Politique de protection des données personnelles
Préambule
Ofelia est susceptible d’agir en qualité de Sous-traitant pour les Traitements de données effectués pour le compte du Client, qui agit en qualité de Responsable de traitement au sens du Règlement (UE) 2016/679 (le « Règlement »), comme indiqué à l’article « Données Personnelles » des CGV.
Ofelia a pris connaissance du Règlement, et notamment de son article 28 portant sur les obligations mises à la charge de tout Sous-traitant intervenant pour le compte d’un Responsable de traitement de données à caractère personnel.
Le présent document expose les engagements d’Ofelia à l’égard du Client en matière de protection des données dans le cadre de la fourniture des Services.
Définitions
Les termes employés aux présentes ont le sens visé au Règlement, y compris :
« Décision d’adéquation » désigne une décision adoptée par la Commission européenne qui établit qu'un Pays tiers assure un niveau de protection adéquat des Données à caractère personnel en raison de sa législation interne ou des engagements internationaux qu'il a souscrits.
« Données » ou « Données à caractère personnel » désigne toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée « personne concernée »); est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des Données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
« EEE » désigne l’Espace Économique Européen.
« Pays tiers » désigne un pays n’appartenant ni à l’UE ni à l’EEE.
« Responsable de traitement » désigne la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du Traitement ; lorsque les finalités et les moyens de ce Traitement sont déterminés par le droit de l'Union ou le droit d'un État membre, le Responsable de traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l'Union ou par le droit d'un État membre.
« Sous-Traitant » désigne la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des Données à caractère personnel pour le compte du Responsable de traitement.
« Sous-Traitant Ultérieur » désigne le sous-traitant auquel le Sous-Traitant fait appel et qui traite des Données à caractère personnel pour le compte du Sous-Traitant.
« Transfert hors UE » ou « Traitement hors UE » ou « Transfert » désigne la transmission de Données, depuis un pays membre de l’UE ou de l’EEE, vers un Pays tiers ou l'accès à des Données, situées au sein d’un pays membre de l’UE ou de l’EEE, depuis un Pays tiers (ex : accès à distance à une base de Données situées en Europe).
« Traitement de données à caractère personnel » ou « Traitement » ou « Traiter » désigne toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des Données ou des ensembles de Données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction.
« UE » désigne l’Union Européenne.
« Violation de Données » ou « Violation » désigne une violation de la sécurité entraînant de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de Données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles Données.
Description des Traitements de Données
Les Traitements de Données effectués en tant que Sous-traitant par Ofelia sont réalisés pour les finalités mentionnées en Annexe A.
Mise en œuvre des Traitements
Ofelia s’engage à se conformer aux instructions écrites du Client s’agissant de l’utilisation qui peut être faite des Données. La liste des Traitements susceptibles d’être effectués par Ofelia pour le compte du Client est jointe en Annexe A des présentes – Registre des Traitements effectués en sous-traitance (article 30 du RGPD).
Ofelia informera immédiatement le Client si une de ses instructions lui parait susceptible de constituer une violation du Règlement.
Dans l’éventualité où le Client considérerait qu’un nouveau traitement de données confié à Ofelia nécessite la réalisation d’une analyse d’impact au sens de l’article 35 du Règlement, Ofelia assistera le Client lors de la réalisation de cette analyse d’impact. Cette assistance est susceptible de faire l’objet d’une facturation.
Information des personnes concernées
Le Responsable de Traitement informe les personnes concernées des traitements de données personnelles réalisés dans le cadre des Services.
Mesures de sécurité
Ofelia s’engage à mettre en œuvre toutes les mesures organisationnelles et techniques permettant d'assurer la sécurité physique et logique des Données conformément à l’état de l’art et aux recommandations publiées par les Autorités de protection des Données ou les autorités administratives compétentes en matière de sécurité informatique.
