Politique de confidentialité

Politique de protection des données personnelles

Préambule

Ofelia est susceptible d’agir en qualité de Sous-traitant pour les Traitements de données effectués pour le compte du Client, qui agit en qualité de Responsable de traitement au sens du Règlement (UE) 2016/679 (le « Règlement »), comme indiqué à l’article « Données Personnelles » des CGV.

Ofelia a pris connaissance du Règlement, et notamment de son article 28 portant sur les obligations mises à la charge de tout Sous-traitant intervenant pour le compte d’un Responsable de traitement de données à caractère personnel. 

Le présent document expose les engagements d’Ofelia à l’égard du Client en matière de protection des données dans le cadre de la fourniture des Services.

Définitions

Les termes employés aux présentes ont le sens visé au Règlement, y compris :

« Décision d’adéquation » désigne une décision adoptée par la Commission européenne qui établit qu'un Pays tiers assure un niveau de protection adéquat des Données à caractère personnel en raison de sa législation interne ou des engagements internationaux qu'il a souscrits.

« Données » ou « Données à caractère personnel » désigne toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée « personne concernée »); est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des Données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

« EEE » désigne l’Espace Économique Européen.

« Pays tiers » désigne un pays n’appartenant ni à l’UE ni à l’EEE.

« Responsable de traitement » désigne la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du Traitement ; lorsque les finalités et les moyens de ce Traitement sont déterminés par le droit de l'Union ou le droit d'un État membre, le Responsable de traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l'Union ou par le droit d'un État membre.

« Sous-Traitant » désigne la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des Données à caractère personnel pour le compte du Responsable de traitement.

« Sous-Traitant Ultérieur » désigne le sous-traitant auquel le Sous-Traitant fait appel et qui traite des Données à caractère personnel pour le compte du Sous-Traitant.

« Transfert hors UE » ou « Traitement hors UE » ou « Transfert » désigne la transmission de Données, depuis un pays membre de l’UE ou de l’EEE, vers un Pays tiers ou l'accès à des Données, situées au sein d’un pays membre de l’UE ou de l’EEE, depuis un Pays tiers (ex : accès à distance à une base de Données situées en Europe).

« Traitement de données à caractère personnel » ou « Traitement » ou « Traiter » désigne toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des Données ou des ensembles de Données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction.

« UE » désigne l’Union Européenne.

« Violation de Données » ou « Violation » désigne une violation de la sécurité entraînant de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de Données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles Données.

Description des Traitements de Données

Les Traitements de Données effectués en tant que Sous-traitant par Ofelia sont réalisés pour les finalités mentionnées en Annexe A.

Mise en œuvre des Traitements

Ofelia s’engage à se conformer aux instructions écrites du Client s’agissant de l’utilisation qui peut être faite des Données. La liste des Traitements susceptibles d’être effectués par Ofelia pour le compte du Client est jointe en Annexe A des présentes – Registre des Traitements effectués en sous-traitance (article 30 du RGPD).  

Ofelia informera immédiatement le Client si une de ses instructions lui parait susceptible de constituer une violation du Règlement.

Dans l’éventualité où le Client considérerait qu’un nouveau traitement de données confié à Ofelia nécessite la réalisation d’une analyse d’impact au sens de l’article 35 du Règlement, Ofelia assistera le Client lors de la réalisation de cette analyse d’impact. Cette assistance est susceptible de faire l’objet d’une facturation.

Information des personnes concernées

Le Responsable de Traitement informe les personnes concernées des traitements de données personnelles réalisés dans le cadre des Services. 

Mesures de sécurité

Ofelia s’engage à mettre en œuvre toutes les mesures organisationnelles et techniques permettant d'assurer la sécurité physique et logique des Données conformément à l’état de l’art et aux recommandations publiées par les Autorités de protection des Données ou les autorités administratives compétentes en matière de sécurité informatique. 

