1. Objet du DPA
Le présent accord de traitement des données complète le contrat conclu entre AURORA LAB, exploitant Celeste IA, et son client ou partenaire professionnel. Il encadre les traitements réalisés par Celeste IA pour le compte du client, conformément à l'article 28 du RGPD.
En cas de contradiction entre ce DPA et un accord signé séparément entre les parties, l'accord signé prévaut pour le périmètre concerné.
2. Rôles des parties
Le client ou partenaire détermine les finalités et les moyens essentiels des traitements réalisés dans le cadre de ses propres offres, campagnes, agents vocaux, bases de prospects, clients finaux et opérations commerciales. Il agit en principe comme responsable du traitement.
AURORA LAB agit comme sous-traitant lorsqu'elle fournit l'écosystème Celeste IA, son portail, ses capacités de téléphonie, ses agents IA vocaux, ses outils de suivi, son support et ses services associés pour le compte du client ou partenaire.
3. Nature et finalité des traitements
Les traitements ont pour objet de permettre au client de vendre, déployer, superviser, facturer et supporter une offre d'IA vocale sous sa marque. Selon les modules activés, cela peut inclure les appels entrants ou sortants, la qualification, la prise de rendez-vous, la transcription, le routage, les journaux d'appels, les indicateurs de performance, les intégrations métier et les actions de support.
4. Catégories de personnes et de données
Les traitements peuvent concerner les utilisateurs du client, ses prospects, ses clients finaux, les appelants, les destinataires d'appels, les administrateurs du portail et les membres de l'équipe autorisés.
Les données traitées peuvent inclure des coordonnées professionnelles, données d'identification, contenus d'appels, fichiers audio, transcriptions, métadonnées d'appel, configurations d'agents, prompts, données de campagne, journaux techniques, informations CRM transmises par le client et données nécessaires au support ou à la facturation.
Sauf accord écrit spécifique, l'écosystème Celeste IA n'est pas destiné à traiter des données de santé, données sensibles au sens du RGPD ou données soumises à une réglementation sectorielle renforcée.
5. Obligations de Celeste IA
AURORA LAB s'engage à traiter les données uniquement sur instruction documentée du client, à imposer une obligation de confidentialité aux personnes autorisées, à mettre en œuvre des mesures de sécurité adaptées, à assister le client dans la mesure du raisonnable pour répondre aux demandes d'exercice de droits, incidents de sécurité, analyses d'impact et obligations réglementaires liées au traitement.
AURORA LAB informe le client dans les meilleurs délais en cas de violation de données personnelles dont elle aurait connaissance et qui concernerait les traitements réalisés pour son compte.
6. Sous-traitants ultérieurs
Le client autorise AURORA LAB à recourir à des sous-traitants ultérieurs nécessaires à l'hébergement, la téléphonie, la génération ou transcription vocale, l'analyse, l'envoi de notifications, la réservation de rendez-vous, la facturation, le support et la sécurité de l'écosystème.
AURORA LAB veille à ce que ces prestataires soient soumis à des obligations compatibles avec le présent DPA. Lorsque la configuration du client implique un prestataire choisi ou connecté par lui, le client reste responsable de vérifier la conformité de ce prestataire pour son propre usage.
7. Localisation et transferts
AURORA LAB privilégie, lorsque cela est possible, des traitements réalisés dans l'Union européenne ou avec des prestataires proposant des garanties contractuelles adaptées. Certains services techniques peuvent toutefois impliquer un accès ou un traitement depuis un pays situé hors de l'Espace économique européen.
Dans ce cas, AURORA LAB s'appuie sur les mécanismes de transfert prévus par le RGPD, notamment les clauses contractuelles types, décisions d'adéquation ou garanties équivalentes mises en place par les prestataires concernés.
8. Sécurité
Les mesures de sécurité peuvent comprendre, selon les modules concernés, le chiffrement en transit, la séparation logique des comptes, la gestion des accès, la limitation des habilitations, la journalisation, la protection des secrets, les sauvegardes, la surveillance technique et les procédures internes de gestion d'incident.
Le client reste responsable de la configuration de ses accès, de ses utilisateurs, des données qu'il importe, des scripts qu'il connecte et des instructions qu'il donne à Celeste IA.
9. Fin du contrat
À la fin de la relation contractuelle, AURORA LAB supprime, restitue ou anonymise les données traitées pour le compte du client, sauf conservation rendue nécessaire par la loi, la défense d'un droit, la sécurité ou une obligation contractuelle spécifique.
10. Audit et documentation
AURORA LAB met à disposition les informations raisonnablement nécessaires pour démontrer le respect de ses obligations de sous-traitant. Les demandes d'audit doivent être proportionnées, encadrées, annoncées à l'avance et ne pas compromettre la sécurité, la confidentialité ou les données d'autres clients.
Annexe 1 - Description du traitement
| Finalité | Fourniture d'un écosystème IA vocale en marque blanche pour vendre, déployer, facturer et superviser des agents IA vocaux. |
|---|---|
| Durée | Durée du contrat, augmentée des durées de conservation nécessaires aux obligations légales, à la sécurité ou à la preuve. |
| Personnes concernées | Clients finaux, prospects, appelants, utilisateurs de portail, collaborateurs du client et administrateurs autorisés. |
| Données | Coordonnées, contenus d'appel, audio, transcriptions, métadonnées, journaux, configurations, prompts, données CRM et données de support. |
Annexe 2 - Sous-traitants indicatifs
La liste opérationnelle exacte peut varier selon la configuration du client, les modules activés et les prestataires connectés. La liste contractuelle ou communiquée au client prévaut lorsqu'elle existe.
| Catégorie | Rôle | Observations |
|---|---|---|
| Hébergement et diffusion web | Hébergement du site, interfaces et ressources techniques. | Vercel et prestataires associés, avec garanties contractuelles applicables. |
| Téléphonie | Numéros, routage, appels entrants, appels sortants et connectivité. | Opérateurs ou fournisseurs télécom activés selon le projet. |
| IA vocale et transcription | Voix, compréhension, génération, transcription ou orchestration. | Prestataires activés selon les choix techniques et les besoins client. |
| Outils métier | Rendez-vous, email, facturation, CRM, support ou automatisation. | Prestataires connectés par AURORA LAB ou par le client selon le périmètre. |
Annexe 3 - Mesures de sécurité
- Contrôle des accès et limitation des habilitations aux personnes autorisées ;
- Protection des secrets, clés d'API et informations de connexion ;
- Chiffrement des échanges lorsque les protocoles utilisés le permettent ;
- Séparation logique des espaces clients et partenaires ;
- Journalisation technique utile à l'exploitation, au support et à la sécurité ;
- Procédures internes de gestion des incidents et demandes de support.
Contact
Pour toute question relative à ce DPA ou au traitement de données personnelles par Celeste IA : contact@celesteia.fr.