Aller au contenu

Avenant de Traitement des Données

Version: 1.1 Dernière mise à jour: 2026-06-10 En vigueur depuis: 2026-06-10

La version en anglais est la version légalement contraignante et faisant foi du présent Avenant de Traitement des Données. Toute traduction est fournie à titre informatif uniquement. En cas de conflit, de divergence ou d'incohérence, la version en anglais prévaudra strictement dans tous les cas.

Avenant de Traitement des Données

Le présent Avenant de Traitement des Données (« DPA ») fait partie intégrante des Conditions Générales d'Utilisation de CeroVueltas (l'« Accord ») et y est incorporé par référence, entre SUITE IMPERIAL LLC, une société à responsabilité limitée de l'État du Nouveau-Mexique, exerçant ses activités sous le nom commercial CeroVueltasCeroVueltas »), et l'entité acceptant l'Accord (le « Client »). Le présent DPA s'applique dans la mesure où CeroVueltas traite des Données Personnelles pour le compte du Client dans le cadre des Services. En acceptant l'Accord ou en utilisant les Services, le Client accepte le présent DPA.

  • « Lois Applicables en Matière de Protection des Données » désigne l'ensemble des lois relatives à la vie privée et à la protection des données applicables aux Données Personnelles traitées dans le cadre du présent DPA, y compris, selon le cas : le California Consumer Privacy Act tel que modifié par le CPRA (« CCPA ») ; les autres lois américaines étatiques globales en matière de protection de la vie privée (notamment celles du Colorado, du Connecticut, du Texas, de l'Utah et de la Virginie) (« Lois Américaines Étatiques sur la Vie Privée ») ; et, uniquement dans la mesure où elles s'appliquent à l'utilisation du Client, le Règlement Général sur la Protection des Données de l'UE 2016/679 (« GDPR »), le UK GDPR, la LPD suisse, la LGPD brésilienne, la Ley 25.326 argentine et la LFPDPPP mexicaine.
  • « Données Personnelles » désigne toute information relative à une personne physique identifiée ou identifiable contenue dans les Données Client que CeroVueltas traite pour le compte du Client. Les termes « Responsable du Traitement », « Sous-traitant », « Entreprise », « Prestataire de Services », « Personne Concernée », « Consommateur », « Vendre », « Partager » et « Traitement » ont les significations qui leur sont attribuées par les Lois Applicables en Matière de Protection des Données.
  • « Incident de Sécurité » désigne une violation de sécurité confirmée entraînant la destruction accidentelle ou illicite, la perte, l'altération, la divulgation non autorisée ou l'accès non autorisé aux Données Personnelles traitées par CeroVueltas.
  • « Sous-traitant Ultérieur » désigne tout tiers mandaté par CeroVueltas pour traiter des Données Personnelles pour le compte du Client, y compris les prestataires d'hébergement et les fournisseurs tiers d'API d'Intelligence Artificielle.
  • « CCT » désigne les Clauses Contractuelles Types approuvées par la Décision de la Commission Européenne (UE) 2021/914.

Les termes en majuscules non définis dans le présent document ont les significations qui leur sont attribuées dans l'Accord.

2.1 Rôles. Le Client est le Responsable du Traitement (ou l'Entreprise) des Données Personnelles, ou agit en qualité de Sous-traitant pour le compte d'un Responsable du Traitement tiers. CeroVueltas est un Sous-traitant (ou Prestataire de Services) agissant sur la base des instructions documentées du Client.

2.2 Instructions du Client. CeroVueltas ne traitera les Données Personnelles que : (a) pour fournir, sécuriser, maintenir et dépanner les Services tels que décrits dans l'Accord ; (b) conformément aux dispositions du présent DPA et de l'Annexe I ; et (c) conformément aux autres instructions documentées et licites du Client. L'Accord, la configuration des Services par le Client (y compris la Base de Connaissances et les règles de routage) ainsi que l'utilisation du tableau de bord constituent les instructions du Client. CeroVueltas informera le Client si, de son avis, une instruction viole les Lois Applicables en Matière de Protection des Données.

2.3 Responsabilités du Client. Le Client est seul responsable de : (a) l'exactitude, la qualité et la licéité des Données Personnelles ainsi que des moyens par lesquels elles ont été collectées ; (b) la fourniture de toutes les notifications légalement requises aux Utilisateurs Finaux et l'obtention de tous les consentements légalement requis de leur part (y compris pour les widgets de site web, la capture de session et les communications automatisées/pilotées par l'IA) ; et (c) la conformité de ses instructions avec les Lois Applicables en Matière de Protection des Données.