Les mesures de sécurité et de confidentialité prises par Ofelia doivent tenir compte des possibilités techniques les plus récentes et du coût de leur mise en œuvre, des caractéristiques du traitement (nature, portée, finalité etc.) ainsi que des risques présentés pour les droits des personnes concernées.

Les mesures de sécurité garantissent l’intégrité, la traçabilité de l’accès, la confidentialité et la disponibilité des Données à tout moment, et incluent notamment :

  1. L'identification et la sécurisation des locaux (par exemple : accès verrouillés, accès restreint et nécessitant une autorisation et une authentification) ;
  2. La sécurité logique (par exemple : firewalls, authentification et archivage des accès sur les Données, simulations d’incidents) ;
  3. La sécurisation des flux d'échanges de Données à caractère personnel de manière à ce qu'ils ne puissent être exploités par un tiers non autorisé ;
  4. L’historisation des activités sur le système informatique ;
  5. La protection des environnements informatiques par logiciel antivirus à jour (programmes et signatures virales) ;
  6. La mise en place de procédures de contrôles pour s'assurer du niveau de sécurité.

Ofelia veille à ce que seuls des moyens de communication sécurisés soient utilisés pour traiter les Données personnelles.

Ofelia s’engage à limiter l’accès aux Données aux seules personnes habilitées ayant besoin d’en connaître.

Ofelia veille également à ce que les personnes autorisées à traiter les Données personnelles pour les besoins des présentes, y compris son personnel et le personnel d’éventuels Sous-Traitants Ultérieurs, s'engagent à respecter une obligation de confidentialité appropriée.

Coopération d’Ofelia

Ofelia s’engage à coopérer avec le Client en lui mettant à disposition, sur demande écrite, toutes informations nécessaires pour démontrer le respect de ses obligations et en lui permettant à cette fin de réaliser toute vérification qui lui paraîtrait utile dont les modalités pratiques seront à convenir.

Sous-traitance ultérieure

Le Client autorise dès à présent la sous-traitance de tout ou partie des traitements confiés à Ofelia et Ofelia s’engage à ne recruter que des Sous-Traitants Ultérieurs respectant les dispositions issues du RGPD. 

La liste des Sous-traitants actuels d’Ofelia figure en Annexe B. Sa version actualisée peut être communiquée au Client à tout moment sur simple demande. 

Ofelia se porte fort du respect par ses Sous-Traitants Ultérieurs des engagements auxquels elle s’oblige elle-même, notamment en ce qui concerne les engagements qu’elle pourrait prendre en termes de sécurité ou au sein de clauses contractuelles types ou tout autre garantie appropriée.

Transferts de Données

Ofelia ne transfère pas volontairement de Données personnelles hors du territoire de l’UE ou de l’EEE.

Dans l’hypothèse où, pour les besoins de la fourniture des Services, Ofelia serait amenée à procéder à un Transfert de Données en dehors de l’UE ou de l’EEE, ces Traitements répondent aux exigences du Règlement en matière de Transfert des Données en dehors de l’UE, à savoir : 

  1. Le Traitement est réalisé au sein d’un Pays tiers bénéficiant d’une Décision d’adéquation ;

 

  1. Le Traitement est encadré par des clauses contractuelles types publiées par la Commission européenne. Dans cette hypothèse, Ofelia et le Sous-Traitant Ultérieur importateur de Données intègrent aux CGV lesdites clauses type qu’ils s’engagent à ratifier préalablement à la mise en œuvre du ou des Traitements concernés ; 

  1. Le Traitement est encadré par des Règles d’entreprise contraignantes (BCR).

 

Si la ou les exception(s) utilisée(s) pour le Transfert devenai(en)t caduque(s), Ofelia s’engage à modifier le mécanisme choisi pour le remplacer par un mécanisme à même d’encadrer le Transfert envisagé.

