Accord de traitement des données (DPA)

Le présent accord de traitement des données (ci-après « DPA ») encadre, au sens de l'article 28 du Règlement (UE) 2016/679 du 27 avril 2016 (« RGPD »), les traitements de données à caractère personnel effectués par Saasline SASU pour le compte du Client dans le cadre de l'exploitation de la plateforme ArtisanLoop.

Il fait partie intégrante des Conditions Générales d'Utilisation (CGU) et prévaut sur tout document antérieur en matière de protection des données. Il s'applique automatiquement à toute relation contractuelle entre Saasline SASU et un Client utilisant ArtisanLoop, et entre en vigueur à la date d'acceptation des CGU.

Saasline SASU, société par actions simplifiée unipersonnelle au capital de 100 €, dont le siège social est situé 10 rue de la Paix, 75002 Paris (France), immatriculée au RCS de Paris sous le numéro SIREN 988 212 833, agit en qualité de sous-traitant au sens de l'article 4.8 du RGPD.

Le Client, personne physique ou morale ayant souscrit au service ArtisanLoop via la création d'un espace de travail, agit en qualité de responsable du traitement au sens de l'article 4.7 du RGPD pour l'ensemble des données personnelles qu'il importe, génère ou traite à travers la plateforme.

Le Client conserve la maîtrise des finalités et des moyens substantiels des traitements, conformément à sa qualification de responsable du traitement.

Saasline SASU traite, pour le compte du Client, les données à caractère personnel nécessaires à la fourniture des services ArtisanLoop : assistant vocal IA, téléphonie, CRM, gestion des devis et factures, formulaires d'intake, planification de rendez-vous, automatisations conversationnelles et tableau de bord analytique.

Nature des opérations effectuées : collecte, enregistrement, structuration, conservation, adaptation, extraction, consultation, communication par transmission, rapprochement, limitation, effacement et destruction.

Durée du traitement : pour la durée de l'abonnement souscrit par le Client, prolongée des durées légales d'archivage applicables (voir section conservation).

Catégories de personnes concernées :

• Les utilisateurs de l'espace de travail (employés, collaborateurs du Client)
• Les contacts et prospects du Client (artisans, particuliers, entreprises clientes)
• Les correspondants tiers identifiés dans les échanges (fournisseurs, partenaires)
• Les appelants entrants traités par l'assistant vocal IA

Catégories de données traitées :

• Données d'identification : nom, prénom, civilité, fonction, raison sociale, SIRET.
• Données de contact : adresse email, numéro de téléphone, adresse postale.
• Données de communication vocale : enregistrements audio des appels, transcriptions textuelles, résumés générés par IA, métadonnées d'appel.
• Données de communication écrite : contenu des emails, SMS, formulaires d'intake, notes, pièces jointes.
• Données commerciales : devis, factures, paiements, historique client, pipeline commercial.
• Données techniques : identifiants de session, adresses IP, journaux d'activité.

Aucune donnée sensible au sens de l'article 9 du RGPD (santé, opinions politiques, données biométriques, etc.) ne devrait être confiée à ArtisanLoop. Si le Client envisage un tel traitement, il en informe Saasline SASU préalablement et les Parties conviennent des garanties supplémentaires.

Saasline SASU s'engage à :

• Ne traiter les données personnelles que sur instruction documentée du Client, matérialisée notamment par les CGU, le paramétrage de l'espace de travail et les actions effectuées par les utilisateurs autorisés.
• Garantir la confidentialité des données personnelles traitées et veiller à ce que les personnes autorisées à les traiter soient soumises à une obligation de confidentialité contractuelle ou légale.
• Mettre en œuvre les mesures techniques et organisationnelles décrites en section « Sécurité » pour garantir un niveau de sécurité adapté au risque.
• Assister le Client, dans la mesure du possible et compte tenu de la nature du traitement, pour répondre à ses obligations en matière d'exercice des droits des personnes concernées et de notification des violations.
• Mettre à disposition du Client toute information nécessaire pour démontrer le respect des obligations prévues à l'article 28 du RGPD.
• Notifier au Client toute violation de données personnelles dans un délai maximal de 72 heures à compter de sa découverte, accompagnée des éléments prévus à l'article 33.3 du RGPD.