Les mesures de sécurité et de confidentialité prises par Ofelia doivent tenir compte des possibilités techniques les plus récentes et du coût de leur mise en œuvre, des caractéristiques du traitement (nature, portée, finalité etc.) ainsi que des risques présentés pour les droits des personnes concernées.
Les mesures de sécurité garantissent l’intégrité, la traçabilité de l’accès, la confidentialité et la disponibilité des Données à tout moment, et incluent notamment :
- L'identification et la sécurisation des locaux (par exemple : accès verrouillés, accès restreint et nécessitant une autorisation et une authentification) ;
- La sécurité logique (par exemple : firewalls, authentification et archivage des accès sur les Données, simulations d’incidents) ;
- La sécurisation des flux d'échanges de Données à caractère personnel de manière à ce qu'ils ne puissent être exploités par un tiers non autorisé ;
- L’historisation des activités sur le système informatique ;
- La protection des environnements informatiques par logiciel antivirus à jour (programmes et signatures virales) ;
- La mise en place de procédures de contrôles pour s'assurer du niveau de sécurité.
Ofelia veille à ce que seuls des moyens de communication sécurisés soient utilisés pour traiter les Données personnelles.
Ofelia s’engage à limiter l’accès aux Données aux seules personnes habilitées ayant besoin d’en connaître.
Ofelia veille également à ce que les personnes autorisées à traiter les Données personnelles pour les besoins des présentes, y compris son personnel et le personnel d’éventuels Sous-Traitants Ultérieurs, s'engagent à respecter une obligation de confidentialité appropriée.
Coopération d’Ofelia
Ofelia s’engage à coopérer avec le Client en lui mettant à disposition, sur demande écrite, toutes informations nécessaires pour démontrer le respect de ses obligations et en lui permettant à cette fin de réaliser toute vérification qui lui paraîtrait utile dont les modalités pratiques seront à convenir.
Sous-traitance ultérieure
Le Client autorise dès à présent la sous-traitance de tout ou partie des traitements confiés à Ofelia et Ofelia s’engage à ne recruter que des Sous-Traitants Ultérieurs respectant les dispositions issues du RGPD.
La liste des Sous-traitants actuels d’Ofelia figure en Annexe B. Sa version actualisée peut être communiquée au Client à tout moment sur simple demande.
Ofelia se porte fort du respect par ses Sous-Traitants Ultérieurs des engagements auxquels elle s’oblige elle-même, notamment en ce qui concerne les engagements qu’elle pourrait prendre en termes de sécurité ou au sein de clauses contractuelles types ou tout autre garantie appropriée.
Transferts de Données
Ofelia ne transfère pas volontairement de Données personnelles hors du territoire de l’UE ou de l’EEE.
Dans l’hypothèse où, pour les besoins de la fourniture des Services, Ofelia serait amenée à procéder à un Transfert de Données en dehors de l’UE ou de l’EEE, ces Traitements répondent aux exigences du Règlement en matière de Transfert des Données en dehors de l’UE, à savoir :
- Le Traitement est réalisé au sein d’un Pays tiers bénéficiant d’une Décision d’adéquation ;
- Le Traitement est encadré par des clauses contractuelles types publiées par la Commission européenne. Dans cette hypothèse, Ofelia et le Sous-Traitant Ultérieur importateur de Données intègrent aux CGV lesdites clauses type qu’ils s’engagent à ratifier préalablement à la mise en œuvre du ou des Traitements concernés ;
- Le Traitement est encadré par des Règles d’entreprise contraignantes (BCR).
Si la ou les exception(s) utilisée(s) pour le Transfert devenai(en)t caduque(s), Ofelia s’engage à modifier le mécanisme choisi pour le remplacer par un mécanisme à même d’encadrer le Transfert envisagé.
Lorsque Ofelia fait appel à des Sous-Traitants Ultérieurs, elle s’assure qu’ils ont mis en place les mesures techniques et organisationnelles appropriées afin de garantir un niveau de protection des Données transférées au moins équivalent à celui des présentes dans l’éventualité d’un Transfert de Données (clauses contractuelles types, BCR, etc.).