Dans la mesure où CeroVueltas traite des Données Personnelles soumises au CCPA ou aux Lois Américaines Étatiques sur la Vie Privée, CeroVueltas :

(a) agit en qualité de Prestataire de Services / Sous-traitant et ne traitera les Données Personnelles qu'aux fins commerciales décrites dans l'Accord et l'Annexe I ;

(b) ne Vendra ni ne Partagera les Données Personnelles ;

(c) ne conservera, n'utilisera ni ne divulguera les Données Personnelles en dehors de la relation commerciale directe avec le Client, ni à des fins autres que les finalités commerciales spécifiées, sauf dans les cas autorisés par les Lois Applicables en Matière de Protection des Données ;

(d) ne combinera pas les Données Personnelles avec des informations personnelles reçues d'autres sources, sauf dans les cas autorisés par les Lois Applicables en Matière de Protection des Données (par exemple, à des fins de sécurité et de prévention de la fraude) ;

(e) certifie qu'il comprend et respectera les restrictions énoncées à la présente Section 3 ;

(f) notifiera le Client s'il détermine qu'il n'est plus en mesure de satisfaire à ses obligations au titre des Lois Applicables en Matière de Protection des Données, auquel cas le Client pourra prendre des mesures raisonnables et appropriées pour mettre fin au traitement non autorisé et y remédier ; et

(g) accorde au Client le droit de prendre des mesures raisonnables pour s'assurer que CeroVueltas utilise les Données Personnelles de manière conforme aux obligations du Client, par le biais du mécanisme d'audit prévu à la Section 9.

CeroVueltas s'assurera que le personnel autorisé à traiter les Données Personnelles est lié par des obligations de confidentialité écrites ou par une obligation légale de confidentialité appropriée, et n'accède aux Données Personnelles que dans la stricte mesure du besoin.

5.1 Autorisation Générale. Le Client accorde à CeroVueltas une autorisation écrite générale pour faire appel à des Sous-traitants Ultérieurs, y compris des prestataires d'infrastructure d'hébergement et des fournisseurs tiers d'API d'Intelligence Artificielle utilisés pour le routage dynamique. La liste actualisée des Sous-traitants Ultérieurs significatifs est disponible sur notre Liste des Sous-traitants Ultérieurs.

5.2 Mises à Jour et Droit d'Opposition. CeroVueltas mettra à jour la Liste des Sous-traitants Ultérieurs avant d'ajouter ou de remplacer un Sous-traitant Ultérieur significatif et propose un mécanisme d'abonnement aux notifications de mise à jour. Le Client peut s'opposer pour des motifs raisonnables et documentés de protection des données dans un délai de dix (10) jours suivant une mise à jour, par notification écrite adressée à privacidad@cerovueltas.com. Si les parties ne parviennent pas à résoudre l'opposition de bonne foi dans un délai de trente (30) jours, le seul et unique recours du Client sera la résiliation des Services concernés. Le Client n'aura droit à aucun remboursement, crédit ou indemnisation pour la capacité déjà consommée, les quotas d'utilisation utilisés ou les soldes de service expirés en cas de résiliation au titre de la présente Section.

5.3 Transmission des Obligations. CeroVueltas imposera aux Sous-traitants Ultérieurs des obligations de protection des données qui ne sont pas substantiellement moins protectrices que le présent DPA et demeure responsable de l'exécution par ses Sous-traitants Ultérieurs dans la même mesure que si elle exécutait elle-même les services, sous réserve des limitations prévues dans l'Accord.

5.4 Absence d'Entraînement de l'IA. Conformément à la Section 10.2 de l'Accord, CeroVueltas n'utilise pas les Données Personnelles, les Données Client, le contenu de la Base de Connaissances ni les messages des Utilisateurs Finaux pour entraîner des modèles d'IA ou d'apprentissage automatique, et sélectionne des Sous-traitants Ultérieurs d'IA tiers dont les politiques publiées interdisent l'utilisation des données d'API pour entraîner leurs modèles de fondation à usage général. Le Client reconnaît que ces Sous-traitants Ultérieurs peuvent conserver temporairement des journaux d'API strictement à des fins de sécurité, de surveillance des abus et de confiance et sécurité, conformément à leurs politiques respectives.