Lorsque Ofelia fait appel à des Sous-Traitants Ultérieurs, elle s’assure qu’ils ont mis en place les mesures techniques et organisationnelles appropriées afin de garantir un niveau de protection des Données transférées au moins équivalent à celui des présentes dans l’éventualité d’un Transfert de Données (clauses contractuelles types, BCR, etc.).

Délégué à la Protection des Données

Ofelia a procédé à la désignation d’un Délégué à la Protection des Données : la société Virtual DPO - contact@virtual-dpo.fr . 

Le Client communique à Ofelia, dès la signature de la Proposition commerciale, l’identité et les éléments de contact de son DPO.

Lorsque le Client n'a pas désigné de DPO, il communique à Ofelia le nom et les coordonnées détaillées d'un contact pertinent auprès duquel des informations sur le Traitement des Données peuvent être obtenues.

Notification en cas de Violation des Données Personnelles

En cas de survenance d’un incident susceptible d’affecter la sécurité des Données personnelles, en cas d’atteinte probable ou avérée à l’intégrité des Données personnelles, ou en cas de Violation probable ou avérée des règles de confidentialité appliquées aux Données personnelles, Ofelia en informe le Client dans les meilleurs délais. L’information est délivrée afin de permettre au Client de respecter ses obligations de notification auprès de la CNIL et des personnes concernées, en application des dispositions de l’article 33 du RGPD.

Ofelia procédera aux investigations permettant de fournir au fur et à mesure de leur réalisation au Client, toute information utile sur la nature et l’étendue de la potentielle Violation de Données et des mesures correctrices mises en place.

Ofelia décrira la faille de sécurité et si possible les catégories, le nombre de personnes concernées par cette faille ainsi que les Données concernées. 

Ofelia s’engage par ailleurs à coopérer avec le Client et à mettre en œuvre les moyens nécessaires à la résolution de l’incident.

Notification de cas de demande de communication par un tiers

Ofelia s’engage à notifier au Client toute demande de transmission ou de consultation des Données émise par une autorité judiciaire ou administrative dans les meilleurs délais avant d’y apporter toute réponse, à moins que le droit concerné interdise une telle information pour des motifs d’intérêt public. 

Exercice de leurs droits par les personnes concernées

Toute personne physique dont les Données sont collectées par Ofelia pour le compte du Client dispose d’un droit d'accès, de limitation, de rectification, d’effacement et, le cas échéant, d’opposition au traitement ou de portabilité des Données personnelles la concernant, conformément aux dispositions de la réglementation en vigueur.

Les droits prévus au paragraphe précédent s’exercent directement auprès du Responsable de traitement.

En conséquence, Ofelia notifie dans les meilleurs délais le Client de toute demande d’exercice des droits susmentionnés et se conforme aux instructions du Client, sous réserve de leur conformité à la règlementation applicable et de leur communication préalable à Ofelia.

Durée de conservation des Données/ résiliation de l’Abonnement

Ofelia conserve les Données traitées pour la durée de l’Abonnement, sauf demande contraire du Client ou obligation légale imposant une durée de conservation différente. 

En toute hypothèse, Ofelia s’engage à supprimer toutes les Données à première demande du Client.

Ofelia présente au Client, sur demande, un procès-verbal attestant de la destruction des Données.

Les Données peuvent faire l’objet d’un archivage intermédiaire pour une durée maximale correspondant à la durée de la prescription légale.

Annexe A – Registre des Traitements effectués pour le compte du Client

Pour tous ces traitements : 

  • Base légale : définie par le client, Responsable de Traitement.

1. Gestion des identités, accès des Utilisateurs et création des Comptes par les Administrateurs

Finalités

Permettre au Client (RT) de provisionner et synchroniser sa base utilisateurs et Administrateurs, pour attribuer les autorisations de connexion et permettre la création des comptes. 

Personnes concernées

Utilisateurs du Client

Données traitées

Données du SI RH du client, utilisées pour définir les autorisations et créer les comptes utilisateurs. (Eventuellement : Nom, email, titre de poste, département, équipe, pays, bureau, CDD/CDI, localisation remote, identifiant employé, manager (relation hiérarchique),…)

Identifiant de l’utilisateur, droits de connexion (Utilisateur simple, qualifié…)

Données de connexion de l’Utilisateur à la Solution.