Délégué à la Protection des Données
Ofelia a procédé à la désignation d’un Délégué à la Protection des Données : la société Virtual DPO - contact@virtual-dpo.fr .
Le Client communique à Ofelia, dès la signature de la Proposition commerciale, l’identité et les éléments de contact de son DPO.
Lorsque le Client n'a pas désigné de DPO, il communique à Ofelia le nom et les coordonnées détaillées d'un contact pertinent auprès duquel des informations sur le Traitement des Données peuvent être obtenues.
Notification en cas de Violation des Données Personnelles
En cas de survenance d’un incident susceptible d’affecter la sécurité des Données personnelles, en cas d’atteinte probable ou avérée à l’intégrité des Données personnelles, ou en cas de Violation probable ou avérée des règles de confidentialité appliquées aux Données personnelles, Ofelia en informe le Client dans les meilleurs délais. L’information est délivrée afin de permettre au Client de respecter ses obligations de notification auprès de la CNIL et des personnes concernées, en application des dispositions de l’article 33 du RGPD.
Ofelia procédera aux investigations permettant de fournir au fur et à mesure de leur réalisation au Client, toute information utile sur la nature et l’étendue de la potentielle Violation de Données et des mesures correctrices mises en place.
Ofelia décrira la faille de sécurité et si possible les catégories, le nombre de personnes concernées par cette faille ainsi que les Données concernées.
Ofelia s’engage par ailleurs à coopérer avec le Client et à mettre en œuvre les moyens nécessaires à la résolution de l’incident.
Notification de cas de demande de communication par un tiers
Ofelia s’engage à notifier au Client toute demande de transmission ou de consultation des Données émise par une autorité judiciaire ou administrative dans les meilleurs délais avant d’y apporter toute réponse, à moins que le droit concerné interdise une telle information pour des motifs d’intérêt public.
Exercice de leurs droits par les personnes concernées
Toute personne physique dont les Données sont collectées par Ofelia pour le compte du Client dispose d’un droit d'accès, de limitation, de rectification, d’effacement et, le cas échéant, d’opposition au traitement ou de portabilité des Données personnelles la concernant, conformément aux dispositions de la réglementation en vigueur.
Les droits prévus au paragraphe précédent s’exercent directement auprès du Responsable de traitement.
En conséquence, Ofelia notifie dans les meilleurs délais le Client de toute demande d’exercice des droits susmentionnés et se conforme aux instructions du Client, sous réserve de leur conformité à la règlementation applicable et de leur communication préalable à Ofelia.
Durée de conservation des Données/ résiliation de l’Abonnement
Ofelia conserve les Données traitées pour la durée de l’Abonnement, sauf demande contraire du Client ou obligation légale imposant une durée de conservation différente.
En toute hypothèse, Ofelia s’engage à supprimer toutes les Données à première demande du Client.
Ofelia présente au Client, sur demande, un procès-verbal attestant de la destruction des Données.
Les Données peuvent faire l’objet d’un archivage intermédiaire pour une durée maximale correspondant à la durée de la prescription légale.
Annexe A – Registre des Traitements effectués pour le compte du Client
Pour tous ces traitements :
- Base légale : définie par le client, Responsable de Traitement.
1. Gestion des identités, accès des Utilisateurs et création des Comptes par les Administrateurs
Finalités
Permettre au Client (RT) de provisionner et synchroniser sa base utilisateurs et Administrateurs, pour attribuer les autorisations de connexion et permettre la création des comptes.
Personnes concernées
Utilisateurs du Client
Données traitées
Données du SI RH du client, utilisées pour définir les autorisations et créer les comptes utilisateurs. (Eventuellement : Nom, email, titre de poste, département, équipe, pays, bureau, CDD/CDI, localisation remote, identifiant employé, manager (relation hiérarchique),…)
Identifiant de l’utilisateur, droits de connexion (Utilisateur simple, qualifié…)
Données de connexion de l’Utilisateur à la Solution.