6.1 Mesures. CeroVueltas mettra en œuvre et maintiendra des mesures techniques et organisationnelles commercialement raisonnables conçues pour protéger les Données Personnelles contre les Incidents de Sécurité, telles que décrites à l'Annexe II. CeroVueltas peut mettre à jour ces mesures, à condition que les mises à jour ne réduisent pas substantiellement le niveau global de protection.

6.2 Notification d'Incident de Sécurité. CeroVueltas notifiera le Client sans délai injustifié, et en tout état de cause dans un délai de soixante-douze (72) heures, après avoir confirmé un Incident de Sécurité affectant les Données Personnelles du Client. La notification comprendra, dans la mesure du possible : la nature de l'incident, les catégories et le volume approximatif des données affectées, les conséquences probables, ainsi que les mesures prises ou envisagées. La notification de CeroVueltas ne constitue pas une reconnaissance de faute ou de responsabilité. Le Client est seul responsable de toute notification légalement requise aux autorités de contrôle, aux Personnes Concernées ou aux Consommateurs.

Compte tenu de la nature du traitement, CeroVueltas fournira une assistance raisonnable au Client pour : (a) répondre aux demandes des Personnes Concernées / Consommateurs (accès, suppression, rectification, portabilité, opposition) — lorsque de telles demandes sont reçues directement par CeroVueltas, celle-ci redirigera le demandeur vers le Client ; (b) les analyses d'impact relatives à la protection des données et les consultations préalables auprès des autorités de contrôle, lorsque le GDPR l'exige ; et (c) le respect par le Client de ses obligations en matière de sécurité et de notification des violations.

Frais Administratifs : Toute assistance administrative manuelle, technique ou personnalisée fournie par CeroVueltas au titre de la présente Section qui excède une simple fonction automatisée de la plateforme ou une redirection de base (y compris, sans limitation, l'extraction manuelle d'historiques de conversations ou la compilation de documentation technique) sera strictement soumise à des frais de service administratif de 150 USD de l'heure, facturés par tranches minimales d'une (1) heure, qui devront être intégralement réglés par le Client à l'avance, préalablement à l'exécution de ladite assistance.

À la résiliation ou à l'expiration de l'Accord, CeroVueltas procédera, dans un délai de trente (30) jours, à la suppression ou à l'anonymisation de l'ensemble des Données Personnelles des systèmes de production actifs, sauf lorsque la conservation est requise par la loi applicable ou à des fins d'audit fiscal ou financier (sans excéder sept (7) ans pour ces enregistrements). Les Données Personnelles contenues dans les sauvegardes automatisées seront supprimées ou écrasées dans un délai de quatre-vingt-dix (90) jours. Pendant la durée de l'Accord, le Client peut exporter les Données Client via le tableau de bord ou les API disponibles.

9.1 Rapports d'Audit. Sur demande écrite, au maximum une fois par période de douze (12) mois, CeroVueltas mettra à disposition, dans un délai de quarante-cinq (45) jours suivant la réception de ladite demande, la documentation raisonnablement nécessaire pour démontrer la conformité au présent DPA. Cette documentation sera strictement limitée aux résumés de sécurité standard, aux FAQ ou aux aperçus généraux des politiques que CeroVueltas met généralement à la disposition de ses clients à ce moment-là.

9.2 Audits Réglementaires et Obligatoires. Lorsque les Lois Applicables en Matière de Protection des Données confèrent au Client un droit légal d'audit obligatoire et non susceptible de renonciation qui ne peut être raisonnablement satisfait par la documentation fournie au titre de la Section 9.1, le Client peut initier un tel audit, strictement soumis aux conditions cumulatives suivantes :

(a) Le Client doit adresser à CeroVueltas un préavis écrit d'au moins soixante (60) jours calendaires accompagné d'un plan d'audit détaillé ;

(b) L'audit doit être conduit exclusivement par un auditeur tiers indépendant et certifié (strictement limité à un cabinet d'audit et d'expertise comptable reconnu parmi les « Big Four ») approuvé par écrit par CeroVueltas, et lié par un accord de non-divulgation strict ; les employés internes, le personnel ou les concurrents directs ou indirects du Client sont absolument prohibés en qualité d'auditeurs ;