Identifiants, rôle, actions d'administration, traces (qui a fait quoi, quand)

Données sensibles

Non par principe, mais Ofelia n'a pas de contrôle sur le contenu importé par le Client.

Durée de conservation

Durée du contrat + délai de réversibilité contractuel (sauf délai plus court indiqué par le client RT)

Transferts hors UE

Oui, Composio aux US 

Sous-traitants

AWS
Composio (uniquement email et token Oauth)

2. Ingestion et indexation de la base de connaissance (RAG)

Finalités

Ingérer, vectoriser et indexer les contenus de la base de connaissance du client pour permettre leur exploitation par l'agent IA

Personnes concernées

Ensemble des personnes dont les données sont incluses dans la base de données client importée par le Client via son interface utilisateur.

Données traitées

Toute donnée incluse dans la base de données client importée par le Client via son interface utilisateur.

Données sensibles

Non par principe, mais Ofelia n'a pas de contrôle sur le contenu importé par le Client.

Destinataires

Ces données ne sont pas destinées à être traitées par une personne physique. Accès possible uniquement dans le cadre du traitement « support ».

Durée de conservation

Durée du contrat + délai de réversibilité contractuel (sauf délai plus court indiqué par le client RT)

Transferts hors UE

Oui, OpenAI et LangSmith aux US (CCT)

Sous-traitants

AWS, OpenAI, LangSmith 

3. Hébergement de la Base de données

Finalités

Héberger les données importées par le Client sur la Solution

Personnes concernées

Utilisateurs et personnes dont les données figurent dans la Base de données importée par le Client.

Données traitées

Ensemble des données incluses dans la Base de données importée par le Client.

Données sensibles

Non par principe, mais Ofelia n'a pas de contrôle sur le contenu importé par le Client.

Destinataires

Ces données ne sont pas destinées à être traitées par une personne physique. Accès possible dans le cadre du traitement “Gestion des demandes d'assistance des Utilisateurs”.

Durée de conservation

Durée du contrat + délai de réversibilité contractuel (sauf délai plus court indiqué par le client RT)

Transferts hors UE

Serveurs des prestataires en Europe

Sous-traitants

AWS

4. Hébergement des données liées aux prompts formulés par les Utilisateurs

Finalités

Conserver les Prompts et réponses échangés via la Solution pour assurer la continuité conversationnelle, le suivi qualité et la traçabilité

Personnes concernées

Utilisateurs du client, personnes mentionnées dans les Prompts et dans les réponses

Données traitées

Identifiant utilisateur, contenu textuel des prompts, contenu textuel des réponses, 

Données sensibles

Non par principe, mais Ofelia n’a pas de contrôle sur le contenu des Prompts et des réponses

Destinataires

Ces données ne sont pas destinées à être traitées par une personne physique. Accès possible dans le cadre du traitement “Gestion des demandes d'assistance des Utilisateurs”.

Durée de conservation

12 mois

Transferts hors UE

Oui, US LangSmith

Sous-traitants

LangSmith, AWS 

5. Analyse des Prompts et formulation des réponses

Finalités

Interpréter le prompt utilisateur, interroger la base de données via la Solution, générer une réponse et la restituer dans sa messagerie d’entreprise.

Personnes concernées

Utilisateurs du Client, personnes mentionnées dans les Prompts ou dans la base de données client importée par le Client via son interface utilisateur.

Données traitées

Contenu textuel des prompts, toute donnée incluse dans la base de données client importée par le Client via son interface utilisateur.

Données sensibles

Non par principe, mais Ofelia n'a pas de contrôle sur le contenu importé par le Client.

Destinataires

Utilisateur à l’origine du Prompt si la réponse produite par la Solution inclut des données personnelles. 