Identifiants, rôle, actions d'administration, traces (qui a fait quoi, quand)
Données sensibles
Non par principe, mais Ofelia n'a pas de contrôle sur le contenu importé par le Client.
Durée de conservation
Durée du contrat + délai de réversibilité contractuel (sauf délai plus court indiqué par le client RT)
Transferts hors UE
Oui, Composio aux US
Sous-traitants
AWS
Composio (uniquement email et token Oauth)
2. Ingestion et indexation de la base de connaissance (RAG)
Finalités
Ingérer, vectoriser et indexer les contenus de la base de connaissance du client pour permettre leur exploitation par l'agent IA
Personnes concernées
Ensemble des personnes dont les données sont incluses dans la base de données client importée par le Client via son interface utilisateur.
Données traitées
Toute donnée incluse dans la base de données client importée par le Client via son interface utilisateur.
Données sensibles
Non par principe, mais Ofelia n'a pas de contrôle sur le contenu importé par le Client.
Destinataires
Ces données ne sont pas destinées à être traitées par une personne physique. Accès possible uniquement dans le cadre du traitement « support ».
Durée de conservation
Durée du contrat + délai de réversibilité contractuel (sauf délai plus court indiqué par le client RT)
Transferts hors UE
Oui, OpenAI et LangSmith aux US (CCT)
Sous-traitants
AWS, OpenAI, LangSmith
3. Hébergement de la Base de données
Finalités
Héberger les données importées par le Client sur la Solution
Personnes concernées
Utilisateurs et personnes dont les données figurent dans la Base de données importée par le Client.
Données traitées
Ensemble des données incluses dans la Base de données importée par le Client.
Données sensibles
Non par principe, mais Ofelia n'a pas de contrôle sur le contenu importé par le Client.
Destinataires
Ces données ne sont pas destinées à être traitées par une personne physique. Accès possible dans le cadre du traitement “Gestion des demandes d'assistance des Utilisateurs”.
Durée de conservation
Durée du contrat + délai de réversibilité contractuel (sauf délai plus court indiqué par le client RT)
Transferts hors UE
Serveurs des prestataires en Europe
Sous-traitants
AWS
4. Hébergement des données liées aux prompts formulés par les Utilisateurs
Finalités
Conserver les Prompts et réponses échangés via la Solution pour assurer la continuité conversationnelle, le suivi qualité et la traçabilité
Personnes concernées
Utilisateurs du client, personnes mentionnées dans les Prompts et dans les réponses
Données traitées
Identifiant utilisateur, contenu textuel des prompts, contenu textuel des réponses,
Données sensibles
Non par principe, mais Ofelia n’a pas de contrôle sur le contenu des Prompts et des réponses
Destinataires
Ces données ne sont pas destinées à être traitées par une personne physique. Accès possible dans le cadre du traitement “Gestion des demandes d'assistance des Utilisateurs”.
Durée de conservation
12 mois
Transferts hors UE
Oui, US LangSmith
Sous-traitants
LangSmith, AWS
5. Analyse des Prompts et formulation des réponses
Finalités
Interpréter le prompt utilisateur, interroger la base de données via la Solution, générer une réponse et la restituer dans sa messagerie d’entreprise.
Personnes concernées
Utilisateurs du Client, personnes mentionnées dans les Prompts ou dans la base de données client importée par le Client via son interface utilisateur.
Données traitées
Contenu textuel des prompts, toute donnée incluse dans la base de données client importée par le Client via son interface utilisateur.
Données sensibles
Non par principe, mais Ofelia n'a pas de contrôle sur le contenu importé par le Client.
Destinataires
Utilisateur à l’origine du Prompt si la réponse produite par la Solution inclut des données personnelles.