(c) Le périmètre de l'audit sera strictement limité à un examen à distance sur écran des preuves de conformité personnalisées, des journaux système expurgés et des présentations de l'architecture de sécurité fournies par partage d'écran à distance par le personnel de CeroVueltas ;

(d) INTERDICTION EXPLICITE D'ACCÈS : En aucun cas l'auditeur ou le Client ne se verra accorder un accès physique ou logique à quelque système, infrastructure, réseau, logiciel, base de données, environnement, personnel ou tout autre actif physique ou numérique, ressource ou information propriétaire de quelque nature que ce soit, qu'ils soient détenus ou utilisés par CeroVueltas. L'audit est strictement limité à l'examen visuel à distance des preuves explicitement fournies ou affichées par CeroVueltas ;

(e) Le Client supportera cent pour cent (100 %) de l'ensemble des coûts, honoraires et dépenses engagés par l'auditeur externe ; et

(f) Le Client versera à CeroVueltas des frais administratifs et d'interruption opérationnelle obligatoires de 1 500 USD par jour (ou fraction de jour) pendant lequel l'examen d'audit est exécuté, lesquels devront être intégralement réglés à l'avance. CeroVueltas se réserve le droit de suspendre ou de mettre fin immédiatement à l'audit si l'examen entraîne une instabilité des systèmes, risque d'exposer des informations propriétaires ou viole les périmètres de sécurité opérationnelle.

10.1 Lieu de Traitement. Les Services sont hébergés et exploités aux États-Unis. Le Client reconnaît et instruit que les Données Personnelles seront traitées aux États-Unis et dans les juridictions des Sous-traitants Ultérieurs figurant sur notre Liste des Sous-traitants Ultérieurs.

10.2 Transferts EEE/Royaume-Uni/Suisse. Dans la seule mesure où le Client transfère à CeroVueltas des Données Personnelles soumises au GDPR, au UK GDPR ou à la LPD suisse, les CCT sont incorporées par référence comme suit :

Élément Application
Module Module Deux (Responsable du Traitement → Sous-traitant) ; Module Trois (Sous-traitant → Sous-traitant) lorsque le Client est un Sous-traitant
Clause 7 (Adhésion) Non applicable
Clause 9 (Sous-traitants Ultérieurs) Option 2 (autorisation générale), délai de préavis conformément à la Section 5.2
Clause 11 (Recours) Libellé optionnel non applicable
Clause 17 (Droit Applicable) Droit irlandais
Clause 18 (For) Tribunaux irlandais
Annexes I–II Complétées par les Annexes I–II du présent DPA
Transferts vers le Royaume-Uni L'Addendum de Transfert International de Données du Royaume-Uni (IDTA Addendum) s'applique, avec les tableaux complétés par le présent DPA
Transferts vers la Suisse CCT adaptées conformément aux exigences du PFPDT suisse (les références au GDPR s'entendent comme des références à la LPD ; l'autorité de contrôle compétente est le PFPDT)

10.3 Responsabilité du Client. Le Client, en qualité de Responsable du Traitement, demeure responsable de la détermination de la licéité des transferts internationaux pour son cas d'usage spécifique et ses Personnes Concernées. CeroVueltas ne garantit pas qu'une quelconque juridiction de Sous-traitant Ultérieur est considérée comme offrant un niveau de protection « adéquat ».

11.1 La responsabilité de chaque partie découlant du présent DPA ou s'y rapportant (y compris les CCT) est strictement soumise aux exclusions et aux limitations générales de responsabilité énoncées dans l'Accord (Conditions Générales d'Utilisation), y compris les plafonds de responsabilité, les procédures d'indemnisation, les renonciations aux actions collectives et les dispositions d'arbitrage qui y figurent. Le présent DPA ne modifie, ne remplace, n'étend ni ne réduit aucune limitation de responsabilité ou disposition de résolution des litiges de l'Accord.

11.2 En cas de conflit : (a) les CCT prévalent sur le présent DPA uniquement en ce qui concerne les transferts qu'elles régissent ; (b) le présent DPA prévaut sur l'Accord uniquement en ce qui concerne les modalités techniques du traitement des Données Personnelles ; et (c) l'Accord (Conditions Générales d'Utilisation) prévaut strictement dans tous les autres cas, y compris, sans limitation, toutes les questions relatives à la responsabilité, aux dommages et intérêts, à la résolution des litiges et au droit applicable.