Durée de conservation

Prompts et réponses formulées conservées 30 jours chez OpenAI

Transferts hors UE

Oui, OpenAI aux US (CCT)

Sous-traitants

AWS, OpenAI

6. Exécution d'actions dans les outils tiers

Finalités

Exécuter, après validation par l'Utilisateur dans sa messagerie d’entreprise, des actions dans les outils tiers auxquels il est connecté (création de ticket, envoi de message, mise à jour de fiche, planification d'événement, etc.)

Personnes concernées

Utilisateurs du client, personnes mentionnées dans le contenu de l'action ou affectées par celle-ci (destinataires de message, assignataires de ticket, participants à un événement, etc.)

Données traitées

Données de l’Utilisateur, actions exécutées (si incluent des données personnelles), données liées aux personnes destinataires de l’action. 

Données sensibles

Non par principe, mais Ofelia n'a pas de contrôle sur le contenu importé par le Client ou sur la nature des actions à exécuter.

Destinataires

Personne ayant accès au résultat de l’action si contient des données personnelles.

Durée de conservation

30 jours

Transferts hors UE

Oui Composio, US (CCT )

Sous-traitants

Composio

7. Configuration et exécution des process d'entreprise

Finalités

Permettre aux process owners du client de configurer des process métier ; exécuter ces process (orchestration, validations, approbations, actions automatisées) à la demande des Utilisateurs

Personnes concernées

Utilisateurs du client, approbateurs, personnes citées dans les variables ou pièces jointes des process (collaborateurs, clients du client, tiers)

Données traitées

Données relatives aux utilisateurs et aux approbateurs. Toute donnée éventuellement présente pour les besoins de la configuration et de l’exécution des processus. 

Données sensibles

Non par principe, mais Ofelia n'a pas de contrôle sur le contenu importé par le Client ou sur la nature des process à exécuter.

Destinataires

Personnes ayant accès aux résultats, documents, actions, etc. générés par les process si ceux-ci comportent des données personnelles.

Durée de conservation

Durée du contrat + délai de réversibilité contractuel (sauf délai plus court indiqué par le client RT)

Transferts hors UE

Serveurs des prestataires en Europe

Sous-traitants

AWS

8. Gestion des demandes d'assistance des Utilisateurs (Support)

Finalités

Gérer les demandes d’assistance des utilisateurs

Personnes concernées

Utilisateurs du client

Données traitées

Contenu de la demande d'assistance soumise depuis l'agent conversationnel, contexte conversationnel transmis.

Ensemble des données auxquelles le support peut accéder pour solutionner la demande d’assistance.

Données sensibles

Non par principe, mais Ofelia n'a pas de contrôle sur le contenu importé par le Client.

Destinataires

Equipe support

Durée de conservation

Durée du contrat pour assurer un suivi support (sauf délai plus court demandé par le client RT)

Transferts hors UE

Serveurs des prestataires en Europe

Sous-traitants

Zendesk

Annexe B – Liste des Sous-traitants ultérieurs autorisés

Nom du sous-traitant

Traitement(s) sous-traité(s) 

Transfert hors US

Gestion des identités, accès des Utilisateurs et création des Comptes par les Administrateurs

AWS

Composio

Oui :

Composio

Ingestion et indexation de la base de connaissance (RAG)

AWS

OpenAI

 LangChain (LangSmith)

Oui :

OpenAI

LangChain (LangSmith)

Hébergement de la Base de données

AWS

N/A

Hébergement des données liées aux prompts formulés par les Utilisateurs

AWS

LangChain (LangSmith) 

Composio

Oui :

LangChain (LangSmith)

Composio

Analyse des Prompts et formulation des réponses

OpenAI

Oui :

OpenAI

Exécution d'actions dans les outils tiers

Composio

Oui :

Composio

Configuration et exécution des process d'entreprise

AWS

N/A

Gestion des demandes d'assistance des Utilisateurs (Support)

Zendesk

N/A