Le Client s'engage à :

• Disposer d'une base légale appropriée pour chaque traitement effectué via la plateforme (exécution d'un contrat, intérêt légitime, consentement, obligation légale).
• Informer les personnes concernées du traitement et, le cas échéant, recueillir leur consentement conformément aux articles 13, 14 et 7 du RGPD.
• Configurer l'espace de travail conformément aux principes de minimisation et de limitation des finalités (article 5 du RGPD).
• Gérer les habilitations des utilisateurs de l'espace de travail et appliquer le principe de moindre privilège.
• Documenter les traitements dans son registre des activités de traitement (article 30 du RGPD), Saasline SASU lui fournissant le DPA et les informations techniques nécessaires.

Le Client autorise Saasline SASU à faire appel aux sous-traitants ultérieurs listés ci-dessous pour la fourniture du service. Chacun est lié par un accord de traitement conforme à l'article 28 du RGPD imposant des obligations équivalentes à celles du présent DPA.

Notification de changement : Saasline SASU informe le Client par email ou via le tableau de bord de tout projet de changement (ajout ou remplacement) de sous-traitant ultérieur avec un préavis minimal de trente (30) jours. Le Client dispose de ce délai pour formuler une opposition motivée. À défaut d'opposition, l'ajout est réputé accepté.

En cas d'opposition légitime que les Parties ne parviennent pas à résoudre, le Client est en droit de résilier l'abonnement sans pénalité.

Certains sous-traitants ultérieurs listés ci-dessus, notamment LiveKit, Fixie AI / Ultravox, OpenAI, Anthropic, Telnyx et Resend, opèrent depuis des infrastructures situées aux États-Unis. Les transferts de données personnelles vers ces destinataires sont encadrés par :

• La signature des Clauses Contractuelles Types (CCT) approuvées par la décision d'exécution (UE) 2021/914 de la Commission européenne, intégrées dans chaque accord de sous-traitance.
• Lorsque applicable, l'adhésion du sous-traitant au cadre EU-US Data Privacy Framework (DPF) homologué par la décision d'adéquation du 10 juillet 2023.
• Des mesures supplémentaires (chiffrement TLS en transit, chiffrement au repos, pseudonymisation lorsque pertinente) destinées à compléter les garanties juridiques par des garanties techniques.

Aucun transfert n'est effectué hors de ce périmètre sans garantie appropriée au sens du chapitre V du RGPD. Une copie des CCT applicables peut être obtenue sur demande écrite adressée à [email protected].

Saasline SASU met en œuvre les mesures techniques et organisationnelles suivantes, conformément à l'article 32 du RGPD :

Mesures techniques :

• Chiffrement TLS 1.2+ de toutes les communications réseau.
• Chiffrement au repos AES-256 des données stockées sur disque (base de données, stockage objet, sauvegardes).
• Isolation logique stricte des données entre espaces de travail (workspace) grâce à un cloisonnement applicatif et à des règles de sécurité au niveau base de données (Row-Level Security PostgreSQL).
• Gestion centralisée des authentifications avec rotation des sessions, hachage bcrypt des mots de passe et option d'authentification multi-facteurs.
• Journalisation des accès et des opérations sensibles dans un registre d'audit inaltérable.
• Sauvegardes chiffrées quotidiennes et tests de restauration trimestriels.
• Détection automatisée d'anomalies et alerte sécurité opérée en continu.

Mesures organisationnelles :

• Politique de sécurité interne formalisée, revue annuellement et communiquée à l'ensemble du personnel.
• Application stricte du principe de moindre privilège pour les accès aux environnements de production.
• Engagement de confidentialité signé par tout collaborateur, sous-traitant ou prestataire ayant accès aux données.
• Procédure formalisée de gestion des incidents de sécurité et de notification des violations.
• Revues de code obligatoires et tests automatisés sur chaque changement de code.
• Évaluations régulières des fournisseurs, en particulier des sous-traitants ultérieurs.