Le présent DPA est en vigueur aussi longtemps que CeroVueltas traite des Données Personnelles pour le compte du Client. CeroVueltas peut mettre à jour le présent DPA dans la mesure raisonnablement nécessaire pour refléter les évolutions des Lois Applicables en Matière de Protection des Données ou des Services, conformément à la Section 21.6 de l'Accord. Sauf disposition contraire des CCT, le présent DPA est régi par les lois spécifiées à la Section 19 de l'Accord.

Élément Description
Exportateur de données Le Client (Responsable du Traitement ou Sous-traitant)
Importateur de données SUITE IMPERIAL LLC d/b/a CeroVueltas (Sous-traitant), Nouveau-Mexique, États-Unis
Catégories de Personnes Concernées Utilisateurs Finaux communiquant avec le Client via WhatsApp ou des widgets de site web ; personnel autorisé du Client et utilisateurs de compte
Catégories de Données Personnelles Noms, numéros de téléphone, noms de profil et identifiants WhatsApp, contenu des messages, métadonnées de conversation, données de contact, identifiants de compte, coordonnées de facturation, et toutes Données Personnelles que le Client inclut dans la Base de Connaissances ou les Données Client
Données Sensibles Aucune prévue. Le Client ne soumettra pas de données sensibles ou de catégorie particulière, sauf autorisation légale et accord contractuel écrit
Nature et Finalité Hébergement, routage des messages entrants, encodage vectoriel (RAG), génération de réponses pilotée par l'IA via des API tierces, analyses du tableau de bord, support, sécurité et dépannage
Durée Durée de l'Accord augmentée des délais de suppression prévus à la Section 8
Fréquence Continue
Autorité de Contrôle Compétente (CCT) Déterminée conformément à la Clause 13 des CCT en fonction de l'établissement de l'exportateur de données
  • Chiffrement et Pseudonymisation : TLS 1.2+ en transit ; AES-256-GCM au repos pour les bases de données et les communications critiques. Pseudonymisation cryptographique utilisée pour les identifiants PII dans les requêtes de base de données.
  • Contrôle d'Accès : Intégration SSO via des fournisseurs d'identité (par ex., Google/Facebook/Email) avec prise en charge de l'authentification multifacteur (MFA) au niveau du fournisseur ; accès basé sur les rôles ; séparation logique des locataires (périmétrage strict au niveau de la base de données par identifiant Client).
  • Sécurité des Sessions : Gestion des sessions Zero-Trust utilisant des cookies sécurisés préfixés, des politiques SameSite strictes, la tokenisation CSRF et des délais d'expiration stricts des sessions inactives.
  • Prévention des DDoS et des Abus : Limitation automatisée du débit avec suivi atomique et restrictions strictes sur la taille des charges utiles pour atténuer les abus et l'épuisement des ressources.
  • Sécurité de l'IA : Mécanismes automatisés de détection d'injection de prompts et protocoles de désinfection dynamique pour atténuer les entrées adversariales et l'empoisonnement RAG.
  • Expurgation Automatisée des PII : Masquage automatique des Informations Personnellement Identifiables (adresses e-mail, numéros de téléphone, mots de passe) dans les journaux d'audit système avant leur ingestion en base de données.
  • Infrastructure et Gestion des Secrets : Hébergement chez des fournisseurs cloud réputés disposant de certifications reconnues (par ex., SOC 2, ISO 27001). Gestion centralisée des secrets en cloud pour prévenir l'exposition des identifiants. Application stricte de la Politique de Sécurité du Contenu (CSP).
  • Gestion des Vulnérabilités : Correctifs périodiques, revue des dépendances et flux de déploiement sécurisés de référence (pipelines à zéro interruption de service).
  • Continuité d'Activité : Sauvegardes automatisées ; procédures documentées de réponse aux incidents et de routage de secours pour les API dynamiques.
  • Cycle de Vie des Données : Protocoles automatisés de suppression conformes au GDPR/SOC2 (par ex., fenêtre de purge de 72 heures ouvrables) et processus d'écrasement des sauvegardes conformément à la Section 8.

La liste actualisée des Sous-traitants Ultérieurs significatifs (prestataires d'hébergement et fournisseurs d'IA) est disponible sur notre Liste des Sous-traitants Ultérieurs, laquelle est incorporée par référence.

Contact : privacidad@cerovueltas.com | legal@cerovueltas.com

SUITE IMPERIAL LLC, Nouveau-Mexique, États-Unis