Durée de conservation
Prompts et réponses formulées conservées 30 jours chez OpenAI
Transferts hors UE
Oui, OpenAI aux US (CCT)
Sous-traitants
AWS, OpenAI
6. Exécution d'actions dans les outils tiers
Finalités
Exécuter, après validation par l'Utilisateur dans sa messagerie d’entreprise, des actions dans les outils tiers auxquels il est connecté (création de ticket, envoi de message, mise à jour de fiche, planification d'événement, etc.)
Personnes concernées
Utilisateurs du client, personnes mentionnées dans le contenu de l'action ou affectées par celle-ci (destinataires de message, assignataires de ticket, participants à un événement, etc.)
Données traitées
Données de l’Utilisateur, actions exécutées (si incluent des données personnelles), données liées aux personnes destinataires de l’action.
Données sensibles
Non par principe, mais Ofelia n'a pas de contrôle sur le contenu importé par le Client ou sur la nature des actions à exécuter.
Destinataires
Personne ayant accès au résultat de l’action si contient des données personnelles.
Durée de conservation
30 jours
Transferts hors UE
Oui Composio, US (CCT )
Sous-traitants
Composio
7. Configuration et exécution des process d'entreprise
Finalités
Permettre aux process owners du client de configurer des process métier ; exécuter ces process (orchestration, validations, approbations, actions automatisées) à la demande des Utilisateurs
Personnes concernées
Utilisateurs du client, approbateurs, personnes citées dans les variables ou pièces jointes des process (collaborateurs, clients du client, tiers)
Données traitées
Données relatives aux utilisateurs et aux approbateurs. Toute donnée éventuellement présente pour les besoins de la configuration et de l’exécution des processus.
Données sensibles
Non par principe, mais Ofelia n'a pas de contrôle sur le contenu importé par le Client ou sur la nature des process à exécuter.
Destinataires
Personnes ayant accès aux résultats, documents, actions, etc. générés par les process si ceux-ci comportent des données personnelles.
Durée de conservation
Durée du contrat + délai de réversibilité contractuel (sauf délai plus court indiqué par le client RT)
Transferts hors UE
Serveurs des prestataires en Europe
Sous-traitants
AWS
8. Gestion des demandes d'assistance des Utilisateurs (Support)
Finalités
Gérer les demandes d’assistance des utilisateurs
Personnes concernées
Utilisateurs du client
Données traitées
Contenu de la demande d'assistance soumise depuis l'agent conversationnel, contexte conversationnel transmis.
Ensemble des données auxquelles le support peut accéder pour solutionner la demande d’assistance.
Données sensibles
Non par principe, mais Ofelia n'a pas de contrôle sur le contenu importé par le Client.
Destinataires
Equipe support
Durée de conservation
Durée du contrat pour assurer un suivi support (sauf délai plus court demandé par le client RT)
Transferts hors UE
Serveurs des prestataires en Europe
Sous-traitants
Zendesk
Annexe B – Liste des Sous-traitants ultérieurs autorisés
Nom du sous-traitant
Traitement(s) sous-traité(s)
Transfert hors US
Gestion des identités, accès des Utilisateurs et création des Comptes par les Administrateurs
AWS
Composio
Oui :
Composio
Ingestion et indexation de la base de connaissance (RAG)
AWS
OpenAI
LangChain (LangSmith)
Oui :
OpenAI
LangChain (LangSmith)
Hébergement de la Base de données
AWS
N/A
Hébergement des données liées aux prompts formulés par les Utilisateurs
AWS
LangChain (LangSmith)
Composio
Oui :
LangChain (LangSmith)
Composio
Analyse des Prompts et formulation des réponses
OpenAI
Oui :
OpenAI
Exécution d'actions dans les outils tiers
Composio
Oui :
Composio
Configuration et exécution des process d'entreprise
AWS
N/A
Gestion des demandes d'assistance des Utilisateurs (Support)
Zendesk
N/A