Saasline SASU assiste le Client, dans la mesure du possible et compte tenu de la nature du traitement, dans la mise en œuvre des droits des personnes concernées prévus aux articles 15 à 22 du RGPD (accès, rectification, effacement, limitation, opposition, portabilité). Lorsqu'une demande est adressée directement à Saasline SASU, elle est transmise sans délai au Client, qui demeure compétent pour y répondre. Saasline SASU fournit les outils techniques (export de données, suppression de compte, anonymisation) nécessaires à la mise en œuvre de ces droits.

En cas de violation de données à caractère personnel concernant les traitements opérés pour le compte du Client, Saasline SASU s'engage à :

• Notifier la violation au Client dans un délai maximal de soixante-douze (72) heures à compter de sa découverte.
• Fournir au Client toute information utile, incluant la nature de la violation, les catégories et le nombre approximatif de personnes concernées et d'enregistrements impactés, les conséquences probables et les mesures prises ou proposées pour y remédier.
• Documenter chaque violation dans un registre interne.

La notification de la violation par Saasline SASU n'emporte aucune reconnaissance de faute ou de responsabilité.

Conformément à l'article 28.3.h du RGPD, le Client dispose d'un droit d'audit lui permettant de vérifier le respect par Saasline SASU des obligations prévues au présent DPA. Ce droit s'exerce selon les modalités suivantes :

• Documentation : Saasline SASU met à disposition, sur demande écrite, l'ensemble des politiques de sécurité, certifications, rapports d'audit interne et plans de continuité applicables.
• Audit sur place : une fois par an au maximum et moyennant un préavis de trente (30) jours, le Client peut diligenter un audit sur place ou par un tiers indépendant. Les frais d'audit sont à la charge du Client, sauf si l'audit révèle des non-conformités matérielles imputables à Saasline SASU.
• Audit à distance : pour les questionnaires de sécurité (CAIQ, SIG-Lite, etc.), Saasline SASU s'engage à répondre dans un délai raisonnable.

Le traitement est exécuté pour toute la durée du contrat d'abonnement. À l'issue de la prestation, soit par résiliation à l'initiative du Client soit par cessation contractuelle :

• Le Client dispose d'un délai de trente (30) jours pour télécharger l'intégralité de ses données via les fonctions d'export proposées dans la plateforme (format CSV, JSON, ou fichiers PDF pour les pièces commerciales).
• À l'expiration de ce délai, Saasline SASU procède à la suppression définitive des données personnelles du Client, à l'exception des données nécessaires au respect d'une obligation légale (notamment pièces comptables et fiscales conservées dix ans en application de l'article L123-22 du Code de commerce).
• La suppression couvre les copies présentes chez les sous-traitants ultérieurs, qui en sont expressément informés et tenus contractuellement.
• Sur demande écrite, Saasline SASU fournit une attestation de suppression.

La responsabilité de chaque Partie au titre du présent DPA est limitée aux conditions et plafonds prévus dans les CGU. Chaque Partie répond des manquements qui lui sont spécifiquement imputables. Saasline SASU ne saurait être tenue responsable des conséquences d'instructions illégales données par le Client ou d'une configuration de l'espace de travail non conforme à la réglementation applicable.

Le présent DPA entre en vigueur à la date d'acceptation des CGU et reste applicable pour toute la durée du traitement effectué par Saasline SASU pour le compte du Client.

Toute modification substantielle du présent DPA est notifiée au Client par email ou via le tableau de bord avec un préavis raisonnable. La poursuite de l'utilisation du service après ce préavis vaut acceptation des modifications.

Version : 1.0 — Date d'effet : 3 juin 2026.

Toute question relative au présent DPA ou à la protection des données personnelles peut être adressée à Saasline SASU à l'adresse [email protected]. En cas de litige, les Parties conviennent de privilégier une résolution amiable avant toute action contentieuse. Les juridictions compétentes sont celles désignées dans les CGU.