voxtral), stockage centralisé des fiches clients, génération de factures Factur-X (EN 16931), export RGPD à la demande (article 20 RGPD).

Catégories de données : identification des clients finaux (nom, prénom, adresse, téléphone, email), contractuelles (interventions, lignes facturation, montants), techniques (IP, agent utilisateur, horodatage), vocales temporaires (audio brut conservé moins de 24 heures puis supprimé).

Catégories de personnes concernées : clients finaux du responsable de traitement, employés utilisateurs de VoxNote (jusqu'à 4 utilisateurs par entreprise en MVP).

3. Obligations du sous-traitant

Auto-Artisan s'engage à :

• Traiter les données uniquement sur instruction documentée du responsable de traitement, y compris en ce qui concerne les transferts vers un pays tiers.
• Garantir que les personnes autorisées à traiter les données sont soumises à une obligation de confidentialité appropriée.
• Prendre toutes les mesures requises en vertu de l'article 32 du RGPD relatif à la sécurité du traitement (voir section 5).
• Respecter les conditions énoncées à la section 6 pour recruter un autre sous-traitant.
• Aider le responsable de traitement à répondre aux demandes d'exercice des droits des personnes concernées (voir section 7).
• Aider le responsable à garantir le respect des articles 32 à 36 du RGPD (sécurité, notification de violation, analyse d'impact).
• À la fin du contrat, supprimer ou renvoyer les données au choix du responsable (voir section 10).
• Mettre à disposition la documentation nécessaire pour démontrer la conformité et permettre les audits.

4. Obligations du responsable de traitement

Le responsable de traitement s'engage à :

• Fournir au sous-traitant les données strictement nécessaires aux finalités décrites, à l'exclusion de toute catégorie particulière (article 9 RGPD) qui ne doit jamais être saisie dans VoxNote.
• Documenter par écrit toute instruction concernant le traitement.
• Veiller au respect des obligations RGPD par le sous-traitant pendant toute la durée du traitement.
• Superviser le traitement, y compris réaliser les audits et inspections (voir section 9).
• Recueillir le consentement éclairé de ses propres clients finaux conformément à la base légale applicable (article 6.1.b RGPD).
• Informer ses clients finaux de l'utilisation de VoxNote comme sous-traitant.

5. Sécurité

Auto-Artisan met en œuvre les mesures techniques et organisationnelles suivantes, conformes à l'article 32 du RGPD :

• Transport : TLS 1.2+, redirection 80→443, HSTS activé (max-age=31536000; includeSubDomains; preload). Certificats Let's Encrypt renouvelés automatiquement.
• Stockage : PostgreSQL 16 sur volume chiffré LUKS. Sauvegardes pg_dump quotidiennes chiffrées GPG (clé asymétrique 4096 bits) puis synchronisées hors-site par SSH.
• Authentification : mots de passe argon2id (memory 64 MiB, time 3, parallelism 4) jamais en clair. JWT signés HS256 (access 30 min, refresh rotatif 30 j). Cookies httpOnly + SameSite=Strict + Secure.
• Multi-tenant : colonne entreprise_id filtrée systématiquement par middleware SQLAlchemy d'injection de tenant.
• PII logs : filtre logging stdlib supprime automatiquement les emails / téléphones / adresses / contenus d'interventions des journaux.
• Audio : suppression en moins de 24 heures après transcription réussie ; seule la transcription textuelle est conservée.

6. Sous-traitance ultérieure

Conformément à l'Article 28.2 du RGPD, Auto-Artisan recourt aux sous-traitants ultérieurs suivants, dont l'intervention est expressément autorisée par la signature du présent DPA :

• Mistral AI (société de droit français, Paris) — transcription Voxtral et extraction Mistral Small. Aucun audio ni transcription conservé au-delà du traitement temps réel. Datacenters européens (France).
• Brevo (société de droit français, Paris) — emails transactionnels. Données transmises : email destinataire, nom, corps de l'email généré par VoxNote (jamais de pièce jointe contenant des catégories particulières). Datacenters européens (France).
• Hostinger (siège Vilnius, Lituanie ; datacenters opérationnels Paris) — hébergement VPS KVM2 + PostgreSQL chiffré LUKS + sauvegardes GPG. Aucun accès en clair aux données métier.

Toute modification ultérieure de la liste sera notifiée au responsable avec un préavis minimum de trente (30) jours, lui permettant de s'y opposer pour motif légitime.

7. Droit d'information des personnes concernées

Il appartient au responsable de traitement d'informer ses clients finaux du recours à Auto-Artisan, conformément aux articles 13 et 14 du RGPD. L'information doit notamment mentionner l'identité et les coordonnées du responsable et du sous-traitant, les finalités, la base légale, les destinataires (sous-traitants section 6), la durée de conservation et les droits des personnes concernées.

Auto-Artisan met à disposition l'endpoint GET /api/v1/me/export qui streame un ZIP complet (JSON + CSV + PDF) permettant au responsable de répondre aux demandes d'accès et de portabilité dans les délais légaux (un mois maximum).

8. Notification de violation de données

Conformément à l'article 33 du RGPD, Auto-Artisan notifie au responsable de traitement, dans les meilleurs délais et au plus tard dans les soixante-douze (72) heures à compter de la prise de connaissance, toute violation de données affectant le traitement.

La notification comporte au minimum : la nature de la violation (catégories et nombre approximatif de personnes concernées), les coordonnées du DPO, les conséquences probables, et les mesures prises pour remédier à la violation.

Il appartient au responsable de notifier la violation à la CNIL et, le cas échéant, aux personnes concernées (article 34 du RGPD).

9. Audit

Le responsable de traitement peut, à ses frais et sous préavis raisonnable de trente (30) jours ouvrés, réaliser un audit annuel de conformité. L'audit peut prendre la forme d'un questionnaire écrit, d'une visite sur site (datacenter Paris) sous escorte, ou d'une revue des journaux d'audit applicatifs.

Auto-Artisan fournit, sur demande, la documentation de conformité disponible (politique de confidentialité publique, version courante du DPA, descriptif des mesures de sécurité, liste à jour des sous-traitants ultérieurs). En cas de non-conformité, Auto-Artisan dispose de trente (30) jours ouvrés pour remédier ou présenter un plan d'action documenté.

10. Fin du contrat

À l'expiration du contrat principal, une période de grâce de trente (30) jours calendaires commence à courir, durant laquelle :

• Le responsable conserve un accès en lecture et export complet via GET /api/v1/me/export.
• Aucune nouvelle donnée n'est collectée (compte gelé en lecture).
• Le responsable peut demander la suppression anticipée immédiate par email à auto.artisan@proton.me.

À l'issue de la période de grâce, Auto-Artisan procède à la suppression définitive des données métier, à la conservation pour la seule durée légale obligatoire de dix (10) ans des données comptables figurant sur les factures émises (article L.102 B du CGI), et à la suppression des sauvegardes chiffrées dans un délai maximum de quatre-vingt-dix (90) jours.